Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 281 à 290.
| < Les 10 documents précédents | Les 10 documents suivants > |
(16/03/2011 12:23:02)
Avec McAfee, Intel veut sécuriser les terminaux mobiles en mode cloud
Intel va dans un premier temps offrir des produits de sécurité reposant sur des logiciels et des services. Dans un second temps, des fonctionnalités de sécurité seront directement intégré aux PC et terminaux mobiles, avec un effort particulier autour du cloud, a expliqué Renée James, vice-président senior et directeur général de l'activité Software et Services, lors d'une téléconférence avec les analystes financiers. Les récents équipements mobiles comme les tablettes et les smartphones sont de plus en plus vulnérables aux malwares et autres attaques informatiques, constate Renée James. Intel veut concevoir des moyens de gérer la sécurité directement dans le hardware, capables de communiquer en temps réel avec des plateformes basées sur le cloud. Ces dernières pourront ainsi fournir des outils de sécurité comme des anti-malwares, l'authentification des utilisateurs et la vérification des adresses IP ou des sites web, ajoute le dirigeant. « Sur le long terme, la sécurité dans les appareils mobiles sera un facteur de différenciation » a déclaré Renée James et d'ajouter « l'intégration de cette problématique dans le cloud est complexe. Vous ne pouvez pas vous réveiller un matin et décidé de le construire immédiatement ».
Intel a annoncé en août 2009 qu'elle ferait l'acquisition de McAfee pour un montant de 7,68 milliards de dollars, un geste qui a surpris de nombreux analystes en raison de l'absence apparente de synergie. Mais le fondeur a déclaré qu'il voulait apporter des capacités de sécurité pour un certain nombre de ses produits, y compris les puces Atom de faible puissance, qui sont utilisés dans les ordinateurs portables et bientôt déclinées sur les smartphones et les tablettes. L'acquisition de McAfee a été finalisée il y a deux semaines. Intel a défini la sécurité comme le troisième pilier de son offre, en plus de la puissance et de la connectivité. La société a déjà intégré quelques fonctionnalités dans ses puces pour renforcer la sécurité des PC, comme VT qui est une technologie basée sur le matériel pour sécuriser et gérer les environnements virtualisés. Le fondeur de Santa Clara va progressivement faire « évoluer » les capacités du silicium pour que des logiciels et des services spécialisés apportent plus de protection à une large variété d'appareils, a annoncé Renée James.
Un modèle d'abonnement cloud
Intel pourrait utiliser un modèle d'abonnement cloud pour générer des revenus autour de la sécurité, a déclaré Dave DeWalt, président de McAfee, qui fait maintenant partie du fondeur. Une gestion à distance de la plateforme pourrait devenir un point de référence sur la sécurité non seulement pour les terminaux mobiles, mais aussi les imprimantes, les distributeurs automatiques de billets, les points de vente ou tous périphériques connectés au sein d'un réseau «intelligent», affirme le responsable. Il ajoute que les malwares sont généralement stockés dans le logiciel; car il est difficile pour les pirates informatiques d'aller sous le niveau de l'OS, l'aspect sécurité doit donc être intégrée à l'intérieur du matériel. Il existe aujourd'hui 48 millions types de logiciels malveillants dans la nature. Renée James s'interroge lui pour savoir « si les gens paieraient pour un tel matériel » et de se rassurer « nous l'espérons ».
La plupart des smartphones et des tablettes utilisent des processeurs ARM et plusieurs OS comme Android ou iOS. Intel continue à balbutier sur ce marché et la domination d'ARM pourrait être un obstacle. Renée James a déclaré que, d'un point de vue logiciel Intel restera une société multi-plateforme. La fragmentation OS n'est pas un problème pour l'entreprise car les puces x86 peuvent exécuter la plupart des systèmes d'exploitation mobiles [NDLR Windows et Linux seulement pour l'instant].
Intel plus tôt cette année a fait l'acquisition de Nordic Edge, une entreprise de sécurité suédoise connue pour ses produits de gestion de sécurité et de renseignement sur les menaces.
Illustration: Renee James lors de l'IDF 2010
Crédit Photo: Intel
(...)(14/03/2011 16:55:24)Des failles dans WebKit nécessitent des mises à jour pour Chrome et Safari
La semaine dernière, Vincenzo Iozzo, Willem Pinckaers et Ralf-Philipp Weinmann ont remporté 15 000 dollars en réussissant à pirater le BlackBerry Torch de RIM via une faille dans le WebKit du navigateur du terminal. Le même jour, Dion Blazakis et le quadruple vainqueur Charlie Miller ont utilisé une autre vulnérabilité dans WebKit pour craquer Safari sur l'iPhone 4.
Selon Google, le bug exploité par les trois chercheurs a été une « corruption de la mémoire dans le gestionnaire de style ». L'éditeur a évalué cette menace comme « élevée » pour les utilisateurs. Conformément à la pratique de la firme de Moutain View, elle a verrouillé l'accès à ses traceurs de bugs qui permettent de visualiser les détails techniques de la vulnérabilité juste corrigée. Google a également décerné à ces spécialistes la prime de 1 337 dollars de son programme de recherche de bug, Bounty. Cela s'ajoute aux gains perçus lors du concours Pwn2Own.
Apple, qui aura besoin aussi de patcher le même bug, ainsi que celui qui a été découvert par Dion Blazakis et Charlie Miller, ne se prononce pas sur la mise à jour de sécurité.
Chrome et Firefox, non vulnérables
Ni Chrome, ni Firefox de Mozilla n'ont été craqués la semaine dernière lors de ce concours la semaine dernière. Les chercheurs qui s'étaient inscrits sur ces deux navigateurs ne sont pas présentés ou se sont retirés parce qu'ils n'avaient pas réussi à trouver des failles de sécurité.
Les responsables de Mozilla et Google ont vanté les techniques des navigateurs rescapés. « Ouf, Firefox survécu # Pwn2Own 2011. Ce n'est pas un laurier que nous nous adressons, mais c'est une bonne nouvelle », a déclaré Brendan Eich, directeur technique de Mozilla, dans un tweet la semaine dernière. « Félicitations aussi à Chrome le survivant ». « Les deux navigateurs survivant: Open Source, ont des programmes de primes, ont mieux intégré les équipes de sécurité, corrigent les erreurs plus rapidement. Coïncidence ? » a tweeté Chris Evans, un ingénieur de l'équipe de sécurité Chrome.
Les smartphones fonctionnant sous Google Android et Microsoft Windows Phone 7 sont également sortis indemnes du concours.
Illustration : Les trois chercheurs qui ont réussi à craquer le Blackberry Torch
Crédit Photo : D.R
Les voitures, prochaines cibles des pirates informatiques
Des chercheurs de l'Université de San Diego, Californie, et de l'Université de Washington ont consacré les deux dernières années à examiner dans les moindres détails les milliers de composants électroniques des systèmes embarqués dans les véhicules récents. Objectif : chercher des failles de sécurité et étudier si elles peuvent être détournées à des fins malveillantes. Dans un nouvel article, ceux-ci affirment avoir identifié un certain nombre de méthodes qu'un pirate pourrait utiliser pour prendre le contrôle d'un véhicule, notamment certaines attaques impliquant la connectique Bluetooth et les systèmes de réseau cellulaire, ou alors en introduisant des logiciels malveillants par l'intermédiaire des appareils de diagnostic utilisés dans les ateliers de réparation automobile.
Un piratage qui passe par l'autoradio
Mais le système d'attaque le plus intéressant développé par les chercheurs a porté sur l'autoradio. En ajoutant du code supplémentaire à un fichier de musique numérique, ils ont réussi à muter une chanson gravée sur CD en cheval de Troie. Pendant la lecture du fichier sur le système stéréo de la voiture, le code pourrait modifier le firmware du système audio et ouvrir une porte d'entrée aux pirates, ce qui leur permettrait d'agir sur d'autres composants du véhicule. Selon eux, ce type d'attaque pourrait se propager sur les réseaux de partage de fichiers sans éveiller de soupçons. « Il est difficile d'imaginer quelque chose de plus inoffensif qu'une chanson, » a déclaré Stefan Savage, professeur à l'Université de San Diego. L'année dernière, le professeur américain et ses collègues chercheurs ont décrit comment fonctionnait le réseau de composants équipant les voitures actuelles. Ils ont également rapporté une expérience de piratage menée en 2009, au cours de laquelle ils ont réussi à endommager définitivement un moteur, verrouiller les portes, déverrouiller les freins et transmettre de fausses informations au compteur de vitesse d'un véhicule test. Pour réaliser cette expérience, ils ont relié un ordinateur portable au système de diagnostic interne du véhicule afin d'y introduire leur code malveillant.
Déverrouiller à distance un véhicule
Leur dernier challenge : trouver un moyen de contrôler la voiture à distance. « Notre article traite des difficultés rencontrées pour accéder aux commandes, » explique le professeur Savage. Au final, le document fait état de plusieurs méthodes pour y parvenir. « En fait, toutes les attaques - via Bluetooth, le réseau cellulaire, les fichiers de musique infectés par un code malveillant et les outils de diagnostic utilisés par les garagistes - ont pu être reproduites à distance, malgré une vraie difficulté à se connecter » indique Stephan Savage. « Mais la meilleure méthode reste celle que nous avons expérimenté en premier, c'est à dire en connectant un ordinateur à l'intérieur du véhicule, » a-t-il ajouté. La recherche met en évidence de nouveaux types d'attaques qui pourraient être utilisées dans le futur. Par exemple, les voleurs pourraient déverrouiller les portes des véhicules à distance et envoyer ses coordonnées GPS et son numéro d'identification à un serveur central. « Un voleur audacieux n'aurait plus besoin de voler les voitures lui-même, mais il pourrait vendre ses services à d'autres voleurs, » déclare Stephan Savage. « Un voleur à la recherche de certains types de voitures dans une zone géographique donnée pourrait demander qu'elles soient déverrouillées et identifiées, » ajoute-t-il. Le rapport des chercheurs ne mentionne pas la marque ni le modèle du véhicule qu'ils ont réussi à pirater en 2009...
