Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 2071 à 2080.
| < Les 10 documents précédents | Les 10 documents suivants > |
(15/06/2006 17:56:55)
Ajax, une nouvelle génération de virus multiplateformes
L'exécution de code JavaScript sur le poste client combiné aux transferts de données asynchrones sans confirmation ouvre assurément une brèche de sécurité. Le risque n'est pas tant sur le poste de travail, comme se plaît à le croire cet article alarmiste Ajax présente-t-il des risques ?. Après tout, le code JavaScript reste confiné dans sa sandbox, le risque n'est pas pire qu'avec une application JavaScript classique. Le danger concerne le serveur, et plus précisément les données qui transitent entre le client et le serveur. MySpace, site de réseau social et figure emblématique du Web 2.0, permet à un utilisateur d'ajouter dans son profile ses amis qui eux-mêmes peuvent s'ajouter les vôtres, et ainsi de suite. En octobre dernier, « Samy », un adolescent de 19 ans (rien à voir avec notre toulousain préféré) a eu l'idée d'exploiter la plate-forme Ajax pour se faire des amis. Après quelques bidouilles pour contourner le système de protection de MySpace contre l'exécution de code JavaScript, Samy a créé un code JavaScript sur sa page MySpace qui s'exécute automatiquement dès qu'un utilisateur visite son profile. Comme JavaScript permet d'exécuter des confirmations en tâche de fond, ce code rajoute Samy comme ami dans le profile du visiteur. Puis le code se duplique lui-même dans le profile du visiteur, de telle sorte que les visiteurs de ce profile exécutent le même code et le propagent de profiles en profiles. En moins de 20 heures d'activité, le ver avait créé 1 million d'amis à Samy. Quelques heures après, il écroulait le site MySpace. Depuis, Samy est grillé chez MySpace, mais il a publié sur son site I'm Popularle source de son programme maintenant inopérant et relate force détails de son « exploit ». Baptisé MySpace Worm ou Samy Worm, ce virus n'a causé finalement aucun dommage. Cette semaine, Yamanner, un nouveau ver utilisant une technique similaire, est apparu sur le webmail de Yahoo!, autre grande plate-forme Ajax. Contrairement aux autres vers se propageant par email, le code du script n'est plus attaché dans une pièce jointe qu'il faut ouvrir pour exécuter le code, mais il est embarqué dans le corps même du message HTML et s'exécute dès la prévisualisation du message. Il envoie alors le même mail à tous les contacts du carnet d'adresses qui eux-mêmes, en l'ouvrant, propageront le ver. Yamanner envoie également une copie des contacts sur un serveur externe non encore identifié, sans doute à des fins de spamming selon les experts en sécurité. Yahoo Mail a limité l'usage d'Ajax strictement aux interactions entre l'utilisateur et les serveurs de Yahoo, mais Yamanner a exploité une des rares fonctions JavaScript que Yahoo Mail n'avait pas blindées, la possibilité d'exécuter un JavaScript quand une image est uploadée à partir d'un message. Le ver a substitué son propre JavaScript quand le code de téléchargement de l'image s'est lancé. Ces deux exemples illustrent la possibilité d'exécuter un code JavaScript embarqué dans une page. Ce type de virus appelé Cross-Site Scripting (XSS pour les spécialistes) est en général utilisé pour voler des données et usurper des identités (phishing). Ce qu'il y a de nouveau, c'est que ces scripts exploitent l'asynchronicité d'Ajax pour s'exécuter en tâche de fond, sans confirmation. Si l'on peut aisément imaginer les domaines d'applications de tels scripts, les pirates se feront une joie de trouver des domaines auxquels vous n'aviez même pas pensés. Le danger peut aussi venir de l'intérieur. Un code Ajax mal contrôlé peut envoyer à son propre serveur des requêtes à l'infini, créant ainsi un auto déni de service. Les développeurs qui veulent se lancer dans Ajax devront au préalable identifier les risques qui peuvent tous être évités. L'application serveur doit s'assurer que les requêtes XmlHttpRequest qu'il reçoit proviennent bien de l'application Ajax déployée, en cryptant la session par exemple. Un pattern proxy pourra être utilisé pour les interactions AjAX avec des services externes. Pour détecter d'éventuelles failles de sécurité, il existe maintenant Sprajax, un outil Open Source édité par Denim Group (www.denimgroup.com/Sprajax/). Il est annoncé comme le premier scanner de sécurité web spécifiquement conçu pour détecter les failles de sécurité dans les applications AJAX. D'après les premiers retours d'expérience, cet outil n'est compatible qu'avec le framework Atlas et qu'il ne scanne pas dans les fichiers JavaScript les requêtes XmlHttpRequest. Selon Dietrich Kappe sur son blog, le marketing autour de ce produit est un peu exagéré, tout ce qu'il fait pourrait être écrit en Perl en quelques heures. Mais c'est un début, un projet à surveiller. (...)
