Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 411 à 420.
| < Les 10 documents précédents | Les 10 documents suivants > |
(15/07/2010 15:20:12)
Oracle publie 59 correctifs de sécurité, dont trois critiques
Sur les 59 patchs annoncés dans le cadre de la campagne trimestrielle Critical Patch Updates d'Oracle, 13 concernent des problèmes de sécurité fragilisant la suite de base de données maison et 28 pour des vulnérabilités exploitables à distance et considérées d'une importance capitale par l'éditeur. : elles permettent en effet de prendre le contrôle des systèmes sans avoir besoin de s'identifier par un nom d'utilisateur ou un mot de passe. « Trois de ces patchs sont essentiels car ils portent sur des défauts particulièrement dangereux dans toutes les versions database server d'Oracle, » a déclaré Josh Shaul, directeur de la gestion produits chez Application Security, un spécialiste en solutions de sécurité basé à New York. L'une des failles, qui porte le numéro CVE-2010-0902, permet à tout utilisateur authentifié au sein d'une base de données Oracle de disposer d'un accès administrateur total. «Ils peuvent consulter la base de données, la modifier ou arrêter le serveur de base de données. En un mot, ils disposent de toutes les autorisations administrateur de la base de données, » a expliqué Josh Shaul.
Des failles critiques pour les entreprises
Les deux autres failles critiques affectant la base de données pourrait être exploitées sans que l'utilisateur ait même besoin d'être connecté à la celle-ci. Elles permettraient notamment à un attaquant de déclencher un déni de service (DoS) contre la base pour la rendre inaccessible aux utilisateurs légitimes. «Ce sont trois vulnérabilités très dangereuses pouvant mettre à néant la base de données, » a encore déclaré le responsable d'Application Security. « L'indice établi par Oracle pour classer les failles par niveau de gravité ne reflète pas la véritable nature de la menace, » a t-il commenté.
[[page]]
La suite de produits Solaris acquise par Oracle avec le rachat de Sun Microsystems est concernée par 21 correctifs dans le total de ceux qui ont été livrés, dont 7 sont exploitables à distance. Dix-sept des correctifs réparent des failles dans E-Business Suite et Supply Chain Management (SCM), dans la suite JD Edwards de PeopleSoft. Une autre série corrige 7 failles dans les produits Fusion Middleware d'Oracle, tandis que l'un des correctifs colmate un trou dans Enterprise Manager Grid Control.
Mise en oeuvre prudente
Comparativement aux livraisons précédentes, le nombre de correctifs appliqués cette fois-ci est globalement assez faible. En Janvier 2006 par exemple, Oracle avait publié 82 correctifs après une mise à jour effectuée en octobre qui réparait déjà 101 bugs. Dans le passé, les administrateurs d'Oracle ont été notoirement lents à déployer des correctifs de sécurité, en particulier dans les environnements de base de données. Des enquêtes ont montré que les environnements sous Oracle attendent souvent plusieurs mois avant de disposer de correctifs de sécurité, même dans les cas où les failles peuvent représenter un danger manifeste. Cet immobilisme découle en grande partie de la préoccupation concernant la mise en oeuvre de ces correctifs, le délai nécessaire pour tester et déployer ces patchs entrainant une perturbation redoutée de la production. « Depuis peu les entreprises savent de mieux en mieux réagir pour effectuer le déploiement des correctifs dans les base de données Oracle, aidées notamment par des outils qui facilitent la gestion de l'application des patchs, » a déclaré Josh Shaul.
Crédit photo : D.R.
Les ventes de boîtiers de sécurité repartent légèrement à la hausse
Les firewall en forte baisse
Pour les autres segments de produits qui composent le marché des boîtiers de sécurité, « les résultats sont toujours décevants », commente IDC. Cela se traduit par une baisse de 20,2% (75,56 M$) des ventes de firewall, avec toutefois une forte hausse des revenus pour les firewall haut de gamme. Sur le segment des IPS (détection d'intrusion), le recul est de -29,7% à 56,7 M$. Il s'élève à -16,6% pour les VPN au sujet desquels IDC est toutefois optimiste. Pour le cabinet d'études, l'augmentation du nombre de travailleurs nomades et à distance offre un fort potentiel de croissance à ces produits pour les années à venir.
CheckPoint dégringole
Toujours leader du marché des appliance de sécurité en Europe de l'Ouest, Cisco renforce en outre sa position avec une part de marché (PDM) de 24,1% en hausse de 1,3 points. Loin derrière lui avec 8,8% de PDM, McAfee se situe en seconde position devant Juniper et ses 8% de PDM. A noter que ce dernier s'est fait ravir la seconde place du marché des UTM par Fortinet pour la première fois en deux ans. Dans le classement général, Fortinet se classe en cinquième position avec une part de marché de 4,3%, inchangée depuis l'an dernier. Seul fabricant de premier plan à avoir vu son poids diminuer, CheckPoint n'a pas fait dans le demi-mesure. Sa part de marché a baissé de 6,6 à 3,6%, le reléguant en cinquième position.
Crédit photo : McAfee
Microsoft pressé de livrer ses derniers patchs
Comme prévu, le délai est relativement court : Microsoft a déjà livré plusieurs séries de patchs, alternant les gros et les petits correctifs, avec un calendrier fixé sur les mois pairs pour les mises à jour les plus importantes. En juin, par exemple, l'entreprise a émis 10 bulletins de sécurité corrigeant un nombre record de 34 vulnérabilités. Le mois de mai s'est limité pour sa part à deux bulletins et à deux failles seulement. « Ce mois-ci n'est pas encombré, et aurait été encore plus léger si Tavis ne nous avait pas forcé à aller plus vite que le rythme choisi pour les patchs de vulnérabilité,» a déclaré Wolfgang Kandek, directeur technique de Qualys.
Ce dernier fait allusion à Tavis Ormandy, ingénieur en sécurité chez Google qui a publié, début juin, le code d'attaque utilisé par un bug affectant l'aide de Windows XP et du Centre de Support, une fonctionnalité qui permet aux utilisateurs d'accéder et de télécharger des fichiers d'aide de Microsoft via le Web. Elle est également utile aux supports techniques pour effectuer la maintenance à distance d'un PC en local. Comme l'a annoncé Microsoft, ce bug affecte également Windows Server 2003. Après avoir rendu cette vulnérabilité publique, insinuant au passage que Microsoft ne s'engagerait pas à émettre un correctif dans un délai raisonnable, Tavis Ormandy s'est retrouvé au coeur d'une sérieuse controverse. Si certains chercheurs en sécurité l'ont critiqué d'avoir divulgué cette faille publiquement, d'autres ont pris sa défense, bombardant Microsoft et la presse, Computerworld compris, pour les accuser de lier Tavis Ormandy à son employeur, Google.
La semaine dernière, un groupe de chercheurs anonymes du nom de Collectif de Chercheurs rejetés par Microsoft (CSEM) - le groupe a repris ironiquement l'acronyme de l'équipe de chercheurs chargée de pister les bugs chez Microsoft - a riposté en publiant des informations sur une vulnérabilité non corrigée dans Windows Vista et Windows Server 2008. Le groupe déclare vouloir marquer sa désapprobation quant à « l'hostilité de Microsoft envers les chercheurs en sécurité, » et cite l'affaire Ormandy comme exemple le plus récent. « Cela montre que Microsoft peut agir très rapidement quand il le faut, » a déclaré Wolfgang Kandek, qui s'exprimait sur la vitesse de réaction de Microsoft à livrer ses patchs.
[[page]]
Selon Jerry Bryant, un manager en relation avec le Microsoft Security Response Center, l'entreprise commençait son enquête lorsque Tavis Ormandy a rendu le fait public. Celui-ci a contacté l'éditeur le 5 juin. « Deux jours plus tard, Microsoft lui faisait savoir qu'elle ne pouvait pas estimer de calendrier de livraison d'un patch avant la fin de la semaine, » a t-il déclaré. «Le 9 juin, la faille a été rendue publique alors que nous étions dans les premières phases d'investigation, » a t-il encore écrit dans un mail. «À la fin de la semaine, nous avions décidé d'essayer d'inclure le correctif avec le cycle prévu en août, mais nous avons du aller plus vite, afin limiter le risque pour nos clients, soumis cette fois à des attaques actives. »
Les pirates n'ont pas tardé à utiliser la vulnérabilité à leur profit, lançant des attaques cinq jours après la publicité faite par Tavis Ormandy. La semaine dernière, Microsoft a indiqué que depuis le 15 juin, elle avait comptabilisé plus de 10.000 attaques utilisant le bogue du Centre d'aide. Jerry Bryant a également fait remarquer que la livraison d'un patch dans ce délai a été possible parce que le bug n'affectait que deux versions de Windows. La notification mensuelle de l'éditeur a donc été avancée à la semaine prochaine: trois des quatre mises à jour sont qualifiées de «critique», pour signifier le risque le plus élevé dans le classement établi par Microsoft. Le quatrième patch est qualifié pour sa part d'«important», soit juste derrière dans l'échelle des menaces.
Egalement dans le tuyau, un correctif pour un bug déjà connu qui affecte les versions 64 bit de Windows 7 et Windows Server 2008 R2, réparant une faille confirmée par l'éditeur mi-mai. Les deux patchs concernant Windows sont également marquées comme « critiques », tandis que la mise à jour d'Office est également désignée d'« importante ». Les mises à jour d'Office bouchent des trous dans la base de données Access et le client de messagerie Outlook. Enfin, les correctifs à paraitre mardi seront les dernières pour Windows 2000 et Windows XP Service Pack 2 (SP2), puisque ces deux produits ne bénéficieront plus de support à partir de cette date.
Les quatre mises à jour seront mises en ligne à environ 1 h (Eastern Standard Time) le 13 juillet.
(...)(06/07/2010 17:34:50)Piratage de comptes iTunes
Un développeur vietnamien, Thuat Nguyen, serait parvenu à hacker des comptes iTunes pour leur faire acheter son application et modifier le classement du magasin en ligne. En falsifiant le top 50, il s'assurait du coup une meilleure visibilité et donc de meilleures ventes. De multiples développeurs d'applications reconnues se sont donc rendus compte que leurs programmes ne faisaient plus partie du top 50, et ont donc remarqué qu'il se passait quelque chose d'inhabituel. 41 applications, mal codées et n'ayant aucune évaluation d'utilisateurs, avaient alors rapidement grimpé dans le classement. Alexander Brie, créateur de l'application Self Help Classics, dans le top 20 depuis 18 mois, aurait donc vu son programme quitter le top 50, provoquant immédiatement une chute des ventes. Dans la même situation, le QuickReader de Patrick Thompson a subi lui aussi une perte de chiffre d'affaire. Écrivant à Alexander Brie, il relate que « il semblerait que cet éditeur pirate les comptes pour acheter ses propres applications, dans le seul but d'améliorer son classement dans la catégorie Livres. Cela a un impact négatif sur les nôtres, qui sont poussées en bas de la liste, et perdent en visibilité, tout en créant des expériences susceptibles d'écoeurer les utilisateurs ».
Des utilisateurs débités malgré eux
Cela aurait simplement pu être un hack du Store, mais des rapports émanant de clients iTunes ont coïncidé avec ces événements. Ils indiquent que leurs comptes utilisateurs ont été piratés : un internaute, sur le site MacRumors, déclare avoir subi plusieurs prélèvements s'élevant à un total de 500 $, tandis que deux autres utilisateurs, dans leurs commentaires d'une des applications frauduleuses, témoignent de 200 $ dérobés. Lundi, pourtant, et sans aucune déclaration d'Apple, Self Help Classics était revenue dans le top 50, tandis que celles soupçonnées d'avoir été favorisée par le piratage des comptes avaient disparu. Malgré cela, Alexander Brie, en observant le top 200, a remarqué la persistance de programmes tout aussi suspicieux. « Peut-être qu'Apple est en train d'enquêter dessus, vu que leur caractère illicite n'est pas aussi évident », a-t-il déclaré.
Avec plus de 100 millions de comptes iTunes, cette brèche dans la sécurité soulève légitimement quelques inquiétudes, que l'absence de déclaration de la part de l'entreprise ne fait que conforter.
Crédit image : IDG NS (...)
L'Inria se dote d'un laboratoire haute sécurité
Tout le monde parle de la sécurité informatique, mais ils sont peu à réaliser des recherches sur ce domaine. L'Inria (Institut National de la Recherche en Informatique et en Automatique) a inauguré son Laboratoire Haute Sécurité (LHS) au sein de son centre Nancy-Grand Est.
Placé dans un environnement fermé avec un réseau Internet isolé et des locaux protégés accessibles par reconnaissance biométrique, le laboratoire offre un cadre technologique et réglementaire fiable pour mener des expérimentations et manipulations à caractères sensibles. Il est conçu pour garantir la sécurité des données, des expérimentations et des équipements analysés. Concrètement, 3 locaux sont mis à dispositions des chercheurs. En premier lieu, une salle de travail. Ensuite, un espace de cluster qui comprend 3 éléments. Un télescope virtuel recueillant des codes malveillants, des traces d'attaques. Il permet aussi l'expérimentation de sondes sur l'Internet. Un réseau fermé dit « éprouvette » permet de mener des expériences sensibles comme l'analyse de ces codes sans risque de contamination. Enfin, une unité de production distribue les outils développés au sein du LHS : anti-virus, outils d'analyses...
Une dernière salle, dite « rouge », non connectée au réseau, concerne le traitement d'informations et de données très sensibles. Cette espace permet d'accueillir les équipements ou matériels à étudier en toute confidentialité dans le cadre de partenariats avec les industriels.
Les axes de travail sont aussi au nombre de 3 : la virologie (reconnaître les virus de demain), la supervision des réseaux (analyse et sécuriser les échanges) et la détection. Le LHS a bénéficié des financements du FEDER, de la Région Lorraine, de la Communauté urbaine du Grand Nancy et du Ministère de l'Enseignement Supérieur et de la Recherche via la Délégation Régionale à la Recherche et à la Technologie. Les recherches entreprises sont menées en partenariat avec les universités lorraines, le CNRS et la Délégation Générale à l'Armement.
Crédit Photo: INRIA / Photo Kaksonen
(...)(18/06/2010 14:55:46)Sécurité informatique : bonne perception, application laborieuse selon le Clusif
Le Club de la Sécurité de l'Information Français a publié son enquête, réalisée tous les deux ans, sur les menaces informatiques et les pratiques de sécurité (MIPS). Cette étude a interrogé 350 entreprises, 151 hôpitaux et 1000 internautes résidentiels. Ce spectre large permet au CLUSIF d'avoir une vision globale de l'appréhension des questions de sécurité aussi bien dans le monde professionnel, que dans la vie quotidienne.
Problèmes budgétaires pour les entreprises.
Si la prise de conscience des problématiques de sécurité au sein des entreprises ne fait aucun doute, le passage à l'acte relève d'un exercice plus difficile. En effet, 73% des sociétés interrogées disposent d'une PSSI (politique de sécurité des systèmes d'information), soit une progression de 14% par rapport à l'étude de 2008. Bon point également sur l'existence de charte SSI (67% en hausse de 17% par rapport à 2008). Le nombre de responsables affectés aux questions de sécurité est en croissance, mais le Club constate une réduction des budgets qui leurs sont allouées. Ces derniers sont d'ailleurs prioritairement orientés vers la mise en place de moyens techniques, plus que sur la sensibilisation des utilisateurs.
En matière technologique, l'anti-virus, le pare-feu et l'anti-spam restent largement en tête. Les systèmes de détection d'intrusion arrivent à maturité avec une intégration dans 34% des entreprises (+11%). Les mécanismes de chiffrement, le NAC (contrôle d'accès au réseau), ainsi que le DLP (récupération des pertes de données) peinent à se déployer. Si plusieurs éléments sont positifs comme la gestion des mots de passe (SSO et Web SSO) ou la mise à jour des correctifs des éditeurs, le CLUSIF souligne que 33% des entreprises ne disposent pas d'un plan de continuité d'activité en cas de crise.
L'Hôpital est un bon élève
L'association a également réalisé un focus sur le secteur de la santé. Après plusieurs évolutions réglementaires et de changement de structure, comme l'Agence des Systèmes d'Information Partagés de santé (ASIP), les directions informatiques des hôpitaux sont de plus en plus convaincues que la sécurité est une valeur à partager lors de la mise en place d'un projet de ce type avec le personnel médical.
[[page]]
La sécurité s'est personnalisée à travers les responsables sécurités des systèmes d'information (RSSI), qui cumulent souvent leur fonction avec celle de Correspondant Informatique et Libertés (CIL).
En 2009, une quinzaine de RSSI hospitaliers existaient et travaillaient sur deux problématiques : l'identifiant patient (dans le cadre du Dossier Medical Personnel) et la gestion des appareils biomédicaux. Si la plupart des établissements de santé ont adopté des politiques de sécurité et des chartes restreignant ainsi certains accès, ils succombent aux besoins de nomadisme (PDA ou smartphone allant de chambres en chambres, besoin de WiFi). Sur le plan de l'équipement anti-viral, les hôpitaux sont mieux lotis que les entreprises, mais demeurent vulnérables. En effet, l'année 2010 a été marquée, notamment, par l'infection massive du vers « Confiker ». Ce malware a infecté près de la moitié des CHU de France avec parfois des interruptions de service quasi-totales pendant des durées pouvant aller jusqu'à 3 semaines.
L'Internaute inquiet de ses données personnelles
La perception de la menace (spam, phishing, intrusion, virus, etc.) est en très lègère diminution. Est-ce que cela implique une baisse de la vigilance ? Non, il y a eu un transfert vers une autre menace, la protection de la vie privée, pour 73% des sondés contre 60% en 2008. On constate aussi que la peur du paiement en ligne diminue. En effet, 90% des Internautes acceptent de le faire, 68% sont attentifs à certaines conditions (https, notoriété du site, label de confiance).
Par contre, des efforts sont encore à réaliser sur les comportements personnels. Seuls 5% d'entre nous protègent leur ordinateur avec un mot de passe. Ils sont en revanche 90% à déployer les mises à jour de sécurité de manière automatique ou manuelle.
Crédit Photo: D.R
(...)(07/06/2010 15:30:06)Des pirates exploitent un bug critique dans Adobe Reader et Flash
Adobe a déclaré que le bug affectait cette fois la version 10.0.45.2 du Player Flash, soit la mise à jour la plus récente du très populaire lecteur de médias, mais n'épargne pas les anciennes versions sous Windows, Macintosh, Linux et Solaris. Le lecteur de fichiers PDF Reader 9.x comme l'outil de création de documents PDF Acrobat 9.x pour Windows, Macintosh et Unix sont également concernés, et leurs failles sont déjà exploitées par les pirates. «Des rapports indiquent que ces failles sont activement exploitées contre Flash Player, Reader et Acrobat, » a indiqué Adobe dans un communiqué de sécurité publié dans la nuit de vendredi. Secunia, une société danoise spécialisée dans la traque des bogues, a qualifié la menace d'« extrêmement critique, » soit l'échelon le plus élevé parmi les cinq dans le système de notation. L'US Computer Emergency Readiness Team (US-CERT), un département fédéral du ministère de la sécurité intérieure, a également mis en garde contre cette vulnérabilité. Adobe a reconnu que les pirates exploitant la faille pouvaient être en mesure de prendre le contrôle de l'ordinateur visé.
L'alerte mettant en garde contre ce bogue a été quasiment identique à celle publiée par Adobe le 22 Juillet 2009, quand l'éditeur informait que son lecteur Flash, Reader et Acrobat présentaient tous trois une vulnérabilité et faisaient l'objet d'attaques. Adobe avait corrigé la faille le 31 juillet 2009, mais certains chercheurs ont affirmé que l'éditeur connaissait son existence dans Flash depuis plus de 6 mois. Le communiqué publié vendredi note également que la vulnérabilité est présente non seulement dans Flash, mais aussi dans le fichier « authplay.dll » accompagnant chaque copie du Reader et d'Acrobat pour Windows, une librairie qui gère le contenu Flash intégré dans les fichiers PDF. L'an dernier, les pirates avaient exploité le bug de l' »authplay.dll » via des documents PDF piégés, et l'ont également exploité pour mener leurs attaques, poussant les utilisateurs à visionner des contenus Flash malveillants sur des sites de streaming ciblés. Adobe n'a donné aucun détail sur la nature des attaques en cause - la première avait été repérée vendredi matin - mais il est probable que celles-ci utilisent les mêmes tactiques.
[[page]]
L'éditeur a pris plusieurs mesures pour contrer les attaques, y compris celle de mettre en oeuvre des méthodes de développement produisant un code plus sécurisé. Adobe n'a pas fixé de calendrier pour la livraison d'un patch, mais, la semaine dernière, Brad Arkin rappelait que l'équipe chargée de la sécurité avait mentionné à plusieurs reprises qu'elle s'imposerait un délai maximum de 15 jours quand il s'agit de correctifs de sécurité. Si la société s'en tient à ces éléments, cela signifie qu'elle pourrait livrer un patch au plus tard le 19 juin.
En attendant, les utilisateurs du Reader et d'Acrobat peuvent se protéger en supprimant ou en renommant authplay.dll. Ce faisant, l'ouverture d'un fichier PDF contenant un contenu Flash plantera le logiciel ou affichera un message d'erreur. Enfin, la version 10.1 Release Candidate du Player Flash, téléchargeable sur le site d'Adobe, « ne semble pas être vulnérable, » a indiqué Adobe, invitant implicitement les utilisateurs à passer à cette version inachevée mais plus sûre. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |