Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 151 à 160.
| < Les 10 documents précédents | Les 10 documents suivants > |
(19/09/2011 14:07:51)
Sécurité renforcée pour Windows 8
La plupart des fonctions de sécurité mentionnées par le responsable de Windows, Steven Sinofsky, lors de la conférence Build de Microsoft conférence qui a eu lieu la semaine passée, étendent des fonctionnalités déjà apparues au fil des mises à jour dans Vista et Windows 7. C'est le cas notamment de la fonction Address Space Layout Randomization (ASLR), qui sera plus largement utilisée dans Windows 8, de même qu'une nouvelle fonctionnalité protégeant le noyau de l'OS des « vulnérabilités liées au déréférencement du pointeur Null,» une méthode essentiellement utilisée pour mener des attaques destinées à installer des programmes qui modifient les privilèges du système.
Windows 8 sera également capable de faire un usage étendu de l'allocation aléatoire de l'adressage mémoire. Cette technique, déjà présente dans Windows 7, permet de compliquer les attaques par « saturation de cache» ou buffer overflow par exemple, utilisées pour introduire des logiciels malveillants. Mais sans doute, le plus gros ajout de Windows 8 en matière de sécurité concerne le support pour la technologie de démarrage sécurisée UEFI 2.3.1 (qui nécessite un support du BIOS), laquelle empêche les logiciels malveillants agissants dans le pré-boot d'interférer avec l'action des antivirus avant leur chargement en mémoire. Aucun de ces changements n'est vraiment radical, mais ils poursuivent la politique de Microsoft en matière de conception de systèmes, à savoir circonscrire autant que possible le travail des applications au niveau la plate-forme sans bouleverser le système. Bien sûr, dans le monde du Web 2.0, le travail des applications est de plus en plus régi par des interfaces logicielles différentes de celles chargées du fonctionnement du système.
Eviter de retrouver les failles de Win XP
Steven Sinofsky a cependant rappelé aux développeurs l'importance du Secure Development Lifecycle (SDL) pour les entreprises, et les procédures de codage, de test et de conception du système qui l'accompagnent, de façon à éviter les problèmes de sécurité posés par Windows XP il y a une décennie. « Certains malwares sont aussi complexes que les applications commerciales», a déclaré Steven Sinofsky dans un blog où il a exposé l'environnement dans lequel travaillerait Windows 8. Microsoft a également avancé un motif intéressant pour expliquer pourquoi une minorité non négligeable de PC semblait ne pas disposer de protection antivirus adéquate : les gens utilisent l'antivirus gratuit fourni avec le nouveau PC, mais ils omettent ensuite de se réabonner après la fin de la période d'essai. « Peu après la sortie de Windows 7, en octobre 2009, nos tests ont montré que presque tous les PC sous Windows 7 avaient des logiciels anti-malware à jour, » a déclaré le président de Windows. « Un an plus tard, plus de 24 % des PC sous Windows 7 n'avaient pas effectué de mises à jour. Nos données ont également montré que les PC qui ne sont plus protégés ont tendance à rester dans cet état pendant longtemps. »
Le plus important défi en matière de sécurité auquel Microsoft doit faire face avec Windows 8 reste identique à celui qu'elle a du affronter avec Windows 7 : un certain nombre d'utilisateurs récalcitrants refuse de mettre à jour les systèmes d'exploitation plus anciens, en particulier Windows XP. Les critiques pourraient souligner que c'est largement la faute de Microsoft, car l'éditeur a sorti quatre versions de son système d'exploitation desktop depuis 2000, une approche marketing qui a rendu certains utilisateurs perplexes quant à l'intérêt de payer chaque fois pour une nouvelle version.
Illustration principale : Steven Sinofsky, en charge de l'activité Windows chez Microsoft, lors de la conférence Build 2011.
Crédit photo : IDG NS
Wallix présente son WAB 3.0 pour sécuriser les réseaux informatiques
« En période de crise, le mot d'ordre est confiance » explique Jean-Noël de Galzain, PDG de Wallix et quand on parle de confiance dans le domaine de la sécurité informatique, le dirigeant met en avant son produit phare le WAB (Wallix AdminBastion). Cette appliance, dédiée à la traçabilité des connexions et des actions sur les équipements IT, passe en version 3.0. Marc Balasko, ingénieur avant-vente chez Wallix a rappelé les avantages d'une telle solution au sein des entreprises « vous savez qui fait quoi, quand, où et comment » et d'ajouter « en cas d'audit ou d'incident, vous pouvez visionner les sessions de travail de vos prestataires ».
La visualisation des évènements se fait en format Flash video pour les sessions graphiques Windows Terminal Server (RDP) ou au format texte pour les sessions en lignes de commande (SSH, Telnet). Le contrôle des accès n'est pas oublié avec la gestion de l'authentification soit par mot de passe, soit par certificat numérique (de type X509 par exemple), etc...
Des fonctionnalités supplémentaires
Marc Balasko a indiqué « nos clients ont demandé l'ajout de 4 fonctionnalités supplémentaires qui ont été intégrées à la version 3.0 ». Parmi ces requêtes, on trouve le support en natif des protocoles http/htpps. « De plus en plus d'entreprises disposent d'applications métiers via des interfaces web et ne veulent pas intégrer une solution spécifique pour tracer les connexions sur ces sites web » souligne Marc Balasko. Autre point soulevé, la gestion du cycle de vie des mots de passe secondaires. Le WAB 3.0 peut modifier automatiquement les mots de passe des comptes cibles (de type administrateur ou root, dev....) et répondre aux exigences réglementaires. Les clients souhaitaient aussi extraire des données textuelles des enregistrements RDP. « Il est donc maintenant possible de tracer le nom de l'application utilisée, les actions réalisées, l'horodatage et de les retranscrire » indique Marc Balasko.
Enfin, le WAB 3.0 s'adapte aux montées en charge en devenant actif/actif, « habituellement nos appliances fonctionnent en mode actif/passif en cas de panne, mais quand il y a une forte charge de travail, les WAB en version 3.0 peuvent accroître automatiquement la capacité des clusters ». Sur le plan technique, Wallix propose 5 plateformes : l'entrée de gamme le WAB 25-50 est équipée d'un processeur Core i3 540 (3,06 GHz) dual core, 4 Go de RAM et disques Raid 1 (250 Go utile). Les WAB 100-200 et 400-600 embarquent des puces Xeon X3480 (quad core) et X5675 (Hexa core) avec 8 Go et 16 Go de RAM et des disques RAID 1 (1 To utile) ou RAID 10 (2 To utile). Enfin, le haut de gamme est représenté par les WAB 800-1000 et 2000 comprenant 2 puces Xeon X5675 (Hexa core) ou 2 puces Xeon E7-4850 (Deca Core) avec 32 Go ou 64 Go de RAM et des disques RAID 5 (14 To utile) ou RAID 10 (SAS pour 1,8 To utile). Les tarifs non pas été communiqués.
IDF 2011 : McAfee intègre la protection antivirus aux puces Intel
Profitant de l'Intel Developer Forum (IDF) qui se tient actuellement à San Francisco, le vendeur de solutions antivirus, désormais dans le giron du fondeur de Santa Clara, a montré les avancées de ses travaux dans des solutions de sécurité situées hors du système d'exploitation. Grâce à un ancrage au niveau des processeurs d'Intel, la solution Endpoint Protection Software de McAfee est en mesure d'assurer une meilleure surveillance des logiciels malveillants, et notamment des rootkits, « ces techniques dont le but est d'obtenir et de pérenniser un accès généralement non autorisé à un ordinateur de la manière la plus furtive possible. »
« DeepSafe est un type logiciel entièrement nouveau, qui apporte un niveau de technologie encore jamais atteint dans la protection antivirus, » a déclaré Candace Worley, vice-présidente senior et directrice générale de McAfee Endpoint Security. « Ce produit très innovant a été développé conjointement par les deux entreprises, » a-t-elle ajouté. DeepSafe est la réponse de McAfee à des technologies avancées de piratage, comme les rootkits, des techniques qui semblent de plus en plus capables d'introduire des malwares sur les PC sans se faire repérer. « La plupart des produits antivirus actuels agissent tous au même niveau du système d'exploitation, » a expliqué la vice-présidente. « Or nous constatons que beaucoup d'antivirus ne parviennent tout simplement pas à voir un rootkit installé dans cette couche de l'OS. »
Des malwares difficiles à éradiquer
Les rootkits utilisent toutes sortes d'astuces déroutantes pour brouiller les pistes, changeant les noms des fichiers, et modifiant même les données au niveau des outils de surveillance, de manière à faire croire que tout est normal. En réalité, et c'est un peu un secret de polichinelle dans le domaine de la sécurité, des attaquants déterminés peuvent esquiver la détection par un antivirus presque à volonté. Certaines victimes de cyber attaques passent des années sans soupçonner des infections préparant des attaques complexes, ciblées et persistantes, de type Advanced Persistant Threat (APT), même en ayant un logiciel antivirus à jour. « C'est ce qui a poussé des vendeurs comme McAfee à rendre les choses plus difficiles pour les pirates. »
Candace Worley a qualifié DeepSafe de « base technologique » pour de futurs produits dont le premier sera livré sous forme d'add-on à McAfee Endpoint Protection et dont l'objectif sera justement de détecter les rootkits dans l'entreprise. « C'est le genre de technologie qui suscite le plus d'intérêt actuellement, » a déclaré la responsable de MacAfee. « Ce produit, dont le nom n'est pas encore défini, sera lancé lors de la Focus Conference de McAfee qui doit se tenir à Las Vegas le mois prochain. « Nous proposerons aussi un peu plus tard ce produit aux consommateurs, » a-t-elle précisé. McAfee est resté vague sur la manière dont fonctionne réellement DeepSafe, mais le vendeur a commencé à travailler sur cette technologie « avant son acquisition par Intel, » comme l'a déclaré Candace Worley. Le produit fonctionnera d'abord dans les environnements VMware, Microsoft et Citrix devront attendre un peu avant de bénéficier d'une compatibilité. « Nous travaillons encore pour adapter ces technologies à ces systèmes, » a déclaré la directrice générale de McAfee Endpoint Security.
Un peu léger pour l'instant
« McAfee sera le premier vendeur important d'antivirus à proposer ce type de technologie, mais ce n'est pas le seul à aller dans cette direction, » a déclaré Lawrence Pingree, directeur de recherche chez Gartner. « Ils seront les premiers à livrer leurs produits, mais d'autres vont suivre, » a-t-il ajouté. Selon l'analyste, même si DeepSafe est intéressant, cette technologie révolutionnaire ne justifie toujours pas les milliards de dollars payés par Intel pour acheter McAfee. « Nous attendons encore de cette fusion l'émergence d'une technologie importante qui soit une vraie grande innovation, » a-t-il ajouté.
(...)(13/09/2011 16:22:42)L'Iran suspect numéro un sur le vol des certificats SSL selon Comodo
« J'en suis encore plus persuadé qu'avant » a déclaré Melih Abdulhayoglu, le PDG et fondateur de Comodo, société spécialiste de la sécurité, mais qui est aussi l'une des centaines d'autorités de certification autorisées à émettre des certificats SSL (Secure Socket Layer) certificats. Ces derniers sont chargés d'authentifier l'identité des sites, afin de montrer, par exemple, que Google est vraiment Google. En mars dernier, Comodo avait confirmé le piratage de son réseau et le vol de 9 certificats, y compris ceux liés à Google, Microsoft et Yahoo. A l'époque, Melih Abdulhayoglu avait déjà déclaré qu'il croyait que ces attaques étaient soutenues par le gouvernement iranien. « Nous pensons qu'elles sont politiquement motivées, les attaques sont commandées et financées par un Etat » avait souligné le dirigeant.
La récente attaque menée contre DigiNotar, une autorité néerlandaise, n'a fait que renforcer la conviction de Melih Abdulhayoglu sur l'implication des autorités iraniennes. « Nous venons d'assister à la plus grande attaque « man-in-the-middle » de l'histoire », précise le dirigeant. Un rapport d'enquête a effectivement montré qu'un certificat pour google.com avait permis d'espionner 300 000 iraniens. L'éditeur avait alors demandé aux utilisateurs de Gmail en Iran de réinitialiser leur mot de passe.
Un doute sur l'identité du pirate et un financement probablement étatique
Et puis un pirate du nom de Comodohacker qui se présente comme un jeune iranien de 21 ans a revendiqué le piratage et le vol de certificats. Il s'agit du même nom qui avait déjà revendiqué l'intrusion au sein de Comodo en mars dernier. Le pirate a indiqué au New York Times dans un courriel qu'il avait agi seul. Toutefois il a reconnu qu'il « partageait certains certificats avec des gens en Iran ».
Pour mener des attaques dites « man-in-the-middle », les pirates doivent implanter des malwares au sein des PC ou compromettre les DNS d'un ou plusieurs fournisseurs de services Internet, ou plus probablement, selon des experts, avec l'aide des ISP ou la coopération d'un gouvernement qui contrôle ces fournisseurs, comme l'Iran.
Melhi Abdulhayoglu estime que la dernière solution est la plus probable et d'expliquer « les pirates ont besoin de se connecter à quelqu'un [en Iran] pour faire ce qu'ils ont fait ». Sur les revendications de Comodohacker, le dirigeant pense qu'il ne faut pas s'arrêter au nom du pirate. « Il pourrait y avoir plusieurs personnes utilisant le compte pastebin [site où le pirate a laissé ses revendications] et non pas une seule » analyse le PDG. Un avis partagé par Eddy Nigg, de StartCom, une autorité de certification Israélienne qui a été piratée au mois de juin dernier, mais aucun des certificats n'a été volé. « Le ou les pirates ne sont probablement pas iranien, ni un étudiant de 21 ans » souligne Eddy Nigg.
Comodohacker a nié qu'il était payé pour voler les certificats. Mais ni Melhi Abdulhayoglu ou Eddy Nigg l'ont cru. Le PDG de Comodo pense que le pirate n'a pas été directement parrainé par l'Etat iranien dans le sens où il n'a pas été employé par le gouvernement iranien, mais ce dernier a certainement dû le payer ou d'autres pour voler les certificats. Eddy Nigg va dans le même sens « je crois que le (s) pirate (s) ne sont pas directement liés à l'Iran, en aucune façon, mais tout simplement des criminels qui se font payer pour chaque certificat volé ».
Illustration: Melhi Abdulhayoglu, PDG de Comodo
Crédit Photo: D.R
(...)
Dome9 lance un service de gestion automatisée de pare-feu
Selon Dome9, les serveurs installés dans le cloud subissent des déploiements variés et flexibles, si bien que la gestion de leur sécurité est complexe et prend du temps. En conséquence, de nombreux serveurs sont configurés avec des ports ouverts par défaut, alors que la plupart du temps, ces ports pourraient être fermés. Le service proposé par la start-up a pour objet d'automatiser une partie de cette sécurité, en appliquant et en renforçant la configuration des firewalls inhérente aux systèmes d'exploitation des serveurs virtuels ou physiques. Le service ne gère pas les systèmes de pare-feu de tierce partie.
Dome9 affirme que son service peut verrouiller les ports du pare-feu, pour n'en permettre l'accès qu'à des utilisateurs autorisés et dans des créneaux horaires spécifiques, et peut les fermer à tout autre moment. Par exemple, les ports d'administration peuvent être fermés par défaut et activés par le serveur sur demande pour une période de temps spécifique et pour un administrateur ou un groupe particulier. Le service permet également de créer des configurations avec des privilèges d'accès différents en fonction des administrateurs ou des groupes. Le service peut être vendu par des fournisseurs de services cloud ou être acheté directement par les entreprises. GoGrid, le fournisseur de cloud, a déjà fait savoir qu'il proposerait un service basé sur la technologie de Dome9. « Les clients qui achètent le service directement auprès de la start-up peuvent l'utiliser pour gérer les paramètres des pare-feu de leurs serveurs hébergés chez différents fournisseurs de Cloud, » a précisé l'entreprise. Les clients se connectent avec un login et un mot de passe au service Dome9 et définissent eux-mêmes leurs politiques d'accès. L'accès aux serveurs eux-mêmes se fait, soit via une interface de programmation de l'application firewall ou via un logiciel client tournant sur le serveur.
Une API pour Amazon Web Services
Le client est compatible Windows Server 2008 R2, 2008, 2003 et 2003 R2 ainsi qu'avec les versions Linux CentOS / RHEL 5.x et 6.0 et Debian 6. Le service offre un audit qui permet de voir si les utilisateurs se sont connectés, si les politiques de gestion ont été modifiées et à quelles machines ils ont accédé. Pour les fournisseurs de services, la start-up propose une solution Dome9 Connect. Ce logiciel intègre, via une API, la gestion d'Amazon Web Services EC2 et les groupes de sécurité VPS. L'offre de Dome9 est disponible dès maintenant à un prix démarrant à 20 dollars par serveur et par mois pour les entreprises, et augmente en fonction du nombre de serveurs et d'administrateurs.
La start-up offre son service gratuitement à l'essai pendant 14 jours avec la possibilité de gérer un serveur avec un administrateur. Dome9 a été co-fondée par Alon Zohar, l'ancien directeur exécutif de Check Point Software, aujourd'hui CEO de l'entreprise, et par Roy Feintuch, CTO de Dome9. Elle est financée par Opus Capital.
(...)(12/09/2011 16:59:20)HP créé une division sur la sécurité regroupant ses différentes acquisitions
L'heure est à la consolidation des différentes acquisitions en matière de sécurité pour HP. Ce dernier a en effet décidé de regrouper les solutions de Fortify, ArcSight et Tipping Point, issu du rachat de 3Com, au sein d'une même division baptisée ESP (Entreprise Security Product). Elle sera dirigée par Tom Reilly, ancien PDG d'ArcSight et la partie opérationnelle sera assurée par John M Jack, ex-PDG de Fortify.
Philippe Roux, responsable marketing solutions d'entreprises chez HP explique : « nous passons de l'âge de pierre à l'âge de fer en consolidant nos produits de sécurité et nous les adaptons à la stratégie de l'entreprise instant-on ». Cette dernière comprend aussi bien la protection des machines choisies par les collaborateurs, au développement des réseaux sociaux, mais aussi à l'utilisation du cloud pour des besoins spécifiques et chroniques. « La gestion du risque se fait de manière continue et par conséquent nous nous adaptons à cela » précise Gael Barrez, responsable marketing produit chez Fortify France.
Une intégration en douceur
Du côté des produits, il ne faut pas s'attendre à une révolution. Il n'y aura pas pour l'instant « de changement de nom sur les différentes solutions » indique Philippe Roux. Seul prémisse de cette unification, la plateforme HP Security Intelligence and Risk Management, qui se veut une console unique de gestion de risque et de défense adaptative. Elle permet d'assurer « la sécurité à 360° » ajoute Gael Barrez, en référence au produit Fortify 360. Cette plateforme se reposera sur l'expertise du Digital Vaccine Labs ou DVLabs d'HP qui recense les menaces informatiques.
Au sein de cette plateforme, on retrouvera plusieurs solutions que HP a fait évoluer. Ainsi, ArcSight Express arrive en version 3, fournissant des capacités de corrélation, de gestion de log et de surveillance des utilisateurs. La suite Fortify Software Security Center, solution de test de la sécurité applicative se met au « on demand » pour gérer un volume de plus en plus important d'applications.
Patch Tuesday : des corrections en douceur pour la rentrée
Microsoft a dévoilé le contenu de son prochain Patch Tuesday qui sera disponible le 13 septembre prochain. Il poursuit sa tradition de n'envoyer qu'un petit nombre de mises à jour les mois impairs. En septembre, l'éditeur annonce 5 mises à jours pour corriger 15 failles contre 13 mises à jours réparant 22 vulnérabilités au mois d'août. « Ce n'est pas beaucoup, mais nous ne nous attendions pas à plus », a déclaré Andrew Storms, directeur des opérations de sécurité chez nCircle security.
Dans le détail, deux des mises à jour touchent Windows, dont une ne concerne que les éditions Server 2003, 2008 et 2008 R2. Andrews Storms constate qu'une des failles traitées se focalise sur SMB (Server Message Block) qui est protocole réseau de Microsoft de transfert de fichiers. Ce dernier a été patché à plusieurs reprises cette année, notamment en avril avec la correction d'une faille critique.
Deux autres mises à jour résoudront des problèmes dans Excel - y compris le plus récent Excel 2010 sur Windows et Excel 2011 pour Mac - et dans la suie Office. Enfin la cinquième mise à jour s'adresse à SharePoint, Groove et Office Web Apps, la version cloud de la suite bureautique de l'éditeur. Les corrections portent sur des exécutions de code à distance, mais aussi sur des élévations de privilèges. C'est pour cela que Microsoft applique la qualification « important » à ses mises à jour et non la « critique ». Marcus Carey de Rapid7 avertit néanmoins les responsables informatiques des entreprises de ne pas prendre à la légère le fait que ce patch Tuesday soit moins important, car il n'y a pas de failles critiques. (...)
Gestion des identités renforcée grâce au cloud chez VMware et Symantec
Symantec, avec son projet «Ozone» et VMware, avec « Horizon», font avancer, chacun de leur côté, leurs propres approches SSO et de la gestion des identités via le cloud computing. Mais, bien que présenté récemment à VMworld 2011, le projet « Horizon » de VMware n'a pas de date de sortie définie, et on sait peu de choses sur celui de Symantec, si ce n'est qu'il porte maintenant officiellement le nom de « O3 ».
O3, dont le lancement est prévu l'année prochaine, doit permettre aux administrateurs IT de contrôler l'accès des salariés aux réseaux d'entreprise, qu'ils se connectent avec des terminaux mobiles ou des ordinateurs traditionnels. Le service O3 permettra aux gestionnaires l'accès à tout service cloud ou réseau autorisé, l'accès aux données étant réservé aussi à des fins d'audit et de conformité. O3 sera le noeud central pour accorder et retirer les privilèges d'accès aux utilisateurs, et offrira une série d'échelons d'authentification, du simple mot de passe à des méthodes beaucoup plus sécurisées, comme les tokens à deux-niveaux.
Authentification unique dans le cloud
Avec son système d'authentification unique SSO dans le cloud, Symantec s'engage dans un domaine où des vendeurs comme Hitachi, Symplified, Okta, IBM Tivoli, Courion, Zscaler et Ping Identity ont déjà pris pied. Mais le marché est encore naissant, avec en perspective, l'espoir que les responsables informatiques auront besoin de la configuration initiale dans le cloud pour gérer l'accès de leurs utilisateurs à des applications en ligne, une pratique qui tend à se généraliser. « O3 est vendu comme un service de sécurité », a déclaré Rob Koeten, directeur technique senior de O3. Celui-ci qualifie le service de « couche de sécurité» pour signifier que le système concerne aussi bien les terminaux mobiles que les PC classiques des salariés.
Pour résumer, O3 canalise le trafic en utilisant un service assimilable à un proxy, plus une passerelle associée à la gestion des autorisations. « Dans une entreprise, O3 pourrait par exemple exercer un contrôle précis sur la manière dont un salarié chargé des ventes utilise le logiciel Salesforce comme un service, » a expliqué Rob Koeten. « Dés son lancement l'an prochain, et c'est l'objectif de Symantec, O3 supportera les 200 premiers et plus importants services cloud, » a-t-il ajouté.
[[page]]
Comme Symantec, VMware a longtemps lorgné vers la gestion des identités basée sur le cloud. Avec son projet « Horizon, » dont elle fait la promotion depuis plus d'un an, VMware entretien ses aspirations sans trop montrer où elle en est. (Coïncidence, le PDG de Symantec, Enrique Salem, a fait allusion à l'O3 pendant sa keynote à la conférence RSA de février, le jour où Art Coviello, le président de RSA, évoquait « Horizon », en indiquant que RSA travaillait avec VMware sur une solution de sécurité pour les services Cloud). « Horizon » semble encore au stade de projet, tel qu'il avait été présenté en 2010, sans date précise de livraison. Mais le PDG de VMware, Paul Maritz, a donné des précisions sur son développement lors d'une allocution récente à VMworld, indiquant que le projet réunissait « un ensemble de technologies » qui permettront « d'associer des informations à des individus, pas à des terminaux».
Grâce à la gestion des identités via le cloud, il sera possible de contrôler l'accès des utilisateurs aux applications, y compris le terminal d'où elles peuvent être téléchargés, des appareils sous Android par exemple, ce que VMware a montré pendant la conférence. « L'un des services concerne l'authentification des utilisateurs et le Directory Federation (FDS) dans l'environnement SaaS, » a déclaré Paul Maritz au sujet du projet « Horizon » à l'occasion d'un point presse, précisant que VMware avait acquis d'importantes technologies SSO et de gestion d'accès, grâce au rachat de TriCipher l'année dernière.
Aujourd'hui, ce sont surtout les petits acteurs de l'industrie, comme Okta, Ping Identity et Symplified, qui attestent du fait que les entreprises sont en train d'adopter de nouvelles modalités SSO pour les services cloud qu'elles utilisent. Par exemple, Pharmaceuticals Amag, une entreprise basée à Lexington, Massachusetts, utilise le service de gestion d'identité d'Okta, et s'appuie sur elle pour l'allocation automatique de ressources - autorisation et révocation - de plusieurs applications SaaS. «Tous les accès se trouvent chez Okta, » a déclaré Nathan McBride, directeur exécutif des technologies de l'entreprise. « L'utilisateur s'authentifie auprès d'Okta. » Celui-ci affirme par ailleurs qu'il ne s'inquiète pas pour le verrouillage du client, car il serait facile à l'entreprise de passer d'un service cloud SSO à un autre, si besoin était. « Si nous devions quitter Okta demain, nous aurions simplement à résilier notre service », a t-il déclaré.
(...)(07/09/2011 15:31:36)Microsoft révoque les certificats SSL volés
Après plusieurs fournisseurs de service Internet, Microsoft a annoncé hier avoir blacklisté tous les certificats délivrés par DigiNotar après avoir constaté des attaques au travers d'un certificat frauduleux. L'éditeur a proposé des mis à jour pour l'ensemble des versions de Windows y compris XP et Server 2003. L'exercice a pris un peu de temps, car certains certificats concernés portaient des extensions update.microsoft.com et windowsupdate.com.
Google et Mozilla ont eux rapidement pris des mesures similaires à celles de la firme de Redmond sur leur navigateur web. Par contre chose surprenante, ni Google, ni Apple n'ont révoqué les certificats de DigiNotar sur leur OS mobile. Pour Android, l'explication viendrait peut-être du fait que la mise à jour se fait par l'intermédiaire des opérateurs de téléphonie mobile et cela prend un peu plus de temps. De son côté Apple, pour qui les mises à jour peuvent se faire directement sur le téléphone, associe les opérateurs sur des sujets aussi graves.
D'autres autorités de certifications concernées
A en croire la revendication envoyée par Comodohacker sur le site Pastbin, le (prétendu ?) jeune pirate d'origine iranienne disposerait des codes d'accès pour 4 autres autorités de certifications dont GlobalSign, une autorité de certification basée à Portsmouth, New Hampshire. Cette dernière a annoncé avoir cessé d'émettre des certificats et procéder à une enquête approfondie.
La société britannique a promis de mettre les informations sur ce sujet à jour aussi fréquemment que possible. Elle n'a fait aucun commentaire, mais Steve Roylance, directeur développement des affaires de GlobalSign, a déclaré plus tôt que son entreprise prenait « cette affaire très au sérieux ». A suivre...
Certificats SSL DigiNotar : L'Iran à l'origine d'une opération d'espionnage informatique (MAJ)
Le faux certificat, livré le 10 juillet par le CA néerlandais, suite au piratage de ses serveurs, a été révoqué le 29 août. « Nous avons identifié environ 300 000 adresses IP uniques ayant envoyé des requêtes vers google.com, » indique Fox-IT dans son document. À partir du 4 août, le nombre de requêtes a rapidement augmenté, et ce jusqu'au 29 août, date à laquelle le certificat a été révoqué. Plus de 99 % de ces adresses IP ont été localisées en Iran. « La liste de ces adresses sera remise à Google. Le géant de l'internet pourra alors informer les utilisateurs que, pendant cette période, leurs emails ont pu être interceptés, » ajoute Fox-IT. « Pas seulement l'email lui-même, mais aussi le cookie de connexion, » indique encore l'entreprise de sécurité. Avec ce cookie, un pirate peut se connecter directement à la boîte aux lettres Gmail de l'utilisateur et à d'autres services de Google auxquels il est abonné. « Le cookie de connexion reste valide pendant une période plus longue, » explique Fox-IT, qui conseille aux utilisateurs iraniens « au moins de se déconnecter et de se reconnecter au service de Google, mais mieux encore, de changer leurs mots de passe de connexion. »
Toujours selon ce rapport, le reliquat d'adresses IP restantes, et repérées pendant cette période, venaient principalement de nodes Tor-exit, de proxies et d'autres serveurs VPN (réseau privé virtuel), mais quasiment pas de connexions directes. Ces conclusions ont été tirées de l'analyse des logs de requêtes OCSP (Online Certificate Status Protocol). Les navigateurs actuels effectuent un contrôle OCSP dès que le navigateur se connecte en mode SSL (Secure Sockets Layer) à un site web sécurisé par le protocole HTTPS (Hypertext Transfer Protocol Secure). Tor est un réseau distribué anonyme utilisé par certains internautes pour éviter d'être pistés ou pour se connecter à des services de messagerie instantanée et à d'autres services dans le cas où ils sont bloqués par leurs fournisseurs de services Internet locaux.
L'objectif : intercepter des communications iraniennes
Au total, 531 certificats numériques ont été émis pour des domaines appartenant à google.com, la CIA et le Mossad israélien. Selon Fox-IT, « compte tenu des domaines visés et du fait que 99 % des internautes ont été localisés en Iran, on peut penser que l'objectif des pirates était d'intercepter des communications privées en Iran. » Le 29 août, Google avait fait état de rapports signalant une « tentative d'attaques SSL de type man-in-the-middle (MITM) » contre les utilisateurs de Google. Ces attaques sont utilisées pour intercepter le trafic entre les internautes et les services cryptés de Google ou autres. Les personnes visées se trouvent principalement en Iran. L'attaquant a utilisé un faux certificat SSL émis par DigiNotar, révoqué depuis, comme l'a confirmé Google dans un message publié sur son blog.
Trend Micro, une autre entreprise de sécurité, a fait remarquer, hier, que le nom domaine validation.diginotar.nl, utilisé par les navigateurs Internet pour vérifier l'authenticité des certificats SSL émis par DigiNotar, avait été essentiellement chargé par des internautes néerlandais et iraniens jusqu'au 30 août. DigiNotar, dont les clients se trouvent principalement aux Pays-Bas, avait la qualité d'autorité de certification, c'est-à-dire l'autorisation d'émettre des certificats SSL. « Normalement, ce nom de domaine doit être essentiellement demandé par des internautes néerlandais et éventuellement par quelques utilisateurs situés d'autres pays, mais certainement pas par un aussi grand nombre d'Iraniens, » a déclaré Feike Hacquebord, chercheur spécialisé dans le piratage informatique chez Trend Micro. L'analyse des données effectuée par le Trend Smart Protection Network, révèle que le 28 août, un nombre important d'utilisateurs Internet situés en Iran ont chargé l'URL du certificat d'authentification SSL de DigiNotar. Mais à partir du 30 août, ce trafic a disparu, et le 2 septembre tout le trafic iranien avait disparu.
[[page]]
Toujours selon le rapport de Fox-IT, c'est le 29 août au soir que l'on a su qu'un faux certificat x.google.com était présenté par un certain nombre d'utilisateurs internet se connectant depuis l'Iran. Selon DigiNotar, ce faux certificat a été révoqué le soir même. L'entreprise de sécurité, contactée le lendemain, a du procéder à une enquête. Dans son rapport, Fox-IT indique que la première intrusion dans les serveurs de DigiNotar a pu avoir lieu le 17 juin. De son côté, DigiNotar dit avoir constaté l'incident le 19 juin au cours de sa procédure normale de vérification quotidienne. Mais il semblerait qu'elle n'a pris alors aucune mesure à ce sujet. L'entreprise n'a pour l'instant pas fait de commentaire sur ce point.
Le premier certificat compromis x.google.com, a été émis le 10 juillet. Tous les autres certificats ont été livrés entre le 10 et le 20 juillet. « Le piratage laisse penser que la configuration du réseau et les procédures de DigiNotar n'étaient pas suffisamment sécurisées pour éviter ce genre d'attaque, » indique Fox-IT. « Il arrive que des serveurs hébergeant des données critiques laissent passer des logiciels malveillants, mais ceux-ci peuvent normalement être détectés par les logiciels antivirus. La protection des données critiques n'a pas fonctionné, ou alors il n'y en avait tout simplement pas, » ajoute le rapport.
(MAJ) Un pirate du nom de Comodohacker a revendiqué sur le site Pastbin le vol des certificats SSL de l'autorité de certification DigiNotar. L'identité du présumé pirate n'est pas inconnu car il s'agit de celui de l'affaire Comodo en mars dernier. Le pirate se définit comme un jeune iranien de 21 ans et justifie ses actes par des questions politiques. Pour les récents vols de certificats SSL, il souhaite punir le gouvernement hollandais dont les soldats ont laissé les soldats serbes à tuer 8 000 musulmans en 1995 à Sebrenica. Le hacker précise dans son message qu'il dispose d'autres accès aux comptes de 4 importantes autorités de certification et pourrait réémettre des faux certificats SSL.
| < Les 10 documents précédents | Les 10 documents suivants > |