Flux RSS

Inscrivez-vous

Le collectif Anonymous publie des mails compromettants pour Bank of America

Le groupe d'activistes en ligne connu sous le nom "Anonymous" a publié une série d' e-mails compromettants  concernant l'établissement financier Bank of America. Ces documents auraient été dérobés par un ancien employé de la compagnie Balboa Insurance qui gérait, depuis 7 ans, des prêts et des assurances liés aux achats de véhicules. Cette division de la Countrywide Financial, rachetée en 2008 par Bank Of America a depuis été vendue au groupe australien QBE Insurance Group. Selon l'ancien employé de Balboa, la société aurait dissimulé des informations qu'elle aurait dû transmettre aux auditeurs fédéraux américains et également à Aurora Loan Services, une société de prêt hypothécaire, filiale de l'ancienne banque d'investissement Lehman Brothers. L'informateur allègue également que les dossiers relatifs aux prêts auraient été falsifiés en vue de procéder à des saisies. En attendant, les dirigeants de Bank of America n'ont pu être joints et n'ont donc pas été en mesure de commenter ces informations.  Le collectif Anonymous n'en est pas à son premier coup d'essai. Le groupe a mené une série d'attaques contre des sites considérés peu sympathiques comme  l'Eglise de Scientologie ou la société de collecte de droits d'auteurs BMI,  et plus récemment contre les sites interdisant Wikileaks.

Des pages en cache accessibles via Google

Les documents, qui se composent d'une série d'e-mails ainsi que d'échanges entre Anonymous et son indicateur, ont été publiés sur www.bankofamericasuck.com. mais entre-temps, le site est devenu inaccessible. Toutefois, les pages en cache sont toujours disponibles sur Google. Une capture d'écran du site a été prise vers 18 heures. Le nom de domaine, qui a été enregistré en décembre dernier par la société GoDaddy, aurait été réalisé par un certain James Jophan en Californie. Reste que les numéros de téléphones y figurant ne fonctionnent pas, ce qui arrive assez fréquemment. Bien que bankofamericasuck.com soit hors ligne, l'affaire a été largement relayée par d'autres sites et diffusée sur des plates-formes communautaires telles que Twitter.

(...)

Microsoft corrige un bug Windows critique sans toucher à IE

Microsoft a qualifié ce Patch Tuesday de « promenade » pour les utilisateurs. « C'est un mois favorable, » a ainsi déclaré Jerry Bryant, group manager du Microsoft Security Response Center (MSRC) l'entité chargée de pister, de corriger et de livrer les correctifs pour les produits Microsoft.

L'éditeur a aussi pris pour habitude de livrer moins de correctifs les mois impairs. En janvier, par exemple, seules trois vulnérabilités ont été patchées, alors que le mois dernier la mise à jour mensuelle corrigeait 22 vulnérabilités. Une seule des trois mises à jour, le « bulletin » MS11-015, a été jugée «critique», soit le niveau de menace le plus élevé dans le classement de l'éditeur, et les deux autres d'« importantes », soit au second rang de cette classification. Le bulletin critique corrige deux vulnérabilités, dont une dans les composants de Windows Media Center et de Windows Media Player que l'on trouve dans la plupart des versions de Windows. « Celle-ci nous inquiète particulièrement » a déclaré Wolfgang Kandek, CTO de Qualys. La faille se trouve dans les fichiers d'enregistrement vidéo numériques (DVR-MS), créés par le moteur Stream Buffer Engine (SBE) et portant l'extension de fichier .dvr.ms. « C'est un bug lié au navigateur et au site visité, » a déclaré Jerry Bryant, pour expliquer que les attaquants devaient amener les utilisateurs à visiter un site malveillant pour exploiter la vulnérabilité. Selon Andrew Storms, directeur des opérations de sécurité chez nCircle Security, « c'est un drive-by bug, ». « Il existe deux méthodes pour l'exploiter, la première dans un IFRAME, c'est le drive-by classique. L'autre méthode consiste à envoyer un fichier en pièce jointe par mail : les utilisateurs doivent l'ouvrir pour en voir le contenu, car il ne génère pas de preview dans le client mail. » Toutes les éditions de Windows, que ce soit Windows XP, Vista et 7, sont vulnérables tant que ce correctif n'est pas appliqué. « Seule exception : Windows XP Home Edition, qui ne prend pas en charge le codec malveillant, » a déclaré Angela Gunn, senior communications manager du MSRC.

Une vulnérabilité récurrente

La seconde vulnérabilité MS11-015, et les deux autres failles décrites dans les bulletins MS11-016 et MS11-017, concernent le détournement de DLL, parfois appelé bug « binaire entrainant le plantage de la machine. » En août dernier, les chercheurs avaient déjà révélé des problèmes conséquents de détournement de DLL dans Windows, mais aussi dans un grand nombre d'applications de tierce-partie. Microsoft avait commencé à corriger ce problème de DLL dans ses propres programmes en novembre dernier. En décembre, Jerry Bryant avait déclaré que Microsoft pensait avoir résolu tous les problèmes relatifs à cette question. Mais en janvier et février, l'éditeur a fourni des correctifs supplémentaires pour corriger ce problème. « Nos investigations se poursuivent, » a déclaré hier le group manager. « Même si nous pensons avoir identifié tous les problèmes de détournement de DLL dans IE, nous continuons à examiner les autres produits de notre gamme. »

Wolfgang Kandek et Andrew Storm estiment quant à eux que Microsoft continuera à produire des correctifs pour régler le problème du détournement de DLL pendant encore un certain temps. « Cela va durer, non seulement pour les produits de Microsoft, mais aussi pour les produits tiers, » a ainsi déclaré Wolfgang Kandek. Suite à l'alerte diffusée en août, Microsoft avait sorti en urgence un outil pour bloquer les attaques potentielles. Mais les pirates n'ont pas utilisé la technique pour attaquer les ordinateurs sous Windows, ou s'ils ont essayé, leurs tentatives n'ont pas été détectées. Pour Andrew Storm, ce n'est pas une surprise. « Ces failles sont très difficiles à exploiter,» a t-il affirmé. « L'an dernier, cela avait effrayé tout le monde, mais il s'est avéré que le détournement de DLL n'était pas si facile à exploiter. Pour que l'exploit soit efficace, il faut que l'utilisateur se rende sur le site malveillant, ouvre un fichier, que l'attaquant introduise le DLL malveillant et substitue un fichier infecté. Cela représente un certain nombre d'étapes. »  HD Moore, directeur de la sécurité chef Rapid7 et créateur de la boîte à outil Open Source de piratage Metasploit, a rappelé aujourd'hui aux entreprises qu'elles pouvaient rendre les attaques de détournement de DLL plus difficiles encore : en désactivant le service client WebDAV sur tous les ordinateur sous Windows, et en bloquant les ports sortants 139 et 445. L'an dernier, le responsable de Rapid7 avait été l'un des premiers à révéler la nature de cette nouvelle menace.

Pas de modification d'IE avant le Pwn2Own

Cela n'a pas incité Microsoft à corriger IE avant le Pwn2Own qui démarre aujourd'hui. La conférence du hacking, qui met chaque année des chercheurs en sécurité au défi de casser les sécurité des navigateurs internet, Internet Explorer de Microsoft, Safari d'Apple, Chrome de Google et Firefox de Mozilla, se passe en même temps que la conférence sur la sécurité CanSecWest qui se tient à Vancouver du 9 au 11 mars. Le premier chercheur qui réussira à pirater IE, Safari ou Firefox recevra un prix de 15.000 dollars. Et 20.000 dollars s'il parvient à craquer Chrome. Pour Jerry Bryant, il était inutile de perturber les utilisateurs avec une mise à jour de sécurité uniquement pour donner plus de chance à IE de passer l'épreuve du Pwn2Own. « Le concours n'est pas une raison suffisante pour perturber nos clients, » a ainsi déclaré le responsable du MSRC. « Le fait de sortir de notre calendrier de mise à jour est un motif de rupture potentiel, et nous n'avons pas de raison de prendre une telle décision aujourd'hui, sauf s'il était avéré que la vulnérabilité était utilisée de manière active par des attaquants. »

La réponse de Microsoft à propos du patch éventuel d'IE avant le Pwn2Own n'est pas une surprise : les mises à jour d'IE sont réservées aux mois pairs, et le dernier patch du navigateur date du 8 février. « Dans tous les cas, » a ajouté Jerry Bryant, « il n'y a pas de risque à ce que les failles éventuellement découvertes pendant le concours Pwn2Own ne s'échappent dans la nature, puisqu'il est entendu que les bugs sont d'abord signalés aux vendeurs. » C'est le programme Zero Day Initiative (ZDI) initié par HP TippingPoint, qui sponsorise le concours Pwn2Own, paye la majorité des prix en argent comptant, en contrepartie des droits sur les bugs exploités au concours, qu'il revend aux éditeurs. Après quoi, le ZDI accorde six mois aux développeurs pour corriger ces bugs avant de rendre ses informations publiques. C'est ainsi que Google et Mozilla ont récemment patché leur navigateur - Google a même livré une nouvelle mise à jour hier - et Apple devait mettre à jour Safari avant le début du concours Pwn2Own.

Les mises à jour de sécurité de Microsoft peuvent être téléchargées et installées en utilisant les services Microsoft Update et Windows Update, et Windows Server Update (WSUS) pour la version serveur.

BlackBerry Protect Bêta propose un MobileMe gratuit

RIM est un peu en retard sur son agenda de développement. Elle avait en effet annoncé cette version bêta en juillet dernier, qui devait être généralisée à la fin 2010. Les possesseurs de BlackBerry qui ne se connectent pas via un BlackBerry Entreprise Server peuvent utiliser cette solution. S'ils perdent leur téléphone, ils peuvent localiser leur terminal sur  le portail BlackBerry Protect. Il peut alors le verrouiller à distance et afficher un message sur l'écran d'accueil pour indiquer des coordonnées pour le renvoyer ou le rapporter. La sauvegarde à distance des données sur le téléphone est aussi disponible ainsi qu'effacer ces informations stockées dans l'appareil et sur la carte MicroSD. Si le smartphone est très probablement égaré dans un environnement proche, l'utilisateur peut activer à distance une sonnerie forte, même quand le téléphone est en mode silencieux. Les clients intéressés par ce service peuvent installer l'application depuis le BlackBerry App World Center Test. Elle est gratuite.

Incompatibilité avec BES

Suite à un article de blog annonçant l'open beta, quelques personnes ont écrit sur leurs déception de ne pas rendre ce service accessible pour ceux qui se connectent via le serveur BlackBerry Enterprise (BES). Utilisé par les entreprises, le BES permet aux administrateurs d'appliquer des politiques de sécurité et de performance, y compris des fonctions d'effacement à distance. RIM n'a pas répondu sur ce sujet.

Par ailleurs, cette solution est pour l'instant disponible aux Etats-Unis et en Amérique Latine. Elle devrait arriver très prochainement en Europe et pourquoi pas en langue Française. Cette solution s'apparente au service MobileMe proposé par Apple, mais celui-ci est payant. Un autre moyen de jouer la carte de la différence.
(...)

Pékin veut suivre ses habitants en traçant leurs mobiles

L'annonce de ce projet de tracking mobile en Chine a été faite cette semaine via un article publié sur un site web du gouvernement (http://www.gov.cn/gzdt/2011-03/02/content_1814543.htm). Le système fonctionnerait en traçant les déplacements des 17 millions de résidents de la ville actuellement abonnés auprès de l'opérateur de télécommunications China Mobile. Dès que ces utilisateurs mettront en marche leur téléphone, le système pourra connaître leur localisation et savoir dans quelle direction ils se dirigent. Le projet vise à résoudre les problèmes liés à l'augmentation croissante du trafic: il y a parfois d'énormes perturbations sur les routes, certaines ayant pu durer jusqu'à neuf jours.Sauf que la Chine n'a pas très bonne réputation sur la manière dont elle utilise la technologie pour écraser la dissidence. Le gouvernement a ainsi piraté les comptes emails de militants des droits de l'homme et lancé des cyber-attaques contre des sites Internet appelant à des manifestations de protestation.

Le nouveau système voudrait utiliser les téléphones mobiles pour réguler le trafic dans différents secteurs de la ville, et voir en même temps comment les habitants de Pékin utilisent les transports, métro et autobus. Le communiqué ne donne pas de détails sur la manière dont le système fonctionnera, et indique seulement qu'il a reçu l'approbation des experts techniques quant à sa faisabilité. Selon cet article, les utilisateurs seront en mesure de s'inscrire et de recevoir des informations du système. Mais il est difficile de savoir si les résidents de Pékin auront la possibilité de se désabonner du tracking pour protéger leur vie privée. La commission Science et Technologie de Pékin, à l'origine du projet, n'a pu être jointe pour avis par notre correspondant sur place, Michael Kan d'IDG News Service. Même si le gouvernement chinois entend bien utiliser ces données pour mieux gérer la circulation, « à chaque fois que ce type d'information est collecté, le risque potentiel que ces données soient détournées de leur usage existe, » a déclaré Mark Natkin, directeur général de Marbridge Consulting, une entreprise de conseil basée à Pékin.

Une volonté de mieux surveiller la téléphonie mobile

Ce n'est pas la première fois que la Chine envisage de recueillir des données sur les utilisateurs à partir de leur téléphone mobile. L'année dernière, le gouvernement a déjà exigé des abonnés qu'ils utilisent leur véritable identité pour se connecter à leurs comptes de téléphonie mobile. La Chine compte plus de 850 millions d'utilisateurs de téléphone mobile, et un grand nombre d'entre eux utilisent une identité différente de celle figurant sur leurs documents officiels. Selon les experts, ces mesures pourraient faire partie d'une opération menée par le gouvernement chinois pour réduire l'anonymat dans la population. « Ce système pour suivre les déplacements de la population à Pékin pourrait aussi permettre de surveiller certaines personnes, » a ajouté Mark Natkin. « Les lois américaines et européennes pourraient considérer que ce projet constitue une violation de la vie privée, mais pas nécessairement ici, en Chine, » a-t-il ajouté.

Tout le monde ne voit pas ce système de tracking d'un mauvais oeil. « Il semble que le projet va observer ce qui se passe à une grande échelle. La quantité des données récoltées sera tellement importante, que je ne pense pas qu'il puisse y avoir une incidence sur la vie privée des personnes, » a déclaré Zhao Wei, patron de l'entreprise de sécurité chinoise Knownsec. « Je crois par contre que le système sera efficace pour résoudre certains problèmes de circulation, » conclut-il.

Des applications Android infectées par des malwares

L'ensemble de ces applications provient de trois éditeurs douteux, qui sous un aspect commercial classique contiennent un code appelé « DroidDream ». Celui-ci est capable d'exporter des données  contenues dans le terminal, selon un article du blog de Lookout Mobile Security . La firme fournit une liste des applications concernées, dont beaucoup sont relatives à des contenus pour adultes,  « Ringtones Super Sexy » et « Screaming Sexy Japanese Girls ». Certaines de ces applications semblent identiques à ceux d'origine, mais le nom des  éditeurs est différent « Kingmall2010», «we20090202 » et « Myournet ». « Je viens par hasard de tomber sur une application, où le nom de l'éditeur n'est pas celui qui est sensé être » écrit un certain Lompolo sur le site Reddit à l'origine des interrogations de Lookout.

Lompolo écrit que deux des applications analysées contenaient une faille appelée « rageagainstthecage ». Une chaîne de caractère présente même la signature « CVE-2010-EASY Android local root exploit (C) 2010 by 743C ». A l'aide de cette brèche, les smartphones sont  infectés par DroidDream, malware qui transmet des informations comme le code IMEI (référence du téléphone) ainsi que l'IMSI (numéro international de l'abonné). Ces données qui sont intégrées à la carte SIM du mobile sont alors transférées à un serveur distant, situé à Fremont, en Californie, selon Lompolo. Le site Android Police va même plus loin en indiquant que DroidDream a un accès au niveau de la racine du téléphone. Cela signifie que potentiellement, il peut voler toutes les données sur le téléphone mais également installer d'autres logiciels malveillants.

Google enquête mais peine à contrôler

L'éditeur a apparemment commencé à retirer quelques applications suspectes de sa boutique. Il est également possible pour l'éditeur de Mountain View de supprimer à distance des applications Android installé sur les smartphones, mais Lookout indique «ce système n'a pas encore été mis en oeuvre pour les applications incriminées, car elles font l'objet d'une enquête » . Google n'a pas souhaité faire de commentaires sur le sujet.

Plusieurs applications malveillantes ont été découvertes récemment pour les applications Android, particulièrement destiné aux utilisateurs de langue chinoise. Le mois dernier, Lookout a dit qu'il avait constaté que des jeux mobiles tels que Monkey Jump sont illégalement copiés et reconditionné avec un code conçu pour dérober des informations personnelles ou accomplir d'autres actions.  En décembre dernier, la même société de sécurité avait trouvé un morceau de malware Android appelé « Geinimi » qui contenait des fonctions similaires à un botnet. Plusieurs variantes de ce code sont apparues depuis.

Un décret encadre enfin les obligations d'authentification des internautes

L'Europe alerte sur les cookies trop intrusifs

L'Agence européenne chargée de la cyber sécurité (Enisa) présente un rapport sur les utilisations abusives de récents cookies Internet capables de dresser le profil et la localisation de l'utilisateur à des fins publicitaires, cela en toute opacité.

L'agence explore plusieurs voies pour prémunir les internautes européens face à une éventuelle intrusion dans leur vie privée. Parmi elles figurent la nécessité d'obtenir le consentement de l'utilisateur ainsi que la possibilité de gérer ces cookies aisément. La limitation ou l'interdiction du stockage de ceux-ci hors du navigateur est prônée comme le besoin de proposer une alternative aux internautes en cas de refus de cookies.

Plusieurs sociétés dont la fondation Mozilla, Google et plus récemment Microsoft travaille sur une technologie Do not Track, une option pour les internautes qui ne souhaitent pas que les sites visités n'utilisent certaines données pour de la publicité comportementale.

L'Enisa recommande une étude approfondie de ce phénomène encore difficilement quantifiable au sein des Etats membres de l'Union européenne d'ici au 25 mai.

La destruction de fichiers sur les disques SSD problématique

Les chercheurs ont notamment mis en évidence une série de problèmes quant il s'agit de détruire des données de manière sécurisée, que ce soit l'effacement d'un disque SSD dans son ensemble ou la suppression de fichiers individuels inscrits sur ce type de disque. En premier lieu, ils font état de problèmes liés à la façon dont certains firmware de disque mettent en oeuvre les commandes ATA/SCSI pour effectuer la fonction d'effacement. Ceux-ci ont constaté que, parmi les douze disques SSD analysés, seuls quatre d'entre eux avaient complétement effacé l'empreinte utilisée pour le test. Parmi les huit disques restant, quatre ne prenaient pas en charge la fonction d'effacement des données, trois d'entre eux étant des disques amovibles USB, et l'un, crypté, n'a pu être vérifié. Trois autres disques n'ont pas permis d'aboutir : deux à cause de bugs dans le firmware, et le troisième indiquait que les données avaient été correctement effacées alors qu'elles étaient intactes et encore accessibles sur le disque.

Les résultats obtenus pour l'effacement d'un seul fichier sur un disque SSD à partir d'une série de protocoles standards de destruction ont été encore plus mauvais. Ainsi, il s'est avéré que 4 à 75% des données restaient récupérables. Dans le genre, les clés USB font piètre figure, avec un taux d'accès aux données « effacées » de 0,57% à 84,9%. L'équipe a même essayé de démagnétiser les disques avec un matériel recommandé par la NSA, pour confirmer que cette technique ne fonctionnait pas sur les disques à mémoire flash.

Une erreur d'emplacement

Le coeur du problème est que, contrairement aux supports magnétiques, les disques SSD enregistrent les données dans des pages physiques, mais effacent les blocs logiques d'adresses (LBA). Ce processus, géré par une couche appelée Flash Translation Layer (FTL), trompe le driver du contrôleur ATA ou SCSI, qui confond entre l'endroit où se trouvent les données et celui où elles résident physiquement. Le disque compense en recopiant les données et c'est cette copie qui laisse des traces qui ne sont pas effacées. « Ces différences de comportement réel entre les disques durs magnétiques et les disques SSD présentent un risque dans la mesure où il ne se produit pas la même chose et que, dans un cas, la demande de l'utilisateur n'est pas satisfaite, » disent les chercheurs. « Le propriétaire d'un disque SSD qui applique une méthode de destruction de données propres aux disques durs pense, à tort, que ses données seront irrécupérables. En réalité, les données demeurent sur le disque et il est possible de les récupérer sans avoir recours à des outils très sophistiqués. » En d'autres termes, l'hypothèse selon laquelle les techniques de destruction de données actuelles peuvent s'appliquer de la même manière sur les disques SSD et sur les supports à mémoire flash en général est aussi erronée. Parfois, cela marche, parfois non. Cela dépend de la qualité de l'intégration et s'il s'agit ou non de fichiers uniques.

La difficulté de nettoyer de simples fichiers sur des disques SSD va alerter les administrateurs IT, parce que c'est pour eux une exigence quotidienne. Comment par exemple, être sûr de détruire des clés de chiffrement, des fichiers de tableur et autres documents importants sans altérer l'ensemble du disque. Les chercheurs suggèrent plusieurs techniques qui permettraient de modifier le Flash Translation Layer (FTL) du SSD pour répondre à ces besoins en sécurité.