Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 711 à 718.
| < Les 10 documents précédents |
(06/01/2006 17:19:22)
Faille WMF : Microsoft précipite finalement la sortie du correctif officiel
Microsoft a finalement publié jeudi 5 janvier le correctif officiel censé stopper l'hémorragie WMF. Rappelons qu'à l'origine l'éditeur de Redmond avait calmement annoncé qu'il ne dérogerait pas à son calendrier habituel de mises à jour, reportant alors au 10 janvier la très attendue rustine. Semant du coup le trouble parmi les utilisateurs, et encourageant les développements de correctifs non-officiels. Dans un communiqué, Microsoft a déclaré qu'il réagissait ainsi « à la forte demande des consommateurs qui souhaitaient une rustine dès que possible ». Cédant du coup à la pression de la communauté des experts en sécurité qui pointaient du doigt l'intolérable lenteur de la publication du correctif officiel. La rustine peut être téléchargée depuis le site de l'éditeur. Et reste également disponible via Automatic Update et Windows Update. (...)
(05/01/2006 17:47:03)Selon le Cert, Unix et Linux ont enregistré plus de failles que Windows en 2005
Alors que Microsoft se débat avec sa réputation concernant la grosse faille du système de gestion de fichiers WMF, un rapport du Cert montre qu'à l'évidence ce système d'exploitation n'est pas le moins fiable. D'après cette organisation spécialisée dans les menaces Internet, le nombre de failles recensées en 2005 concerne beaucoup plus les OS Linus et UNIX que Windows. Sur un total de 5198 trous de sécurité, seules 812 ont concernées Windows alors que Linux et Unix ont eut à se débattre contre 2328 failles et autres virus. Reste 2058 attaques qui englobent plusieurs systèmes d'exploitation. Cette liste impressionnante est en augmentation de 38% par rapport à l'année dernière. Il convient néanmoins de tirer des conclusions prudentes de cette liste. Elle ne tient pas compte de la rapidité avec laquelle les correctifs sont proposés, ni même de la gravité des failles ou encore de la motivation des pirates à les exploiter. (...)
(04/01/2006 17:28:43)Faille WMF : le correctif officiel n'arrivera que le 10 janvier
Les utilisateurs Windows soucieux de combler la faille encore béante dans le système de gestion de fichiers WMF devront encore attendre jusqu'au 10 janvier pour installer le correctif officiel publié par Microsoft. L'éditeur de Redmond, testant pour l'heure la tant attendue rustine, invite alors les utilisateurs à la patience, dans un bulletin mis à jour le 3 janvier. Depuis la fin semaine dernière, date de la découverte de la faille, les experts en sécurité encouragent les utilisateurs à installer des rustines non-officielles, créant alors un climat de panique dans la sphère Windows. D'autant plus que les développements de rustines non-officielles s'accélèrent, sous le contrôle étroits d'experts, tels que le célèbre SANS Institute ou F-Secure, délivrant au passage leur garantie d'utilisation. C'est notamment la cas du développeur Illaf Guildanov, qui dès le 31 décembre tenait à disposition sa propre méthode de "décontamination", via la simple modification du .dll, responsable de la faille. Une initiative soutenue par F-Secure, de part "la qualité du code produit par Guildanov". Depuis, le danger n'a cessé de croître. Notamment à cause des multiples variantes de l'exploit. «La surface d'attaque est telle que le risque encouru est énorme », indique Gartner. L'éditeur d'anti-virus Mc Afee, de son côté, rapportait mardi que 7,45% de ses usagers avaient déjà été infectés. "Soit une hausse de 6% depuis samedi", assurait l'éditeur. Rappelons au passage que Microsoft avait déjà signalé en novembre deux failles dans le système WMF. Sans grosse propagation toutefois. (...)
(03/01/2006 17:34:02)La faille WMF de Windows trop grave pour attendre un correctif de l'éditeur
La panique est à son comble depuis qu'une faille dans la gestion des fichiers WMF - Windows Media File - de Microsoft est exploitée sans vergogne. Le problème est de taille puisque tous les ordinateurs fonctionnant sous Windows depuis la version 98 jusqu'à Server 2003 sont potentiellement attaquables. La faille dite WMF permet, par exemple, de cacher un exécutable malicieux dans un fichier multimédia du type de ceux que Windows cherche à ouvrir automatiquement pour en produire un aperçu, comme les fichiers JPEG, par exemple. La propagation a rapidement pris des allures d'épidémie. Microsoft n'a toujours pas divulgué de correctif. Les différents éditeurs d'antivirus ont planché fortement sur la question ces derniers jours. Deux écoles se font jour : désactiver la DLL ou faire appel à un patch non officiel proposé par le site ISC. Ce dernier semble tout à fait crédible et a été testé à plusieurs reprises, reste qu'il faudra peut-être le désinstaller pour mettre en place le correctif officiel qui se fait attendre... (...)
(29/12/2005 16:44:41)2006 : virus pour mobiles et vol d'identité en tête des menaces
L'année 2006 devrait être le théâtre d'une importante augmentation du nombre de malwares visant les appareils mobiles, selon une étude de l'éditeur McAfee. Les virus touchant les périphériques mobiles, qui ont débarqué en pleine lumière l'an passé, sont de plus en plus courants. Leur nombre a crû dix fois plus rapidement sur un an que ceux visant les PC. Ces "virus mobiles" sont potentiellement plus dangereux que leurs homologues destinés aux ordinateurs de bureau en raison d'une utilisation plus rare d'applications antivirales. Selon McAfee, les utilisateurs sous-estiment la capacité la cible potentielle que représentent leurs appareils mobiles, laissant par conséquent le champ libre aux attaques. Outre les menaces sur les mobiles, l'éditeur met également en garde les utilisateurs de PC. Pour eux aussi, 2006 recèle son lot de menaces. Selon McAfee, l'année qui s'annonce devrait voir une forte augmentation du nombre de spywares, adwares et autres chevaux de troie. En croissance de 40 % en 2005, ces programmes malicieux adopteront une progression similaire l'an prochain. Signe encourageant toutefois : plusieurs sociétés et institutions ont entrepris des démarches visant à adopter des mesures répressives contre ces nuisances, laissant entrevoir un ralentissement prochain de leur croissance. Enfin, les auteurs de phishing devraient poursuivre sur leur lancée et se montrer même de plus en plus inventifs dans la façon de cibler leurs attaques en 2006. Comme ils l'ont fait après l'ouragan Katerina aux Etats-Unis, ils continueront à profiter de la générosité des utilisateurs pour leur soutirer quelques dizaines de dollars mais, surtout, concentreront leurs attaques en recourant aux spywares et autres applications chargées de récupérer les mots de passe. L'éditeur s'attend à dénombrer davantage de sites web chargés de voler des identifiants à travers une fausse interface d'authentification. Des services comme eBay ou Amazon constitueront des cibles faciles pour ce genre de man?uvre. (...)
(12/12/2005 17:25:05)Coup de Packet Storming sur Firefox
L'alerte a été publiée par Packet Storm, accompagnée d'un exploit... lequel tire parti d'une faille de Firefox 1.5 (sous Windows XP) non encore corrigée. L'attaque s'apparente à un déni de service provoquant un crash du navigateur, lequel ne peut être relancé qu'une fois le fichier history.dat purgé. L'exploitation fructueuse du défaut est assez difficile, à moins que le pirate face preuve d'un esprit retors. Il est effectivement envisageable que l'usager d'un Firefox ainsi verrouillé soit contraint d'utiliser Internet Explorer... un I.E. bien entendu qui n'aurait pas été rustiné depuis belle lurette, pour cause d'usage intensif de produits mozilliens. Ce qui, bien entendu, permettrait d'exploiter par voie de conséquence une faille I.E. qui, elle, offrirait des débouchés plus appétissants : élévation de privilège, exécution de code à distance, DoS plus conséquents etc. Si, de surcroît, le tout était combiné en un code unique, cela confinerait au machiavélisme viral le plus pur qui soit. Etrange qu'un éditeur d'A.V. ne nous ait pas déjà pondu un mémoire de 25 pages sur le risque abominable que constituerait ces infections transversales et polymorphes. (...)
(26/09/2005 17:49:57)Les failles font crier Ellison
« Pouvez-vous nous garantir que les failles d'Oracle -sgbd et Application Server- seront à l'avenir corrigées dans le trimestre suivant leur découverte »
- Non »
La réponse a le mérite d'être clair, aussi franche que la question. Et ceci est rapporté par notre confrère Security Pipeline, qui était présent lors des journées Oracle OpenWorld. « Ce que vous me demandez de faire est impossible. Nous ne pouvons pas vous promettre de corriger un problème indéfini dans une période de temps définie » explique le patron d'Oracle. L'argument est irréfutable, et les clients Oracle ne peuvent que compter sur la bonne foi de l'éditeur pour que les problèmes soient corrigés au plus vite.
Une bonne foi tout à fait discutable si l'on en juge par les propos qu'Ellison a tenu par la suite. « La dernière fois qu'une base Oracle a été crackée, ça remonte à 15 ans. Et lorsque Microsoft a installé un SGBD pour assurer le suivi de numéros de cartes de crédits, ça a pris 45 minutes pour le casser ». En d'autres termes, les problèmes de hacking genre SQL injection ou contournement de mot de passe, élévation de privilèges etc que l'on pourrait rencontrer sur Oracle, relèvent de la responsabilité de leurs seuls administrateurs, qui, soit appliquent mal les rustines, soit configurent mal les serveurs. C'est vrai, ça. Sans les utilisateurs, Ellison aurait nettement moins de problèmes de hack. (...)
VoIP, le scénario catastrophe se confirme
Un jour, VoIP nous est présenté comme une technologie fiable et sans défaut, le lendemain, cette technique est plus noire que l'enfer. Le dernier article en date sur cet inépuisable sujet est publié par notre grand-frère CIO, sous le titre « Dial VoIP for Vulnerability ». Dénis de services qui provoquent un blocage des appels dans un cabinet de commissionnaires en bourse, vol d'informations gouvernementales après piratage d'un identifiant, chômage technique dans la grande distribution après qu'un virus informatique ait « débordé » et affecté le routage IP dédié à la téléphonie... ces scénarii, explique notre consoeur Susannah Patton, sont, aux dires des experts, quasiment inévitables.
Et de décrire, au fil d'un papier de 5 pages, les principes architecturaux de base de VoIP, les points de faiblesse et les règles élémentaires de bon sens qui permettront d'éviter certaines des catastrophes annoncées : déployer progressivement, à petits pas, en commençant par les communications internes. Séparer strictement les infrastructures IP data et IP phone -ndlr ne serait-ce que pour des raisons de bande passante-. Respecter les standards, et SIP en premier lieu (une pierre dans le jardin Skype). Truffez vos réseaux de firewalls et cryptez les flux, tout comme le seraient vos données. Assurez-vous que l'opérateur VoIP achemine les appels à destination des services d'urgence... c'est obligatoire au sein de la Communauté Européenne, ce ne l'est pas encore Outre-Atlantique, malgré les demandes de la FCC. Méfiez-vous des « soft phones », ou logiciels qui remplacent le poste téléphonique... car leur géolocalisation est parfois délicate, surtout si leur raccordement transite par un brin « sans fil ». Somme toute, « que du bonheur » pourrait dire une animatrice TV ou un footballeur à la mode.
Il manque cependant quelques recommandations que notre consoeur a totalement laissé passer :
- Méfions nous des affirmations péremptoires des vendeurs de sécurité. Pas plus tard que cette semaine, un « gourou mondialement reconnu » affirmait à l'équipe de CSO France, à propos du spam vocal, « Notre technologie AntiSpam peut-être utilisée telle que par les opérateurs de téléphonie ». Tudieu ! La société XXXX (nous serons charitables) aurait-elle déjà intégré un algorithme de reconnaissance et d'analyse sémantique vocale au coeur de ses programmes ? Cela explique probablement la raison pour laquelle ses anti-virus/antispam/antiphishing sont aussi long à charger : ils sont déjà prévu « VoIP aware » et tous capables de piéger le mot « Viagra » contenu dans un format MP3.
- Un changement de technologie ne signifie pas que les anciennes vulnérabilités ont subitement disparues, bien au contraire. La première faiblesse des réseaux téléphoniques, c'est son absence de mécanisme d'authentification. Et la première exploitation de cette faiblesse a pour nom social engineering. Il a encore de beaux jours à vivre, le coup du « Allo, c'est Martin, service comptabilité... vous pouvez initialiser mon mot de passe ? j'arrive plus à me connecter » et autres variantes de l'école Kevin Mitnick. Bien sûr, SIP nous promet précisément cette authentification. Mais une authentification qui ne porte que sur la liaison, et non sur la personne, et à condition que le correspondant prenne le temps de vérifier les données. Et ce sera rarement le cas, soyons en certain. Qui donc, lors d'une transaction Web, vérifie aujourd'hui la provenance et l'authenticité d'un certificat ?
- Vérifier les implications légales de cette nouvelle technologie. Dans quelle mesure le caractère numérique de la transmission ne contraint pas les responsables de fourniture d'accès et les CSO d'entreprises à conserver une « trace » des communications ou devoir apporter des preuves de confidentialité et d'intégrité des contenus ? Ou cette conservation de trace n'entre-t-elle pas en conflit avec des droits sociaux ? Les contrats SLA VoIP seront-ils calqués sur ceux en vigueur dans le monde « analogique temporel » ? Les disparités réglementaires internationales associées aux nouveaux modes de facturation de VoIP ne risquent-ils pas d'apporter leur lot d'inconvénients ? Ainsi, les mesures anti-spam protégeant les consommateurs européens dans le monde de la téléphonie classique (listes oranges par exemple) ne s'écrouleront-elles pas du fait de l'absence de lois équivalentes en Amérique du Nord ou dans le Sud Est Asiatique ?
Les réponses ne viendront qu'avec le temps. En attendant, il est urgent de se méfier des affirmations catégoriques émises par des spécialistes qui ne viennent pas au milieu de la téléphonie... on a déjà assez à faire avec le décryptage des discours des opérateurs eux-mêmes. (...)
| < Les 10 documents précédents |