(15/06/2006 12:20:38)Microsoft : 12 failles corrigées
12 failles d'un coup, le « patch Tuesday » est assez riche ce mois-ci. On y trouve notamment la correction relativement attendue d'un problème Jscript jugé critique et portant la référence MS 06-023, un trou de sécurité dans le RRAS (ce n'était pas arrivé depuis longtemps) immatriculé MS 06-025, encore un problème critique du coté du moteur graphique de Windows sous la référence MS 06-026, un bug majeur dans Windows Media Player étiqueté MS 06-024, un gouffre assez préoccupant sous Word 2000 à 2003 et Works 2000 à 2006 (sensibilité à un fichier Doc forgé, bulletin MS 06-027 ), une possibilité d'exploit à partir également un fichier forgé, mais interprété par Powerpoint cette fois ci -à remarquer que les éditions PC et Mac sont également sensibles à cette faille MS 06-028 ), et enfin, pour couronner le tout, une rustine « cumulative » amoureusement vulcanisée pour Internet Explorer et qui élimine 8 nouveaux risques allant du XSS au spoofing, en passant par le buffer overflow et heap overflow. Le bouchon I.E. porte le numéro MS06-021 et clôt la série des points « critiques » de cette nouvelle vague de correctifs. A coté de ça, une vulnérabilité SMB ou l'éventualité d'un exploit tirant parti d'une faille dans la couche TCP/IP paraissent presque bénignes. Le douzième et dernier bulletin - bug dans l'authentification RPC passe presque inaperçue, qualifiée de « modérée » par le Response Team de Redmond. Ce lot de bouche trou prouve que l'équipe sécurité de Microsoft est loin d'être inactive. Cependant, quelques unes de ces failles avaient fait l'objet de publications sur les ML sécurité, publications laissant clairement entendre que des exploits existaient. Une première vague de patch aurait probablement été la bienvenue il y a au moins 15 jours de cela. Il est important de noter que certaines instabilités, mêmes corrigées, risquent encore de faire parler d'elles dans les jours à venir. Ainsi, les allemands de SEC-Consult promettent la publication prochaine d'un exploit visant le client de messagerie Web OWA (lié à Exchange Server), si l'on en croit un message publié sur le Full Disclosure. Le code en question utilise une inconsistance liée à Jscript. Ce genre d'avertissement est à prendre au sérieux. Les administrateurs de messagerie, tout comme ceux chargés de la maintenance des SGBD, mettent, prudence oblige, un « certain temps » avant que de déployer les rustines...des rustines qui ne sont pas toujours inoffensives, particulièrement sous Exchange pourrait-on ajouter perfidement... et par expérience. Du coté des forums, cette giboulée de failles fait sortir les inventeurs du bois et du mutisme. Notamment chez iDefense, qui revendique la découverte de 4 trous, du coté du « zero day initiative », qui en brandit 2 -trous appartenant à la série « Internet Explorer »-. Cet après-patch-day est assez roboratif pour nous promettre de la lecture et de l'interprétation de code pendant au moins les deux semaines à venir. (...)
(14/06/2006 08:32:32)Novell travaille sa gestion d'identité avec les projets Bandit et Higgins
Novell inaugure officiellement son projet de gestion d'identité open source Bandit. Ce dernier doit, indique l'éditeur, fournir un ensemble de composants pour fédérer les identités en ligne lors de transactions. Le projet repose notamment sur le framework open source Higgins, supporté par Novell et IBM (et hébergé par Eclipse), et dont l'objectif est de livrer une interface plus standardisée qu'Infocard (désormais CardSpace), technologie de gestion d'identité de Microsoft. En outre, il supporte les spécifications de la Liberty Alliance. Avec Bandit, Novell compte d'abord étoffer son portefeuille d'applications de gestion d'identité, notamment Identity Manager et eDirectory, en leur greffant une couche supplémentaire bâtie sur les spécifications de Bandit. Mais également s'attirer davantage de développeurs open source. En guise de contribution, Novell partagera l'ingénierie avec la communauté et assurera son support, "jusqu'à ce que la communauté grandisse". L'éditeur confirme qu'il intégrera les premiers composants de Bandit dans ses distributions Suse Linux. (...)
(13/06/2006 18:04:13)Paiement en ligne : Internet Plus se professionnalise
Internet Plus, un service permettant l'achat de services et contenus en ligne dont le montant est reporté sur la facture du fournisseur d'accès, se professionnalise. Jusqu'à présent réservé aux particuliers, la prestation est désormais disponible pour les entreprises sous la dénomination Internet Plus Pro. Concrètement les salariés pourront, via cette solution de paiement, acheter à l'unité des services tels que les informations des Echos, les dépêches AFP, les données sur les entreprises diffusées par Verif ou les revues de presse de Pressedd. Seuls douze prestataires ont d'ores et déjà signé un partenariat avec l'association Internet Plus, laquelle précise que ce chiffre atteindra, à terme, la cinquantaine. Le service mise avant tout sur la souplesse : les entreprises intéressées peuvent ainsi décider d'autoriser l'ensemble de leurs salariés, ou seule une liste déterminée, à acheter des informations, dont le détail est consultable en temps réel. Le solde de l'ensemble des actes est ensuite reporté mensuellement sur la facture du fournisseur d'accès. A ce jour, seul Orange permet à ses abonnés d'utiliser le système de paiement simplifié. (...)
(12/06/2006 17:49:18)TechEd 2006 : Forefront, la nouvelle bannière sécurité de Microsoft
A l'occasion de sa conférence utilisateur annuelle TechEd 2006 (à Boston), Microsoft a inauguré la marque "Forefront", étiquette sous laquelle trôneront désormais les principaux outils de sécurité de l'éditeur de Redmond. "L'objectif est de créer un ligne complète de produits, intégrée étroitement avec les infrastructures, dans un contexte qui facilite à la fois le déploiement et la gestion", explique Bernard Ourghanlian, directeur technique et sécurité de Microsoft France. Soit en clair, au regard du nombre de services et outils désormais disponibles, livrer une bannière unique aux utilisateurs. Rappelons qu'Onecare -qui n'est pas intégré dans Forefront- a propulsé l'éditeur de Redmond au centre du marché des services de sécurité pour desktop. Et la semaine dernière, Microsoft a annoncé sa déclinaison des outils de sécurité Antigen, racheté à la société Sybari. Hasard du calendrier - selon les paroles de Bernard Ourghanlian-, les outils Antigen sont les premiers à être rebaptisés. Antigen for Exchange et Antigen for SharePoint) deviennent alors Forefront for Exchange et Forefront for SharePoint. Leur sortie finale devrait coïncider avec les versions définitives d'Exchange 2007 et de la prochaine mouture de Sharepoint, affirme le directeur technique de Microsoft France. Et d'ajouter: "Antigen for Instant Messaging n'est pas inclus dans ce rebranding, car il n'a pas encore intégré notre cycle de développement". Côté client, Microsoft Client Protection, actuellement distribué en béta à un nombre limité de testeurs, devient Forefront Client Protection. L'outil, dont la version finale est prévue pour le premier semestre 2007, est une solution proposant des fonctions d'anti-virus et d'anti-spyware. "ISA Server" devrait, dans un futur proche, rejoindre la gamme Forefront", confirme Bernard Ourghanlian, tout en exposant les fonctionnalités de la version RTM du firewall proxy de la marque, présentée également au TechEd 2006. ISA (Internet Security and Acceleration) Server 2006 doit proposer des fonctions de publication sécurisée autour d'Exchange et SharePoint, ainsi que des possibilités d'intégration en environnement distribués plus fines, et enfin des outils de protections de réseaux optimisés (détection en déni de service, lutte contre les vers et système d'alerte et de prévention). Il est à noter que Microsoft a annulé l'édition européenne du TechED 2006. Pour la rebaptiser Microsoft TechEd 2006: Developers. (...)
(12/06/2006 12:34:31)Pas de correctif de sécurité pour Windows 98/ME
Comme annoncé précédemment, Windows maintient sa décision d'arrêter le support de Windows 98/ME le 11 juillet prochain. Cette décision a une première conséquence. Microsoft a décidé de ne pas proposer de correctif pour une importante faille du système, contrairement à ce qu'il avait indiqué au mois d'avril dernier. Selon la firme de Redmond, le travail nécessaire à la mise en place de ce correctif réclamerait trop de temps et d'investissement. En effet, la correction implique la réécriture d'un composant critique du noyau du système d'exploitation. Windows 98 et ME ne supporteraient pas en l'état les correctifs nécessaires. Le calendrier rattrape ainsi les utilisateurs de ces deux systèmes qui n'ont pas finit d'avoir de mauvaises surprises. Microsoft recommande évidemment de passer à un système d'exploitation plus récent afin de gagner en sécurité. (...)
(09/06/2006 17:06:28)Le correctif pour Word enfin disponible le 13 juin
Microsoft confirme que la rustine qui doit combler la faille dans Word -béante depuis le 22 mai- sera distribuée dans le "Patch Tuesday" du 13 juin. Elle sera accompagnée de onze autres correctifs, dont neuf pour Windows (une "critique"), une pour Exchange ("Important") et une seconde pour Office. Microsoft prévoit notamment de livrer le programme censé définitivement appliquer les modifications de comportements ActiveX à IE. Et annuler les effets du "compatiblity patch" de façon permanente. (...)
(09/06/2006 12:54:19)Vente en ligne : signature d'une charte de confiance sous l'égide de la Fevad
Parce que le commerce électronique touche une majorité d'internautes français - 57 % ont effectué un achat en ligne au premier trimestre 2006 selon une étude Médiamétrie, ils sont désormais 15,1 millions à faire des e-emplettes - et parce qu'un nombre croissant de transactions implique un vendeur non professionnel, la Fevad (Fédération des entreprises de vente à distance) vient de présenter une "charte de confiance des plates-formes de ventes entre internautes". Sous le pavillon Fevad, quatre grands acteurs du commerce en ligne eBay, Amazon, Princeminister et Alapage -permettant aux particuliers d'effectuer ventes et achats- ont signé le document, ainsi que Renaud Dutreil, le ministre des PME. Si la charte se veut un gage de confiance dans les ventes sur Internet et entend réguler l'activité des particuliers, elle n'affiche aucune mesure coercitive ni n'oblige les acteurs à se conformer à ses dispositions. Plus simplement, elle se contente de poser 14 mesures de bon sens - des "engagements volontaires" - dont certaines ont été inspirées par les recommandations du Forum des droits sur Internet. Parmi les engagements pris par les signataires, la mise en place d'une signalétique permettant de dissocier les vendeurs professionnels des particuliers occupe la première place. Suivent treize autres recommandations dont la mise en place du double clic pour valider l'achat, la spécification expresse des conditions de ventes - garantie, livraison, rétractation -, l'adoption de moyens de paiement et de livraison sécurisés autorisant la traçabilité. Enfin, la charte enjoint les plates-formes de ventes à proposer un service d'assistance. Si toutes ces mesures sont frappées du sceau du bon sens, leur efficacité ne repose que sur la bonne volonté des acteurs. Des acteurs qui feront le point sur la bonne tenue de leurs engagements dans six mois. Il sera alors envisagé d'adapter ou de compléter le document. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |