Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 131 à 140.
| < Les 10 documents précédents | Les 10 documents suivants > |
(13/09/2011 09:56:25)
Deutsche Telekom prépare ses prochains services connectés
Dans son forum T-Gallery, sorte de show-room sur les usages connectés de demain, Deutsche Telekom présente différents prototypes conçus avec des partenaires. Ils illustrent des solutions et des services à exploiter, à la maison et au bureau, ou en se déplaçant. Certains sont déjà disponibles comme DeutschlandLAN, l'offre de téléphonie unifiée sur IP pour PME. D'autres ne le seront pas avant deux ou trois ans telle l'interface interactive mêlant reconnaissance vocale personnalisée et gestuelle pour sélectionner une vidéo à la demande. D'autres sont plus inattendus. Ainsi, cette porte de réfrigérateur qui joue les panneau d'affichage en recevant les SMS de la famille. Sa surface invite aussi les enfants au dessin.
L'espace d'exposition T-Gallery a été inauguré en février 2010 à Bonn, au siège social de l'opérateur de télécommunications allemand. S'il n'est pas ouvert au public, il reçoit néanmoins quelques milliers de visiteurs chaque année, concepteurs, responsables produits, chercheurs ou clients, voire concurrents. Une petite équipe de dix personnes s'y est investie, issues de différentes entités du groupe allemand, à laquelle se sont joints seize partenaires. Ces derniers ont apporté leur contribution sur des technologies telles que les fonctions de contrôle par gestes, la reconnaissance intuitive de la voix, la recherche sémantique, ou encore l'utilisation de matériaux novateurs : plastique qui s'auto-régénère, laque à base d'eau, cuir injectable, feuille électroluminescente qui peut évoluer vers un affichage flexible.
Ecran panoramique et vidéoconférence
Deutsche Telekom pousse ses pions vers des marchés pouvant générer de nouvelles sources de revenus. Il tire parti de l'infrastructure de réseau qu'il a déployée et des capacités de traitement, de stockage et de diffusion du cloud computing. Dans sa ligne de mire : la maison reliée au cloud, la voiture connectée, un meilleur contrôle de la consommation d'énergie grâce à des compteurs intelligents, la e-santé et la distribution de contenus multimédias.
La T-Gallery s'ouvre sur un espace bordé d'un écran panoramique où défilent des milliers d'images figurant autant de contenus multimédias (films, morceaux de musique, photos...). Deutsche Telekom montre comment faciliter, à partir d'un terminal mobile ou d'une autre interface, la gestion des fichiers stockés en ligne ou des services numériques proposés à la demande. On contrôle à distance sa set top box pour enregistrer une émission. Des services qui tablent sur la capacité d'accéder à tout moment à une connexion haut débit.
Au fil de la T-Gallery, on découvre une vitre murale, support de vidéoconférence, qui affiche en regard un agenda partagé et des fichiers. Ces derniers sont ramenés par les participants depuis le cloud via leurs terminaux mobiles respectifs. Chacun rejoint la discussion par le canal qu'il choisit, Skype ou autre. « C'est le genre de services que nous voulons proposer sur notre cloud », explique l'opérateur.
Suivre sa courbe de poids
A l'espace « e-health », divers équipements permettent de surveiller et de repérer des anomalies dans un état de santé via des capteurs adaptés : détecter une chute, suivre une grossesse à risque, une courbe de poids (la balance transmet l'information au smartphone par bluetooth) ou le taux de sucre d'une personne diabétique. Au passage, les données peuvent être stockées sur un dossier médical dans le cloud.
Pour les applications de sécurité, Deutsche Telekom dispose, avec le Simko (un modèle HTC) d'un smartphone équipé d'un dispositif de chiffrement. L'opérateur travaille aussi sur des solutions de paiement mobile qui arriveront l'an prochain. La technologie NFC (near field communication) peut aussi servir à ouvrir la porte de sa maison ou à démarrer un véhicule de location avec la clé électronique adressée sur le téléphone. Dans le train, l'accès en libre service à un écran, flanqué d'un socle pour recevoir un smartphone, connecte le possesseur du terminal à ses données dans le cloud.
Un certain nombre de ces services sont d'abord destinés au marché allemand. Mais certains devraient être aussi disponibles dans d'autres pays.
Illustration : écran panoramique de la T-Gallery (crédit : Deutsche Telekom)
Une agence pour gérer les systèmes d'informations de l'EU
Baptisé agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle, cet organisme sera responsable de la supervision d'une très vaste quantité de données sensibles. Trois bases de données sont aujourd'hui concernées : le futur système d'information Schengen de deuxième génération ou SIS II (base de données commune qui facilite l'échange d'informations sur les individus entre les forces de police nationales), le système d'information sur les visas ou VIS (une base de données qui permet aux États membres d'entrer, de mettre à jour et de consulter les visas et les informations biométriques associées, par voie électronique) et le système "Eurodac" (un système informatique permettant de comparer les empreintes digitales des demandeurs d'asile et des immigrants illégaux). L'agence sera aussi responsable de la gestion de tous les autres systèmes d'information qui pourraient être mis au point à l'avenir dans l'espace européen de sécurité et de justice.
Compte tenu de la sensibilité des informations stockées dans ces bases de données, les experts ont averti que la sécurité devrait être irréprochable pour éviter que de grandes quantités d'informations soient détournées par les cybercriminels. Plus tôt cette année, une attaque contre la Commission européenne a perturbé le système de messagerie, tandis qu'une intrusion sur le système communautaire d'échange de quotas de CO2 a vu au moins 30 millions d'euros de quotas d'émissions volés.
Cette nouvelle agence sera également chargée de la gestion des systèmes d'informations qui pourraient être développés à l'avenir. Toutefois, chaque intégration d'un nouveau système devra faire l'objet d'une décision spécifique du Conseil et du Parlement européen. Selon le planning présenté par le Conseil de l'Europe, l'objectif visé est que l'agence commence à travailler au cours de l'été 2012. L'agence aura son siège à Tallinn, Estonie. Les tâches liées au développement et à la gestion opérationnelle seront réalisées à Strasbourg (France). Un site de secours sera installé à Sankt Johann im Pongau (Autriche)
(...)(06/09/2011 15:06:55)
Certificats SSL DigiNotar : L'Iran à l'origine d'une opération d'espionnage informatique (MAJ)
Le faux certificat, livré le 10 juillet par le CA néerlandais, suite au piratage de ses serveurs, a été révoqué le 29 août. « Nous avons identifié environ 300 000 adresses IP uniques ayant envoyé des requêtes vers google.com, » indique Fox-IT dans son document. À partir du 4 août, le nombre de requêtes a rapidement augmenté, et ce jusqu'au 29 août, date à laquelle le certificat a été révoqué. Plus de 99 % de ces adresses IP ont été localisées en Iran. « La liste de ces adresses sera remise à Google. Le géant de l'internet pourra alors informer les utilisateurs que, pendant cette période, leurs emails ont pu être interceptés, » ajoute Fox-IT. « Pas seulement l'email lui-même, mais aussi le cookie de connexion, » indique encore l'entreprise de sécurité. Avec ce cookie, un pirate peut se connecter directement à la boîte aux lettres Gmail de l'utilisateur et à d'autres services de Google auxquels il est abonné. « Le cookie de connexion reste valide pendant une période plus longue, » explique Fox-IT, qui conseille aux utilisateurs iraniens « au moins de se déconnecter et de se reconnecter au service de Google, mais mieux encore, de changer leurs mots de passe de connexion. »
Toujours selon ce rapport, le reliquat d'adresses IP restantes, et repérées pendant cette période, venaient principalement de nodes Tor-exit, de proxies et d'autres serveurs VPN (réseau privé virtuel), mais quasiment pas de connexions directes. Ces conclusions ont été tirées de l'analyse des logs de requêtes OCSP (Online Certificate Status Protocol). Les navigateurs actuels effectuent un contrôle OCSP dès que le navigateur se connecte en mode SSL (Secure Sockets Layer) à un site web sécurisé par le protocole HTTPS (Hypertext Transfer Protocol Secure). Tor est un réseau distribué anonyme utilisé par certains internautes pour éviter d'être pistés ou pour se connecter à des services de messagerie instantanée et à d'autres services dans le cas où ils sont bloqués par leurs fournisseurs de services Internet locaux.
L'objectif : intercepter des communications iraniennes
Au total, 531 certificats numériques ont été émis pour des domaines appartenant à google.com, la CIA et le Mossad israélien. Selon Fox-IT, « compte tenu des domaines visés et du fait que 99 % des internautes ont été localisés en Iran, on peut penser que l'objectif des pirates était d'intercepter des communications privées en Iran. » Le 29 août, Google avait fait état de rapports signalant une « tentative d'attaques SSL de type man-in-the-middle (MITM) » contre les utilisateurs de Google. Ces attaques sont utilisées pour intercepter le trafic entre les internautes et les services cryptés de Google ou autres. Les personnes visées se trouvent principalement en Iran. L'attaquant a utilisé un faux certificat SSL émis par DigiNotar, révoqué depuis, comme l'a confirmé Google dans un message publié sur son blog.
Trend Micro, une autre entreprise de sécurité, a fait remarquer, hier, que le nom domaine validation.diginotar.nl, utilisé par les navigateurs Internet pour vérifier l'authenticité des certificats SSL émis par DigiNotar, avait été essentiellement chargé par des internautes néerlandais et iraniens jusqu'au 30 août. DigiNotar, dont les clients se trouvent principalement aux Pays-Bas, avait la qualité d'autorité de certification, c'est-à-dire l'autorisation d'émettre des certificats SSL. « Normalement, ce nom de domaine doit être essentiellement demandé par des internautes néerlandais et éventuellement par quelques utilisateurs situés d'autres pays, mais certainement pas par un aussi grand nombre d'Iraniens, » a déclaré Feike Hacquebord, chercheur spécialisé dans le piratage informatique chez Trend Micro. L'analyse des données effectuée par le Trend Smart Protection Network, révèle que le 28 août, un nombre important d'utilisateurs Internet situés en Iran ont chargé l'URL du certificat d'authentification SSL de DigiNotar. Mais à partir du 30 août, ce trafic a disparu, et le 2 septembre tout le trafic iranien avait disparu.
[[page]]
Toujours selon le rapport de Fox-IT, c'est le 29 août au soir que l'on a su qu'un faux certificat x.google.com était présenté par un certain nombre d'utilisateurs internet se connectant depuis l'Iran. Selon DigiNotar, ce faux certificat a été révoqué le soir même. L'entreprise de sécurité, contactée le lendemain, a du procéder à une enquête. Dans son rapport, Fox-IT indique que la première intrusion dans les serveurs de DigiNotar a pu avoir lieu le 17 juin. De son côté, DigiNotar dit avoir constaté l'incident le 19 juin au cours de sa procédure normale de vérification quotidienne. Mais il semblerait qu'elle n'a pris alors aucune mesure à ce sujet. L'entreprise n'a pour l'instant pas fait de commentaire sur ce point.
Le premier certificat compromis x.google.com, a été émis le 10 juillet. Tous les autres certificats ont été livrés entre le 10 et le 20 juillet. « Le piratage laisse penser que la configuration du réseau et les procédures de DigiNotar n'étaient pas suffisamment sécurisées pour éviter ce genre d'attaque, » indique Fox-IT. « Il arrive que des serveurs hébergeant des données critiques laissent passer des logiciels malveillants, mais ceux-ci peuvent normalement être détectés par les logiciels antivirus. La protection des données critiques n'a pas fonctionné, ou alors il n'y en avait tout simplement pas, » ajoute le rapport.
(MAJ) Un pirate du nom de Comodohacker a revendiqué sur le site Pastbin le vol des certificats SSL de l'autorité de certification DigiNotar. L'identité du présumé pirate n'est pas inconnu car il s'agit de celui de l'affaire Comodo en mars dernier. Le pirate se définit comme un jeune iranien de 21 ans et justifie ses actes par des questions politiques. Pour les récents vols de certificats SSL, il souhaite punir le gouvernement hollandais dont les soldats ont laissé les soldats serbes à tuer 8 000 musulmans en 1995 à Sebrenica. Le hacker précise dans son message qu'il dispose d'autres accès aux comptes de 4 importantes autorités de certification et pourrait réémettre des faux certificats SSL.
Des pirates turcs détournent des sites web après un hack de DNS
Selon Zone-H, un site qui suit ce type d'évènements, 186 sites ont été redirigés vers une page contrôlée par « Turkguvenligi » sur laquelle on pouvait lire le message : « 4 septembre Nous, Turkguvenligi, déclarons ce jour comme journée mondiale des hackers - World Hack-ers Day - Amusez-vous bien;) h4ck y0u. » Tous les sites ont été enregistrés via NetNames, une entité du groupe NBT qui fournit des services DNS (Domain Name System), le système utilisé pour traduire les noms de domaine en adresse IP afin de les rendre accessibles aux navigateurs Internet.
Pour pirater les serveurs DNS de NetNames, le groupe Turkguvenligi a utilisé une méthode d'attaque par injection de commandes SQL. Celle-ci consiste à insérer des commandes dans un formulaire Web pour tester le comportement d'une base de données en back-end. Si les commandes injectées ne sont pas identifiées comme code malveillant par le serveur, l'attaquant sait qu'il peut accéder au système. Selon NetNames, le groupe Turkguvenligi a injecté un ordre de redélégation dans son système et a modifié l'adresse des serveurs DNS maîtres qui redistribuent les données vers les autres sites. L'attaque a eu lieu dimanche vers 9 h. « Le serveur de noms détourné a distribué des informations DNS incorrectes pour rediriger le trafic légitime des sites web de nos clients vers une page affichant le message de Turkguvenligi, » a indiqué NetNames dans sa déclaration. «Les modifications ont été rapidement annulées, les services normaux ont été rétablis pour les clients concernés, mais leurs comptes ont été désactivés afin de bloquer tout accès ultérieur aux systèmes. »
Une vraie démonstration technique
L'acte de piratage accompli par Turkguvenligi est plutôt audacieux. Si, en apparence, le but du groupe consistait juste à défigurer les sites d'entreprises connues pendant une courte durée, celui-ci aurait pu mettre en place de faux sites sosies pour tromper les utilisateurs en leur faisant croire qu'ils se trouvaient bien sur le site légitime de l'entreprise visitée, et éventuellement, voler leurs identifiants et mots de passe de connexion. D'après Zone-H, deux sites de la banque HSBC - l'un avec un code Top Level Domain le situant en Corée du Sud et l'autre au Canada - ont été la cible de cette attaque.
Parmi les autres sites figurent celui du journal The Telegraph, le site d'actualités technologiques The Register, Coca-Cola, Interpol, Adobe, Dell, plusieurs sites de Microsoft dans différents pays, Peugeot, l'Université Harvard et les entreprises de sécurité F-Secure, BitDefender et Secunia. Même le site de Gary McKinnon, le pirate supposé de la NASA, qui a fait appel de la demande d'extradition vers les États-Unis, a également été visé. Selon The Register, son site n'a pas été compromis et le service a été restauré trois heures environ après l'attaque. « À première vue, les pirates n'ont pas essayé de pénétrer dans nos systèmes, » a écrit Drew Cullen. « Mais par précaution, nous avons fermé l'accès et les services - en d'autres termes, toute connexion qui requiert un mot de passe. »
Une mesure de sécurité préventive pas très efficace
Depuis peu de temps, de nombreux bureaux d'enregistrement de noms de domaine ont commencé à déployer un DNSSEC, une mesure de sécurité qui doit les prémunir contre le détournement de DNS. Mais, selon Paul Mutton, analyste dans le domaine de la sécurité chez Netcraft, « cette mesure ne permet pas d'empêcher les attaques par injection de commandes SQL. » Le DNSSEC utilise une clef de cryptographie publique pour « signer » numériquement les données DNS pour les sites web. Il est plutôt conçu pour arrêter des attaques affectant le cache : dans le cas d'un serveur DNS compromis, l'utilisateur tape le vrai nom du site, mais il est redirigé à son insu vers un faux site. « Si un attaquant est capable de modifier les paramètres DNS détenus par un registrar, on peut supposer qu'il a également pu modifier d'autres paramètres, et par exemple désactiver le DNSSEC, ou tout simplement modifier les paramètres DNS pour pointer vers des serveurs de noms qui ne supportent pas le DNSSEC. »
Selon NetNames, les attaques subies par son système étaient « soutenues et concentrées. » « Nous allons continuer à améliorer nos systèmes afin de nous assurer que nous fournissons à nos clients un bon service, robuste, et surtout bien sécurisé», a ajouté le fournisseur.
(...)(05/09/2011 14:47:10)La CIA, le Mossad, et le MI6 visés par des hackers iraniens
La cyber-attaque menée contre DigiNotar, filiale néerlandaise de Vasco Data Security International, est donc beaucoup plus grave qu'on ne le pensait. Le piratage du réseau et de l'infrastructure de DigiNotar, en juillet dernier, a permis aux hackers d'avoir accès à plusieurs données de certifications de DigiNotar. Une fois introduits dans ses systèmes, les pirates sont parvenus à générer des centaines de faux certificats pour des domaines tiers. Avec ces certificats, les pirates peuvent potentiellement siphonner les informations de connexion d'un utilisateur en usurpant le site légitime, complet, mais dont le contrôle est assuré par les faux certificats SSL portant la signature de DigiNotar.
De tels certificats ont été émis pour les domaines de l'Agence centrale de renseignement américaine, celui du Mossad israélien et du MI6, les services secrets britanniques. Par ailleurs, il est apparu que les pirates avaient aussi créé de faux certificats pour des autorités de certifications comme VeriSign et Thawte, spécialisés dans la sécurisation des communications Internet, afin de porter atteinte à la réputation de leurs services.
De nombreux faux certificats émis
Une première liste des domaines pour lesquels ont été émis de faux certificats a été publiée samedi par Gervase Markham, développeur chez Mozilla. Des sources proches de l'enquête sur le piratage de DigiNotar ont confirmé à Webwereld que cette liste était authentique. Adam Langley, ingénieur pour Chrome, a également confirmé à Webwereld que Google disposait d'une liste identique. La télévision publique hollandaise NOS a également publié la liste de plus de cinquante domaines pour lesquels de faux certificats avaient été émis. Parmi eux, on trouve Google, Yahoo, Microsoft et Skype, et de nombreux sites très visités par les dissidents iraniens. NOS signale mêmes que les pirates ont créé de faux certificats comportant des messages faisant l'éloge de la Garde révolutionnaire iranienne. On ne sait pas encore quelle quantité de logins les pirates ont réussi à récolter pour espionner les mails et les messages de chat. La plupart des certificats sont périmés ou ont été révoqués après la découverte de l'intrusion par DigiNotar, mi-juillet.
Chris Soghoian, chercheur en sécurité et spécialiste de la confidentialité des données à l'Indiana University et Graduate Fellow au Center for Applied Cybersecurity Research, a déclaré que la liste représentait un « ensemble très intéressant de sites. » Cependant, celui-ci doute que les pirates aient pu pénétrer les réseaux des agences d'espionnage avec leurs faux certificats. « Les domaines des services secrets présentent peu de risque. L'attaque est originale. Elle va probablement susciter beaucoup d'interrogations et capter l'intérêt des agences gouvernementales. Bien sûr, personne n'aime être pris au dépourvu. Mais il n'y a vraiment pas d'informations classées dans ces domaines. Ils sont séparés des réseaux internes. Donc, en pratique, l'intérêt pour le gouvernement iranien d'avoir pu obtenir un certificat pour la CIA est nul. C'est juste très embarrassant, » a t-il déclaré dans une interview à Webwereld.
[[page]]
Pourtant, le hack de DigiNotar n'est pas sans conséquence. « Ce qui est préoccupant, c'est que les pirates ont émis de faux certificats pour d'autres agences de certification, comme VeriSign et Thawte. Mais le plus problématique concerne des sites comme Google et Facebook, ou encore Walla, l'un des plus grands fournisseurs de service de messagerie en Israël. Grâce à ces faux certificats SSL, le régime iranien pourrait siphonner les comptes et les communications en ligne d'un nombre très élevé de personnes, » a encore expliqué Chris Soghoian. Google a déjà mis à jour son navigateur Chrome pour qu'il bloque l'accès à tout site utilisant un certificat DigiNotar. Et Mozilla et Microsoft devraient publier prochainement des correctifs pour leurs navigateurs. Dans un tweet récent, l'équipe Microsoft Security Response a écrit : « Nous classons tous les certificats de DigiNotar dans l'Untrusted Root Store de manière à refuser l'accès à tout site web utilisant les CAs de ce certificateur. » Cela signifie notamment que des centaines de sites du gouvernement néerlandais seront inaccessibles dans les prochains jours si les agences ne basculent pas vers un autre système de certification d'ici là.
La semaine dernière, l'entreprise de sécurité néerlandaise Fox-IT, a analysé dans le détail le piratage de DigiNotar. Les résultats préliminaires ont incité le gouvernement de La Haye à passer en mode alerte : celui-ci a décidé l'arrêt immédiat de tous les services DigiNotar, et a pris en charge la gestion opérationnelle de l'Autorité de Certification de DigiNotar. Le rapport de Fox-IT devrait être envoyé au Parlement et rendu public aujourd'hui. DigiNotar n'a pas répondu à une demande de commentaire à ce sujet.
(...)(31/08/2011 11:57:00)Google, pas la seule victime du hack de certificats SSL
Les certificats SSL (Secure Sockets Layer) et EVSSL (Extended Validation) créés par DigiNotar, sont reconnus par les navigateurs Internet et ont pour fonction de vérifier que les internautes se trouvent bien sur le site qu'ils pensent visiter. L'entreprise hollandaise est une autorité de certification (CA), c'est à dire qu'elle vend des certificats numériques pour les propriétaires de sites web légitimes. Mais DigiNotar a émis, à son insu, un certificat numérique pour le domaine google.com, une erreur qui pourrait permettre à un attaquant doué d'intercepter les mails d'un utilisateur. Lundi, Google a fait savoir que le certificat frauduleux avait été utilisé pour cibler des internautes en Iran. Mais le géant de l'internet a précisé qu'une fonctionnalité de sécurité, implémentée dans son navigateur Chrome, permettait de détecter le certificat et d'avertir les utilisateurs.
DigiNotar, filiale de l'entreprise de sécurité Vasco Data Security International, a fait savoir qu'un audit effectué le 19 juillet lui a permis de découvrir que son infrastructure chargée d'émettre les certificats, avait été compromise. Hier, en fin d'après-midi, Jochem Binst, responsable de la communication de Vasco, a déclaré dans une interview que les pirates avaient créé de faux certificats pour « plusieurs dizaines » de sites web, affirmant que la plupart avait été annulé. « Mais le certificat numérique pour google.com - émis le 10 Juillet - n'a été activé que dimanche, » a déclaré Jochem Binst. C'est la Dutch Computer Emergency Response Team qui a informé Vasco que ce certificat n'avait pas encore été révoqué. « DigiNotar a annulé le certificat, lundi, » a déclaré le responsable de la communication de Vasco.
Interrogations sur le modus operandi et révocation
On ne sait pas comment les pirates ont réussi à s'introduire dans l'infrastructure utilisée par DigiNotar pour émettre les certificats, ni combien de temps a duré l'intrusion, mais une vérification est en cours. « Nous effectuons actuellement des vérifications supplémentaires et nous pourrons formuler nos conclusions, probablement d'ici la fin de la semaine, » a déclaré Jochem Binst. « Jusqu'à la fin de l'enquête, DigiNotar ne vendra pas de nouveaux certificats numériques, » a ajouté le directeur de la communication. Les clients de DigiNotar sont essentiellement des entreprises hollandaises. Celles-ci risquent d'avoir quelques coups durs dans les jours à venir : Google, Mozilla et Microsoft ont révoqué ou sont en train de retirer à DigiNotar son autorité de certification. Cela signifie que les personnes qui visiteront des sites utilisant les certificats de DigiNotar verront probablement apparaître un avertissement informant que le site n'est pas fiable et qu'il ne devrait pas être consulté.
Jochem Binst a indiqué que DigiNotar en avait informé ses clients. Une solution pour régler le problème consisterait à remplacer les certificats de ces sites internet par des certificats émis par le gouvernement néerlandais. Mais celui-ci n'a pas précisé qui pourrait procéder à un tel échange. Une autre option consisterait à contacter les éditeurs des principaux navigateurs internet et de leur demander d'effectuer des modifications techniques pour continuer à honorer les certificats de DigiNotar.
Jochem Binst n'a pas pu dire, à combien de clients, DigiNotar vendait ses certificats numériques. Mais selon la déclaration faite par Vasco, sur les six premiers mois de l'année, les revenus de sa filiale relatifs à son activité de certification s'élevaient à moins de 100 000 euros.
Une obligation de révéler les fuites de données personnelles pour les opérateurs
Le Journal Officiel a récemment publié l'ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques. De valeur législative mais prise par le gouvernement, cette ordonnance transpose des dispositions de plusieurs directives européennes dans le droit français. Elle renforce notablement les obligations de sécurité des opérateurs et des fournisseurs de services. Elle institue notamment une obligation de notification à la CNIL ou aux intéressés des fuites ou pertes de données personnelles.
Les premiers articles de l'ordonnance, ainsi que son titre II, sont relatifs à la régulation du marché des télécommunications. On y trouve notamment des dispositions sur de nouvelles obligations des opérateurs ou pour préciser celles existantes, comme l'accès aux infrastructures de tiers (article 9 notamment) ou les cessions significatives d'infrastructures. Rien, cependant, n'est ici révolutionnaire, à une exception près. En effet, le ministre en charge du secteur peut désormais imposer des audits de sécurité chez les opérateurs (article 6, modifiant les articles L 33-9 et L 33-10 du Code des Postes et Communications Electroniques, le CPCE). Dans le même esprit, l'article 16 permet à l'ARCEP d'imposer des niveaux de service minimums aux opérateurs.
Obligation de révéler les fuites de données personnelles
Le deuxième chapitre de l'ordonnance modifie des dispositions relatives aux contrats entre des fournisseurs de services de télécommunications (notamment d'accès à Internet) et les consommateurs. Il précise les modalités contractuelles sans remise en cause fondamentale. Le chapitre trois précise les dispositions relatives à la protection des données personnelles.
C'est à ce niveau, à l'article 39, qu'est instituée une obligation de notifier une « violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé ». L'absence de cette notification est punie de 300 000 euros d'amende et 5 ans de prison. Elle ne concerne cependant que les fournisseurs de services de communications électroniques.
La répression du piratage est également accrue. Le titre III renforce ainsi les sanctions concernant la commercialisation d'appareils servant à pirater les communications électroniques. Le titre IV facilite, quant à lui, le travail des autorités judiciaires et policières face aux opérateurs.
Un certificat SSL volé vise Google
Un chercheur en sécurité a indiqué qu'un certificat d'authentification pour les sites Google a été volé et probablement utilisé. Des pirates peuvent utiliser ce certificat pour conduire des attaques de type « man-in-the-middle » ciblant les utilisateurs de Gmail, le moteur de recherche de Google ou tout autre service exploité par la firme de Mountain View. « C'est un carton d'invitation pour tous les sites de Google », résume Roel Schouwenberg, chercheur sur les malware chez Kaspersky Lab. «[Les attaquants] pourrait utiliser un empoisonnement du cache DNS, intégrer un faux site via le certificat et bingo, ils obtiennent l'identification de l'utilisateur », a déclaré Andrew Storms, directeur des opérations de sécurité chez nCircle Security.
Les attaques « Man in the middle » pourraient également être lancées au moyen de spam avec des liens menant sur un site qui ressemble au vrai Gmail. En surfant sur ce lien, les internautes s'exposent à voir leur identifiant de connexion et leur mot de passe détournés. Les détails sur le certificat en question ont été affichés sur Pastebin.com samedi dernier. Pastebin.com est un site public, où les développeurs - y compris les pirates - publient des exemples de code source.
Selon Roel Schouwenberg, le certificat SSL (secure socket layer) est valide, et a été émis par DigiNotar, une entreprise de certification néerlandaise. DigiNotar a été acquise au début de l'année par la société Vasco, basée à Chicago et qui se présente sur son site comme «un leader mondial dans l'authentification forte. ». Vasco n'a pas répondu à une demande de commentaires.
Le chercheur en sécurité et développeur Jacob Applebaum a confirmé lui aussi que le certificat était valide dans une réponse par courriel aux questions de nos confrères de Computerworld, tout comme Moxie Marlinspike chercheur sur SSL qui a posté sur Twitter « Oui, juste vérifié la signature, que pastebin. Le certificat google.com est réel.
Un Etat derrière ce vol ?
On ignore si le certificat a été obtenu en raison d'un manque de vigilance de DigiNotar ou par un vol du certificat lors de l'attribution du certificat à un site. Roel Schouwenberg a demandé à DigiNotar de fournir rapidement de plus amples informations. « Compte tenu des liens avec le gouvernement et les secteurs financiers, il est extrêmement important que nous trouvions très rapidement les raisons de ce vol », a déclaré le chercheur.
La situation n'était pas sans rappeler l'épisode révélée en mars dernier. Un pirate avait obtenu des certificats pour certains des plus grands sites du web, dont Google et Gmail, Microsoft, Skype et Yahoo. Comodo, société de certification avait déclaré que neuf certificats avaient été frauduleusement émis. Comodo avait initialement suspecté le gouvernement iranien, mais quelques jours plus tard, un jeune hacker iranienne avait revendiqué le vol des certificats.
Aujourd'hui, Roel Schouwenberg pense que « l'implication d'un Etat est l'explication la plus plausible » pour l'acquisition du certificat délivré par DigiNotar. Il précise « la première raison concerne le type d'informations visées, les utilisateurs Google, cela s'apparente à une opération de renseignement. Deuxièmement, ces attaques ne fonctionnent que lorsque le pirate a un certain contrôle sur le réseau, mais pas sur la machine ».
Le certificat google.com n'a pas encore été révoqué par DigiNotar, même si il a été émis le 10 juillet. En mars dernier lors de l'affaire Comodo, les principaux éditeurs de navigateur web, Google, Microsoft et Mozilla, ont très rapidement mis à jour leur produit pour ajouter les certificats volées dans leur liste noire. Andrew Storm dit s'attendre à ce que Google Chrome soit rapidement mis à jour, et que Microsoft, Mozilla et d'autres feront de même prochainement. Google a averti les utilisateurs des risques et a indiqué dans un message que le cibles visées seraient a priori des abonnés iranien.
Illustration: preuve du certificat sur pastbin
Crédit Photo: D.R
(...)(25/08/2011 11:44:38)Ramnit, une version hybride de Zeus, repérée par une entreprise de sécurité
Des chercheurs ont la preuve que l'infâme cheval de Troie Zeus, spécialisé dans le vol de données de connexion bancaires - identifiant et mot de passe - a été cloné avec le ver Ramnit afin de créer un malware hybride capable de s'attaquer aux comptes bancaires en ligne et de se propager à travers les réseaux. Ainsi, l'entreprise de sécurité Trusteer affirme avoir découvert récemment une version mutante de Ramnit qui, semble-t-il, utilise un module d'injection Web, selon la technique dite Man-in-the-Browser (MitB) pour tromper les clients des institutions bancaires.
Sur un ordinateur infecté, le code malicieux se déclenche quand l¹internaute se connecte à sa banque en ligne. Celui-ci récupère alors les informations (identifiant et mot de passe) entrées par le client sur la vraie page web de sa banque, en interceptant le code HTML dans le navigateur web de l'utilisateur. Il envoie ensuite ces données vers un site ftp où le cyber criminel conserve les logins. Il pourra les revendre au plus offrant sur des sites d'échanges entre cyber criminels. Cette technique sort tout droit de SpyEye, le mode d'emploi de Zeus. Trusteer ne peut pas encore dire si le code source du logiciel malveillant vient de Zeus, mais l'entreprise de sécurité est convaincue qu'il y a désormais suffisamment de preuves pour dire que c'est en effet le cas.
On soupçonne que le code source de Zeus a été largement diffusé dans les milieux criminels depuis le mois de mai dernier, suite à une fuite dont l'origine n'a pu être identifiée. Les observateurs du secteur sont, depuis, à l'affût de nouveaux malwares intégrant certaines caractéristiques de Zeus, des signatures souvent très spécifiques et en général les plus dangereuses. Trusteer est convaincu que la variante Ramnit en est une première émanation. Ramnit est lui-même un ver banal, et les raisons pour lesquelles les criminels voudraient le combiner avec Zeus sont encore sujettes à interrogation. Mais, pour Trusteer, Zeus pourrait profiter des capacités de propagation de Ramnit. « Zeus ne possède pas son propre mécanisme de propagation », a déclaré Amit Klein, le CTO Trusteer. « L'auteur pourrait vouloir propager son malware dans les réseaux », a-t-il expliqué, notant que le malware hybride avait la possibilité de diffuser les données volées par Zeus à travers les réseaux, une nouvelle capacité potentiellement puissante.
D'autres versions basées sur Zeus
« S'il s'avère que le malware incorpore bien Zeus, il faut s'attendre à voir surgir dans les prochains mois d'autres logiciels malveillants construits sur une structure identique, » a-t-il ajouté. « Ramnit a été repéré dans plusieurs régions du monde, notamment au Royaume-Uni et aux États-Unis. Il s'y porte bien, » a déclaré Amit Klein, confirmant qu'un nombre inconnu, mais important, de PC infectés avait été repéré dans ces pays. Ces conclusions viennent sans doute de l'analyse de logs des serveurs de commande et de contrôle du malware basés en Allemagne.
Le comportement du nouveau Ramnit est certainement compatible avec Zeus, qui s'en prend généralement à différent sites bancaires, en particulier dans des pays où la banque en ligne est bien établie, comme c'est le cas au Royaume-Uni et aux États-Unis. « Jusque là, les institutions financières devaient se protéger contre un nombre limité de malware. Mais les attaques peuvent désormais provenir de pratiquement n'importe quel programme malveillant, ancien ou récent. Le canal utilisé par les fraudeurs pour diffuser des malwares s'est élargi de manière très significative. »
On peut trouver une analyse plus complète du nouveau malware et ses liens avec Zeus sur le site Web de Trusteer. La nouvelle version est détectée - parfois oui, parfois non - par les mêmes logiciels antivirus qui repéraient les anciennes versions de Zeus, ce qui revient à dire que, seuls certains le détectent.
(...)| < Les 10 documents précédents | Les 10 documents suivants > |