Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 171 à 180.
| < Les 10 documents précédents | Les 10 documents suivants > |
(25/08/2011 16:56:51)
Attaques DoS : Apache et Microsoft vulnérables
Les développeurs du projet Open Source Apache ont averti les utilisateurs du logiciel de serveur web qu'un outil d'attaques en déni de service (DoS) circulait en utilisant une erreur dans le programme. Appelé « Killer Apache », l'outil est apparu vendredi dernier sur la mailing list dédiée à la sécurité « Full Disclosure ». La fondation Apache a reconnu la vulnérabilité de son programme et a déclaré dans un billet d'avertissement qu'elle publierait un correctif pour Apache 2.0 et 2.2 dans les prochaines 48 heures. La version 1.3 est aussi concernée, mais le support n'est plus assuré.
« Un outil d'attaque est en circulation dans la nature et il est utilisé activement. L'attaque peut être effectuée à distance avec un nombre modeste de requêtes, mais capables d'utiliser massivement la mémoire et le CPU du serveur », souligne Apache dans le billet. Dans l'attente du correctif, ce dernier donne aux administrateurs des conseils pour défendre leurs serveurs web. Selon la société britannique de sécurité Netcraft, Apache est le logiciel de serveur web le plus utilisé dans le monde, avec une part de marché de 65,2%.
Petit élément de distinction pour les utilisateurs du bundle Mac OS X-Apache, ce dernier est mise à jour via le système d'exploitation. Il reste à savoir à quel moment Apple diffusera les correctifs.
Un patch de Microsoft utilisé pour des attaques DOS
La société de sécurité Qualys a montré comment utiliser un patch Microsoft pour lancer une attaque par déni de service sur le DNS Server de Windows. Un test démontre comment des pirates pourraient s'en servir et souligne l'importance de déployer les correctifs de Microsoft dès que possible après la publication du Patch Tuesday mensuel. Le correctif (Windows MS11-058) que Qualys a utilisé corrige deux failles dans DNS Server de Windows et a été classé critique, niveau le plus élevé chez l'éditeur. La firme de Redmond ne pense pas que cette vulnérabilité soit exploitée par des attaquants ce mois-ci, mais le test réalisé par Qualys montre que cela est possible rapidement.
« Nous avons procédé à de la rétro-ingénierie du patch pour avoir une meilleure compréhension du mécanisme de la faille. Nous avons découvert que cette vulnérabilité pouvait être utilisée rapidement à partir de quelques commandes », explique Bharat Jogi, ingénieur en sécurité chez Qualys sur un blog. Il ajoute « la démonstration dans le test montre une attaque par déni de service, mais des pirates peuvent aller plus loin dans l'exécution du code. » Pour son test, il a utilisé un outil de « binary diffing » appelé TurboDiff pour comparer les versions non patchées et corrigées des fichiers DNS Server. Cela aide les experts en sécurité à « comprendre les changements intervenus afin de corriger les failles », souligne l'ingénieur, mais donne aussi les moyens aux pirates d'exploiter la vulnérabilité et de l'utiliser contre les OS qui n'ont pas reçu la mise à jour de sécurité. Une fois les failles identifiées, la société a monté dans son laboratoire deux serveurs DNS et fait tomber l'un d'eux en tapant quelques commandes.
(...)(19/08/2011 12:10:05)
Des chercheurs prouvent que le standard AES n'est pas inviolable
Des chercheurs de Microsoft et des chercheurs néerlandais de l'Université Catholique de Louvain, basée en Belgique, ont découvert comment casser l'algorithme de cryptage Advanced Encryption Standard (AES) utilisé pour sécuriser la plupart des transactions en ligne et les communications sans fil. « Le mode d'attaque mis au point par ces chercheurs est capable de récupérer la clé AES secrète trois à cinq fois plus vite que ce l'on pensait jusqu'ici », a fait savoir l'Université de Louvain. Les chercheurs ont précisé que le mode d'attaque était complexe et qu'il ne pouvait être réalisé facilement avec les technologies existantes. « En pratique, la méthodologie utilisée prendrait des milliards d'années de temps d'ordinateur pour briser l'algorithme AES », précisent-ils.
Mais le résultat, fruit d'un projet d'analyse cryptographique mené sur le long terme, pourrait être le premier accroc dans le standard AES, considéré jusque-là comme inviolable. Quand une norme de cryptage est évaluée pour servir à des usages essentiels comme la sécurisation des transactions financières, les experts en sécurité jugent la capacité de l'algorithme à résister aux attaques les plus extrêmes. La méthode de cryptage, qui offre en apparence toutes les garanties de sécurité aujourd'hui, pourrait être plus facilement cassée par les ordinateurs de demain, ou par de nouvelles techniques utilisées pour casser les codes.
La marge de sécurité de l'AES s'érode
En 2001, le National Institute of Standards and Technology (NIST) américain, avait commissionné l'AES pour remplacer le Digital Encryption Standard (DES). Selon le NIST, le DES était devenu insuffisant, même s'il fournissait à l'époque un niveau de sécurité adéquate pour la plupart des besoins quotidiens. « Ce travail montre que la « marge de sécurité » de l'AES continue à s'éroder, » fait remarquer l'expert en sécurité Bruce Schneier dans un blog. « Les attaques se portent toujours mieux, elles ne peuvent qu'empirer », écrit-il, citant un expert de l'Agence de sécurité nationale (NSA) américaine. Malgré la complexité de sa mise en oeuvre, l'attaque en question pourrait casser toutes les versions de l'AES.
Andrey Bogdanov, chercheur de l'Université Catholique de Louvain, Dmitry Khovratovich, chercheur de Microsoft et Christian Rechberger de l'École Normale Supérieure de Paris, ont mené le projet à son terme. Andrey Bogdanov et Christian Rechberger avait pris congé de leurs universités respectives pour finaliser le projet avec Microsoft Research. Les créateurs d'AES, Joan Daemen et Vincent Rijmen, ont reconnu la validité de l'attaque, indique encore l'Université belge.
Illustration : extrait du document "Biclique Cryptanalysis of the Full AES" (crédit : K.U. Leuven, Belgium, Microsoft Research Redmond, USA, ENS Paris and Chaire France Telecom, France)
Anonymous est-il bien à l'origine des menaces visant Facebook ?
Le collectif Anonymous a prétendument menacé de détruire Facebook, le 5 novembre prochain, accusant le réseau social d'espionner ses membres, de coopérer avec des gouvernements autoritaires et de s'immiscer dans la vie privée des internautes. La menace a été diffusée dans une vidéo postée sur YouTube le 16 juillet dernier, visionnée plus de 700 000 fois et ayant suscité de nombreux commentaires. Toutefois, elle ne figure ni sur le fil Twitter d'Anonymous ni sur son blog, ce qui a conduit certains experts à se demander si elle provenait réellement du groupe de hackers ou si elle était tout simplement fausse. « La vidéo a été postée il y a presque un mois et n'a pas encore été largement diffusée sur les canaux habituels d'Anonymous et quelquefois même, pas diffusée du tout », fait remarquer Rik Ferguson, directeur de la sécurité pour la recherche et la communication chez Trend Micro, sur le blog de la société. « De plus, les profils Twitter qui semblent y être associés sont inactifs ».
Dans cette vidéo, Anonymous affirme que Facebook collabore avec les gouvernements égyptiens et syriens dans le but d'espionner les gens et accuse le réseau d'avoir également communiqué des informations sur les utilisateurs du site à des entreprises spécialisées dans la sécurité. Les paramètres sur Facebook qui permettent d'assurer la confidentialité de certaines données sont des « leurres », affirme le groupe. « Détruisez Facebook pour le bien de votre propre vie privée», clame une voix brouillée sur la vidéo pendant deux minutes. Contactée à Londres, une porte-parole de Facebook n'a pas souhaité commenter cette information.
Certains experts s'interrogent sur la sécurité du site
Parallèlement, certains experts estiment que la sécurité de Facebook pourrait être améliorée. Dans ce domaine, la société créée par Marc Zuckerberg a récemment lancé une chasse aux bugs. Elle offre une gratification financière aux utilisateurs qui lui communiqueraient directement les failles de sécurité qu'ils auraient découvertes. « Nous avons commencé à tester le site et à leur faire part de vulnérabilités », indique ainsi Mandeep Khera, directeur du marketing de Cenzic, une société spécialisée dans la sécurité. Mais Facebook ne prendrait pas au sérieux les faiblesses qu'ils ont identifiées, notamment sur le mode de connexion et les mots de passe. Malgré tout, Mandeep Khera note que Facebook a apparemment corrigé l'un de ces problèmes concernant une mauvaise interruption de session avec le navigateur Internet Explorer. Celle-ci se produisait lorsque l'utilisateur se déconnectait avec IE et effectuait un retour en arrière de quelques pages. Un rafraîchissement de la page Facebook le reconnectait alors de nouveau.
Anonymous et un groupe affilié appelé Lulz Security ont mené de nombreuses campagnes de piratage contre des entreprises et des gouvernements à cause de leurs politiques jugées offensantes. L'une de leurs tactiques est de mener des attaques par déni de service, attaques qui consistent à assaillir un site Web par un excès de trafic dans le but de provoquer l'arrêt de ce dernier. Ces groupes ont piraté des serveurs et subtilisé des données, en les affichant publiquement. Ils s'en sont pris ces derniers mois à la Central Intelligence Agency, aux États-Unis, aux sites PBS.org et Fox.com et également à la Serious Organised Crime Agency, au Royaume Uni.
Crédit illustration : D.R.
Microsoft corrige le dernier bug d'IE découvert au Pwn2Own
Microsoft a corrigé cette semaine la dernière vulnérabilité d'Internet Explorer (IE), utilisée en mars par un chercheur au concours annuel de hacking Pwn2Own, pour contourner la sandbox du navigateur Internet. Cet exploit lui avait permis de remporter un prix de 15 000 dollars et un ordinateur portable Sony. Pourtant, Microsoft avait pris soin d'apporter par deux fois des correctifs à son navigateur IE8 sous Windows 7 avant de le livrer au chercheur Stephen Fewer de Harmony Security. Pour parvenir à contourner la sandbox d'IE, appelé « mode protégé », Stephen Fewer avait enchaîné trois programmes tirant chacun profit d'une vulnérabilité différente (programmes désignés en anglais sous le nom d' « exploits »). A l'époque, HP TippingPoint, l'organisateur du Pwn2Own, avait trouvé la manipulation « impressionnante », rappelle Computerworld.
C'est donc ce bug que Microsoft vient de patcher, livrant une troisième mise à jour pour son navigateur. Celle-ci corrige en fait une série de failles faisant l'objet de 13 bulletins au total.Dans le bulletin MS11-057, l'éditeur crédite bien Stephen Fewer pour avoir découvert une troisième vulnérabilité, mais il affirme que ce bug n'est pas une faille de sécurité. A la question incluse dans une FAQ : « Est-ce que cette mise à jour contient des modifications de fonctionnalités non liées à la sécurité ? », Microsoft répond : « Oui, cette mise à jour résout un problème de contournement du « mode protégé », dont la référence commune est CVE-2011-1347 ».
Pour échapper au « Protected Mode »
Lors du Pwn2Own, Stephen Fewer a utilisé le bug de contournement pour échapper au « Protected Mode », de façon justement à contourner la sandbox du navigateur. Cela lui a permis de déposer dans la machine un fichier équivalent à un logiciel malveillant qu'aurait pu introduire un hacker. Le chercheur a confirmé que la dernière mise à jour corrigeait effectivement la faille qu'il avait utilisée au Pwn2Own. « Oui, le bulletin MS11-057 corrige ce dernier bug permettant le contournement du mode protégé, comme je l'ai fait au concours Pwn2Own. Les deux autres failles utilisées ont été corrigées par les bulletins MS11-018 et MS11- 050 », a-t-il déclaré. Comme le décrit Microsoft, le bulletin MS11-018, correspondant à la mise à jour d'avril « corrigeait les vulnérabilités en modifiant la façon dont Internet Explorer traite les objets en mémoire, ainsi que le contenu et les scripts durant certains processus ». Le bulletin MS11-050, qui correspond au patch du mois d'août, « est une mise à jour de sécurité qui corrige les vulnérabilités en modifiant la façon dont Internet Explorer applique les paramètres de contenu fournis par le serveur Web, traite le nettoyage HTML avec toStaticHTLM, traite les objets en mémoire et le script durant certains processus ». Ces deux vulnérabilités avaient été signalées à Microsoft via le programme de collecte de bugs mis en place par HP TippingPoint.
Une faille effectivement corrigée en août
Selon Aaron Portnoy, directeur de l'équipe de recherche sur la sécurité informatique de TippingPoint et organisateur du concours Pwn2Own, la mise à jour d'IE boucle les failles du concours 2011. Pendant le Pwn2Own, Microsoft avait déclaré que IE9, la dernière version de son navigateur lancée peu après l'exploit de Stephen Fewer, ne contenait pas les bugs mis à profit par le chercheur. Si l'on inclut le dernier Patch Tuesday, IE9 a été corrigé deux fois depuis son lancement en mars. Microsoft a reconnu que les bugs corrigés au mois d'août portaient sur des questions de sécurité. L'un d'eux avait d'ailleurs été signalé par Stephen Fewer. « Oui, j'ai fait quelques recherches sur IE9 et, effectivement, ma première vulnérabilité découverte dans IE9 a également été patchée dans le cadre du dernier Patch Tuesday, par le bulletin MS11-057 », a déclaré le vainqueur du concours Pwn2Own 2011 au sujet d'un autre bogue dont il a été crédité cette semaine. La faille en question, qui porte la référence CVE-2011-1964, avait été signalée par TippingPoint à Microsoft en mai, et classée critique pour IE9 lorsque le navigateur tourne sous Vista ou Windows 7.
Stephen Fewer ne sait pas encore s'il sera en compétition pour tenter d'exploiter des failles sur IE9 dans l'édition 2012 du Pwn2Own, mais il a laissé la porte ouverte. « Je n'ai rien décidé pour l'instant. Mais si j'ai quelques nouveaux bugs sous la main à ce moment là, qui sait ? » a-t-il déclaré pendant une conférence.
Les mises à jour de sécurité du mois d'août, y compris le bulletin MS11-057 pour IE, peuvent être téléchargées et installées via Microsoft Update et Windows Update Services, et via Windows Server Update Services.
Illustration : Stephen Fewer (crédit : Harmony Security)
Defcon : la VoIP, un canal qui se prête au contrôle des botnets
Au cours de la conférence DefCon, des chercheurs ont montré que les réseaux de zombies et leurs serveurs maîtres pouvaient communiquer entre eux en profitant d'une session VoIP et échanger des données en utilisant les touches d'un clavier téléphonique, relatent nos confrères de Network World. Selon Itzik Kotler et Ian Amit Iftach, deux chercheurs de l'entreprise de sécurité et d'évaluation des risques Security Art, cela donne aux botmasters - dont l'une des principales préoccupations est de rester anonyme - la capacité d'envoyer des commandes depuis n'importe quelle cabine téléphonique ou depuis des téléphones sans fil jetables.
Cette possibilité de recourir à des téléphones et à des réseaux de téléphonie publique prive ceux qui luttent contre les bots de leur arme principale : déconnecter les serveurs de commande et de contrôle des botnets. En effet, si le botmaster n'utilise pas un serveur de commande et de contrôle, il ne peut pas être déconnecté. En fait, le botmaster peut communiquer avec les machines zombies qui composent le botnet sans utiliser l'Internet dans le cas où tous les zombies sont situés dans un réseau d'entreprise. Donc, même si le réseau VoIP d'une entreprise dont les ordinateurs sont sous l'emprise d'un botnet est distinct du réseau de données, le lien avec le monde extérieur reste actif.
La VoIP limite toutefois le nombre de zombies
En plus de sa furtivité, la tactique VoIP utilise une technologie qui traverse facilement les pare-feu d'entreprise et utilise de surcroît un trafic difficile à scruter pour le logiciel chargé de prévenir contre la perte des données. « Le trafic passe en effet en audio, et les scanners de prévention ne peuvent pas identifier les marqueurs des données qu'ils sont censés filtrer », disent les chercheurs.
Mais l'utilisation de la VoIP comme canal de commande n'a pas que des avantages. D'une part, la VoIP limite énormément le nombre de machines zombies qu'il est possible de contacter en même temps. Ensuite, le système téléphonique limite la vitesse à laquelle les données volées peuvent être renvoyées. Cependant, selon les chercheurs, ces connexions sont largement suffisantes pour faire passer des séquences de commandes.
Pour leur démonstration, Itzik Kotler et Ian Amit Iftach ont utilisé un système IP Asterisk PBX Open Source pour simuler un PBX d'entreprise. Une machine virtuelle représentant l'ordinateur zombie sur un réseau d'entreprise a été connectée via TCP/IP au PBX et a rejoint une conférence téléphonique. Un BlackBerry, faisant office de botmaster, a composé un numéro sur le réseau téléphonique public pour se joindre à la même conférence. Les chercheurs ont ensuite utilisé les logiciels open source Moshi Moshi pour communiquer entre le téléphone botmaster et la machine zombie. Moshi Moshi comporte un traducteur qui convertit les commandes en tonalités téléphoniques DTMF en entrée, et transforme les données volées du format texte au format audio pour la sortie. Le trafic voix qui en résulte est orienté vers une boîte vocale que le botmaster peut interroger à sa guise.
Cloisonner le réseau VoIP et le réseau d'entreprise
La partie la plus délicate concerne la configuration du PBX pour permettre aux tonalités DTMF de s'immiscer dans la conférence. Il faut aussi que le botmaster parvienne à créer un langage basé sur le DTMF que les bots programmés soient capables de comprendre.
Les chercheurs disent que leur démonstration apporte simplement la preuve que cette technique existe, et que, s'il était amélioré, le système pourrait fonctionner beaucoup mieux. Par exemple, l'intégration de la technologie du modem pourrait permettre une exfiltration plus rapide des données, à la place des messages vocaux.
Pour se défendre contre ce type d'intrusion, les deux chercheurs recommandent de cloisonner complètement le réseau VoIP et le réseau d'entreprise de manière à empêcher les ordinateurs compromis de s'introduire dans les conférences téléphoniques. Ils conseillent aussi de suivre l'activité VoIP afin de repérer les usages non autorisés des conférences téléphoniques, en dehors des heures de bureau par exemple. Ils préconisent également de classer les appels de conférence en liste blanche, afin de ne permettre l'accès qu'à des adresses IP et des numéros de téléphone autorisés.
Gartner conseille aux entreprises de réviser leurs politiques de confidentialité
(mise à jour) Selon le cabinet Gartner, plusieurs menaces s'additionnent en matière de confidentialité des données : les violations de données, le cloud computing, les services associés à de la géolocalisation. Elles conduisent toutes les organisations, et au moins la moitié d'entre elles, à revoir leurs politiques de confidentialité d'ici la fin 2012. Ces questions vont même dominer l'agenda des responsables de la sécurité dans les deux ans à venir, soutient le Gartner.
Carsten Casper, directeur de recherches au Gartner, souligne que « en 2010, les organisations en général et les entreprises en particulier ont connu de nouvelles menaces sur les données personnelles et privées, alors que les budgets affectés à ces problèmes sont restés sous pression. En 2011 et 2012, ces programmes sont restés en sous investissement chronique, nécessitant la création de postes de responsables spécialisés aptes à construire et entretenir de solides relations en interne avec : les instances de direction, les RH, la sécurité informatique, les développeurs d'application. Autre nécessite pour ces responsables : se lier avec les autorités de réglementation et la communauté de défense ».
Cinq points essentiels relatifs à la sécurité
Toujours selon Gartner, ces responsables devront se confronter à cinq points essentiels dans leur politique de confidentialité :
- La violation des données continue d'être une préoccupation majeure.
La plupart des contrôles existent déjà si la gestion de la sécurité fonctionne correctement. Les entreprises devraient néanmoins mieux compartimenter les renseignements personnels, restreindre l'accès et le chiffrement des données lors de leur transmission à travers les réseaux publics, chiffrer les données sur des appareils portables, et crypter les données de stockage pour les protéger. Ce sujet ne devrait donc pas consommer plus de 10 % du temps d'un responsable de la confidentialité des données.
- Les services basés sur de la géolocalisation reposent la question de l'exploitation des données personnelles de manière inédite.
Les données de géolocalisation peuvent venir du GPS, de la tour cellulaire la plus proche, des points d'accès sans fil, des informations de positionnement en intérieur, les identifiants des compteurs intelligents et les adresses IP. Chacun de ces cas évolue rapidement et de manière spécifique.
Aller au delà de la collecte des données
Or, les fournisseurs en sont restés à la « collecte » d'information, sans cerner leur « utilisation », ils compilent de vastes quantités d'informations, souvent sans un plan clair de ce qu'il faut faire avec. Ce qui viole un principe fondamental de la confidentialité: collecter des informations uniquement dans le but pour lequel vous avez besoin.
Les responsables consacreront, selon Gartner, 5 à 25 % de leur temps sur les services fournis en fonction de la localisation de l'utilisateur.
- Le cloud computing et la notion de confidentialité ne font pas bon ménage.
Et le Gartner d'expliquer que les lois sur la confidentialité s'appliquent et se limitent à un pays alors que le cloud par définition ignore les frontières nationales. Les entreprises doivent ainsi se concentrer sur l'emplacement de l'entité juridique du fournisseur, et non sur les emplacements physiques de ses centres d'opération.[[page]] Il y a des cas où des informations sensibles de l'entreprise ne doivent pas quitter le pays (par exemple, s'il y des contrôles à l'exportation ou des préoccupations de sécurité nationale), mais dans la plupart des cas il n'y a rien d'obligatoire. Il sera suffisant de s'assurer que les données personnelles ne seront pas stockées dans un pays spécifique qui est connu pour ses violations de confidentialité.
Le responsable devrait consacrer 20 à 30% de son temps à ce sujet.
Trouver l'équilibre en matière de protection de la vie privée
- La valeur de la notion de vie privée détermine la protection nécessaire, mais il est difficile de la quantifier ! La valeur de la vie privée et de la sensibilité des renseignements personnels est impossible à déterminer en dehors de son contexte. Les renseignements personnels n'ont guère d'intérêt en eux mêmes. Tout dépend de la manière dont les données sont traitées. Il faut trouver l'équilibre entre «pas assez» de protection et «trop» de protection, c'est un processus continu.
Les responsables devraient mettre en place un processus pour identifier les parties prenantes dans l'élaboration des informations personnelles, rassembler les exigences de leur part, cerner l'influence de la conception des processus des applications, planifier des ajustements. Une fois ce processus créé, son exécution doit prendre 10% du temps du responsable.
- Les modifications réglementaires sont incessantes, mais de portée limitée.
Les modifications réglementaires ne devraient pas détourner l'attention des responsables de la confidentialité, car la plupart de ses modifications auront seulement un effet limité dans le temps. Il faut savoir interpréter la législation existante sur la vie privée pour les technologies émergentes comme les compteurs intelligents, le positionnement à l'intérieur, la reconnaissance faciale sur smartphones corrélée aux bases de données photo, les véhicules et les localisateurs de périphérique, la détection de présence, les scanners corporels, et autres.
Cette stratégie est importante, mais elle devrait consommer entre 5 et 10% des temps du responsable.
Il reste au responsable de la confidentialité encore15 à 50% de son temps, c'est nécessaire pour exécuter le programme de confidentialité, veiller à la gestion des relations, à l'examen des demandes, à la révision des politiques, au contrôles des documents (les termes des contrats de confidentialité , la consultation avec les juristes), la réponse aux requêtes, le suivi des incidents et la supervision du programme de formation à la question de la vie privée.
(...)
Black Hat : SAP va livrer un correctif de sécurité pour NetWeaver
SAP a averti vendredi qu'il allait corriger rapidement un bug sérieux de sécurité affectant le moteur J2EE (Java 2 Platform Enterprise Edition) inclus dans son offre NetWeaver, architecture de middleware sur laquelle s'appuient les solutions de gestion de l'éditeur.
Le bug a été expliqué jeudi dernier par l'expert en sécurité Alexander Polyakov, directeur technique d'ERPScan, durant l'une des sessions de la conférence Black Hat, à Las Vegas. Dans un billet de blog publié la semaine précédente, celui-ci indiquait que la faille permettait de s'introduire dans les systèmes SAP via Internet en contournant les contrôles d'autorisation d'accès. « Par exemple, il est possible de créer un utilisateur et de l'affecter à un groupe d'administrateurs en se servant de deux requêtes non autorisées au système ». Il ajoute que l'attaque peut aussi se faire sur des systèmes qui sont protégés par une authentification double (clé secrète et mot de passe). ERPscan prépare un outil qui peut détecter le problème sans coût.
« SAP travaille étroitement avec Alexander Polyakov sur cette question, a assuré Andy Kendzie, porte-parole de SAP vendredi, en annonçant la prochaine venue d'un correctif. Ce dernier sera fourni dans le cadre d'une mise à jour de sécurité régulière et ne fera pas l'objet d'un correctif d'urgence particulier.
Cette information arrive peu de temps après la livraison par Oracle de Java SE 7 qui comportait des bugs que les ingénieurs d'Oracle connaissaient, ce qui a suscité une certaine consternation. L'éditeur de Java corrigera le bug dans une mise à jour.
DefCon : des experts en sécurité donnent trois conseils aux Anonymous
Le mouvement des Anonymous est-il en train de vivre une crise de mi-parcours ? Il ne fait aucun doute que le collectif de pirates, plus ou moins organisé, a gagné des soutiens et de l'attention au cours de l'année, suite notamment aux attaques menées contre PayPal, Sony, l'entreprise de sécurité HBGary Federal qui travaille pour le gouvernement américain, mais aussi grâce aux diverses perturbations créées par son groupe parent, LulzSec. Mais, le groupe a peut-être besoin de gagner un peu en maturité, afin de mieux faire passer son message. A l'occasion de la conférence Defcon, samedi dernier à Las Vegas, des experts en sécurité informatique ont donné trois conseils aux Anonymous, afin qu'ils soient plus efficaces.
1. Attention aux nouveaux membres.
Suite à l'attaque par déni de service (DoS) menée contre le site de PayPal en décembre 2010, l'entreprise avait remis au FBI (Federal Bureau of Investigation) environ 1 000 adresses IP en relation avec l'assaut. Mais les personnes impliquées pensaient sans doute qu'elles téléchargeaient simplement le logiciel LOIC (Low Cannon Ion Orbit) qu'Anonymous utilise pour mener ses attaques. Elles l'ont fait pour se joindre à un mouvement de protestation, et non pour être accusées de commettre un crime fédéral.
« Les Anonymous sont porteur d'une idée qui fait son chemin : n'importe qui peut se joindre à eux et prendre les armes. Mais ils ne préparent pas ceux qui veulent les soutenir à utiliser leurs outils », a déclaré un expert en sécurité, connu sous le pseudonyme de Jericho, et fondateur du site web Attrition.org sur lequel on peut trouver des informations sur la sécurité informatique. « Anonymous doit éduquer ses supporters et bien informer le public sur ses objectifs. »
Gregg Housh, un porte-parole des Anonymous, dit avoir été submergé de courriels pendant les attaques du mois de décembre. Ceux-ci émanaient de néophytes qui cherchaient à rejoindre le mouvement. Tous les courriels disaient : « je ne sais pas ce que vous faites, mais je voudrais vous aider », a t-il raconté. « Pendant plus de deux jours, toutes les heures, j'ai reçu 100 à 150 messages de ce genre. » Mais il ne pouvait même pas répondre aux mails, « car j'aurais pu être accusé de participer à des activités criminelles. » Celui-ci fait remarquer au passage qu'il existait un canal IRC (Internet Relay Chat) du nom de « New Blood », utilisé par les membres d'Anonymous pour communiquer et apporter leur aide.
2. Attention à ce que vous divulguez.
Anonymous a fait connaître au public les campagnes de désinformation menées par HBGary Federal pour discréditer des organisations comme Wikileaks. Mais, selon un autre blogueur, expert en sécurité, connu sous le pseudo de Krypt3ia, l'entreprise de sécurité est loin d'être la seule à mener ce type d'opérations. « Voilà longtemps que ça se passe comme ça dans le secteur privé », a-t-il indiqué. « Ce n'est pas nouveau. Et HBGary est juste une entreprise épinglée parmi d'autres. »
Cela signifie qu'il y a de bonnes chances pour qu'Anonymous soit un jour la cible d'une campagne de désinformation de ce genre. N'importe quel pirate pourrait laisser sur l'ordinateur où il s'est introduit un fichier avec le slogan d'Anonymous, « Nous sommes légion » pour porter préjudice au groupe. Il n'y a aucun moyen de l'en empêcher. « Comment faire la différence entre une vraie action ciblée et une action de désinformation ? », demande Krypt3ia.
3. Attention aux dommages collatéraux.
Lorsque, il y a deux mois, le groupe LulzSec, a publié les noms et mots de passe de milliers d'utilisateurs, il n'a pas fallu longtemps pour que quelques-uns soient touchés. Certains ont vu leurs comptes de messagerie compromis et constaté que des commandes frauduleuses avaient été passées en leur nom sur Amazon suite à la diffusion de cette liste. Les Anonymous disent qu'ils veulent dénoncer l'hypocrisie des entreprises et la corruption des gouvernements. Mais rendre publiques les informations personnelles de gens ordinaires ne contribue pas à servir cette cause.
« Anonymous a livré les mails de HBGary. Mais historiquement, la meilleure information est toujours venue de sources internes.» Ce fut le cas de Deep Throat (l'agent du FBI Mark Felt) dans le cas du Watergate, ou encore de Bradley Manning, le membre des forces armées qui a livré les câbles diplomatiques et autres documents à Wikileaks. « Ces informations ne sont pas venues des pirates eux-mêmes », a déclaré Krypt3ia. « Les véritables révélations émanaient des initiés. »
Il était prévu que, pendant la conférence où se sont exprimés Jericho et Krypt3ia, l'ancien PDG de HBGary Federal, Aaron Barr, prenne également la parole. Mais suite aux menaces juridiques formulées par son ancien employeur, celui-ci est resté à l'écart du podium. « HBGary essaie de prendre ses distances avec Aaron Barr, mais le fait de l'empêcher de s'exprimer ne va probablement pas plaire aux pirates qui soutiennent les Anonymous », a déclaré Joshua Corman, un chercheur en sécurité, également présent à la conférence. Selon lui, HBGary vient en quelque sorte « de se désigner comme cible. »
Illustration : DefCon (crédit IDGNS)
Black Hat : hackers et crackers, héros potentiels de la lutte anti-terroriste
Hackers et crackers ont pu entendre un plaidoyer très patriotique en leur faveur lors d'une des interventions de la conférence Black Hat, la semaine dernière à Las Vegas, rapportent nos confrères de Network World. Ils ont été présentés comme de potentiels héros, alors que les actes de terrorismes évoluent vers des cyber-attaques, également capables de déclencher des destructions physiques.
C'est un ancien patron de la CIA, Cofer Black, en fonction pendant les événements du 11 septembre 2001, et chargé à l'époque de diriger le contre-terrorisme, qui l'a exposé à une assemblée où se pressaient quelques milliers de participants. Selon lui, les trois premières menaces terroristes traditionnelles - chimiques, bactériologiques, radiologiques - ont changé de nature pour laisser la place à des menaces cinétiques (celles qui incluent des troupes et des armes), bactériologiques et cybernétiques. «Le monde du terrorisme que j'ai connu appartient au passé », a déclaré Cofer Black, aujourd'hui à la retraite, qui a servi pendant 28 ans dans la CIA. « C'est votre tour maintenant », a t-il ajouté.
Stuxnet a changé le visage du terrorisme
Selon l'ancien chef du contre-terrorisme, Stuxnet a définitivement changé le visage du terrorisme et montré quelles conséquences pouvaient avoir les cyber-attaques. Le ver très sophistiqué qui a pu prendre le contrôle de mécanismes gérant des centrifugeuses dans la centrale nucléaire iranienne de Bouchehr pour les endommager, a eu l'effet d'une attaque physique. « Stuxnet est le Rubicon de notre avenir », a-t-il dit. Ce que l'on a pu considérer comme un univers de farces de collège est maintenant capable de détruire une infrastructure nationale. « C'est énorme. » Tellement énorme que l'armée américaine a prévu dans ses stratégies des réponses aux cyber-attaques qui dépassent le seul espace des réseaux informatiques. Ainsi, une cyber-attaque peut justifier en représailles des réponses cinétiques, comme des frappes aériennes contre des centrales électriques ennemies pour réduire à néant un réseau électrique. Selon Cofer Black, l'action anti-terroriste menée par les États-Unis a réduit la probabilité d'un autre événement terroriste de grande envergure comme l'attaque contre le World Trade Center. Mais les terroristes vont investir de manière croissante dans le piratage et chercher des compétences dans ce domaine, « car ils savent maintenant que ce type d'actions peut être destructeur. »
« Nous sommes légion ! »
Selon l'ancien chef de la CIA, les cyber-contre-terroristes en herbe doivent être prêts à contribuer à cette action. Mais ils doivent aussi être prêts à affronter des décideurs qui ne sont pas encore disposés à accepter que les prochaines actions seront de cette nature. Revenant sur la catastrophe du 11 septembre, il a indiqué que son service au sein de la CIA savait qu'une attaque à grande échelle était en préparation, mais ne savait pas exactement quand, ni où elle aurait lieu. « Jusqu'à ce que le World Trade Center tombe, mon service a eu du mal à convaincre l'administration Bush de l'urgence de la situation », a t-il expliqué. « L'esprit humain a du mal à accepter que des événements dont il n'a jamais eu l'expérience puissent se produire », a t-il ajouté. Selon lui, il faut prévoir des plans et des réponses à une cyber-guerre, de manière à ce que, en cas d'attaque, les États-Unis soient prêts à agir si les dirigeants le demandent. « Ce fut le cas après le 11 septembre : la CIA était prête à envoyer des agents en Afghanistan, pour lutter contre les Talibans et Al-Qaïda. »
Pour conclure, Cofer Black a adressé une sorte de message amical aux participants qui pouvaient appartenir aux groupes d'activistes LulzSec et Anonymous (et dont la devise est « Nous sommes Anonymous. Nous sommes légion. Nous ne pardonnons pas. Nous n'oublions pas »). « C'est la première fois que je participe à la Conférence Black Hat. Maintenant, je peux vous voir. Nous sommes légion ! », a-t-il lancé.
Microsoft fait le compte des failles permettant d'exécuter du code à distance
Dans son dernier rapport annuel sur la sécurité, Microsoft met en avant certains progrès réalisés pour réduire le nombre de vulnérabilités permettant l'exécution de code à distance. Une version corrigée, re-publiée cette semaine, est moins affirmative à ce sujet. Dans la version initiale du rapport on pouvait lire que « le nombre de vulnérabilités susceptibles de permettre l'exécution de code à distance avait considérablement baissé en termes de pourcentage et en chiffres bruts ». A sa lecture, des incohérences entre les chiffres mentionnés dans le texte et un tableau d'accompagnement ont été soulignées par nos confrères de Network World, incitant Microsoft à publier une mise à jour de son document. L'éditeur indique désormais que le nombre de vulnérabilités permettant l'exécution de code à distance a seulement « baissé en pourcentage. »
Selon le troisième rapport annuel du Microsoft Security Response Center (MSRC) qui suit les progrès réalisés dans ce domaine, au cours de l'exercice fiscal 2011, 62,8% des vulnérabilités permettaient l'exécution de code à distance, un chiffre en baisse comparé aux 70,8% de 2010 et aux 74,1% de 2008. Entre juin 2010 et juin 2011, Microsoft a publié 117 bulletins de sécurité couvrant 283 vulnérabilités, soit un total qui dépasse celui des précédentes années couvertes par le rapport. Microsoft publie le deuxième mardi de chaque mois un Tuesday Patch qui corrige une série de vulnérabilités dans de nombreux produits. Au cours de l'exercice 2010, Microsoft a publié 88 bulletins de sécurité couvrant 211 vulnérabilités dans les produits Microsoft. Selon les pourcentages fournis par la société, environ 149 de ces vulnérabilités permettaient l'exécution de code à distance. En 2011, ce nombre a grimpé à environ 178, soit 29 vulnérabilités de plus.
Les nouvelles versions moins vulnérables
Ces chiffres ne sont que des estimations et un responsable de Microsoft a refusé de préciser le nombre exact de vulnérabilités permettant l'exécution de code à distance identifiées chaque année, et de fournir des statistiques sur d'autres types de vulnérabilités. « Traditionnellement, Microsoft ne divulgue pas le nombre réel de vulnérabilités permettant l'exécution de code à distance, et ne précise pas quels types de vulnérabilités a augmenté ou diminué », écrit le responsable dans un e-mail adressé à Network World. Selon le rapport, les statistiques montrent que les nouvelles versions logicielles sont moins vulnérables que les anciennes, ce qui n'est pas une surprise. Environ 38% des vulnérabilités sont « moins graves, voire inexistantes sur la dernière version de l'application affectée que sur les précédentes. » Seulement 3% des vulnérabilités « affectent la version la plus récente, mais pas les versions plus anciennes », indique encore Microsoft.
Malgré cela, les professionnels de l'informatique et les revendeurs sont toujours accablés par le nombre croissant de patchs à déployer. S'ils appliquaient uniquement les correctifs les plus critiques pour les versions client et serveur actuelles de Windows, les utilisateurs auraient pu réduire le nombre de correctifs de 117 à 24 au cours des 12 derniers mois. Cependant, « Microsoft recommande à ses clients d'installer toutes les mises à jour de sécurité applicables », et déconseille de s'abstenir d'appliquer les correctifs les moins sensibles. « Les techniques de piratage évoluent avec le temps, et, parmi les nouvelles, certaines peuvent permettre à un attaquant de tirer parti de vulnérabilités qui étaient auparavant plus difficiles à exploiter », explique Microsoft.
Illustration : extrait du rapport publié par le Microsoft Security Research Center (MSRC)
| < Les 10 documents précédents | Les 10 documents suivants > |