[[page]]
Des problèmes de sécurité à venir
Les universitaires ont présenté leurs travaux au Comité de l'Académie nationale des sciences chargé du Contrôle électronique et des accélérations non intentionnelles. Celui-ci a été créé l'an dernier pour étudier la sécurité des systèmes électroniques embarqués dans les véhicules, suite au rappel massif de voitures par Toyota et des rapports faisant état d'accélération involontaire dans des véhicules de la marque. Après coup, ce problème n'était pas lié aux systèmes électroniques, mais a été attribué aux tapis de sol, aux pédales d'accélérateur collantes et à des erreurs de conduite. Compte tenu de l'important obstacle technique à surmonter, les chercheurs pensent que les actes de piratage contre les voitures seront très difficiles à réaliser. Néanmoins, les chercheurs veulent que l'industrie automobile soit consciente des problèmes potentiels que cela pourrait poser. Selon Tadayoshi Kohno, professeur adjoint à l'Université de Washington qui a travaillé sur le projet, le piratage informatique des véhicules « est peu probable. » Néanmoins, celui-ci estime que les clients ordinaires voudront savoir si le véhicule qu'ils achètent tous les cinq ans... sera à l'abri de ces problèmes. »
Beaucoup d'effort pour attaquer un modèle
Les voleurs de voitures sont aussi face à une autre difficulté : les unités de contrôle électronique intégrées sont très différentes d'un véhicule à l'autre. Même si une attaque peut fonctionner sur type de véhicule d'une année donnée, il est peu probable que celle-ci soit utilisable pour un autre modèle. « Pour pirater un seul type de véhicule, il faudra investir beaucoup de temps, d'argent et de ressources, » a déclaré Brian Herron, vice-président de Drew Technologies, une société basée à Ann Arbor, Michigan, qui fabrique des outils pour les systèmes informatiques embarqués. « Ce n'est pas comme le piratage de Windows où il suffit d'exploiter une vulnérabilité mise en évidence. » Selon Stephan Savage et Tadayoshi Kohno, les constructeurs automobiles ont pris leurs travaux et les questions de sécurité qu'ils soulèvent, très au sérieux.
Crédit photo : Autosec.org
(...)(10/03/2011 17:05:56)La mise à jour sécurité d'Android infectée
Symantec a trouvé une application nommée « Android Market Security Tool » qui est une version reconditionnée de la mise à jour officielle et qui porte le même nom. Cette application vise à éliminer le malware DroidDream sur des terminaux contaminés. La fausse mise à jour envoie des SMS à un serveur de prise de commande et de contrôle, écrit Mario Ballano, membre de Symantec. Cette application a été retrouvée sur un MarketPlace chinois non autorisé. Le code est en cours d'analyse, mais « ce qui est intriguant, c'est que le code de la menace semble être basée sur un projet hébergé sur Google Code et sous licence Apache, » précise le blogeur.
Cette fausse mise à jour montre l'intérêt croissant que portent les pirates pour Android. Il faut dire que les chiffres récents du Gartner montrent une forte croissance de ventes de smartphones sous cet OS mobile (67 millions vendues en 2010).
Des mises à jour difficiles à effectuer
La semaine dernière, Google a pris l'initiative rare d'imposer « Android Market Security Tool Mars 2011 » sur les terminaux atteints par le malware DroidDream. Généralement, cette opération de mise à jour est prise en charge soit par les constructeurs mobiles, soit par les opérateurs sont responsables. Le correctif ne fait pas que colmater la faille qui a permis d'infecter les smartphones, mais supprime aussi les logiciels malveillants, indique dans un blog Timothy Armstrong, un analyste junior sur les malware auprès de Kaspersky Lab.
L'intervention de Google met en exergue les problèmes d'Android sur la façon d'être mis à jour. « En raison de la nature d'Android dans son état actuel, il est très difficile et coûteux de pousser les mises à jour de sécurité comme vous le feriez sur un système d'exploitation comme Linux ou Windows, » explique Timothy Armstrong. « Contrairement à l'iPhone, qui installe les correctifs via iTunes ou Windows Mobile qui utilise ActiveSync, Android fonctionne presque entièrement en mode over the air (via les ondes radios) » conclut le consultant.
(...)
Microsoft corrige un bug Windows critique sans toucher à IE
Microsoft a qualifié ce Patch Tuesday de « promenade » pour les utilisateurs. « C'est un mois favorable, » a ainsi déclaré Jerry Bryant, group manager du Microsoft Security Response Center (MSRC) l'entité chargée de pister, de corriger et de livrer les correctifs pour les produits Microsoft.
L'éditeur a aussi pris pour habitude de livrer moins de correctifs les mois impairs. En janvier, par exemple, seules trois vulnérabilités ont été patchées, alors que le mois dernier la mise à jour mensuelle corrigeait 22 vulnérabilités. Une seule des trois mises à jour, le « bulletin » MS11-015, a été jugée «critique», soit le niveau de menace le plus élevé dans le classement de l'éditeur, et les deux autres d'« importantes », soit au second rang de cette classification. Le bulletin critique corrige deux vulnérabilités, dont une dans les composants de Windows Media Center et de Windows Media Player que l'on trouve dans la plupart des versions de Windows. « Celle-ci nous inquiète particulièrement » a déclaré Wolfgang Kandek, CTO de Qualys. La faille se trouve dans les fichiers d'enregistrement vidéo numériques (DVR-MS), créés par le moteur Stream Buffer Engine (SBE) et portant l'extension de fichier .dvr.ms. « C'est un bug lié au navigateur et au site visité, » a déclaré Jerry Bryant, pour expliquer que les attaquants devaient amener les utilisateurs à visiter un site malveillant pour exploiter la vulnérabilité. Selon Andrew Storms, directeur des opérations de sécurité chez nCircle Security, « c'est un drive-by bug, ». « Il existe deux méthodes pour l'exploiter, la première dans un IFRAME, c'est le drive-by classique. L'autre méthode consiste à envoyer un fichier en pièce jointe par mail : les utilisateurs doivent l'ouvrir pour en voir le contenu, car il ne génère pas de preview dans le client mail. » Toutes les éditions de Windows, que ce soit Windows XP, Vista et 7, sont vulnérables tant que ce correctif n'est pas appliqué. « Seule exception : Windows XP Home Edition, qui ne prend pas en charge le codec malveillant, » a déclaré Angela Gunn, senior communications manager du MSRC.
Une vulnérabilité récurrente
La seconde vulnérabilité MS11-015, et les deux autres failles décrites dans les bulletins MS11-016 et MS11-017, concernent le détournement de DLL, parfois appelé bug « binaire entrainant le plantage de la machine. » En août dernier, les chercheurs avaient déjà révélé des problèmes conséquents de détournement de DLL dans Windows, mais aussi dans un grand nombre d'applications de tierce-partie. Microsoft avait commencé à corriger ce problème de DLL dans ses propres programmes en novembre dernier. En décembre, Jerry Bryant avait déclaré que Microsoft pensait avoir résolu tous les problèmes relatifs à cette question. Mais en janvier et février, l'éditeur a fourni des correctifs supplémentaires pour corriger ce problème. « Nos investigations se poursuivent, » a déclaré hier le group manager. « Même si nous pensons avoir identifié tous les problèmes de détournement de DLL dans IE, nous continuons à examiner les autres produits de notre gamme. »
Wolfgang Kandek et Andrew Storm estiment quant à eux que Microsoft continuera à produire des correctifs pour régler le problème du détournement de DLL pendant encore un certain temps. « Cela va durer, non seulement pour les produits de Microsoft, mais aussi pour les produits tiers, » a ainsi déclaré Wolfgang Kandek. Suite à l'alerte diffusée en août, Microsoft avait sorti en urgence un outil pour bloquer les attaques potentielles. Mais les pirates n'ont pas utilisé la technique pour attaquer les ordinateurs sous Windows, ou s'ils ont essayé, leurs tentatives n'ont pas été détectées. Pour Andrew Storm, ce n'est pas une surprise. « Ces failles sont très difficiles à exploiter,» a t-il affirmé. « L'an dernier, cela avait effrayé tout le monde, mais il s'est avéré que le détournement de DLL n'était pas si facile à exploiter. Pour que l'exploit soit efficace, il faut que l'utilisateur se rende sur le site malveillant, ouvre un fichier, que l'attaquant introduise le DLL malveillant et substitue un fichier infecté. Cela représente un certain nombre d'étapes. » HD Moore, directeur de la sécurité chef Rapid7 et créateur de la boîte à outil Open Source de piratage Metasploit, a rappelé aujourd'hui aux entreprises qu'elles pouvaient rendre les attaques de détournement de DLL plus difficiles encore : en désactivant le service client WebDAV sur tous les ordinateur sous Windows, et en bloquant les ports sortants 139 et 445. L'an dernier, le responsable de Rapid7 avait été l'un des premiers à révéler la nature de cette nouvelle menace.
Pas de modification d'IE avant le Pwn2Own
Cela n'a pas incité Microsoft à corriger IE avant le Pwn2Own qui démarre aujourd'hui. La conférence du hacking, qui met chaque année des chercheurs en sécurité au défi de casser les sécurité des navigateurs internet, Internet Explorer de Microsoft, Safari d'Apple, Chrome de Google et Firefox de Mozilla, se passe en même temps que la conférence sur la sécurité CanSecWest qui se tient à Vancouver du 9 au 11 mars. Le premier chercheur qui réussira à pirater IE, Safari ou Firefox recevra un prix de 15.000 dollars. Et 20.000 dollars s'il parvient à craquer Chrome. Pour Jerry Bryant, il était inutile de perturber les utilisateurs avec une mise à jour de sécurité uniquement pour donner plus de chance à IE de passer l'épreuve du Pwn2Own. « Le concours n'est pas une raison suffisante pour perturber nos clients, » a ainsi déclaré le responsable du MSRC. « Le fait de sortir de notre calendrier de mise à jour est un motif de rupture potentiel, et nous n'avons pas de raison de prendre une telle décision aujourd'hui, sauf s'il était avéré que la vulnérabilité était utilisée de manière active par des attaquants. »
La réponse de Microsoft à propos du patch éventuel d'IE avant le Pwn2Own n'est pas une surprise : les mises à jour d'IE sont réservées aux mois pairs, et le dernier patch du navigateur date du 8 février. « Dans tous les cas, » a ajouté Jerry Bryant, « il n'y a pas de risque à ce que les failles éventuellement découvertes pendant le concours Pwn2Own ne s'échappent dans la nature, puisqu'il est entendu que les bugs sont d'abord signalés aux vendeurs. » C'est le programme Zero Day Initiative (ZDI) initié par HP TippingPoint, qui sponsorise le concours Pwn2Own, paye la majorité des prix en argent comptant, en contrepartie des droits sur les bugs exploités au concours, qu'il revend aux éditeurs. Après quoi, le ZDI accorde six mois aux développeurs pour corriger ces bugs avant de rendre ses informations publiques. C'est ainsi que Google et Mozilla ont récemment patché leur navigateur - Google a même livré une nouvelle mise à jour hier - et Apple devait mettre à jour Safari avant le début du concours Pwn2Own.
Les mises à jour de sécurité de Microsoft peuvent être téléchargées et installées en utilisant les services Microsoft Update et Windows Update, et Windows Server Update (WSUS) pour la version serveur.
Bercy piraté : « des professionnels déterminés et très organisés »
Ce sont des professionnels, déterminés et très organisés qui ont mené l'attaque d'espionnage informatique dont vient d'être victime le système d'information des ministères économique et financier. Patrick Pailloux, le directeur général de l'ANSSI, a été formel sur ce point lors du point presse que l'Agence nationale de la sécurité des systèmes d'information a tenu lundi 7 mars au soir, au secrétariat général de la Défense nationale, à Paris. Les hackers ont « attaqué un très grand nombre de cibles au sein de Bercy, plus de 150 ordinateurs, persisté pendant un certain temps, et utilisé des infrastructures sur Internet pour anonymiser et exfiltrer leurs informations de façon assez sophistiquée. Nous ne sommes pas en face d'amateurs, c'est une véritable opération d'espionnage ». Dans l'administration, il n'y a pas eu jusqu'à présent d'attaques de cette ampleur.
Les pirates s'intéressaient au G20 et globalement à la politique économique menée par la France à l'échelle internationale. « Nous avons beaucoup d'éléments techniques qui le confirment », a indiqué Patrick Pailloux. En revanche, il est absolument impossible de donner des informations sérieuses sur l'origine de l'intrusion et a fortiori sur ses commanditaires. Une enquête est en cours dont le Parquet de Paris a été saisi. Remonter jusqu'à la source de l'attaque « n'est pas gagné, mais l'expérience montre que cela arrive », a indiqué le directeur de l'ANSSI en rappelant que tout pirate pouvait faire des erreurs. En revanche, pour ne pas donner de clés aux attaquants, il n'a fourni aucune précision sur la façon dont travaillaient les enquêteurs des services spécialisés qui cherchent à remonter la chaîne d'ordinateurs utilisés par les pirates, signalant simplement que cela mobilisait « des ressources assez pointues, des experts de très haut niveau ».
Pas seulement un cheval de Troie
Interrogé par ailleurs sur les similitudes entre le mode opératoire de l'attaque et celui qui a récemment visé le SI du ministère des finances canadien (dont on a dit qu'elle provenait de Chine), Patrick Pailloux n'a pas souhaité faire de commentaires, tout en admettant les ressemblances. Les attaquants du SI de Bercy ont ciblé un certain nombre de personnes auxquelles ils ont adressé des messages, accompagnés d'une pièce jointe, en se faisant passer pour certains de leurs collaborateurs ou partenaires internationaux. Le document joint était en rapport avec les centres d'intérêt des personnes qui ont donc cliqué sur le fichier piégé. Un cheval de Troie s'est installé sur l'ordinateur dont il a pris le contrôle. « A partir de là, le pirate peut à distance faire ce qu'il veut ». Néanmoins, a précisé Patrick Pailloux, « il n'y avait pas seulement un cheval de Troie, c'était une attaque organisée avec plusieurs moyens techniques, divers, et qui ont évolué dans le temps ».
Pour lancer ce type d'actions, il faut des moyens, certes, mais qui ne sont pas insurmontables, souligne Patrick Pailloux. « Il n'y a pas besoin d'être un Etat extraordinairement doté pour mener ce genre d'attaque ». D'ailleurs, tous les scénarios sont possibles, estime-t-il. Il peut s'agir de personnes manipulées ou dont on loue les services. « Des affaires d'espionnage, on en trouve beaucoup. Là, nous parlons d'une affaire qui a touché l'Etat de façon assez sérieuse, mais il y a parfois dans les administrations des attaques qui peuvent être quasiment individuelles pour espionner des individus. Et les motivations peuvent être extrêmement variées ».
150 postes touchés sur 170 000
L'ANSSI a mené plusieurs opérations « en liens directs et étroits, à la fois avec les services de Bercy et avec les services de police », a expliqué ce lundi soir Patrick Pailloux. La première a consisté à comprendre ce qui se passait techniquement. « Quand des pirates mènent ce genre d'attaques, il le font de façon extrêmement discrète. Il y a eu jusqu'à la semaine dernière un travail très important pour essayer de comprendre dans le détail quelle était cette attaque, comment elle marchait et quels outils techniques étaient utilisés, quels virus, quels vers, quels chevaux de Troie », a relaté le directeur. En parallèle, il a fallu cerner l'étendue de l'attaque. « C'est une opération de grande ampleur que nous avons mené sur l'ensemble de Bercy, ce qui représente 170 000 ordinateurs. Nous avons fait bien sûr des vérifications dans d'autres administrations qui étaient potentiellement concernées et sur lesquelles on voyait par ailleurs des tentatives d'attaques. » Au final, 150 ordinateurs étaient touchés. D'après ce qu'il a été observé, l'attaque n'a pas réussie ailleurs, notamment, cela n'a pas atteint à Bercy les dossiers personnels et fiscaux.
Ce week-end, pour sécuriser les contenus, une très importante reconfiguration de l'informatique du ministère des Finances a été conduite. « Nous avons complètement coupé Bercy d'Internet et un certain nombre de travaux ont été menés jusqu'à la reconnexion lundi matin. Cela a mobilisé 150 personnes ce week-end. »
Illustration : Patrick Pailloux, directeur général de l'ANSSI, lors du point presse du lundi 7 mars 2011 (crédit : MG).[[page]]
Questionné sur le profil des personnes ciblées par l'attaque, le directeur de l'ANSSI a indiqué que, comme l'expérience l'avait montré dans les affaires d'intelligence économique, les gens étaient visés tout azimuts. « Parfois, une attaque sur une secrétaire peut être plus efficace que sur un patron ». Quant aux documents volés, ils vont de l'information banale au document sensible. En revanche, « les documents classifiés ne sont pas concernés », a affirmé Patrick Pailloux. Il y a à Bercy un intranet interministériel nommé Isis, utilisé pour traiter les informations classifiées Défense et totalement isolé, sur lequel ont été placés des dispositifs de sécurité considérables. « Mais vous imaginez bien que l'on ne peut pas déployer ce genre de systèmes partout. Cela coûterait des fortunes. On le limite donc aux informations les plus sensibles ».
Prendre conscience de la réalité de la menace
Alors, l'Etat français est-il suffisamment protégé ? « C'est ce que nous essayons de faire à l'ANSSI. C'est la raison d'être de la création de l'agence de déployer de nouveaux dispositifs de sécurité et de renforcer la protection. » Patrick Pailloux considère néanmoins qu'un effort considérable est consenti en matière de moyens financiers. « Cette année, nous allons recruter, turnover compris, probablement autour de 70 personnes. Il y a 40 créations de postes au sein de mon agence. Pour les avoir vues à l'oeuvre, je peux vous dire que les équipes de mon agence sont à un niveau exceptionnel. » Même si les moyens ne sont jamais suffisants, on ne pourrait pas aller beaucoup plus vite, estime le directeur. En 2012, le budget annuel de l'ANSSI devrait atteindre 90 millions d'euros (salaires compris).
Mais en dehors de l'administration, ce qui est arrivé à l'Etat pourrait aussi susciter une prise de conscience du côté des entreprises. « C'est une des raisons pour lesquelles nous avons voulu communiquer, a affirmé Patrick Pailloux. Certaines entreprises sont souvent très peu conscientes du niveau de risque qu'elles prennent. C'est pourquoi nous souhaitons dire que ce sont des sujets dont il faut parler parce qu'il s'agit d'une menace qui est totalement réelle. Nous espérons ardemment que cela va participer à la sensibilisation. »
(...)(07/03/2011 17:06:24)Google améliore la sécurité des applications sur Android Market
« Nous avons identifié et supprimé les applications malveillantes. Elles ont profité de vulnérabilités connues mais n'affectent pas les versions 2.2.2 ou supérieur d'Android », a déclaré Rich Cannings, spécialiste la sécurité sur l'OS mobile de Google, sur le blog de l'éditeur.
« Un certain nombre de mesures ont été prises pour protéger ceux qui ont téléchargé une application malveillante. Nous les avons retiré de la plateforme Android Market, suspendu les comptes développeurs associés et communiqué les informations à la Justice. Par ailleurs, nous avons éliminé à distance les applications malveillantes qui ont touché les terminaux », a ajouté Google confirmant ainsi l'existence d'un« coupe-circuit » pour les applications.
Un coupe-circuit via une mise à jour
L'éditeur a déclaré que ce procédé est intégré dans une mise à jour de sécurité de l'application Android Market, poussée sur les équipements infectés. « La mise à jour inverse le processus mis en place par les logiciels malveillants pour empêcher le ou les pirates d'accéder à plus d'informations depuis le mobile. » La firme de Moutain View a dit que ceux touchés par les applications malveillantes recevront un email de android-market-support@google.com au cours des prochaines 72 heures et qui leur indiquera « Android Market Security Tool Mars 2011» a été installé.
« Des mesures supplémentaires ont été apportées pour aider à prévenir ce type d'attaques utilisant des failles sur des applications distribuées via Android Market. Un travail avec les partenaires a été réalisé pour fournir des correctifs sur des problèmes de sécurité sous-jacents », a ajouté Rich Cannings.
En complément, le filtrage des applications pourrait être aussi renforcé. La plupart des spécialistes de sécurité avaient alerté les utilisateurs sur des risques plus élevés d'attaques sur une plateforme ouverte comme Android.
(...)(07/03/2011 12:00:27)
WordPress: Les attaques DDoS provenaient de Chine
Les attaques par déni de service (DDoS) qui ont frappé la plate-forme de publication de blog WordPress.com la semaine dernière provenaient de Chine selon le fondateur du site. Une attaque DDoS consiste à utiliser simultanément des centaines ou des milliers d'ordinateurs pour bombarder de données un site web et le rendre inaccessible. Les ordinateurs à la base de telles attaques ont généralement été infectés par des malwares afin qu'ils puissent être utilisés sans le consentement et à l'insu de leurs propriétaires.
Les actions malveillantes, qui ont provoqué des ralentissements sur le site WordPress.com, ont été suffisamment graves pour perturber l'activité de l'entreprise dans ses datacenters de Chicago, de San Antonio et de Dallas. Depuis ce lundi, le site est revenu à la normale. WordPress a également indiqué que ces attaques auraient pu être motivées par des motifs politiques et ciblaient particulièrement un blog en langue chinoise non cité par la société. « Ne pensez pas que c'est seulement politique », a toutefois déclaré le fondateur de WordPress, Matt Mullenweg, à nos confrères d'IDG News Service dans un mail. « Cependant les attaques proviennent bien de Chine. » Matt Mullenweg n'a pas opéré de changement d'opinion sur ce point ni apporté plus de détails sur la source de ces attaques. Les frappes directes de « plusieurs gigabits par seconde et de plusieurs dizaines de millions de paquets par seconde » étaient« les plus grandes et les plus soutenues » dans l'histoire de WordPress qui a 6 ans d'existence, a simplement précisé le dirigeant.
La mère de toutes les attaques DDoS ?
Selon le fournisseur de sécurité McAfee, la Chine a souvent été citée comme le pays à l'origine de plusieurs cyberattaques majeures. Les hackers chinois ont été accusés de lancer des intrusions pour dérober des gigaoctets de données dans des entreprises énergétiques étrangères. En 2009, Google a également été la victime d'une attaque qu'il présumait provenir de Chine.
Très souvent, la véritable source d'une attaque en déni de service n'est pas claire. Alors que les ordinateurs lançant des attaques sont basés dans un pays, ils pourraient être sous le contrôle de pirates opérant dans un pays tiers. Les utilisateurs susceptibles d'être infectés par des logiciels malveillants qui peuvent être utilisés pour des attaques par saturation, sont ceux qui ne disposent pas d'antivirus et qui ne font pas les mises à jour de leur système d'exploitation.
Le gouvernement chinois a réagi à ces accusations, en disant qu'il niait être impliqué dans une cyber-attaque. «L'allégation que la Chine soutient le piratage est sans fondement », avait déclaré le mois dernier un porte-parole du ministère des Affaires étrangères de la Chine.
Illustration principale : Matt Mullenweg, fondateur de WordPress, crédit photo D.R.
Wordpress victime d'une attaque DDOS géante
Dans une déclaration officielle, Wordpress a décrit une attaque de « plusieurs gigabits par seconde et des dizaines de millions de paquets par seconde » Elle a affecté trois datacenters de la société à Chicago, San Antonio et Dallas. Les ralentissements ont très vite été remarqués par les journalistes et les éditeurs mardi dernier, car beaucoup utilise le système de gestion de contenu en ligne.
«WordPress.com est la cible d'une attaque en déni de service de très grande ampleur qui affecte l'accès à la plate-forme » a précisé l'éditeur dans un communiqué une heure après avoir eu connaissance de l'attaque et d'ajouter «nous travaillons afin d'atténuer cette agression, mais en raison de son ampleur, il s'avère plutôt difficile de le juguler ».
Des soupçons d'hacktivisme
Le fondateur de Wordpress Matt Mullenweg a depuis, dans un mail, fait allusion à la motivation d'un tel événement. « Il s'agit de l'attaque la plus grande et la plus soutenue que nous avons depuis nos 6 ans d'existence. Nous pensons qu'elle pourrait avoir été politiquement motivée contre l'un de nos blogs non-anglais, mais nous sommes en train d'enquêter sans détenir de preuve définitive pour le moment. » Il ne s'agit pas de la première attaque subie par Wordpress, mais le volume concerné est considéré comme préoccupant.
A titre de comparaison, une analyse en 2008 sur les attaques en DDOS d'Arbor Networks sur Wordpress, avait recensé 268 attaques sur une période de sept jours. Au plus haut des agressions, la société avait recensé 24 000 paquets par seconde. En atteignant le gigabit et la délivrance de millions de paquets par seconde, cela montre que les pirates disposent de ressources en forte augmentation. (...)
La police britannique demande aux internautes de leur faire suivre les scams
Pour la première fois les utilisateurs de messagerie au Royaume-Uni sont invités à transmettre directement à la police les messages qu'ils croient susceptibles d'être liés à la fraude ou au phishing . Les forces de l'ordre souhaitent ainsi collecter des données en temps réel sur des menaces liées à la cyber criminalité. Depuis le 25 février, un service géré par le National Fraud Intelligence Bureau (NFIB) se charge de réceptionner ce type d'e-mails, en complément du service de déclaration en ligne qui existe actuellement pour les personnes qui pensent qu'elles ont été victimes d'escroqueries en ligne ou hors ligne. L'adresse du service est email@actionfraud.org.uk. Tous les courriels frauduleux peuvent y être transmis, que ce soit la fraude 419 (aussi appelée scam 419, ou arnaque nigériane), les phishing ou la masse de spams pharmaceutiques du type de ceux qui remplissent les boîtes de réception de haut en bas.
Pallier au manque de visibilité
La police britannique veut avoir sous les yeux autant d'exemples que possibles et ce pour une bonne raison. L'analyse des systèmes de réponse aux spams repose essentiellement sur l'installation des serveurs qui permettent de recevoir du spam. Mais pour la police, cela a pour défaut d'entraîner un manque de visibilité sur les menaces qui passent à travers les couches de filtres utilisés par les FAI et les utilisateurs eux-mêmes lorsqu'ils souhaitent atteindre de vraies personnes. «C'est la première fois que nous sommes en mesure de recueillir et d'analyser des scams et des e-mails de cette façon », a déclaré Bernard Herdan, président de la National Fraud Autorité (NFA). « La collecte de renseignements constitue la clé de notre capacité à interrompre les activités des fraudeurs et à cibler leurs réseaux pour pouvoir les fermer. »
En plus de la NFIB qui recueille des données sur des courriels frauduleux, le site utilisé pour obtenir des informations sur des événements liés à des fraudes est l'Action Fraud, un organisme géré par la NFA. Le bureau qui enquête sur ces crimes est l'unité de police des crimes électroniques (Police Central e-crim Unit ou PCeU) qui peut dans certains cas, transmettre des informations à l'Office Serious Organised Crime (SOCA). Le Get Safe Online, issu du partenariat entre le gouvernement et le secteur privé et qui reproduit une partie de cette action contre la fraude, vient compléter l'ensemble.
Illustration : Policiers britanniques. Crédit photo : D.R
(...)
| < Les 10 documents précédents | Les 10 documents suivants > |