Flux RSS

Sécurité

Si vous souhaitez recevoir toute l'information "Mot Clé" de notre feed RSS,Inscrivez-vous

2589 documents trouvés, affichage des résultats 641 à 650.

< Les 10 documents précédentsLes 10 documents suivants >


(25/01/2011 14:42:59)

Un pirate commercialise ses « exploits » sur Internet

Imperva, une société spécialisée dans la sécurisation des données, a découvert un pirate qui prétend vendre des accès à des sites militaires, gouvernementaux et éducatifs à travers le monde. Les prix varient de 499 dollars pour les sites militaires américains à 55 dollars pour un accès au compte administrateur sur le site web de l'Etat du Michigan. La société précise également que le pirate vend des renseignements personnels issus de sites web piratés à 20 $ pour 1000 données. Pour prouver ses dires, le hacker fournit des captures d'écran d'accès aux renseignements personnels et à l'interface d'administration d'une grande université. Il peut aussi «pirater un site web normal » pour 10 $ et propose 3 Mo de données aléatoires issues de comptes piratés pour 65 $.

Pas de méthodes innovantes, mais un opportunisme commercial

Imperva pense que cette personne a réussi à s'introduire sur les sites grâce à une technique d'injection de code. « La mise en vulnérabilité du site des victimes est due probablement à une injection SQL, exploitée de manière automatique, comme le pirate l'a indiqué dans un post sur certains forum de hackers», écrit Rob Rachwald dans un message sur le blog Imperva Securities Data.
Ancien reporter du Washington Post, Brian Krebs pense que les méthodes utilisées restent standards. « J'ai vu quelques-unes des preuves proposées par le pirate, mais je ne crois pas qu'il ait inventé quelque chose », explique-t-il sur son blog KrebsonSecurity. Il note d'ailleurs que les cartes bancaires ne sont pas acceptées par le hacker qui préfère de la monnaie virtuelle via un compte sur Liberty Reserve.

(...)

(21/01/2011 14:37:12)

Soundminer, un malware espionne et vole les données des smartphones Android

Ce spyware du nom de Soundminer, peut surveiller les appels téléphoniques et enregistrer des informations vocales prononcées par l'utilisateur, un numéro de carte de crédit par exemple, ou récupérer les chiffres qu'il tape sur le clavier de son téléphone. « S'appuyant sur diverses techniques d'analyse, Soundminer parvient à extraire l'essentiel des informations enregistrées, comme le numéro de carte de crédit lui-même, et envoie un tout petit bout d'information sélectionnée à un attaquant posté sur le réseau, » expliquent les chercheurs Roman Schlegel de la City University de Hong Kong et Kehuan Zhang, Xiaoyong Zhou, Mehool Intwala, Apu Kapadia, Wang Xiaofeng de l'Université Bloomington dans l'Indiana. « Nous avons installé Soundminer sur un téléphone Android et nous avons testé notre technique en utilisant des données réalistes, identiques à celles pouvant circuler lors d'une conversation téléphonique normale, » ont-ils écrit. « Notre étude montre que des numéros de carte de crédit peuvent être identifiés de façon fiable et transmis de manière rapide. Par conséquent, la menace d'une telle attaque est réelle. »

Le spyware a été conçu pour requérir le minimum d'autorisations pour éviter d'être repéré. Par exemple, le virus peut être autorisé à accéder uniquement au micro du téléphone, mais pas un accès élargi pour transmettre des données, intercepter des appels téléphoniques sortants ou entrer dans les listes de contacts, des opérations qui pourraient susciter des soupçons.

Une variante très efficace et discrète

C'est pourquoi, dans une autre version de l'attaque, les chercheurs ont associé Soundminer avec un Trojan indépendant, du nom de Deliverer, qui prend en charge l'envoi des informations recueillies par le spyware. Car Android pourrait empêcher la communication entre les applications, les chercheurs ont trouvé comment faire communiquer Soundminer avec Deliverer. Ils ont ainsi découvert ce qu'ils appellent plusieurs « canaux cachés » qu'ils ont pu utiliser pour faire passer des informations en même temps que d'autres, via les paramètres du vibreur notamment. Soundminer pourrait coder les données sensibles qu'il veut transmettre sous une forme qui ressemble aux données utilisées dans les paramètres de vibration. Ensuite, Deliverer pourrait décoder ces données pour les envoyer à un serveur distant. Le canal caché en question dispose de seulement 87 bits de bande passante, suffisamment pour transmettre un numéro de carte de crédit qui en utilise 54 bits seulement, » expliquent-ils. Soundminer a été écrit pour effectuer la reconnaissance vocale ou la reconnaissance d'un numéro tapé sur le téléphone lui-même. Cela permet d'éviter l'envoi de gros paquets de données via le réseau pour l'analyse, ce qui pourrait alerter les logiciels de sécurité.

Selon les chercheurs, VirusGuard de SMobile Systems et l'AntiVirus de Droid Security, deux antivirus pour Android utilisés pour le test, ne sont pas parvenus à identifier Soundminer comme malware, même quand il était en train d'enregistrer et de télécharger des données. Les responsables de Google basés à Londres, sans nommer précisément Soundminer, ont déclaré qu'Android était en mesure de minimiser l'impact « d'applications mal programmées ou malveillantes qui pourraient se trouver sur un téléphone. » Selon Google, « si les utilisateurs pensent qu'une application peut-être dangereuse ou inadaptée, ils peuvent la marquer, lui donner une note défavorable, laisser un commentaire détaillée à son sujet, et bien sûr, la retirer de leur appareil. » « Les applications qui sont contraires à nos politiques sont retirées du marché. De la même manière, nous pouvons empêcher les développeurs ne respectant pas notre politique, et épinglés pour infractions, d'accéder à l'Android Market. »

(...)

(20/01/2011 17:18:47)

5 outils de sécurité Open Source à tester

Si les menaces exploitant les vulnérabilités du réseau et des logiciels augmentent à un rythme effréné, de bons outils de sécurité peuvent constituer une bonne défense contre la plupart des menaces qui trainent sur Internet. Voici une petite sélection de cinq solutions de sécurité Open Source.


PacketFence : contrôle d'accès des réseaux filaire et sans fil
Développé par la société canadienne Inverse, PacketFence est un outil de contrôle d'accès réseau (NAC ou Network Access Control) pour réseaux filaires et sans fil. Administrable à distance, il travaille de concert avec le système de détection d'intrusions Snort et le scanner de vulnérabilités Nessus. Les principales caractéristiques comprennent le support de la VoIP, du 802.1X, l'isolement des dispositifs menaçants  et une interface de gestion basée sur le web.

PacketFence est sous licence GPL et disponible à l'adresse suivante : http://www.packetfence.org/

SmoothWall, un firewall complet Open Source ou appliance
Projet Open Source commencé en 2000s sous l'appellation SmoothWall Express, SmoothWall est un pare-feu fourni avec son propre système d'exploitation Linux et une interface d'administration web. Il peut être téléchargé sous la forme d'une image ISO pour la plate-forme X86. Le produit propose l'ensemble des fonctionnalités standards d'un pare-feu et assure la qualité de service (QoS), les statistiques de trafic, la fonction de proxy web et la fourniture de graphiques en temps réel.  La compagnie qui développe ce produit en Open Source offre un support commercial et vend ses propres appliances. 

SmoothWall est sous licence GPL et disponible à l'adresse suivante : http://www.smoothwall.org/

ModSecurity, un pare-feu pour Apache
Développé par la société américaine Trustwave, ModSecurity est un pare-feu web Open Source (WAF) développé pour le serveur Apache. Il possède son propre langage de programmation pour se  prémunir contre les menaces web. Installé en tant que module Apache, ModSecurity surveille et analyse en temps réel le trafic HTTP, les logs et les tentatives d'intrusion. Comme il est exécuté dans Apache, ModSecurity suit les évolutions du célèbre serveur web. Ce firewall serait déployé sur 10 000 serveurs web dans le monde.

ModSecurity est disponible sous licence GPL à l'adresse suivante : http://www.modsecurity.org/

Untangle, une distribution spéciale sécurité
Livrée sous la forme d'une image ISO, Untangle est une distribution Linux de sécurité multi-usages. Elle s'exécute sur un appliance ou dans une machine virtuelle. La distribution Untangle inclut des outils de sécurité gratuits et payants. Les applications gratuites incluent un filtre web/anti-phishing , un anti-virus, un anti-spam, un anti-spyware, un pare-feu, des outils de reporting et un VPN. Différents niveaux de support commercial sont proposés en fonction des besoins.

La version 8.0 d'Untangle, sous licence GPL, est disponible depuis fin 2010 à l'adresse suivante : http://www.untangle.com/

TrueCrypt : Cryptage en temps réel
Le chiffrement est une brique fondamentale pour assurer la sécurité des données. Le projet Open Source TrueCrypt ambitionne de faciliter cette question. Reposant sur un disque virtuel crypté, TrueCrypt peut chiffrer une partition ou l'intégralité d'un disque dur interne, une clef USB ou un périphérique de stockage externe. Assuré en temps réel, le cryptage serait transparent pour l'utilisateur. Pour travailler plus vite, cet outil prend également en charge l'accélération de cryptage matérielle disponible sur les derniers processeurs.

TrueCrypt fonctionne sur Windows, Mac OS X et Linux et peut être téléchargé sur le site de l'éditeur : http://www.truecrypt.org

(...)

(20/01/2011 15:47:56)

Des pirates exploitent le minicloud d'OVH

Octave Klaba, le PDG de l'hébergeur OVH a posté un message sur la page de maintenance de la société daté du 8 janvier dernier, qui indique « face à l'utilisation abusif de miniCloud par les hackeurs pour les attaques, les scans et les flood, nous avons déjà annoncé que nous allons devoir protéger les infrastructures en bloquant le trafic UDP sur le miniCloud. Les abus se sont accélérés depuis 2 jours. Nous sommes maintenant à une dizaine attaques en 48H sur les miniCloud. Nous avons décidé d'aller plus vite que prévu: le trafic UDP sur le mC vient d'être bloqué définitivement. »

Nous avons voulu interroger OVH pour connaître la nature des attaques (un lien avec l'affaire Wikileaks ou autre), l'impact sur les clients de l'offre minicloud (éventuel remboursement), mais la société nous a indiqué n'avoir rien à déclarer sur ces sujets. L'offre minicloud propose une mise à disposition de ressources informatiques dont le coût varie en fonction de la mémoire virtuelle souhaitée (de 0,01 euros HT/h pour 256 Mo à 0,08 euros HT/h pour 2048 Mo).

(...)

(19/01/2011 14:03:40)

La cyberguerre s'invite à la conférence Black Hat

Le consultant en sécurité, Jeff Moss, qui siège depuis 2009 au Conseil Consultatif du Département de la Sécurité Intérieure (Department of Homeland Security - DHS), n'est pas d'accord pour dire, comme certains experts, que Stuxnet représente « la première attaque ciblée effectuée avec une cyber-arme. » De son point de vue, « ce n'est pas la première du genre, mais c'est la première qui soit vraiment visible de tous, » a t-il commenté. « Je pense aussi que c'est la première attaque dont nous pouvons tous parler publiquement, » a t-il ajouté.

Les débats sur les techniques utilisées pour monter des attaques offensives sont également de plus en plus publiques. C'est le cas des thèmes abordés à la conférence Black Hat qui se tient cette semaine à Washington, dans un hôtel situé à deux stations de métro du Pentagone. Certains sujets parlent ainsi spécifiquement de pistes, jusque là qualifiées de « tactiques irrégulières » et « d'escarmouches sur le web, » pour mener des cyber-guerres offensives. Comme l'indique Jeff Moss, la dernière conférence a ajouté ces sujets de discussions « à l'attention des personnes qui exerce légalement ce type d'actions. » Des sessions consacrées aux cyber-attaques font depuis longtemps parti des thèmes abordés à la conférence, mais jusqu'à présent, les sujets étaient essentiellement axés sur des tactiques permettant de tester les moyens de défenses. « Aujourd'hui, les techniques d'attaques sont traitées à part entière, » a t-il déclaré.

Une riposte cyber graduée ?


Entre temps, le ver Stuxnet a enrichi la bibliothèque des cyber-attaques, lesquelles sont par ailleurs de plus en plus portées à la connaissance du grand public. Comme cette intrusion l'an dernier dans les systèmes informatiques de Google, une action probablement menée par la Chine contre le géant de l'Internet. Le fondateur de Black Hat pense que la divulgation publique de ces attaques donne aussi plus de poids aux responsables de la sécurité informatique, qui peuvent désormais faire valoir auprès des dirigeants la réalité de certains incidents pour expliquer les risques encourus. Mais beaucoup reste à faire. Lorsque Stuxnet a mis hors de contrôle certaines centrifugeuses destinées à l'enrichissement d'uranium au sein de l'installation nucléaire iranienne, l'attaque a largement montré la vulnérabilité des systèmes de contrôle, y compris ceux utilisés dans diverses installations électriques à travers le monde.

Pour Franklin Kramer, ancien secrétaire d'Etat adjoint à la Défense dans l'administration Clinton, une cyber-guerre ne se limitera pas à un secteur en particulier et le gouvernement aura besoin de disposer de solutions diverses pour parer à ce type de menace. « Le premier niveau de réponse pourrait être diplomatique et le second économique, » a déclaré Franklin Kramer. Mais, un troisième niveau de réponse pourra être d'ordre cybernétique, ou «cinétique» comme disent les militaires quand ils évoquent une éventuelle action de ce type. L'ancien secrétaire d'Etat a également indiqué qu'une action militaire en réponse à une cyber-attaque ne pouvait pas être exclue des scénarios possibles. A ce propos, il a rappelé l'intervention menée en 1989 par les États-Unis au Panama, conduisant à l'arrestation de son dirigeant Manuel Noriega, condamné et emprisonné pour trafic de drogue, racket et autres charges. Franklin Kramer a également appelé à une plus grande collaboration sur les questions soulevées par les cyber-menaces. Celui-ci estime aussi que les responsables politiques devront examiner de près la question de savoir si la Security and Exchange Commission (SEC), le gendarme américain de la bourse, doit obliger ou non les entreprises à rendre publique leurs problèmes liés à la sécurité et à communiquer sur les solutions possibles pour se défendre de ces cyber-attaques, de manière à sensibiliser davantage encore à telle ou telle menace. « Je pense qu'il y a beaucoup à dire à ce sujet, » a conclu Franklin Kramer.

Crédit Photo : D.R

(...)

(18/01/2011 15:42:31)

Un chercheur prend le contrôle des smartphones, via le composant radio

Plus de trois ans après le piratage de l'iPhone, un expert en sécurité informatique pensent en effet avoir découvert une toute nouvelle manière de prendre le contrôle des téléphones mobiles. Cette méthode pourrait poser un vrai casse-tête aux constructeurs de smartphones. « Je vais démontrer comment utiliser la fonction du décroché automatique, active sur la plupart des téléphones mobiles, pour détourner un téléphone et en faire un système d'écoute illégale à distance » a déclaré le chercheur dans une interview.

Ralf-Philipp Weinmann affirme pouvoir y parvenir en cassant les données inscrites dans le processeur utilisé pour la transmission et la réception des signaux radio lorsque le téléphone communique avec le réseau cellulaire. Pour cela, le chercheur a identifié des failles dans le firmware, intégré dans les puces vendues par Qualcomm et Infineon Technologies, qui traite le signal radio des réseaux GSM (Global System for Mobile Communications), utilisés par la majorité des opérateurs de téléphonie mobile dans le monde. Jusqu'à récemment, les attaques contre les systèmes de téléphonie mobile visaient les programmes et les systèmes d'exploitation tournant sur le processeur de l'appareil mobile. C'est le cas par exemple, lorsque, en incitant une personne à visiter un site web malveillant, ils parviennent à tirer profit d'un bug du navigateur Internet présent sur le téléphone pour trafiquer dans la mémoire de l'appareil. Mais cette méthode ouvre un tout nouveau domaine de recherche.

Une attaque très technique

En travaillant sur le piratage de l'accès radio, les chercheurs en sécurité s'intéressent à une toute autre manière de s'introduire dans la mémoire du terminal. «  C'est comme faire tomber un rocher que l'on pensait ne jamais pouvoir renverser, » a déclaré Grugq - un hacker au pseudonyme connu et respecté dans le domaine de la téléphonie mobile, qui fait partie de ceux, peu nombreux, qui ont aidé à effectuer des recherches dans cette direction. « Il y a beaucoup de bogues cachés à ce niveau-là, » explique-t-il. « Il faut juste prendre le temps de les repérer.» Néanmoins, le piratage d'un smartphone via les composants radio reste très délicat, et c'est peu dire. En effet, le signal radio du mobile est transmis à une station de base. Aussi, dans l'attaque imaginée par Ralf-Philipp Weinmann, il faut en premier lieu installer un faux relais de téléphonie mobile, puis amener le téléphone cible à s'y connecter. Alors seulement, le code malveillant peut être introduit. Et même après cela, ce code infecté doit pouvoir s'exécuter sur le firmware en utilisant les failles des processeurs radio - un domaine inconnu de la plupart des hackers. « C'est une attaque très technique,» fait remarquer Don Bailey, un consultant en sécurité chez Isec Partners. Si, selon lui, le travail sur ce type de piratage est très excitant, il peut poser un jour un gros problème à l'industrie du téléphone mobile. Cependant, ce type d'attaque ne devrait pas rapidement représenter une menace selon lui.

[[page]]

Mais la recherche dans ce domaine commence à peine à décoller, alimentée par le nouveau logiciel Open Source OpenBTS qui permet, à pratiquement n'importe qui, de créer sa propre sa station de base cellulaire avec un budget de 2 000 dollars en matériel informatique. Il y a seulement cinq ans, les fabricants de téléphones n'avaient pas à se soucier de ce type de piratage, car il fallait des dizaines de milliers de dollars pour mettre en place une telle infrastructure cellulaire. Mais OpenBTS a modifié la donne. « Maintenant, les données du problème sont complètement différentes, » explique Don Bailey. Et le jeu est aussi très risqué. Aux États-Unis, les lois fédérales sur l'écoute électronique interdisent d'intercepter les appels téléphoniques sur les fréquences autorisées et utilisées par les téléphones mobiles. Au mois d'août dernier, les avocats de l'Electronic Frontier Foundation ont dû, à la dernière minute, mener d'intenses négociations avec la Federal Communications Commission, pour que le chercheur en sécurité Chris Paget puisse faire la démonstration d'un système d'interception de communications téléphoniques mobiles lors de la conférence Defcon de Las Vegas, consacrée au piratage informatique.

Un défi qui se poursuit

Dans deux mois, une autre conférence de hackers, CanSecWest qui se tient chaque année à Vancouver, mettra des hackers au défi de pirater des téléphones mobiles en utilisant un émetteur de faible puissance. Dragos Ruiu, l'organisateur de la conférence, indique que, au Canada, même si le sujet reste délicat, les lois concernant la radiodiffusion sont «plus souples,» ce qui permet aux chercheurs qui effectuent des recherches dans ce domaine de monter des tours de faible puissance. « L'an dernier, nous étions inquiets de contrevenir aux lois fédérales», dit-il. « Cette année, nous avons trouvé une méthode sécurisée qui empêche de s'introduire dans le téléphone mobile d'un quelconque participant à la conférence. » L'organisateur s'attend à des résultats intéressants au concours Pwn2Own, qui récompense les gagnants en espèces. « Il semble que les composants radio des téléphones soient en effet très fragiles et très vulnérables. »

(...)

(18/01/2011 11:22:55)

Facebook livre les numéros de mobiles et les emails de ses abonnés (MAJ)

(MAJ*) Expliquant sa décision dans un billet de blog, Facebook précise que les développeurs d'applications seront en mesure d'accéder aux informations de contact seulement si l'utilisateur l'y autorise. Le site de réseau social ajoute par ailleurs avoir créé de nouveaux paramètres d'autorisation pour permettre ce transfert. Il souligne également que « l'accès et l'utilisation de ces données est régie par les règles régissant la plateforme. » En l'occurrence, le volet n°3 stipule « une politique de confidentialité qui impose d'avertir les utilisateurs sur la nature des données personnelles utilisées et comment celles-ci seront exploitées, rendues publiques, partagées, ou échangées. » La règle 6 interdit aux développeurs « de transférer directement ou indirectement des données émanant du réseau social, y compris les données utilisateur ou les ID utilisateur de Facebook, à une régie publicitaire, des plateformes d'échange, un courtier en informations, ou vers des systèmes connexes impliquant une publicité ou une monétisation, même dans le cas où l'utilisateur consent à un tel transfert ou à un tel usage. »

Une menace réelle


Mais pour Graham Cluley, expert en sécurité chez Sophos, ce choix « pourrait accroître le niveau d'exposition des utilisateurs de Facebook. » Celui-ci rappelle que les cybercriminels ont déjà fait leurs preuves et montré leur capacité à tromper les victimes pour récolter des informations personnelles sensibles. « Il va devenir plus facile que jamais pour des développeurs d'applications inconnus de recueillir encore plus d'informations personnelles sur les utilisateurs. On peut imaginer, par exemple, que des individus mal intentionnés mettent en place une application malveillante uniquement pour récolter des numéros de téléphone mobile afin de les utiliser ensuite pour du spamming par SMS ou de vendre ces données à des entreprises pour du cold calling (ou appels à froid), » écrit l'expert de Sophos. « La possibilité d'accéder à ce type de données personnelles accroit les risques de vol d'identité, » conclut-il.

*Dernière minute : Facebook a décidé de suspendre la délivrance des données personnelles (adresse postale et coordonnée téléphonique) à l'attention des développeurs. Le site de réseau social souhaite réfléchir pour mieux communiquer auprès des utilisateurs et améliorer les boîtes de dialogue invitant à partager leurs informations privées.

(...)

(17/01/2011 11:29:38)

Oracle livre une mise à jour de sécurité de 66 correctifs

Prévu pour le mardi 18 janvier, le « Critical Patch Update » d'Oracle contient plusieurs dizaines de rustines destinées à corriger des failles de sécurité dans différents logiciels. En tout, soixante-six correctifs. La liste des produits concernés est consultable sur le site de l'éditeur qui recommande vivement de les appliquer le plus rapidement possible. Un certain nombre d'entre eux viennent en effet rectifier des vulnérabilités classées dans la catégorie présentant le niveau de risque le plus élevé, selon le système de notation Common Vulnerability Scoring System (CVSS). Ces failles de niveau 10.0 concernent le logiciel Audit Vault (consolidation de données d'audit), la machine virtuelle Java JRockit, le système d'exploitation Solaris et le serveur d'applications WebLogic.

Six autres patches sont destinés à la base de données d'Oracle. Parmi les bugs qu'ils viennent corriger, deux peuvent être exploités à distance, sans nom d'utilisateur, ni mot de passe. La faille présentant le risque le plus élevée est notée 7.5. Le logiciel Secure Backup doit également être mise à jour (niveau de risque : 6.4).
Seize correctifs concernent par ailleurs les produits de middleware. Là encore, ils viennent notamment s'appliquer à douze failles pouvant être mises à profit à distance sans authentification.

Les autres mises à jour amendent Enterprise Manager Grid Control (niveau de risque : 7.5), la solution d'administration d'environnements physiques et virtuels, GlassFish, le serveur d'applications Open Source Java EE, mais aussi la suite bureautique OpenOffice et les applications de gestion PeopleSoft (CRM, HRMS et PeopleTools) et JDEdwards Suite.

En février, Oracle prévoit de livrer des correctifs pour Java SE et Java for Business.

(...)

< Les 10 documents précédentsLes 10 documents suivants >