Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 91 à 100.
| < Les 10 documents précédents | Les 10 documents suivants > |
(07/11/2011 15:04:39)
KPN cesse par précaution d'émettre des certificats SSL
Décidément la Hollande devient une berezina pour les autorités de certification SSL. Après Diginotar en septembre dernier, c'est au tour de l'opérateur KPN d'arrêter de proposer ses fameux certificats. Simona Petescu, porte-parole du groupe batave, a expliqué « lors d'un audit sur le site web public, plusieurs indications ont montré que quelqu'un l'avait préparé en vue d'une attaque en déni de service (DDOS) comme il y a quatre ans ». Elle ajoute pour rassurer que, « l'infrastructure backend utilisé pour générer les certificats ne semble pas avoir été affectée, même si une enquête est en cours dont les résultats seront connus prochainement ». Selon elle, « il ne semble pas que des faux certificats SSL aient été créés, mais par précaution nous avons cessé d'émettre des certificats et averti le ministère de l'Intérieur néerlandais. »
Les autorités intermédiaires de plus en plus ciblées
La division KPN Corporate Market est connue comme une autorité intermédiaire de certification, l'une des centaines d'entreprises et d'organisations du monde entier qui peuvent délivrer des certificats SSL pour le compte des autorités principales. Ces entreprises sont particulièrement prisées par les pirates qui peuvent émettre des faux certificats pour amener les internautes vers des sites en apparence vrais, mais capables de soustraire des informations personnelles et sensibles.
La semaine dernière, une autorité intermédiaire de certification malaisienne nommée Digicert a révoqué 22 de ses propres certificats en raison de la faiblesse des clés de cryptage RSA. Dès jeudi, Mozilla et Microsoft ont supprimé tous les certificats émis par la société.
(...)
Les Anonymous font plier un cartel de drogue mexicain
Il y a quelques semaines, les Anonymous partaient en guerre contre un cartel de drogue mexicain, Los Zetas, pour libérer un des leurs retenus enlevés par l'organisation mafieuse. Pour cela, le collectif de pirates avait menacé le cartel de divulguer des informations (25 000 courriels) montrant et désignant des personnes au sein des institutions mexicaines liées au syndicat criminel. « L'opération Cartel » était prévu le 5 novembre dernier, mais elle a été suspendue car le 3 novembre, un message posté sur le blog Anonymous IberoAmerica expliquait, « en ce jour, notre ami Anonymous retenu par le cartel Zetas a été libéré » et d'ajouter « nous avons pris grand soin de vérifier son identité par des contacts avec ses pairs et des amis et nous pouvons dire que, même s'il a souffert, il est bien vivant ».
Le porte-parole fait cavalier seul et interrogations sur la victime
Après l'annonce de la libération du pirate, Barrett Brown, porte-parole auto-désigné d'Anonymous, a provoqué des remous au sein du collectif en déclarant qu'il allait communiquer quand même les informations sur le cartel Los Zetas, ainsi que sur d'autres organisations mafieuses contenues dans les quelques 25 000 courriels. Barret Brown a cependant suspendu ses velléités quand il a su que les Los Zetas avaient libéré le pirate et portait sur lui une note indiquant qu'à chaque nom dévoilé, le cartel tuerait 10 personnes. « Néanmoins, plusieurs des 25 000 e-mails ont été envoyés à Der Spiegel pour confirmation ».
Par ailleurs, les Anonymous ont alimenté les interrogations sur le peu d'informations concernant la victime. Certains spécialistes étaient sceptiques sur la pertinence des informations présentées par le collectif souvent contradictoires. À plusieurs reprises, les Anonymous ont promis de donner plus d'informations sur la personne enlevée, mais jusqu'ici, rien n'a été fait. « Nous n'avons pas suffisamment d'éléments à ce stade pour en tirer une conclusion » souligne Fred Burton, analyste chez Stratfor, un cabinet de renseignement privé.
F-Secure détaille les risques liés à Duqu
Selon l'entreprise de sécurité F-Secure, Duqu est un bot windows (et pas un ver), utilisé pour effectuer des attaques très ciblées contre un nombre limité d'organisations, dans un petit nombre de pays. Il se propage via un document transmis par courrier électronique. La spécificité de Duqu est qu'il exploite une faille découverte dans le noyau de Windows. Microsoft a livré un premier correctif pour limiter les dégâts de Duqu. Selon F-Secure, pas trop de raisons de s'inquiéter toutefois : en effet le document infecté n'est pas en circulation. Il est tellement ciblé que son transfert révélerait très certainement l'identité de la cible première, raison pour laquelle CrySyS Lab, qui a découvert Duqu, ne peut pas diffuser le document.
Si Duqu ne cible que des cibles stratégiques, pas de raison de s'inquiéter? F-Secure relève toutefois un effet collatéral qui pourrait s'avérer problématique: à savoir que lorsque Microsoft diffusera son patch, les hackers malveillants pourront effectuer une action de reverse engineering sur ce patch, ce qui leur permettra de découvrir où se situait la faille. Ils pourront ensuite exploiter cette faille pour s'attaquer à tout ordinateur Windows n'ayant pas encore fait de mise à jour.
Un malware proche de Stuxnet
F-Secure liste les similitudes entre Duqu et Stuxnet, qui avait permis de perturber les opérations dans une centrale nucléaire iranienne, mais relève également quelques différences. En l'occurrence, Duqu n'est pas configuré pour agir de manière autonome. Lorsqu'il a infecté sa cible, il se connecte sur un serveur Command and Control (C & C). Deux serveurs sont connus à ce jour, l'un en Inde et l'autre en Belgique. Dans un cas connu, Duqu a permis de télécharger un logiciel permettant de collecter des données de sa cible. Duqu pourrait également recevoir l'instruction de se propager au sein du réseau de sa cible via des ressources réseau partagées.
De manière générale cependant, les similitudes entre les deux malwares mènent F-Secure à penser que ses auteurs sont les mêmes. Notant l'intelligence et la méthodicité du système, l'entreprise de sécurité laisse entendre que Duqu serait une «action organisée» déployée ou autorisée par un Etat.
ICTJournal.ch (...)(04/11/2011 14:40:13)L'Allemagne fait pression sur Facebook au sujet du traçage
Par Jean Elyan, avec IDG NS
« L'agence de Hambourg a publié un rapport sur la manière dont Facebook utilise les cookies, ces petits éléments stockés par le navigateur Internet, qui enregistrent des informations sur les comportements de navigation des utilisateurs, » a déclaré le chef de l'agence allemande, Johannes Caspar. Selon lui, « si les utilisateurs ne donnent pas leur consentement, Facebook a obligation de supprimer les informations qu'il a stockées, en conformité avec la réglementation européenne sur la vie privée. »
L'agence conclut que Facebook n'a pas besoin de laisser des cookies permanents sur l'ordinateur d'un utilisateur. « Or certains y résident parfois jusqu'à deux ans, même quand ceux-ci ont supprimé leurs comptes, » a ajouté Johannes Caspar. « Les conclusions de notre enquête ne permettent pas de justifier l'installation de ces cookies, » a-t-il déclaré. Le chef de l'agence chargée de la protection des données a indiqué qu'il attendait une explication de la part des techniciens de Facebook. Dans une déclaration écrite, le réseau social dit avoir fourni, avant l'écriture de ce rapport, des informations sur la manière dont il utilise les cookies. Facebook se dit aussi « surpris et déçu. » Le rapport « publié par l'Autorité pour la Protection des Données de Hambourg est incomplet, puisque l'agence dispose de toute l'information nécessaire sur les cookies, » a soutenu Facebook.
La durée de vie des cookies toujours au coeur du problème
Ce n'est pas la première fois que Facebook est mis en cause sur la façon dont le réseau social utilise les cookies. Le réseau social soutient que, quand une personne se déconnecte de son compte, les cookies qui restent ne contiennent plus d'éléments permettant d'identifier l'utilisateur. « Les cookies sont utilisés pour des raisons de sécurité, notamment pour identifier les spammeurs et s'assurer que des personnes mineures ne tentent pas de s'inscrire au service en trafiquant leur âge, » a indiqué Facebook dans un communiqué. Le réseau utilise également les cookies pour savoir si les ordinateurs sont utilisés par plusieurs personnes pour se connecter, afin de décourager l'usage de la fonction « Rester connecté » sur ces machines.
Par ailleurs, les navigateurs web permettent de supprimer facilement les cookies. Firefox par exemple offre la possibilité de supprimer les cookies chaque fois que l'on quitte le navigateur Internet, et déjoue efficacement les efforts visant à collecter des informations à partir d'un ordinateur. D'autres mesures peuvent également être utilisées pour déjouer la collecte de données. Comme le VPN (Virtual Private Networks), qui fait croire qu'un ordinateur a une adresse IP le situant en Chine ou ailleurs, alors que celui-ci se trouve en réalité au Royaume-Uni.
La reconnaissance faciale sur la sellette
L'Autorité pour la Protection des Données de Hambourg a aussi un autre différent avec Facebook. L'agence attend toujours une réponse au sujet des fonctions de reconnaissance faciale qui identifient automatiquement les amis d'une personne et suggèrent leur nom. L'agence pense que les utilisateurs doivent donner leur consentement avant que les systèmes de Facebook stockent et analysent leurs visages pour activer la fonction. L'entreprise de Mark Zuckerberg a jusqu'à lundi pour répondre à cette plainte. « Si les discussions échouent, l'Autorité pour la Protection des Données de Hambourg va prendre des mesures juridiques, » a déclaré Johannes Caspar, dont l'agence a le pouvoir d'infliger des amendes.
Facebook, facilement infiltré par des robots pour la récolte de données
Pour leur test, qui s'est étalé sur une période de huit semaines, une équipe de chercheurs(Yazan Boshmaf, Ildar Muslukhov, Konstantin Beznosov, et Matei Ripeanu) de l'Université de Colombie Britannique a construit un réseau de 102 robots chargés d'imiter le comportement humain sur les réseaux sociaux, et les a introduits sur Facebook avec la mission de se faire autant d'amis que possible et de collecter des informations privées. « Pour créer un compte utilisateur sur un réseau social en ligne, il faut trois choses : fournir une adresse courriel opérationnelle, créer un profil utilisateur, et parfois résoudre un Captcha ('un test de défi-réponse utilisé dans le domaine de l'informatique, ayant pour but de s'assurer qu'une réponse n'est pas générée par un ordinateur') [...]. Nous affirmons qu'un attaquant peut entièrement automatiser le processus de création du compte, » ont écrit les chercheurs dans un document qu'ils comptent présenter à la 27e édition de l'Annual Computer Security Applications Conference qui se tiendra le mois prochain.
Ce type d'attaque n'est pas nouveau : des malwares comme Koobface utilisent depuis longtemps des comptes créés automatiquement pour répandre des liens malveillants par spamming. Cela avait déjà incité Facebook à développer, au fil du temps, des mécanismes de détection spécialisés. Malheureusement, selon des chercheurs de l'UBC, ces systèmes de défense ne sont pas assez efficaces. Les robots sociaux qu'ils ont lancés contre Facebook ont envoyé des demandes à 5 053 utilisateurs ciblés de manière aléatoire « pour devenir leur ami ». En moyenne, 20% des individus ciblés ont accepté, les bots utilisant des profils féminins ayant eu plus de succès. Mais le taux a triplé quand des bots ont commencé à cibler les amis de ceux qui avaient accepté leurs demandes.
Après avoir lié d'amitié avec les nouveaux utilisateurs, les programmes automatisés ont commencé à explorer leurs profils, les flux de nouvelles et les messages postés sur le mur pour soutirer des informations personnelles. Dans les données recueillies, les bots ont pu trouver leur genre masculin ou féminin, leur date de naissance, leur lieu de travail, le nom des écoles fréquentées, la ville de naissance, la ville de résidence, l'adresse postale, l'adresse courriel, le numéro de téléphone, les identifiants de comptes de messagerie instantanée et la situation familiale.
[[page]]
Les chercheurs ont cessé leur test au moment où le trafic Internet généré est devenu trop lourd à gérer. En huit semaines, le réseau de robots sociaux a envoyé 3 Go de données et en a reçu environ 250 en retour. Pendant ce temps, le système de protection en temps réel de Facebook n'a bloqué que 20 des 100 faux profils. Et après une enquête plus approfondie, les chercheurs ont constaté que ces profils avaient, en fait, été marqués comme spam par d'autres utilisateurs. « Nos résultats montrent que les réseaux sociaux en ligne comme Facebook, peuvent être infiltrés avec un taux de réussite de près de 80% ; en fonction des paramètres de confidentialité des utilisateurs, une intrusion réussie peut entraîner des atteintes à la confidentialité et les données utilisateurs sont encore plus exposées, comparées à un accès public ; dans la pratique, les systèmes de défense des réseaux sociaux en ligne, comme le Facebook Immune System, ne sont pas assez efficaces pour détecter ou stopper une infiltration à grande échelle, comme cela s'est produit lors de notre test, » ont indiqué les chercheurs.
Facebook améliore sa sécurité
Les experts en malware reconnaissent les efforts faits par Facebook pour bloquer les tentatives de création automatisée de compte sur son réseau social. Selon le vendeur de solutions antivirus BitDefender, les menaces pouvant résulter de ces techniques ont été considérablement réduites au cours de ces deux dernières années. « Ce changement est principalement dû au fait que Facebook ne cesse de travailler sur l'amélioration de la sécurité du réseau. Certes, peu importe l'effort, les escrocs du Net trouvent toujours des moyens pour se faufiler entre les mailles du filet, » a déclaré le porte-parole de BitDefender, Bogdan Botezatu.
Cependant, il y a toujours un nombre significatif de malware qui tirent profit de comptes déjà compromis pour se répandre sur le réseau social. « Il existe de nombreuses variantes de zombies qui tentent de s'introduire dans Facebook pour diffuser des adwares ou des logiciels non désirés, » a déclaré Adam Thomas, un chercheur de GFI Software spécialisé dans les questions de sécurité. Afin de protéger à la fois leurs informations privées et leurs ordinateurs, les utilisateurs des réseaux sociaux devraient éviter d'accepter des demandes d'amis de personnes inconnues et toujours se méfier des liens qui leur sont envoyés, même quand la personne qui les a envoyés est un ou une amie.
Des chercheurs parviennent à tromper le Captcha de sites très populaires
Le Captcha, acronyme de « Completely Automated Public Turing test to tell Computers and Humans Apart », est un test de « défi-réponse utilisé dans le domaine de l'informatique, ayant pour but de s'assurer qu'une réponse n'est pas générée par un ordinateur. » Autrement dit, il consiste à poser des problèmes « que seuls les humains sont censés être capables de résoudre. » Les sites web utilisent ces tests dans des formulaires pour se prémunir contre les soumissions automatisées et intensives que pourraient utiliser des robots malveillants pour collecter des adresses mails ou enregistrer des comptes et poster des commentaires.
Il existe différents types de captcha : certains utilisent le son, d'autres des problèmes mathématiques, mais les versions les plus courantes consistent à demander aux utilisateurs de taper sur leur clavier un texte déformé. Une équipe de l'Université de Stanford, Elie Bursztein, Matthieu Martin et John C. Mitchell, a imaginé différentes méthodes de segmentation pour faciliter la reconnaissance de textes rendus volontairement moins lisibles par l'ajout d'une image dégradée en arrière-plan ou sous forme de chaînes de caractères distordus.
Des algorithmes issus des travaux en robotique
Certains de leurs algorithmes sont inspirés de ceux utilisés par les robots pour s'orienter dans divers environnements et ont été intégrés dans un outil automatisé baptisé Decaptcha. Leur outil a ensuite été lancé pour tester le captcha utilisé par une quinzaine de sites web parmi les plus connus de la Toile. Leurs résultats révèlent que les tests mis en place par la passerelle de paiement Authorize.net de Visa ont pu être résolus dans 66% des cas, alors que les assauts menés contre le portail du jeu World of Warcraft de Blizzard ont affiché un taux de réussite de 70%.
Autres résultats intéressants : sur eBay, la mise en oeuvre du captcha a échoué dans 43% des cas. Et sur Wikipedia, le décryptage automatisé a réussi 1 fois sur quatre. Moindres, mais toujours significatifs, les taux de réussite sur Digg, CNN et Baidu, ont été de 20, 16 et 5 % respectivement. Seuls les sites de Google et de reCaptcha ont résisté à l'outil automatisé des chercheurs. Rappelons au passage que l'outil reCaptcha a été initialement développée à l'Université Carnegie Mellon et acheté par le géant de Mountain View en septembre 2009.
Le reCaptcha de Google toujours inviolé
Depuis ces tests, les sites Authorize.net et Digg ont décidé d'utiliser reCaptcha, un service toujours gratuit, mais il n'est pas sûr que les autres sites aient changé de modalités. Néanmoins, les chercheurs de Stanford ont donné plusieurs recommandations pour améliorer la sécurité Captcha et rendre plus difficile la segmentation. Par exemple, en augmentant la valeur aléatoire de la chaîne de caractères et de la taille de la police, en appliquant un effet de vague, en ajoutant des lignes dans le fond. Une autre conclusion intéressante de ces travaux, c'est que l'utilisation de séries de caractères complexes n'apporte pas d'avantages en terme de sécurité et que le principe nuit plutôt à la convivialité.
Ce n'est pas la première fois qu'Elie Bursztein et son équipe font des percées dans ce domaine. Au mois de mai dernier, ils ont développé des techniques permettant de tromper les Captchas audio sur des sites comme Microsoft, eBay, Yahoo et Digg. Et ils prévoient d'améliorer encore leur outil Decaptcha.
(...)(02/11/2011 10:25:29)WisePhone, une solution de cryptage "militaire" pour smartphones
Disponible pour iPhone (y compris iOS 5), Android et depuis peu pour Blackberry (y compris OSv7), la solution Wisephone de WiseKey vise à crypter les communications vocales IP sur les téléphones portables dans le monde, même dans les régions où les menaces à la confidentialité sont monnaie courante.
Constatant que les technologies d'interception sont peu couteuses et relativement répandues, WiseKey a montré que, avec l'augmentation des données stockées et transmises sur les smartphones, les menaces sur la confidentialité et la mise sur écoute préoccupent autant les particuliers que les sociétés et les gouvernements. Pour garantir la sécurité des conversations téléphoniques, WisePhone utilise donc un niveau élevé de cryptographie, transparent et de niveau militaire. Selon le communiqué de l'entreprise, cela permet d'offrir une sécurité équivalente à celle utilisée par les agences gouvernementales.
ICTJournal.ch (...)
Des failles majeures sur Facebook et sur Skype
Nathan Power teste les niveaux de sécurité de différentes sociétés pour le compte du cabinet de consultant CDW. Il a découvert une vulnérabilité sur Facebook et l'a signalé au site le 30 septembre dernier. La faille a été publiée sur son blog hier et Facebook a reconnu le problème.
Natahan Power écrit que Facebook n'autorise pas l'envoi d'une pièce jointe exécutable via l'onglet « Message ». Si on essaye quand même, le site indique « erreur de téléchargement : Vous ne pouvez pas joindre des fichiers de ce type. » Le spécialiste de la sécurité indique qu'en analysant la navigation dans « Message » envoyée aux serveurs de Facebook, il a découvert une variable appelée « filename » qui scanne le fichier pour l'autoriser ou non. En modifiant simplement cette requête avec un espace juste après le nom du fichier, un exécutable peut être joint à un message. « Ce fut assez pour tromper l'analyseur » souligne Nathan Power. Le danger est qu'un pirate puisse utiliser des techniques d'ingénierie sociale (usurpation d'identité, piratage de compte) pour amadouer une personne et lui faire distribuer la pièce jointe, ce qui pourrait potentiellement infecter les ordinateurs avec des logiciels malveillants.
