Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 251 à 260.
| < Les 10 documents précédents | Les 10 documents suivants > |
(27/04/2011 14:34:01)
Sony incapable de protéger ses abonnés PlayStation contre un piratage massif
Sony a expliqué sur son blog que son service en ligne PlayStation Network était en maintenance. Cette fermeture a comme origine une intrusion comme l'indique les réponses du constructeur japonais dans la FAQ sur le site officiel de la Playstation « Nous avons découvert qu'entre le 17 et le 19 avril 2011, une intrusion illégale et non autorisée à eu lieu dans notre réseau. » En clair un ou des pirates ont réussi à s'introduire sur le site en ligne et ont eu accès aux informations personnelles de près de 77 millions d'abonnés.
Toujours dans le même souci de transparence, Sony précise « nous pensons qu'une personne non autorisée à eu accès aux: nom, adresse (ville, pays, code postal), adresse email, date de naissance, mot de passe et login PlayStation Network/Qriocity, et l'ID. Il est aussi possible que vos informations de profils soient touchées, incluant l'historique de vos achats, les quatre derniers chiffres de votre carte de crédit, sa date d'expiration et l'adresse de facturation. Si vous possédez des comptes secondaires, les mêmes données sont concernées. Si vous avez fourni vos données de carte bancaire au travers du PlayStation Network ou des services Qriocity, il est possible que votre numéro de carte bancaire (excluant le code de sécurité) et sa date d'expiration soient concernés. »
Face à ces risques de fraudes ou d'usurpation d'identité et même si Sony affirme ne pas avoir eu écho pour l'instant d'une mauvaise utilisation des données volées, le constructeur a décidé de fermer le site depuis le 20 avril dernier et a diligenté une enquête via une société spécialisée dans le domaine de la sécurité pour connaître la faille utilisée par les pirates. Bien que le japonais affirme « avoir pris des mesures pour renforcer l'infrastructure de son réseau en reconstruisant son système pour fournir une meilleure protection des données personnelles », les services PSN et Qriocity resteront fermés jusqu'à la résolution de l'enquête et la sécurisation des infrastructures.
La sécurité des services en ligne en question
Après le plantage du cloud d'Amazon la semaine dernière, cette affaire du piratage des services en ligne de Sony pose la question de la sécurité et la fiabilité de la dématérialisation des échanges. Pour Xavier Garcia, directeur commercial de Clearswift « depuis un peu plus d'un an, nous assistons au développement d'attaques ciblées qui sont capables de contourner les protections des antivirus, comme l'a montré l'attaque sur le ministère des Finances en France. » Le dirigeant pointe également du doigt les faiblesses de recourir à des sociétés tiers pour s'occuper du stockage des données bancaires « il existe un standard PCI pour contrôler les risques sur ces données sensibles, l'outsourcing de ces flux par une société qui n'est pas une banque peut-être problématique ». Pour éviter ces fuites de données, il n'est pas nécessaire de renforcer la protection a posteriori « la plupart des signatures d'attaques ne sont pas repérées par l'antivirus », il faut se focaliser sur les flux sortant et contrôler que les paquets qui sortent ne contiennent pas des données sensibles » conclut Xavier Garcia.
Crédit photo D.R.
Sony confirme le vol des données personnelles d'abonnés PSN
Sony a confirmé l'attaque informatique réalisée à l'encontre de son service en ligne PlayStation Network (PSN), utilisé par les possesseurs de PS3 et PSP pour jouer et acheter des jeux en ligne. L'enquête du groupe électronique japonais a déterminé le vol potentiel de données personnelles des quelque 70 millions de membres du service dont leurs noms, mots de passe voire coordonnées bancaires.
La compagnie alerte les abonnés au PSN face à des possibilités d'usurpation d'identité. Fermé le 20 avril dernier, le portail reste indisponible jusqu'à la fin des investigations des experts enrôlés par la firme. Le jeu en réseau et l'achat dématérialisé de contenus sont donc inaccessibles jusqu'à nouvel ordre. La brèche découverte touche le PSN mais également Qriocity, service de musique de Sony.
(...)(20/04/2011 15:08:38)Les applications métiers et les logiciels de sécurité ne sont pas si sûrs selon Veracode
En effet, selon le rapport sur l'état des logiciels de sécurité établi par Veracode après évaluation de 4 835 applications sur une période de 18 mois, 58 % de toutes les applications soumises à l'éditeur ont été jugées de « qualité inacceptable sur le plan de la sécurité. » Plus étonnant encore, 72 % des logiciels de sécurité se voient aussi qualifiés de la sorte (il s'agit du deuxième plus mauvais score après les logiciels de support client qui atteignent 82%) . « De nombreux dirigeants croient qu'en dépensant 500 000 dollars pour un logiciel de sécurité vendu par un éditeur important, ils disposent d'un produit intrinsèquement sûr, » dit Gunnar Peterson, architecte en sécurité logicielle et CTO de la société de conseil en informatique Arctec Group. « C'est absolument faux, et je pense que de nombreux cadres dirigeants l'ignorent, » ajoute-t-il.
Apprécier la qualité du développement des logiciels est une affaire compliquée, et certains analystes pensent que les données faisant état de niveaux bruts de vulnérabilité ne permettent pas de prendre en compte les efforts réalisés par les éditeurs. « Il serait intéressant de mettre ces données en corrélation avec la taille et la complexité des applications évaluées, » estime Pete Lindstrom, directeur de recherche chez Spire Security. Il n'en reste pas moins que Veracode pointe du doigt la prise de conscience des développeurs pour corriger certaines vulnérabilités. Les exemples de RSA, Comodo montrent que des attaques traditionnelles comme des injections SQL peuvent avoir raison des logiciels de sécurité les plus élaborés.
Des standards et des corrections
Le rapport constate également que les secteurs de la finance et du logiciel requièrent un mode de vérification plus formel, voire inclut un contrôle de la qualité des logiciels des fournisseurs tiers. Si l'on combine ces deux critères, on voit que 75% des entreprises demandant l'évaluation de la qualité des logiciels de leurs fournisseurs sont concernées. « Nous voyons également une augmentation de la demande de la part de l'industrie aérospatiale et de celle de la défense, » explique Sam King, vice-président du marketing produit chez Veracode. « Ces industries commencent à exiger, pour leurs logiciels, un niveau de sécurité équivalent à celui qu'elles attendent de leur chaîne d'approvisionnement physique», explique-t-il.
D'autres résultats font apparaître que, pour ce qui est de la conformité avec le « Payment Card Industry Data Security Standard », les entreprises ont beaucoup à faire. Cette norme de sécurité exige que des applications personnalisées, impliquées dans le traitement, le stockage ou la transmission de données relatives aux cartes de crédit, soient testées pour repérer 10 défauts logiciels déterminés par l'Open Web Application Security Project (OWASP), également connu sous le nom de OWASP Top 10. « Nous avons constaté que 8 applications sur 10 ne passeraient pas ce palmarés et seraient recalées à un audit, » explique Chris Eng, directeur senior de la recherche sur la sécurité chez Veracode.
Heureusement, Veracode donne aussi quelques encouragements aux entreprises qui souhaitent améliorer la sécurité de leurs applications. Selon le fournisseur de service, la correction des défauts ne devrait pas prendre beaucoup de temps. D'ailleurs, parmi les entreprises qui ont soumis à nouveau leurs applications après avoir pris des mesures pour en corriger les défauts, 80 % ont atteint, au bout d'un mois, ce que Veracode considèrerait comme un niveau de qualité acceptable.
Avec IPSx, Sourcefire veut rendre la prévention d'intrusion accessible à tous
Selon Cyrille Badeau, directeur régional Europe du Sud de Sourcefire, « ce produit permettra de démocratiser une technologie encore considérée comme exclusivement réservée aux grandes entreprises disposant d'équipes de sécurité expérimentées, et non accessible aux entreprises de petite ou de moyenne taille ». En substance, l'IPSx, est une version allégée du système Snort qui a fait la renommée de l'entreprise, une sorte de « Snort light en boîte.»
Le produit s'adresse aux PME qui ne seraient normalement pas tentées d'acquérir un système de prévention contre les intrusions. L'idée qui a motivé cette offre est bien fondée : les systèmes IPS ont été inventés pour répondre aux besoins des grandes entreprises qui souhaitent détecter les tentatives de piratage qui se produisent dans les réseaux et donc au-delà du rayon d'action des pare-feu protégeant du monde extérieur. Le problème est que les petits réseaux et les PME n'ont pas le personnel de sécurité formé pour configurer ou savoir utiliser une telle application et encore moins trouver les ressources considérables nécessaires pour la financer.
Une boîte pré-configurée
IPSx résout en partie ce problème en proposant des fonctionnalités conçues pour les grands réseaux sous forme de règles pré-définies pour détecter les alertes IPS en utilisant sa base utilisateurs Snort très pointue. Plus besoin ici de gestion des politiques avancée, ni d'édition de règles Snort ou de gestion de la charge de travail, ni encore d'évaluations de l'impact. Dans sa version light, Sourcefire a conservé les rapports essentiels et les alertes, a maintenu la politique d'actions pré-définies, et le système de détection des intrusions que l'on trouve dans des produits plus chers vendus par l'éditeur.
Face aux alertes, les administrateurs disposent d'une interface plus simple qui les redirige vers la documentation en ligne où ils trouvent le détail de ce qui s'est passé et comment le système de détection a traité la menace. D'après SourceFire, l'interface est tellement simple qu'un technicien du pare-feu peut mettre l'IPSx en fonction en moins de 30 minutes. « La technologie d'IPS a été conçue pour fournir le meilleur niveau de sécurité que peut attendre une équipe d'analystes en sécurité, » a déclaré Leon Ward, Field Marketing Manager chez Sourcefire, lequel a expliqué que l'entreprise avait l'ambition d'étendre son activité au-delà de ce secteur. « L'IPSx fait de nous de grands agitateurs, » a t-il ajouté.
Par ailleurs, la société a également annoncé une nouvelle série d'appliance qui vise à résoudre un autre problème de l'IPS, à savoir la difficulté de faire du peering sur un réseau sans augmenter la latence. Les Appliances de la série 8000 comportent une technologie d'accélération appelée FirePower, laquelle offrira une protection IPS en temps réel de 20Gbits/s, selon l'entreprise.
Une orientation audacieuse
Malgré sa réputation et le bien-fondé de son système Snort, Sourcefire pourrait quand même avoir du mal à généraliser l'IPS pour tous. Les administrateurs des services informatiques des PME ne verront pas forcément l'intérêt d'investir dans une technologie qui révèle des problèmes de sécurité dans le réseau interne, alors que d'autres sont convaincus que l'IPS n'est jamais suffisamment simple pour être confié à un personnel non expérimenté. La notion d'entrée de gamme dans l'IPS est également très relative, puisque le prix du kit de démarrage IPSx250 s'élève à 18 245 dollars, capteur inclus. Ce tarif passe à 35 245 dollars pour la version IPSx1000. Même les PME de taille importante ne jugerons pas cette dépense comme prioritaire.
Pendant ce temps, d'autres constructeurs et éditeurs essaient de proposer de l'IPS aux PME sous forme de systèmes de gestion unifiée des menaces (UTM) pour le back door, censés réunir un ensemble de technologies de sécurité dans un seul package. De ce point de vue, l'IPSx de Sourcefire propose une perspective tout à fait différente de la «boîte magique» tout en un.
Disponible à partir de début mai en même temps que la série 8000, l'IPSx se décline en trois modes fonction du débit - 250Mbt/s, 500Mbt/s,1Gbt/s - et comporte chacun une console de gestion distincte.
Adobe colmate une faille zero day dans son player Flash
Adobe avait reconnu cette faille en indiquant que des kits d'attaques étaient déjà en circulation. L'éditeur avait promis de corriger la faille avec une mise à jour d'urgence. Ce patch est le deuxième en moins de quatre semaines. La version de Flash Player 10.2.159.1 est disponible pour Windows, Mac, Linux et Solaris. On notera l'absence d'Android dans cette liste, le système d'exploitation mobile de Google qui gère également Flash. Un correctif spécifique sera délivré au plus tard la semaine du 25 avril, a déclaré Adobe.
L'éditeur doit dans la même semaine corriger Acrobat et Reader, outils pour la création et la lecture de PDF. La vulnérabilité trouvée dans Flash existe aussi dans Reader et de manière plus avancée dans Acrobat car le code peut s'immiscer dans des documents PDF. Les premières attaques se sont basées sur des pièces jointes Word malveillantes. Les pirates ont élargi leur campagne afin d'inclure des fichiers Excel corrompus, selon Mila Parkour, le chercheur indépendant en sécurité qui a signalé la faille dans Flash. Elle a suivi les attaques pendant plus d'une semaine et a publié des informations à leur sujet sur son blog Contagio Malware Dump. Elle a ainsi montré que les premiers documents Word portaient sur les lois antitrust chinoises ou sur le programme d'armement nucléaire japonais. Peu après, les documents étaient plus terre à terre en portant sur des plans de réorganisation de l'entreprise ou sur une mise à jour des listes de contacts professionnels.
Une origine chinoise ?
La spécialiste en sécurité a également réussi à tracer le serveur d'envoi des messages. Celui-ci est enregistré en Chine. Elle a par ailleurs constaté que certains des documents Word et Excel malveillants avait été initialement conçus en chinois.
Google a mis à jour son navigateur Chrome qui inclut une copie de Flash Player. Ce téléchargement rectifie non seulement le bug Adobe, mais aussi un trio de vulnérabilités critiques dans la technologie d'accélération matérielle au sein du navigateur. Comme Internet Explorer et Firefox, Chrome utilisent le processeur graphique (GPU) pour traiter certaines tâches. La firme de Mountain View considère habituellement comme « critiques » les failles que les attaquants pourraient utiliser pour contourner la « sandbox » du navigateur.
Les utilisateurs d'autres navigateurs peuvent télécharger la version corrigée de Flash Player à partir du site d'Adobe.
Oracle va corriger 73 failles de sécurité
Sous le nom de Critical Patch Update, Oracle fournit chaque trimestre une mise à jour rassemblant des patches de sécurité pour ses différents produits. Le prochain CPU est prévu pour le mardi 19 avril. Il contiendra neuf rustines pour la gamme Fusion Middleware, quatorze pour l'ERP PeopleSoft, huit pour l'ERP JD Edwards et quatre pour la E-Business Suite.
Deux des correctifs destinés à la base de données sont considérés comme « critiques », ce qui signifie qu'ils sont susceptibles d'être exploités à travers un réseau sans qu'il soit nécessaire de fournir un nom d'utilisateur et un mot de passe, a précisé Oracle dans le bulletin publié hier pour présenter le contenu de la mise à jour. Cette dernière succède à la livraison mensuelle de correctifs livrée mardi par Microsoft (Patch Tuesday), l'une des plus fournies jusqu'à ce jour. Cette semaine, Apple n'a pas été en reste avec des mises à jour pour Mac OS X, Safari et iOS.
Solaris, serveurs Java, Identity Management, Agile, Siebel...
Oracle s'apprête à corriger plusieurs produits du catalogue Sun, dont Solaris et quelques-uns des serveurs Java. Toutefois, les très utilisés clients Java SE et Java for Business ne sont pas concernés par la livraison de mardi prochain. L'éditeur semble essayer d'insérer ses clients Java dans son jeu de correctifs trimestriel, mais cela n'est pas encore vraiment le cas. Ainsi, dans le calendrier 2011 qu'il a présenté, les Critical Patch Update prévus pour Java SE et Java for Business sont annoncés pour le 7 juin et le 18 octobre. On voit donc qu'ils ne sont pas calés avec les correctifs périodiques destinés aux autres logiciels, le prochain de ceux-ci étant programmé pour le 19 juillet 2011.
Parmi les autres produits concernés par la mise à jour du mardi 19 avril figurent la machine virtuelle Java JRockit, versions R27.6.8 et antérieures, Identity Management 10g, Outside In Technology, WebLogic Server, Oracle InForm, Agile Technology Platform (suite Supply Chain), l'application de CRM Siebel, ainsi que les suites bureautiques Open Office, version 3, et StarOffice/StarSuite, versions 7 et 8.
Illustration : montage LMI (source - D.R.) (...)
Patch Tuesday : 64 correctifs dont au moins 1 pour le noyau de Windows 7
Jeudi dernier, Microsoft avait prévenu que sa prochaine mise à jour de sécurité mensuelle comporterait de 17 bulletins corrigeant un nombre record de 64 vulnérabilités, soit 15 de plus que l'édition d'octobre 2010, qui détenait jusque-là le titre. Comme à son habitude, Microsoft n'a pas donné beaucoup détails sur ces futures mises à jour, mais selon Andrew Storms, directeur des opérations de sécurité chez nCircle Security, le nombre élevé de bulletins critiques affectant Windows - neuf en tout, soit plus de la moitié - signifie probablement qu'au moins l'une d'elle concerne le noyau.
« Même si nous disposons de peu d'informations sur les correctifs, je pense qu'il y a une forte probabilité qu'un ou plusieurs correctifs concernent le noyau, » a déclaré Andrew Storms. « Les problèmes de kernel sont récents, » a-t-il ajouté. Sur les neuf bulletins critiques de Windows prévus cette semaine, sept concernent Windows XP, neuf Vista et huit Windows 7.
Des attaques ciblant le noyau de Windows 7
Le dernier correctif du noyau de Windows - le coeur du système d'exploitation - par Microsoft date du 8 février. Mais l'éditeur a aussi corrigé des failles dans son kernel chaque mois pair de l'année 2010. Cette tendance devrait se confirmer avec les correctifs prévus cette semaine. Un autre indice sur la nature du prochain Patch Tuesday a été fourni par Aaron Portnoy, responsable de l'équipe de chercheurs en sécurité chez HP TippingPoint. Dans un message publié hier sur Twitter, dans lequel il répondait à l'entreprise de sécurité française Vupen à propos du nombre record de failles que Microsoft doit corriger, celui-ci écrit : « J'en ai entendu parlé par @kernelpool. »
« Kernelpool, » c'est le surnom du chercheur en sécurité norvégien Tarjei Mandt, qui travaille pour Norman ASA, un éditeur de solutions anti-virus dont le siège se trouve dans une banlieue d'Oslo. Celui-ci a fait état de cinq vulnérabilités du noyau patchées par Microsoft il y a deux mois et de plusieurs autres corrigées au cours de l'années 2010.
Un kernel renforcé dans Windows 8
De plus, lors de la conférence Black Hat sur la sécurité qui s'est tenue à Washington DC en janvier, Tarjei Mandt avait présenté et publié un document sur les techniques exploitant « le pool du noyau » dans Windows 7. Dans le document, le chercheur norvégien écrit : « En dépit des mesures de sécurité mises en place dans Windows 7, le système est toujours susceptible de subir des attaques génériques de type kernel pool. » Comme l'explique Andrew Storms, « ces pools de noyau sont des blocs mémoire réservés au noyau du système d'exploitation. » Au passage Tarjei Mandt dit que Microsoft finira par fermer ces trous. « La plupart des vecteurs d'attaque identifiés peuvent être bloqués en ajoutant de simples systèmes de contrôle ou en entassant des mesures de protections » déclare le chercheur dans son document. « Il est probable que dans les futures versions de Windows et les Service Packs, le pool du kernel soit renforcé. »
« Les autres correctifs de la colossale mise à jour prévue cette semaine concernent les formats de fichiers Excel et PowerPoint, Internet Explorer, la version en ligne de PowerPoint, Graphics Device Interface GDI+, c'est à dire le composant de rendu graphique de Windows, » a ajouté Andrew Storms. Il est possible que Microsoft corrigera les vulnérabilités d'IE8 dévoilées par un chercheur irlandais le mois dernier, lors du concours annuel de hacking Pwn2Own. Stephen Fewer, d'Harmony Security, était parvenu à enchaîner trois exploits pour pirater IE8. En guise de prix, il avait reçu 15 000 dollars et un ordinateur portable Sony du sponsor HP TippingPoint.
[[page]]
Microsoft a dit que les bugs exploités par le chercheur irlandais dans IE8 avaient été corrigés dans IE9, la dernière version du navigateur de Microsoft disponible depuis le mois dernier. « En fait, je m'attendais plutôt à ce que Microsoft dise, sur le blog du Microsoft Security Response Center MSRC, qu'ils corrigeraient les bugs découverts pendant le Pwn2Own, ce qu'ils n'ont pas fait, » a déclaré le chercheur de nCircle. Celui-ci évoquait le message publié jeudi sur le blog du MSRC, listant certains des correctifs du Patch Tuesday de demain. Selon Andrew Storms, « le mois de juin est probablement plus propice pour livrer les correctifs liés aux vulnérabilités de IE découvertes au Pwn2Own, » rappelant que c'est en juin 2010 que Microsoft avait patché les failles IE exploitées au précédent concours 2010.
Quel que soit le contenu du prochain Patch Tuesday de Microsoft, ce qui est sûr, c'est que ce sera un grand jour pour les administrateurs informatiques. « Comme dit parfois mon fils ... c'est giga-énorme, » a déclaré Andrew Storms. « C'est un mois giga-énorme. Ce sera aussi un moment privilégié pour établir ses priorités. »
(...)(07/04/2011 17:18:32)Anonymous attaque les sites de Sony PlaysStation
Après PayPal, Amazon EC2, Visa et Bank Of Amercia, Anonymous a cette fois décidé de s'attaquer à Sony et à son site playstation.com. Le groupe d'activistes en ligne promet de publier des détails personnels sur les dirigeants de Sony et de déclencher une vague de botnets contre les sites du constructeur. Comme promis par le collectif, plusieurs sites officiels PlayStation étaient inaccessibles à 11H 30 du matin sur la côte Est, et ce bien que Sony ait engagé la société Prolexic pour qu'elle atténue l'impact des attaques par déni de services. Une demi-heure plus tard, le site était de nouveau en service, mais il était très lent.
Dans une discussion relayée sur Playstationlifestyle.net avec le blogueur Sébastien Moss, un membre d'Anonymous identifié comme Takai a déclaré hier que le groupe était au courant des actions de Prolexic et qu'il se contenterait d'utiliser des outils Low Orbit Ion Cannon (LOIC). « Nous avons les moyens de faire avec Prolexic », a prévenu Takai. « La dernière chose que nous souhaitions, c'est que Sony pense nous avons été découragés de quelques façons que ce soit. Je dirai cependant que si Sony pense que LOIC est le seul tour dans notre chapeau, il risque de se réveiller en enfer.»
Deux acheteurs de PS3 poursuivis
Dans un chat posté par PlayStation Universe (www.psu.com), quelqu'un qui se prétend affilié avec Anonymous indique qu'il a aligné des botnets pour aider les bénévoles qui ont l'habitude de mener les attaques d'Anonymous Nous avons plusieurs botnets impliqués dans cette attaque, a indiqué l'un des auteurs du chat. Si ces hackers ont réagi, c'est parce que Sony a poursuivi deux propriétaires de la console PlayStation 3. Ces derniers avaient élaboré et publié un code qui permettait à des logiciels tiers, comme le système d'exploitation Linux, de fonctionner sur la console. Or, le constructeur estime que les accords de licence qui accompagnent l'achat d'une PS3 ont été violés.
Reste qu'Anonymous considère cela comme une censure liée à la façon dont Sony conçoit ses produits. « Ces pratiques de corruption sont révélatrices d'une philosophie d'entreprise qui prive les consommateurs du droit d'utiliser les produits qu'ils ont payé, à juste titre, quelque soit la manière dont ils l'utilisent », estime le collectif dans un billet posté sur le site web Anonnews.org annonçant leur opération OpSony, en référence à leur précédente action baptisée Payback.
Les utilisateurs de la console PS3 ont posté des commentaires en disant qu'ils estimaient qu'ils ne devraient pas subir des dysfonctionnements du site web parce qu'ils n'avaient fait rien de répréhensible. « Ces attaques pénalisent d'abord les consommateurs ensuite les développeurs et enfin le constructeur », déplore celui qui s'est identifié comme Morgus sur le site playstationlifestyle.net. « À chacun ses priorités ».
(...)| < Les 10 documents précédents | Les 10 documents suivants > |