Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 341 à 350.
| < Les 10 documents précédents | Les 10 documents suivants > |
(02/12/2010 17:13:39)
Chassé d'Amazon, Wikileaks revient en France et en Suède
Amazon a stoppé l'hébergement de Wikileaks sur son cloud EC2, selon Joe Lieberman, sénateur indépendant du Connecticut qui préside le comité sur la sécurité intérieure et les affaires gouvernementales du Sénat aux Etats-Unis (hsgac.senate.gov). En début de semaine, on disait que le site, sous les feux des projecteurs depuis sa publication de télégrammes diplomatiques confidentiels dimanche dernier, avait trouvé refuge chez Amazon pour échapper aux attaques en déni de service.
Mardi, le comité du Sénat sur la sécurité intérieure a contacté l'hébergeur pour une « explication », relate son président. Le lendemain, il était informé en retour qu'Amazon avait cessé d'héberger le site web Wikileaks. Celui-ci pourrait être maintenant hébergé en France chez OVH selon le site Gizmodo.fr, qui précise qu'il serait « en répartition de charge avec une infrastructure située en Suède ». Ce que confirment les recherches effectuées par nos confrères de Computerworld qui montrent que le site se trouve chez le Suédois Bahnhof Internet AB, une société située au nord de Stockholm.
Les sénateurs américains vont interroger Amazon
Outre-Atlantique, le sénateur Joe Lieberman a précisé qu'il espérait que la décision d'Amazon était intervenue plus tôt, en se fondant sur les précédentes fuites de documents classés confidentiels orchestrées par le site. « Les actes illégaux, scandaleux et irresponsables de Wikileaks ont compromis la sécurité nationale et mis en danger des vies à travers le monde », a-t-il déclaré dans un communiqué. Joe Lieberman considère qu'aucune entreprise responsable ne devrait héberger ces contenus. Il compte obtenir d'Amazon des précisions sur l'étendue de sa relation avec le site controversé et sur les mesures que l'hébergeur prévoit de mettre en place pour s'assurer, à l'avenir, que ces services ne seront pas utilisés pour diffuser des informations volées ou confidentielles. Voilà une question bien délicate pour un Amazon qui vante la facilité d'utilisation de ses services cloud. Tout utilisateur muni d'une carte de crédit et d'une connexion Internet peut s'enregistrer et commencer à utiliser aussitôt Amazon Web Services (AWS).
La récente publication des échanges confidentiels entre le Département d'Etat américain et ses ambassades constitue la deuxième salve de révélations de Wikileaks. L'an dernier, le site avait livré des centaines de milliers de documents relatifs aux conflits militaires en Irak et en Afghanistan. Une diffusion vivement condamnée par les autorités américaines, certains documents contenant des détails embarrassants sur les échanges entre les Etats-Unis et d'autres gouvernements.
Le cloud attire les cyber criminels
Lors d'un discours qu'il a prononcé à Sydney à l'occasion de la conférence annuelle de l'Association internationale des professionnels de la Sécurité Privée (International Association of Privacy Professionals), le ministre australien de l'Intérieur et de la Justice, Brendan O'Connor, a déclaré que les organisations criminelles exploitaient de plus en plus les services en ligne pour atteindre leurs propres objectifs. « Les cybercriminels ne cherchent pas seulement à voler des informations hébergées dans les clouds, ils peuvent aussi y cacher des données, » a-t-il fait savoir. À titre d'exemple, il a cité le cas de fournisseurs de services basés dans des pays peu regardant en matière de cybercriminalité « qui peuvent offrir des hébergements et des services de stockage confidentiels, facilitant ainsi le stockage et la distribution de données criminelles, à l'abri de toute détection par des organismes chargés d'appliquer la loi. » Par exemple, les cybercriminels peuvent utiliser le cloud secrètement pour stocker et vendre du matériel pédopornographique. « Les cybercriminels ont le pouvoir de contrôler les serveurs de ces clouds : ils peuvent empêcher l'accès d'utilisateurs légitimes à des sites web et cibler des sites pour y diffuser des messages ou des images de manière répétée, » a-t-il expliqué.
« Certains pensent également que les clouds peuvent être détournés pour servir de base au lancement de cyber attaques, y compris en utilisant la puissance de calcul des clouds pour casser les données chiffrées après avoir testé toutes les combinaisons de mots de passe possibles. » Selon le dirigeant, l'attaque, fin 2009, contre Google et plusieurs autres entreprises, a rappelé combien les systèmes et les données étaient vulnérables. « L'attaque, qui consistait aussi à pirater les mails de personnes ciblées, a montré la particulière vulnérabilité des informations personnelles et des échanges privés dans l'espace en ligne » a-t-il déclaré. Selon lui, la transparence et la confiance entre les fournisseurs de services cloud, les entreprises et les organismes gouvernementaux, permettraient de limiter les risques posés par la cybersécurité.
Attention à la sécurité des clouds
Pour montrer l'exemple, le gouvernement australien a décidé de s'appuyer sur l'unité High Tech Crime Unit de la Police fédérale australienne (AFP) qui a mis en place un système de traçage développé par CrimTrac pour repérer les matériels pédopornographiques. « Après une large consultation menée auprès du gouvernement, l'Australian Government Information Management Office (Agimo) enquête actuellement sur un certain nombre de questions, comme la vulnérabilité des systèmes de stockage de données offshore; les questions juridiques relatives à l'extra-territorialité en matière de conformité et de vie privée, et les aménagements contractuels nécessaires pour atteindre des niveaux de sécurité appropriés,» a déclaré le ministre. «Parce que les fournisseurs de services cloud ne sont pas interchangeables, les difficultés inhérentes à permuter entre les fournisseurs devront également être prises en compte, avec la possibilité de récupérer les informations en cas de catastrophe ou de défaillance du vendeur. »
En outre, pour les gouvernements, les risques de sécurité ou de confidentialité peuvent être augmentés dans le cas où le cloud héberge des clients indépendants, et partage entre eux du matériel et des ressources logicielles, sans compter que la concentration des ressources et des données en un seul lieu représente en soi une cible de choix pour les cybercriminels. «Étant donné les avantages du cloud computing, et pas seulement pour les entreprises, mais aussi pour les gouvernements et les particuliers, il est impératif de travailler ensemble sur ces enjeux afin de pouvoir profiter pleinement de tout ce que le cloud computing a à offrir», a conclu Brendan O'Connor. Ces déclarations vont dans le même sens que la mise en garde faite au mois de novembre par l'Australian Prudential Regulation Authority (APRA). Celle-ci avait publié une lettre ouverte mettant l'accent sur la nécessité de bien apprécier les risques liés à tout type d'externalisation et de délocalisation, y compris dans le cloud computing.
(...)(30/11/2010 10:49:48)Fuites Wikileaks : le maillon faible de la sécurité reste l'humain
Le site Wikileaks (littéralement : Wikifuites) publie pour la deuxième fois des documents gênants pour les Etats-Unis et provenant d'exfiltrations de données classifiées. En tout, quelques 250 000 documents du département d'Etat [Ministère des Affaires Etrangères] américain auraient été récupérés et seraient en train d'être publiés. De façon inédite, cinq journaux à travers le monde ont collaboré sur l'exploitation de ces données et publient des articles basés sur elles, masquant au passage les identités de personnes physiques potentiellement mises en danger par cette publication : Le Monde (France), le New York Times (Etats-Unis), le Guardian (Royaume-Uni), El Pais (Espagne) et Der Spiegel (Allemagne).
Quelques soient les motivations de chacun dans cette affaire ou les conséquences politiques de ces révélations, il reste des leçons à tirer pour assurer la sécurité informatique. Et pas seulement au Département d'Etat.
Une fuite humaine, trop humaine
L'auteur de la fuite serait un jeune soldat de 22 ans, Bradley Manning. Selon Le Monde, ce jeune militaire serait un exalté ayant eu accès aux serveurs informatiques contenant les données. Il aurait plutôt un profil d'administrateur de serveurs. Selon the Guardian, ce même militaire est plutôt qualifié d'analyste. Dans les deux cas, cette affaire rappelle aux responsables d'entreprise ou de systèmes d'information, que le maillon faible de la sécurité, reste l'humain.
S'il était effectivement administrateur, comme il y a peu dans une affaire impliquant Google, c'est donc un technicien qui aurait eu accès au contenu des données situées sur les serveurs qu'il administrait. Or, fondamentalement, il n'est pas nécessaire pour l'administration technique d'un serveur de disposer d'un tel accès. Usuellement, pour éviter ce genre de soucis, il suffit que les données soient cryptées avec des clés dont l'administrateur du réseau et des serveurs ne dispose pas. Bradley Manning aurait déclaré que les mots de passe mis en oeuvre étaient d'un niveau faible.
Une autre approche serait celle de type DLP (Data Loss Prevention ou Data Leak Prevention). Elle consiste à protéger les données les plus sensibles en empêchant qu'on puisse les sortir d'un périmètre circonscrit ou de les copier sur un support amovible. Or, selon The Guardian et le Monde, cela pourrait être le mode utilisé par Bradley Manning qui aurait recopié les informations sur un CD réinscriptible. Il aurait déclaré "J'ai eu un accès sans précédent à des réseaux classifiés 14 heures par jour, 7 jours par semaine, durant plus de 8 mois."
La protection de type DLP a l'avantage d'être efficace face aux personnels ayant un accès légitime à un moment donné à des données sensibles. Par exemple, si la personne soupçonnée est un analyste.
Au bout du compte, la protection de données sensibles peut passer par la mise en oeuvre de dispositifs lourds de contrôle. Mais on devra d'abord analyser finement les droits d'accès de chaque utilisateur et de chaque administrateur, ainsi que de le niveau de confiance qu'on peut leur accorder. Dans combien d'entreprises les droits d'accès au système d'information sont-ils maintenus à des salariés qui ont quitté l'entreprise ? Encore une fois, la faiblesse d'une procédure de sécurité relève pour beaucoup de l'humain.
Illustration : le site Wikileaks (crédit : D.R.)
(...)
Des composants audio pour pirater les distributeurs de billets
Beaucoup de banques ont des guichets automatiques équipés de dispositifs qui sont conçus pour déjouer le skimming, c'est-à-dire la mise en place d'un lecteur placé dans la fente d'insertion de la carte pour scanner les informations de la piste magnétique d'une carte de paiement. Mais il apparaît maintenant dans certains pays que ces dispositifs sont supprimés avec succès, puis modifié pour le skimming, selon le dernier rapport de l'équipe européenne de sécurité des guichets électroniques (EST), qui recueille des données sur la fraude dans toute l'Europe.
Les équipements de skimming sont conçus pour enregistrer les détails du compte sur la bande magnétique installée sur le dos d'une carte de paiement. Les données peuvent ensuite être codées sur une carte factice. Le code de la personne est souvent capturé par une micro-caméra, fournie avec le terminal illicite, selon le rapport.
Des composants de lecteur MP3 en cause
Les banques dans cinq pays ont également rapporté avoir vu un nouveau type de dispositif de skimming, qui utilise des composants audio utilisés notamment dans les lecteurs MP3 pour enregistrer les détails de la carte. Il dispose également d'une micro-caméra pour enregistrer les codes, selon une photo vue par nos confrères d'IDG NS. Le rapport n'indique pas dans quels pays cette fraude s'est produite. L'EAST souligne simplement que cette attaque s'est déroulée dans un pays qui dispose d'un « vaste déploiement » de distributeurs - où il y a plus de 40 000 machines dans le pays. Ces derniers peuvent être la France, l'Allemagne, l'Espagne, la Russie et le Royaume-Uni.
L'installation de logiciels malveillants sur un guichet automatique est devenue le moyen le plus sophistiqué pour frauder. Les distributeurs automatiques de billets fonctionnent souvent avec des systèmes d'exploitation tels que Microsoft Windows CE et sont vulnérables aux attaques à distance sir des personnes ont réussi à installer des logiciels malveillants. Les deux types d'attaques ont été démontrés par le chercheur en sécurité Barnaby Jack à la conférence Black Hat à Las Vegas en Juillet.
Dans l'ensemble, les banques européennes ont vu un nombre record d'attaque via le procédé de Skimming, mais les pertes ont baissé, selon les chiffres publiés par EAST. Ces dernières s'élèvent à 143,5 millions d'euros pour le premier semestre de cette année contre 154,1 millions d'euros au semestre précédent. La baisse a été attribuée à la généralisation du déploiement en Europe de cartes à puce, plus difficile à falsifier.
Reader X : une sandbox pour sécuriser le lecteur PDF d'Adobe
Le logiciel Reader X inclut un mode protégé basé sur un contrôle de sécurité de type sandboxing, conçu pour prévenir les attaques de logiciels malveillants contre l'application. Sur le blog de l'Adobe Secure Software Engineering Team (ASSET) on peut notamment lire : «Au cours des derniers mois, l'équipe d'ingénierie d'Adobe Reader, en collaboration avec celle de l'Adobe Secure Software Engineering, en partenariat avec la communauté des développeurs de logiciels - dont l'équipe de sécurité de Microsoft Office et les ingénieurs travaillant pour Chrome de Google, avec également des utilisateurs, des consultants dans le domaine de la sécurité informatique, et d'autres intervenants externes, ont travaillé d'arrache-pied pour faire en sorte que la mise en oeuvre de la sandbox apporte une solution aussi solide que possible. Le concept de la sandbox n'est pas exclusif à Adobe. Ainsi que le font remarquer ses ingénieurs, Microsoft, Google, et d'autres éditeurs ont déjà intégré dans leurs produits des contrôles de sécurité mettant en oeuvre le sandboxing. Celui-ci fonctionne comme une zone de stockage tampon dans laquelle les applications sont exécutées, sans la capacité d'affecter les principales fonctionnalités du logiciel ou d'autres éléments de l'ordinateur. Ce système permet de filtrer les processus malveillants, tout en laissant par ailleurs les opérations légitimes s'effectuer sans entrave.
Un outil délicat à calibrer
Kyle Randolph, ingénieur chez Adobe, explique la difficulté de développer une sandbox bien calibrée. « Une sandbox parfaite, c'est comme un ordinateur totalement protégé - ... elle doit ressembler à une machine figée dans le béton, privée d'électricité et déconnectée de tout réseau ! » Une sandbox est caractérisée par les restrictions qu'elle impose à une portion de code en cours d'exécution. À l'inverse, le logiciel doit pouvoir continuer à fonctionner de manière efficace. Il faut donc équilibrer ces objectifs antagonistes : empêcher les mauvais logiciels à faire de mauvaises choses, tout en permettant au bon logiciel de servir ce pour quoi il est fait. Voilà l'impossible équation à laquelle l'ingénieur doit faire face. « La Sandbox n'est pas la solution parfaite. Elle apporte un contrôle de sécurité supplémentaire, en introduisant une surcouche de protection, et pourra empêcher de nombreuses attaques. » Cela ne signifie pas que le Reader d'Adobe est devenu invulnérable ! Adobe explique que « le mode protégé d'Adobe Reader représente un progrès certain en terme d'impact sur les tentatives d'attaque. » Et si la sandbox n'est pas la panacée en matière de sécurité, elle apporte assurément un niveau de défense supplémentaire. « Si les attaquants découvrent des failles de sécurité exploitables, le mode protégé d'Adobe Reader pourra empêcher l'attaquant d'écrire des fichiers ou d'introduire des malwares sur les ordinateurs des victimes potentielles.
Une solution à adopter rapidement
Le mode protégé d'Adobe Reader est construit sur la base du modèle de sécurité de Windows et offre une protection similaire. Une faille dans le système d'exploitation Windows identifiée par un pirate peut servir pour mettre au point une attaque utilisant des fichiers PDF et Adobe Reader comme vecteur. Reste que, comparé aux versions antérieures d'Adobe Reader, ce Reader X devrait apporter une amélioration significative en matière de sécurité et il faut plutôt féliciter l'éditeur de prendre de telles mesures et d'investir pour développer une version plus sûre de son logiciel. Il est recommandé de télécharger cette version sans hésiter et de commencer à l'utiliser dès aujourd'hui sans oublier de rester vigilant.
Pour télécharger Reader X : http://get.adobe.com/reader/
(...)(19/11/2010 11:05:06)Apple corrige 27 vulnérabilités affectant Webkit de Safari
Les navigateurs Chrome et Safari utilisent tous deux WebKit et les 27 vulnérabilités identifiées et corrigées par Apple aujourd'hui concernent toutes le moteur Open Source. La plupart des vulnérabilités corrigées par la mise à jour de Safari - Apple a également corrigé Safari 4 qui fonctionne sous Mac OS X 10.4, alias Tiger - étaient accompagnées du commentaire « pourrait être utilisée pour l'exécution de code arbitraire, » qui équivaut à « critique » dans le langage d'Apple, lequel, comme on le sait, n'établit pas d'échelle de gravité contrairement à d'autres éditeurs de navigateurs Internet tels Google, Microsoft ou Mozilla. Selon Apple, les 23 bugs critiques pourraient être exploitées par des attaques de type « drive-by », c'est à dire des infections provoquées par des pages web dès que la victime accédait à un site malveillant.
Parmi les vulnérabilités non critiques et patchées aujourd'hui, l'une pourrait être utilisée par des administrateurs de sites peu scrupuleux pour espionner discrètement les habitudes de navigation des utilisateurs, même quand les cookies de Safari sont désactivés. Une autre faille pourrait permettre aux voleurs d'identité de détourner le nom de l'URL inscrit dans la barre d'adresse de Safari, une tactique communément utilisée dans le phishing pour récupérer les mots de passe des comptes bancaires en ligne. Apple a également corrigé plusieurs bugs de stabilité, et a amélioré la fiabilité de son outil utilisé pour bloquer les écrans de publicité surgissant. De même l'éditeur a affiné la précision des choix proposés dans le Top Sites, une fonctionnalité de navigation qui conserve les vignettes des sites les plus fréquemment visités.
Des chercheurs venant de la concurrence
Comme cela a été le cas auparavant, Apple a récompensé un grand nombre de chercheurs qui ont identifié les failles, y compris ceux qui travaillent pour des éditeurs concurrents, dont certaines réparées par cette mise à jour. Un tiers des vulnérabilités ont été signalées par les développeurs de Google, l'une a été repérée par un ingénieur de l'équipe de recherche de Microsoft, et une autre a été signalée par une personne travaillant pour Opera Software, la société norvégienne qui a conçu le navigateur du même nom.
La mise à jour d'aujourd'hui, qui fait passer le navigateur en version 5.0.3, est la première depuis le 7 septembre, et la troisième depuis le mois de juin, date à laquelle Apple a livré la version 5 de Safari. Les mises à jour pour Mac OS X 10.5 (Leopard), Mac OS X 10.6 (Snow Leopard), Windows XP, Windows Vista et Windows 7 peuvent être téléchargées depuis le site d'Apple. Sous Mac OS X, les utilisateurs sont informés automatiquement de la disponibilité de la nouvelle version, tandis que les utilisateurs sous Windows sont alertés par l'outil Apple Software Update quand ils ouvrent Safari.
Adobe livre un correctif d'urgence pour son Reader
Le bug le plus notable réparé dans la version 9.4.1 d'Adobe Reader pour Windows et Mac OS X concerne le composant « authplay » qui permet de lire les contenus Flash intégrés dans les fichiers PDF. C'est lui qui a été exploité pour mener avec succès des attaques utilisant des fichiers PDF infectés. Celles-ci ont permis aux attaquants de déposer un cheval de Troie et d'autres logiciels malveillants sur les PC sous Windows de leurs victimes. Ce n'est pas la première fois que l'« authplay » est pris pour cible par les logiciels malveillants cette année, la plus récente attaque datant de juin dernier. Dans la semaine qui avait suivi, Adobe avait expédié un correctif d'urgence pour son Player Flash, et un patch pour Acrobat Reader deux semaines plus tard.
Cette-fois ci, Adobe a réitéré son opération selon un calendrier similaire, corrigeant d'abord son Player Flash le 4 novembre, et maintenant son Reader et Acrobat. Cette méthode à deux niveaux est critiquée par certains qui font remarquer que les exploits sur « authplay » visent généralement Reader et non Flash. Adobe s'est défendu en expliquant que le correctif avait été conçu par son équipe de développement Flash, laquelle transmet ensuite la version corrigée de l'« authoplay.dll » à l'équipe de Reader qui se charge du test et de son intégration dans leurs produits.
L'autre vulnérabilité corrigée avait été rendue publique par la liste de diffusion sur la sécurité Full Disclosure ce mois-ci. À l'époque, Adobe avait déclaré que la faille pourrait être utilisée pour faire planter le Reader, mais pas Acrobat. L'éditeur avait également affirmé qu'il n'était pas certain qu'un ordinateur exécutant son logiciel PDF puisse être affecté par cette faille. Adobe a confirmé cette analyse dans l'avis accompagnant les mises à jour, indiquant que « celles-ci réparent une vulnérabilité de la mémoire qui pourrait conduire à une exécution de code. »
Pas de remise en cause du calendrier des mises à jour
Le calendrier trimestriel prévu par Adobe pour livrer ses correctifs pour Reader et Acrobat est une fois encore bouleversé par l'obligation de publier des patchs d'urgence afin de réparer des bugs critiques dans ses logiciels PDF. Mais Adobe a rappelé aux utilisateurs que la prochaine mise à jour programmée du Reader aurait bien lieu comme prévu le 8 février 2011.
Seules les versions Windows et Mac de Reader et Acrobat ont été corrigées aujourd'hui. La mise à jour du Reader pour Linux/Unix ne sera pas disponible avant le 30 novembre prochain. Adobe a également reporté un patch pour l'ancienne version 8.x, vulnérable au second bogue. « L'éditeur prévoit de corriger Reader 8.x dans la prochaine mise à jour, » indique le communiqué. Aucun des bugs n'a affecté la version du Reader pour Android livrée au mois d'août. La dernière mise à jour du logiciel date du 5 octobre dernier, laquelle corrigeait 23 vulnérabilités du lecteur PDF d'Adobe.
Reader et Acrobat pour Windows et Mac OS X peuvent être téléchargés en utilisant les liens inclus dans l'avis de sécurité d'Adobe. Les utilisateurs peuvent aussi utiliser les mécanismes de mise à jour intégrés de chaque programme pour récupérer les dernières versions.
Zscaler neutralise gratuitement Firesheep
Dévoilé par Eric Butler lors de la conférence sur la sécurité ToorCon qui s'est tenue à San Diego le mois dernier, Firesheep est capable de récupérer des informations de session stockées dans le cookie d'un navigateur web. Ces informations peuvent être facilement collectées quant elles transitent dans les deux sens entre l'ordinateur d'un utilisateur et un routeur WiFi non protégé. C'est le cas par exemple quand une personne est connectée à un service web du type Facebook. En effet, si la plupart des sites cryptent le trafic actif à partir du moment où l'utilisateur entre dans le site avec son identifiant - le chiffrement est indiqué par le cadenas présent en bas de page des navigateurs - la plupart basculent ensuite dans un mode de transmission d'informations non crypté pendant le reste de la session. Une faiblesse contre laquelle les experts en sécurité mettent en garde depuis des années, en particulier pour les utilisateurs des réseaux WiFi publics non sécurisés.
Firesheep détecte le trafic non crypté et permet à un intrus de «détourner» la session en cours, ou de se connecter à un site Web à la place de sa victime, en quelques clics seulement. Ce style d'attaque est possible depuis longtemps. Mais Firesheep apporte aux utilisateurs les moins habiles un outil de piratage puissant et surtout simple à utiliser.
Allumer des contre-feux
L'extension Blacksheep de Zscaler se charge de repérer si quelqu'un utilise Firesheep sur le réseau où il est connecté, laissant à l'utilisateur le soin d'apprécier la meilleure attitude à adopter en matière de sécurité quand il utilise un réseau WiFi ouvert par exemple. Lorsque Firesheep intercepte les informations de session pour un site web donné, il envoie une requête au site concerné en utilisant les valeurs contenues dans le cookie piraté. Le rôle de Blacksheep consiste à envoyer des requêtes HTTP toutes les cinq minutes sur chacun des sites surveillés par Firesheep, mais en utilisant de fausses valeurs de cookie. « Si Blacksheep détecte que Firesheep envoi une requête sur un site en utilisant ces fausses valeurs, il émet alors une alerte, » explique Zscaler.
Les experts en sécurité recommandent aux sites web de sécuriser tout le trafic, mais de nombreux sites ne le font pas, parce que l'opération nécessaire pour maintenir le chiffrement demande une puissance de traitement supplémentaire. Cependant, quelques progrès ont été réalisés : ainsi, depuis le début de l'année 2010, Google a activé, pour tous les utilisateurs de son service Gmail, le cryptage HTTPS auparavant proposé en option. Il existe d'autres moyens de se protéger contre Firesheep, comme par exemple ne pas utiliser les réseaux WiFi ouverts. Si ce n'est pas possible, il existe également l'extension « HTTPS Everywhere » pour Firefox, mise au point par l'Electronic Frontier Foundation, laquelle déclenche automatiquement une session chiffrée avec les sites Web capables d'en établir une. Une connexion VPN peut également servir à contrer ce type d'attaques.
(...)(08/11/2010 14:23:40)
Un bug dans Adobe Acrobat et Reader ouvre la voie à des attaques
Adobe Systems a mis en garde contre le bogue rendu public jeudi et disponible via la liste de diffusion Full Disclosure. L'éditeur américain a fait savoir qu'une attaque utilisant cette faille pouvait planter un ordinateur, indiquant aussi qu'elle « pouvait être utilisée » pour exécuter des logiciels non autorisés sur la machine d'une victime. De quoi attirer les cybercriminels, toujours à l'affût de nouvelles pistes pour diffuser leurs logiciels malveillants.
Vupen Security, qui a testé l'attaque, a établi que cette vulnérabilité pouvait être exploitée pour faire exécuter du code malveillant. « Nous confirmons l'exécution de code dans Adobe Acrobat 9.4 sous Windows, » a affirmé Chaouki Bekrar, le PDG de Vupen, dans une interview. « Les tests réalisés par Vupen ont confirmé que l'attaque pouvait fonctionner sous Windows XP Service Pack 3, » a t-il ajouté. « D'autres plateformes, Mac OS X et Unix / Linux notamment, sont aussi affectées, et il est probable que cette vulnérabilité soit exploitable pour l'exécution de code sur ces systèmes. » Selon Chaouki Bekrar, le crash résulte d'une corruption du plug-in « EScript.api » lors du traitement de la fonction non documentée « printSeps () » dans un document PDF.
Une faille ancienne mais désormais exploitée
Pour ceux qui ont Acrobat Reader sur leur ordinateur, la faille pourrait être exploitée par des cybercriminels soit par le biais de fichiers .pdf envoyés par mail et infectés par du code malicieux, soit via des fichiers .pdf infectés et publiés sur des sites Web.Selon Vupen Security, la faille est en réalité connue depuis beaucoup plus longtemps qu'ils l'ont d'abord imaginé. « Le bug a été initialement décrit par un chercheur russe inconnu qui a posté une preuve de son existence sur son blog il y a 6 mois... Mais il n'a pas été en mesure d'exploiter le crash pour obtenir l'exécution de code,» a déclaré le dirigeant de Vupen. Vendredi, Adobe indiquait qu'elle étudiait encore la question, tout en reconnaissant néanmoins qu'il était possible d'utiliser la faille pour faire exécuter un logiciel sur une autre machine. L'éditeur recommande aux utilisateurs d'essayer son JavaScript Blacklist Framework pour atténuer l'attaque. Les utilisateurs peuvent également désactiver JavaScript dans Acrobat Reader (Edition -> Préférences -> JavaScript). Cela empêche la plupart des attaques connues contre le viewer pdf d'Adobe, mais peut également empêcher les fichiers .pdf de s'afficher correctement. Adobe indique qu'elle prévoit de livrer une mise à jour pour son Reader la semaine du 15 novembre.
(...)(05/11/2010 14:43:37)Un chercheur prêt à livrer un code d'attaque contre Android
M.J. Keith, chercheur en sécurité informatique chez Alert Logic, affirme avoir écrit un code lui permettant de faire exécuter une simple ligne de commande shell par Android, lorsque la victime visite un site web contenant son code d'attaque, en utilisant une faille dans le moteur du navigateur WebKit. Google a confirmé, par la voix de son porte-parole Jay Nancarrow, qu'elle connaissait l'existence de cette vulnérabilité. « Nous savons que WebKit présente un problème qui pourrait affecter les anciennes versions du navigateur d'Android. Mais celui-ci ne concerne pas Android 2.2 ou les versions ultérieures, » a t-il déclaré.
Selon Google, 36,2 % des téléphones sous Android sont équipés de la version 2.2. C'est le cas en particulier des modèles Droid et Evo 4 d'HTC. Seuls des téléphones plus anciens, comme le G1 et le Droid Eris d'HTC, dont le logiciel ne peut pas être mis à jour, pourraient présenter un risque. Mais, parce qu'Android compartimente les différentes composantes du système d'exploitation, l'attaque de M.J. Keith, qui passe par le navigateur, ouvre à tout ce que lit le navigateur, mais ne donne pas un accès complet à la racine d'un téléphone piraté. Cela signifie que l'attaque ne pourrait probablement pas être utilisée pour lire ou envoyer des messages SMS ou effectuer des appels, mais pourrait permettre de voler des photos sur le téléphone ou de s'emparer de l'historique de navigation. « On peut prendre le contrôle total sur le contenu de la carte SD, » a t-il déclaré dans une interview. « S'ils utilisent leur navigateur pour accéder à quoi que ce soit, il doit être possible d'avoir la main sur ces choses là, » a t-il ajouté.
Une faille exploitable sur plusieurs plates-formes
WebKit est un logiciel Open Source utilisé par les navigateurs Safari et Chrome, mais aussi de nombreux autres produits. La faille de WebKit que M.J Keith envisage d'exploiter avait déjà été rendue publique, mais le chercheur l'a maintenant mise à profit contre Android. Il a soumis son attaque sur le site Exploit Database, mais celle-ci n'a pas encore été mise en ligne. Les professionnels de la sécurité sont conscients de l'existence de nombreux bugs non corrigés dans les composants des téléphones mobiles, mais cela fait peu de temps que les smartphones suscitent l'intérêt sérieux dont profitent les systèmes d'exploitation et les applications Windows. C'est le signe que ces questions deviennent de plus en plus de notoriété publique.
En 2008, le chercheur en sécurité Charlie Miller avait remporté 10 000 dollars lors d'un concours de piratage. Il avait réussi à exploiter un bug situé dans le PCRE (Perl Compatible Regular Expressions) inclus dans la bibliothèque WebKit pour Mac. Quelques mois plus tard, il montrait que la même faille pouvait être utilisée pour réaliser une attaque contre Android. « A l'époque, celle-ci avait était corrigée dans WebKit, mais pas dans le système d'exploitation Android, » a indiqué Charlie Miller dans une interview. La semaine dernière, lors d'un audit de sécurité, Coverity a identifié plus de 359 défauts potentiels dans le code source du kernel du système d'exploitation Linux d'Android. Selon son analyse, un quart d'entre eux sont à haut risque et pourraient conduire à des attaques similaires à celle imaginée par M.J. Keith.
La fragmentation d'Android nuit à la difusion d'un patch
L'attaque de M.J Keith met en évidence un problème bien plus grave, lié au nombre multiple de fabricants de téléphones et de fournisseurs de services par lequel Android est distribué. Si l'iPhone ou le BlackBerry nécessitent un correctif de sécurité, Apple ou Research in Motion peuvent le livrer directement à leurs utilisateurs. Mais avec Android, rien de tel : c'est aux fabricants ou aux opérateurs réseau qu'il revient de diffuser les mises à jour logicielles pour les smartphones tournant sous le système d'exploitation de Google. Et tous ne prévoient pas de faire passer leurs téléphones à la version 2.2. « À l'heure actuelle, le problème avec Android, c'est que les gens ne disposent pas immédiatement du patch nécessaire, » a déclaré Robert Graham, PDG d'Errata Security, qui s'attend à voir plus d'attaques du type WebKit dans l'avenir.
(...)| < Les 10 documents précédents | Les 10 documents suivants > |