L'Inria détecte une faille dans Skype
Le laboratoire de recherche français, l'INRIA, en collaboration avec l'Institut Polytechnique de New York a découvert une faille de sécurité dans le logiciel de téléphonie IP, Skype. Selon les chercheurs Steven Leblond, Arnaud Legout et Walib Dabbous, cette vulnérabilité permettrait de « localiser géographiquement les utilisateurs de Skype grâce à leurs adresses IP ainsi qu'accéder aux fichiers qu'ils auraient téléchargés via des logiciels d'échange Peer-to-Peer ». Dans la pratique, un pirate pourrait utiliser les appels Skype pour créer une passerelle avec les utilisateurs ciblés. Pour les chercheurs même « un appel refusé, permet d'accéder à l'adresse IP du client et à ses activités sur le réseau Internet. Les paramètres de sécurité de Skype ne sont pas capables de bloquer ces connexions dont les utilisateurs ne soupçonnent souvent pas l'existence. » Le laboratoire de recherche indique travailler avec Microsoft pour l'élaboration d'un correctif.
(...)(25/10/2011 16:11:05)Des pirates créent un outil DDOS capable de contourner le protocole SSL
L'outil dévoilé par un collectif de pirates allemands baptisés Hackerschoice s'appelle THC-SSL-DOS et s'appuie sur une faille rarement utilisé, mais largement disponible, dans le protocole SSL appelée renégociation SSL. Cette vulnérabilité un peu ancienne (en 2009, un étudiant turc avait utilisé cette faille pour développer une attaque Man In The Middle et détourner des identifiants sur Twitter) permet aux serveurs de modifier la clé de chiffrement utilisé pour sécuriser une session sans avoir besoin d'interrompre la connexion, selon le THC. Elle est activée par défaut sur la plupart des serveurs. « Renégocier une clé physique est une idée stupide du point de vue du chiffrement », explique le groupe de hacker et d'ajouter « si vous n'êtes pas satisfait avec la négociation initiale de la clé, vous devez générer une nouvelle session et non pas renégocier ».
Les attaques par déni de services se traduisent par un volume très important de requêtes pour saturer les serveurs. Habituellement, cela nécessite que les attaquants soient proches de la cible pour une question de bande passante, ce qui explique pourquoi la plupart des attaques DOS sont exécutées de manière distribuée à partir d'un grand nombre d'ordinateurs. Cependant, dans le cas de THC-SSL-DOS, c'est différent car les serveurs SSL consomment beaucoup plus de ressources au cours des négociations SSL que les clients. L'outil présenté peut déclencher des milliers de renégociations via une connexion TCP unique.
Un simple ordinateur portable et une connexion DSL suffisent
The Hackerschoice estime qu'avec un ordinateur portable avec une connexion DSL standard, son outil peut concurrencer un serveur disposant d'un lien de 30 Gbt/s. « Le serveur ne peut gérer en moyenne que 300 sessions par seconde, soit la consommation de 10 à 25% du CPU de votre ordinateur portable», explique le groupe.
Ce type d'attaques n'est pas nouveau. En fait, les constructeurs connaissent le sujet depuis 2003 et, selon le THC, la méthode a été utilisée l'année dernière dans des attaques DOS contre MasterCard. Avec son outil, THC automatise le processus et souhaite que l'industrie prenne conscience du problème pour mieux sécuriser les serveurs.
Le groupe souligne que, même sans renégociation SSL activée, un pirate peut toujours utiliser le THC-SSL-DOS avec succès contre les serveurs. Toutefois, pour de telles attaques, il faudrait plus qu'un simple ordinateur portable.
| < Les 10 documents précédents | Les 10 documents suivants > |