Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 431 à 440.
| < Les 10 documents précédents | Les 10 documents suivants > |
(26/03/2010 15:27:19)
Un gagnant du concours Pwn2Own renvoie Apple et Microsoft à leurs bogues
A l'issue du concours, l'analyste de Baltimore se dit fatigué par l'absence de progrès en matière de sécurité et invite les éditeurs à rechercher eux-mêmes leurs bogues. Le développeur qui s'était distingué en 2008 et 2009 pour avoir mis à jour une vulnérabilité sur Safari, a réussi une fois encore à craquer le navigateur Safari d'Apple sur un MacBook Pro tournant sous Snow Leopard. «Nous trouvons un bug, ils le patchent, », a déclaré M. Miller. « Nous trouvons un autre bug, ils le corrigent encore. Cela n'améliore en rien la sécurité du produit. C'est vrai que le logiciel est chaque fois un peu mieux, mais les éditeurs ont vraiment besoin de faire de grands progrès en la matière et je ne peux pas le faire à leur place.
Avec quelques simples lignes de code, Miller a créé ce qu'il a appelé « un générateur de bruit muet. » Cet outil capable de chercher automatiquement les défauts des logiciels, agit en essayant d'insérer des données pour voir là où le programme échoue. Cette technique appelée fuzzing est couramment utilisée non seulement par les chercheurs, mais aussi par les développeurs pour repérer les bugs lors des tests logiciels. Microsoft par exemple, s'est souvent vanté d'utiliser le fuzzing en phase finale de fabrication de ses produits dans le cadre de son cycle de développement sécurisé (SDL) maison.
[[page]]
Le mouchard de Charlie Miller a pour sa part rapidement détecté 20 vulnérabilités dans toute une série de d'applications Mac OS X 10.6.2, alias Snow Leopard, et dans son navigateur Safari. Il a aussi trouvé des failles dans le logiciel de présentation PowerPoint de Microsoft, dans l'Acrobat Reader d'Adobe, et dans OpenOffice.org, la suite de productivité Open Source. Aujourd'hui, Charlie Miller doit prendre la parole à la conférence sur la sécurité CanSecWest, qui se tient à Vancouver en même temps que le Pwn2Own, pour expliquer comment il a trouvé ces failles. Il espère bien qu'Apple, Microsoft et les autres vendeurs seront présents pour entendre ce qu'il a à dire. « Les gens vont me critiquer et dire que je suis un sale type parce que je refuse de livrer la liste des bugs aux éditeurs. Mais cela fait plus de sens pour moi que ce soit ainsi, » a déclaré Charlie Miller. « Ce que je peux faire, c'est leur expliquer comment trouver ces bugs, et les inciter à faire ce que j'ai fait. Cela pourrait les amener à davantage utiliser la méthode du fuzzing. Cela voudra dire aussi qu'ils livreront des logiciels plus sûrs, » a soutenu Charlie Miller.
Car Charlie Miller a été vraiment étonné et déçu de voir à quel point il lui a été facile de trouver ces bogues. « Certains vont peut-être dire que je me vante. Mais je ne suis pas si intelligent. J'ai appliqué une méthode triviale et j'ai réussi à trouver des bugs. » D'autant qu'avec son fuzzer muet, il ne pensait vraiment pas parvenir à détecter des vulnérabilités et remporter le défi. « Mais j'ai trouvé des bugs, beaucoup de bugs. C'est à la fois surprenant et décevant. » Il s'est aussi demandé pourquoi des éditeurs comme Microsoft, Apple et Adobe, lesquels disposent d'équipes d'ingénieurs en sécurité et de dizaines d'ordinateurs pour exécuter des fuzzers, n'avaient pas réussi à identifier ces failles. « Un chercheur et ses trois ordinateurs ne devraient pas être capables d'égaler le travail d'une équipe complète de spécialistes, » a t-il fait valoir. « Cela ne signifie pas qu'ils ne le font pas le fuzzing, mais qu'ils ne le font pas très bien. »
En refusant de livrer les informations techniques sur les vulnérabilités qu'il a découvert, Charlie Miller fait le pari que Microsoft, Apple et les autres feront plus d'efforts, et peut-être, peut-être seulement, seront plus motivés pour effectuer ces vérifications. «Je crois que cela va mettre une certaine pression pour les inciter à trouver ces bugs, » a t-il déclaré.
(...)(25/03/2010 14:57:39)
Twitter d'Obama piraté : un hacker français interpellé
« J'aime les défis, point barre ». Ainsi se définirait François C. plus connu sous le nom de « Hacker-croll » . Considéré comme un exemple par la communauté des pirates, cet expert en « social enginering », le piratage par étude sociale de sa cible, a fait l'objet d'une traque de trois mois, par l'administration de Twitter dans un premier temps, et par le FBI ensuite, lorsqu'il s'en est pris au compte officiel du président Barack Obama. À peine sortie de sa garde à vue, ce sans-emploi vivant encore chez ses parents est accusé d « intrusion dans un système de données » et son procès est fixé au 24 juin prochain.
Un pirate fort prolixe quant à ses exploits
S'il est loin d'être un surdoué de l'informatique, Hacker-croll a en revanche un certain savoir-faire en communication. Depuis maintenant quelques mois, plusieurs sites internet s'étaient fait l'écho de ce pirate qui postait régulièrement les captures-d'écrans de ses exploits en matière de piratage. Mieux, le hacker en question accordait même des interviews à certains sites, ce faisait passer, en vain, pour un citoyen allemand, ou étranger tout du moins. Bien que n'ayant jamais tenté d'utiliser ou de revendre les informations privées qu'il avait obtenues illégalement, Hacker-croll se faisait une joie d'exposer, au grand jour, toutes ses méthodes, ainsi que les pièges qu'il avait dû déjouer pour arriver à ses fins.
[[page]]
Dans une interview publiée sur le site Zataz.com, le pirate explique que sa méthode était « presque » simple ». « Il fallait un peu de temps, de chance et de curiosité » précise-t-il ensuite. On apprend qu'il s'était d'abord employé à chercher l'adresse e-mail de l'un des employés de Twitter. Il utilisait ensuite la question secrète liée à l'adresse pour trouver en déduire le mot de passe. D'après Hacker-croll, ce sont les adresses Yahoo qui étaient les plus simples à forcer, car on accède plus vite à la question secrète lorsqu'on déclare la perte d'un mot de passe. En utilisant le blog très fourni d'un des employés du site de micro-blogging, le français a pu déterminer sa date de naissance et trouver la réponse à la fameuse question « secrète ». Une fois dans la messagerie, Hacker-croll n'a eu qu'à retrouver les e-mails relatifs à l'administration de Twitter, ce qui lui a ensuite permis d'accéder au back-office du site, et de s'emparer des droits des comptes qui l'intéressait.
iPhone, Safari, IE8, Firefox : les sécurités tombent au Pwn2Own
« En moins de cinq minutes, le duo Vincenzo Iozzo et Ralf-Philipp Weinmann avait trouvé la faille de l'iPhone, » a déclaré un porte-parole de 3Com TippingPoint, une entreprise spécialisée dans la sécurité informatique qui parraine le concours. Cet exploit leur a valu de remporter le prix de 15.000 dollars en espèces, un montant record pour un tel défi dans cette manifestation dont c'est la quatrième édition cette année.
Iozzo, un étudiant italien, travaille pour Zynamics GmbH, une société dirigée par le fameux chercheur Thomas Dullien, plus connu sous le nom de Halvar Flake. Quant à Weinmann, il est chercheur post-doctorant au Laboratoire d'Algorithmes, de Cryptologie et de sécurité de l'Université de Luxembourg. Weinmann s'était déjà fait connaître en 2007 pour avoir montré avec son équipe comment casser le protocole de sécurité WEP qui protège les réseaux Wi-Fi, beaucoup plus rapidement que ce que l'on croyait possible auparavant.
10 000 dollars pour avoir réussi
à craquer MacOS X 10.6.2
C'est Charlie Miller, un analyste de Baltimore travaillant pour une entreprise indépendante spécialisée dans l'évaluation de la sécurité informatique, qui a fait tomber Safari sur un MacBook Pro tournant sous Snow Leopard (MacOS X 10.6) L'an dernier, il s'était déjà illustré en craquant Safari en 10 secondes seulement. En 2008 et 2009, Charlie Miller a également remporté des prix pour avoir réussi à pirater un Mac. Cette année, il repartira avec un ordinateur portable et 10,000 dollars en espèces. Il est aussi le premier participant à avoir gagné trois de fois de suite à ce concours !
[[page]]
Peter Vreugdenhil, un chercheur hollandais en sécurité, et nouveau participant à Pwn2Own, n'est pas venu pour rien. En effet, il a réussi à exploiter une vulnérabilité de IE8 sous Windows 7 avec un code d'attaque jugé «techniquement impressionnant» par TippingPoint : « il est parvenu à contourner le mécanisme de sécurité identifié sous le nom de Data Execution Prevention ou DEP du système d'exploitation, et spécifiquement chargé d'arrêter la plupart des attaques. » Comme Charlie Miller, Peter Vreugdenhil, a gagné un prix de 10.000 dollars. Nils, étudiant allemand en informatique et ancien lauréat, a reçu cette année 10.000 dollars pour avoir réussi à pirater Firefox de Mozilla sous Windows 7. Parmi les navigateurs désignés pour cibles par le concours, seul Chrome de Google a tenu au delà de la première journée.
Un business fructueux pour l'organisateur
TippingPoint ne révèle aucun détail sur les vulnérabilités mises à jour pendant le Pwn2Own. Dans le cadre du concours, l'entreprise rachète les droits d'exploitation du code et traite ensuite avec les éditeurs concernés, qui envoient tous des représentants sur place. Souvent, les vendeurs ne tardent pas à sortir les patchs qui corrigent les vulnérabilités découvertes. En 2008 par exemple, trois semaines à peine après que Charlie Miller fasse tomber Safari, Apple livrait son correctif. Mozilla a battu ce record l'année dernière, mettant à jour Firefox une semaine seulement après la faille découverte par Nils sur son navigateur.
TippingPoint divulgue la nature de chaque faille quand le vendeur a fini de colmater ses brèches.
(...)(24/03/2010 16:43:46)
Top 10 des villes visées par la cybercriminalité aux Etats-Unis
S'appuyant sur des critères qui tiennent compte du nombre d'ordinateurs par habitant et de la taille de la population, l'étude a placé Seattle en tête de ce palmarès des villes les plus visées par la cybercriminalité, notamment pour ce qui est des cyber attaques, du phishing et des menaces liées aux logiciels malveillants. Viennent ensuite Boston, Washington (DC), San Francisco, Raleigh (NC), Atlanta, Minneapolis, Denver, Austin, Texas, et Portland (Oregon).
« Les facteurs qui font qu'une ville est fière de son administration et de son mode de vie sont les mêmes que ceux qui en font une ville à risque en matière de cybercriminalité», a déclaré Marian Merritt, conseiller à la sécurité Internet chez Norton. Les villes les plus risquées sont celles où les habitants possèdent de nombreux ordinateurs individuels, où la population affiche un de niveau de vie élevé, et dans laquelle un grand nombre de personnes font des achats en ligne, consultent les services bancaires via Internet, consomment de la bande passante et disposent de nombreux hot spots Wifi. Ce mode de vie s'accorde typiquement avec des niveaux élevés d'infection par les logiciels malveillants, le phishing et autres types de cyberattaque.
C'est la raison pour laquelle de grandes villes comme New York ou Chicago ne figurent pas au Top 10 des villes les plus risquées. En effet, malgré la taille de leur population, ces villes n'ont pas un niveau d'ordinateurs par habitant ou d'usage de l'Internet équivalent. Si bien que New York n'arrive qu'à la 24ème place de ce classement et Chicago à la 35ème parmi les 50 villes auditées par l'étude de Symantec et BestPlaces Sperling.
[[page]]
Certains peuvent sans doute trouver ça inutile de savoir que certaines villes sont plus risquées que d'autres en matière d'Internet. Mais Marian Merritt a indiqué que Symantec s'était intéressé à ce sujet après avoir analysé les sources provenant d'une vaste compilation de données récoltées par le réseau de la société qui répertorie les intrusions et surveille les cyber attaques localisées en fonction des adresses IP. « De plus, Sperling's BestPlaces, partenaire de Symantec sur le projet, disposait déjà d'une montagne d'informations sur la démographie, y compris des informations sur le nombre de hot spots disponibles, » fait remarquer Marian Merritt. Les hotspots sans fil sont considérés comme à risque parce qu'il est relativement facile d'espionner quelqu'un sur ce type de réseau, et Symantec conseille de ne jamais entrer de données sensibles lors de la navigation sur un Wifi public.
Des attaques très ciblées
Bien que la plupart des gens supposent que la cybercriminalité résulte toujours d'une série d'attaques menées au hasard, comme le phishing ou les tentatives d'effraction dans les systèmes, mettant ainsi tout le monde sur un pied d'égalité, la réalité est que la cybercriminalité « n'est pas menée de manière large et qu'elle est souvent le fait d'attaques ciblées », affirme Marian Merritt. Elle précise même que le genre d'individus en particulier que visent les criminels sont des personnes fortunées, qui passent beaucoup de temps en ligne, que ce soit pour le travail, le shopping ou le divertissement, et dont le comportement en matière de sécurité peut-être parfois négligent. Selon Symantec, il faut au minimum « s'assurer que son ordinateur est toujours protégé par un logiciel de sécurité, mis à jour avec les derniers correctifs. »
(...)(23/03/2010 10:03:14)
Selon IDC, la sécurité reste toujours une problématique complexe
A l'occasion du lancement de l'offre convergente Triton, Frédéric Braut, directeur des opérations de l'éditeur Websense France, a rappelé que « les utilisateurs ont une forte attente de connexion avec l'extérieur des organisations et ce de façon parfaitement légitime, y compris, par exemple dans la recherche, à des blogs ou à Facebook. Et puis si le RSSI les bloque trop, il reste les clés 3G... » La sécurité et la continuité du SI obéissent donc désormais à des principes qui ont beaucoup évolué depuis quelques années. « Aujourd'hui, le SI central respecte en général les principes de la sécurité, de la continuité et de la conformité réglementaire » a jugé Eric Domage, analyste chez IDC. La connexion est un élément basique et banalisé du SI : ne pas réussir à connecter à un SI central les utilisateurs, même nomades, constituerait une faute inexcusable de la part du DSI. La difficulté n'est donc pas là. Selon Eric Domage, « l'enjeu migre de la connectivité vers la collaboration. Or cette collaboration se fait en coopétition [collaboration ponctuelle et limitée avec des concurrents, NDLR], avec des régulateurs publics, des clients, des fournisseurs, des partenaires divers... » Il s'agit donc de s'assurer que chaque donnée est accessible aux bonnes personnes en fonction de leurs droits propres.
La sécurité évolue constamment
La sécurité évolue donc sur un schéma en trois phases : d'abord la très basique sécurité centrée sur le réseau (la connexion, les supports...), puis la sécurité basée sur l'utilisateur et enfin la sécurité basée sur les données (qui peut accéder/modifier/transférer quoi, quoi doit être détruit quand, etc.). Chaque type de sécurité implique le respect d'un certain nombre de règles. IDC estime, en Europe, qu'un simple firewall obéit en moyenne à plus de 5000 règles différentes. Et il y a 2 à 3 changements par mois. « Si les règles d'origine légale changent peu, les règles internes évoluent, elles, sans cesse » souligne Eric Domage. Et ce n'est là qu'un aspect basique de la sécurité. Un élément mal pris en compte, en général, est celui de la pérennité et de l'obsolescence des donnés. La plupart des données personnelles doivent ainsi être détruites au bout d'un certain délai, variable selon les cas. Or, face à des manquements sur la sécurité des données, les régulateurs nationaux (comme la CNIL en France) n'ont plus aucun complexe à sanctionner. Leurs enquêtes sont d'ailleurs menées en général suite à dénonciation, en provenance d'un concurrent ou bien d'un ancien salarié mécontent.
[[page]]
La sécurité sous les nuages, l'orage menace
Les évolutions de plate-forme techniques ne sont pas non plus sans incidence. Ainsi, l'émergence du « cloud » se fait en général sans se préoccuper de la sécurité. Le choix est souvent fait sur des critères financiers et le RSSI n'est averti que quand les données sont déjà quelque part dans le nuage. Or, dans le cloud, plusieurs problème subsistent a insisté Eric Domage : la perte de contrôle (qui applique les règles de gestion et de sécurité ? Comment sont-elles auditées ?), les menaces internes (le talon d'Achille des hyperviseurs reste ainsi les machines virtuelles déviantes), la conformité réglementaire (géolocalisation de données personnelles par exemple), suivi de la sous-sous-traitance, réversibilité du choix d'un prestataire... Pour couvrir tel ou tel risque, l'entreprise adopte telle ou telle solution. Il en résulte un empilement de méthodes et d'outils dont la complexité devient un risque en elle-même. « Le vrai problème aujourd'hui concerne plus le management de la sécurité que les techniques de sécurisation en elle-même » insiste Eric Domage. (...)
EdenWall reçoit une aide pour développer son prochain firewall
L'éditeur français de pare-feu EdenWall bénéficie d'un sérieux coup de pouce. Son dossier a été retenu dans le cadre du dispositif Rapid (Régime d'Appui aux PME pour l'innovation duale) qui lui garantit un financement de plusieurs centaines de milliers d'euros de la DGA (Direction Générale de l'Armement) et de la DGCIS (Direction Générale de la Compétitivité, de l'Industrie et des Services). Objectif : « Développer un pare-feu capable de supporter jusqu'à un million d'utilisateurs simultanés. Cette solution sera développée à partir de notre technologie NuFW qui équipe les solutions que nous commercialisons déjà », explique Jérôme Notin, le directeur des opérations d'EdenWall. D'après le calendrier défini par l'entreprise, ses développements devraient aboutir à un produit opérationnel d'ici 24 mois Un produit performant et peu gourmand en ressources machines A la différence des pare-feu classiques qui filtrent les ports et les adresses IP, les produits d'EdenWall effectuent leur filtrage en identifiant les utilisateurs. Ce qui permet par exemple de sécuriser les connexions des travailleurs nomades indépendamment des machines qu'ils utilisent et du lieu où ils se trouvent. De plus, dans le cadre de RAPID, EdenWall va redévelopper l'algorithme qu'il utilise actuellement pour rendre sa solution beaucoup moins consommatrice en ressources machines. On imagine aisément l'intérêt pour des forces militaires en opération à l'étranger de limiter la quantité de matériel informatique qu'elles ont à transporter. L'éditeur / constructeur est aidé dans son entreprise par Dalibo, un spécialiste des bases de données. Ce partenaire doit solutionner les problèmes de goulets d'étranglement dans la journalisation des logs qu'engendre classiquement la montée en performance d'un pare-feu. Les forces armées parmi les futurs clients Bien que financée par des fonds publics, la solution qui va sortir des laboratoires d'EdenWall sera sa propriété. L'armée, et plus largement l'Etat, pourraient donc devenir ses clients. Une bonne affaire qui vient s'ajouter au fait qu'EdenWall compte bien faire fructifier ses travaux en commercialisant aussi son produit auprès des entreprises du secteur privé. « A l'heure actuelle, nous sommes déjà capables de sécuriser plusieurs centaines de milliers de connexions en répliquant des pare-feu. Demain, nous offrirons le même services, mais avec une seule machine à un coût beaucoup plus abordable », prévoit Jérôme Notin. Passé à l'indirect depuis quelques mois, l'entreprise prévoit logiquement de mettre son produit sur le marché notamment par le biais de partenaires intégrateurs. (...)
(05/03/2010 15:14:04)Cyberconflit et sécurité du cloud au menu de la conférence RSA
Durant une table ronde d'experts, un directeur de la formation technique de la NSA (National Security Agency) a indiqué qu'il n'avait pas confiance dans les services cloud. Parlant en son nom et non au titre de l'agence, Brian Snow explique que « l'infrastructure cloud délivre des services auxquels les clients accèdent de manière sécurisée, mais la nature des échanges engendre des doutes sur d'éventuelles attaques via d'autres utilisateurs dans le cloud ». Dans une présentation, Art Coviello, président de RSA, la division de sécurité d'EMC, estime que les clients ont besoin de savoir que le cloud est sûr. Le responsable pense que son adoption est inéluctable au regard des bénéfices financiers importants attendus, mais pas sans un niveau de sécurité élevé. « Le gros problème est la confiance », résume-t-il, en soulignant, comme exemple, la réponse apportée conjointement par Intel, VMware et EMC pour mesurer les niveaux de sécurité des prestataires d'offres cloud. Une plateforme pour lancer des botnets En parallèle, le sommet de l'alliance sur la sécurité du cloud (CSA), qui s'est tenu, au sein de la conférence RSA, a annoncé la réalisation d'un rapport sur les questions de sécurité et notamment de la documentation sur les risques d'utiliser les infrastructures cloud comme plateforme pour lancer des botnets. Le même consortium, regroupant utilisateurs et fournisseurs, a pointé les différentes failles des services proposés, ainsi certaines API ne sont pas assez sécurisées et laisse la porte ouverte à une attaque via le cloud. La solution pour éviter cela, est l'implémentation combinée d'une authentification forte, d'un contrôle de l'accès et de transmissions cryptées. [[page]] L'autre temps fort de cette conférence a été l'intervention de la Secrétaire d'Etat américaine à la sécurité intérieure en tant que recruteur, car le gouvernement ne peut pas gérer seul les différentes menaces. Elle a donc confirmé la recherche de spécialistes de la cybersécurité y compris issus d'entreprises privées. Janet Napolitano a aussi lancé l'idée d'un concours sur la création d'un programme national de sensibilisation à la cybersécurité auprès du grand public, en leur montrant comment les gens peuvent contribuer à l'amélioration de la sécurité. Ce programme devrait être diffusé via les réseaux sociaux pour renforcer son efficacité. Le gouvernement américain ne peut pas s'occuper tout seul de la sécurité, car la majorité des infrastructures réseaux sont des propriétés privées. Elle a donc exhorté les différents acteurs « à redoubler d'efforts pour augmenter la sécurité, la fiabilité et la qualité de leurs produits qui entrent dans cet écosystème virtuel ». Janet Napolitano a également appelé à une automatisation des règles de sécurité et indiqué que le gouvernement travaille sur système de prévention d'intrusion (IPS) pour protéger les réseaux des agences fédérales. Une évolution de la plateforme de détection d'intrusion, Einstein 2 vers Einstein 3 est en cours. Cet outil a déjà été déployé au sein de 9 agences fédérales, mais aussi sur les réseaux des opérateurs AT&T, Qwest et Sprint. Verizon devrait prochainement rejoindre la liste. Einstein 3 aura pour mission de détecter automatiquement les activités malveillantes et de désactiver les tentatives d'intrusions. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |