Flux RSS

Inscrivez-vous

L'Europe s'inquiète de l'acquisition de McAfee par Intel

L'Union européenne est préoccupée par les plans d'Intel d'intégrer des fonctionnalités de sécurité directement dans ses microprocesseurs, souligne le Wall Street Journal citant des sources anonymes. La société de Santa Clara fournit la majorité des puces pour PC dans le monde, et l'Union européenne craint que si McAfee dispose d'un « accès privilégié » à ces fonctionnalités, cela ne soit un désavantage pour les autres fournisseurs de solutions de sécurité, précise le quotidien économique américain. La direction de la Concurrence  de l'UE a émis ces plus vives préoccupations sur cette alliance lors de son examen préliminaire et pourrait décider de le soumettre à un examen plus approfondi.

Le porte-parole d'Intel  Chuck Mulloy a refusé de commenter ces informations en indiquant que l'entreprise «continue à travailler avec les autorités, pour qu'elles procèdent aux différents examens ». De son côté McAfee n'a fait aucun commentaire,  les seuls propos sur le blog du porte-parole indique « nous sommes heureux d'annoncer que l'ensemble du dépôt des dossiers auprès des autorités réglementaires a été finalisé et l'affaire est en cours d'examen par les différentes instances. Nous estimons que l'acquisition devrait être effective  au premier semestre 2011 ».

L'examen approfondi d'une acquisition de cette taille (7,7 milliards de dollars) peut durer plusieurs mois. Ainsi, pour la fusion entre Sun et Oracle, l'enquête a  décalé de 4 mois la réalisation effective de cet accord.

(...)

Le FBI accusé d'avoir caché des backdoors dans OpenBSD

Ces accusations ont été rendues publiques par Theo de Raadt, développeur principal du projet OpenBSD, un OS Open Source, dont ses composants sont largement utilisés dans d'autres systèmes d'exploitation basés sur Unix. Il a publié un e-mail émis par Gregory Perry, un ancien consultant sécurité pour le gouvernement. « Ce message était privé et provient d'une personne à qui je n'ai pas parlé depuis plus de 10 ans », écrit Theo de Raadt dans un forum de discussion sur l'OS Open Source. «  Je refuse de faire partie d'un tel complot et je ne contacterais pas Grégoire Perry sur ce sujet. Je le rends donc public. » Personne n'a pour l'instant contesté les propos de Grégoire Perry, mais les allégations sont remarquables. Si elles sont vraies - les spécialistes de la sécurité demeurent sceptiques -, cela signifie que le FBI aurait développé des moyens secrets pour espionner le trafic chiffré, puis les aurait dissimulés dans le code source officiel d'OpenBSD.

Grégoire Perry est PDG de la société GoVirtual Education. En réponse à des questions posées par mail par notre confrère CSO, le dirigeant a déclaré que le code des backdoors a été développé pour donner au FBI un moyen de surveiller les communications chiffrées au sein du ministère américain de la Justice. Gregory Perry dit qu'il a travaillé avec le FBI, alors qu'il était directeur technologique (CTO) de NetSec. Il a aidé à la création d'une cellule mise en place dans la fin des années 1990 pour aider les forces de l'ordre à contourner les techniques de chiffrement utilisées par les criminels.

Une expertise prouvée, des spécialistes sceptiques

Son expertise a permis de casser des codes de chiffrements, y compris par ce que l'on dénomme des attaques par canaux cachés. Un projet sur lequel Grégoire Perry a travaillé sur un réseau privé virtuel (VPN) utilisé par le département américain de la Justice lequel comprenait des backdoors installés par le FBI pour qu'il puisse potentiellement récupérer des décisions de jury  provenant de diverses juridictions aux États-Unis ou à l'étranger. Un porte-parole du FBI n'a pas souhaité apporter de précisions sur ce sujet. Grégoire Perry a affirmé avoir transmis l'e-mail à Theo de Raadt, car son accord de non-divulgation avec le FBI vient d'expirer.

Sur cette affaire, Theo de Raadt a misé sur la transparence en publiant ces accusations. « Je ne connais pas beaucoup de personnes ou d'entreprises qui ont fait la même chose », souligne Dan Kaminsky, un consultant en sécurité reconnu, qui a travaillé sur les questions de sécurité du projet OpenBSD. Dans un message, le fondateur du projet  propose aux développeurs de vérifier leur code et offre aux personnes incriminées la possibilité de se défendre. Cela a été le cas de Scott Lowe, expert en virtualisation chez EMC, qui a été cité par Grégoire Perry. « Je ne sais pas comment la personne qui a lancé cette rumeur a obtenu son information, mais il se trompe en sur ma participation à de tels agissements », explique en tout cas Scott Lowe sur son blog.

Dan Kaminsky n'écarte pas l'idée de la véracité des propos de l'ancien dirigeant de Netsec, mais il est sceptique. « Il n'y a aucun moyen de vraiment le savoir. Je pense que la grande question c'est : va-t-il renouveler publiquement ses accusations ? » souligne l'expert en sécurité.

Symantec mettra à jour sa suite DLP en 2011

Symantec DLP v. 11 comprendra notamment une « machine à vecteur de support » pour l'apprentissage artificiel. La méthode, mise en oeuvre dans d'autres domaines industriels où l'on utilise l'analyse de contenu basée sur la connaissance, permet d'examiner les documents, de les classer et de les mémoriser, mais aussi de savoir où est conservée leur version électronique. Symantec dit avoir développé sa propre version pour réaliser les classifications DLP, notamment pour distinguer et protéger les données selon qu'elles sont identifiées comme confidentielles ou sensibles. « Il faut que le système d'administration soit capable de générer des mots-clés,» explique Rich Dandliker, directeur produits chez l'éditeur.  Les outils de configuration de Symantec DLP v.11 permettent d'établir les profils des documents au fur et à mesure qu'ils sont ajoutés au système, de comprendre les similitudes entre les documents quand ils subissent des modifications, et d'établir des classifications de données en fonction de leur degré de confidentialité. La suite génère également des feedbacks sur ces choix. Autant d'éléments qui visent à simplifier son administration. La technologie permet enfin une détection DLP appropriée et est capable de bloquer des données même si un document a été légèrement modifié. Cela devrait aider à réduire les faux positifs.

Un système d'évaluation des risques

En plus des capacités d'apprentissage de la machine à vecteur de support, DLP v.11 comprendra un système d'évaluation des risques pour les données confidentielles de l'entreprise. « Il y a des «marqueurs» qui révèlent une concentration de données confidentielles et leur degré d'exposition, » explique Rich Dandliker. « Avec la v. 11, on pourra très rapidement voir à quel endroit il existe des risques potentiels, » dit-il. « Parfois, il suffira simplement d'appliquer certaines mesures correctives dans le contrôle d'accès pour diminuer ce risque. » La troisième nouvelle fonctionnalité de DLP v. 11 pourrait concerner la «restauration de données propriétaires» qui permet à l'équipe informatique d'alerter les propriétaires sur des risques potentiels concernant leurs données sensibles et de mieux les sécuriser. « Cette approche s'appuie sur ce que nous avons fait avec la version v.10.5 de Data Insight, » dit Rich Dandliker. « Parfois, il est difficile de savoir qui est le propriétaire des données, » ajoute-t-il.

DLP v.11 établira aussi un historique clair de ceux qui accèdent aux fichiers, assurant leur suivi, y compris pour savoir où ils sont stockés. L'idée est de s'assurer que la prévention de la fuite de données ne revient pas uniquement aux DSI et à leur outil DLP pour détecter et bloquer le transfert non autorisé d'informations sensibles, mais de faire en sorte que les gestionnaires eux-mêmes soient tenus informés de ce qui se passe et qu'ils prennent le cas échéant les mesures appropriées.

Symantec DLP v.11 est attendu pour le premier semestre 2011. Son prix de base a été fixé à 15.000 dollars.

Le MEHARI 2010 disponible sur le site du Clusif

Les smartphones prochaines plateformes des attaques DDoS

Cette enquête de l'Agence Européenne de la Sécurité des Réseaux et de l'Information considère ce risque comme important, même si actuellement il n'existe pas de telles attaques. Cela peut changer, car ces terminaux sont de plus en plus populaires, connectés et la complexité de ces plates-formes pourrait accroître les risques de vulnérabilité.

Les smartphones botnets pourraient ainsi  être utilisés pour des attaques traditionnelles comme le spam, la fraude au clic et le DDoS, affirme le rapport. À partir de ces terminaux mobiles, de nouveaux scénarios d'attaques distribuées, comme le spam par SMS ou à la saturation des réseaux de téléphonie. De telles actions pourraient servir de support pour des agressions plus larges sur d'autres infrastructures.

"La couverture de téléphonie mobile est de plus en plus vitale, en particulier dans les cas d'appel d'urgence, cette extension donne aux smartphones une ouverture vers de plus grandes possibilités pour les attaques DDoS avec des conséquences potentiellement graves», selon le rapport. Ce dernier cite l'exemple d'un virus qui a touché en 2001 DoCoMo, le premier opérateur mobile japonais. Le « virus i-mode » s'intégrait dans l'interface du mobile et était capable d'envoyer des messages malveillants et de composer les numéros d'urgence de manière intempestive.  « À l'époque, le nombre de terminaux mobiles vulnérables était réduit et l'impact n'était pas significatif, mais, aujourd'hui, une telle attaque aurait pu avoir des conséquences dramatiques sur les numéros d'urgence », précise l'étude.

Des risques classés en fonction des usagers

Le rapport distingue les faiblesses des smartphones et classe le niveau de risque en trois catégories d'usagers : consommateurs, salariés, et dirigeants. L'étude pondère les résultats sur les trois groupes d'utilisateur par le caractère involontaire de divulgation de données sensibles, car beaucoup ne connaissent pas les différentes fonctionnalités de certaines applications. Même si un utilisateur a accepté sciemment le téléchargement d'une application, il ignore peut-être que celle-ci collecte et publie des données à caractère personnel, comme les informations de localisation, très à la mode au sein des réseaux sociaux. Si la plupart des applications disposent de paramètres de confidentialité, nombreux sont les utilisateurs qui ne les modifient pas ou simplement en ignorent l'existence. Pourtant la «divulgation involontaire de données de localisation peut aider des criminels à suivre et tracer les utilisateurs pour par exemple planifier un vol de marchandises de grande valeur», conclut l'étude.

WikiLeaks : les attaquants utilisant LOIC pourraient être facilement tracés

Selon des chercheurs de l'Université de Twente (Enschede, Pays-Bas), les internautes qui utilisent le logiciel LOIC (Low Orbit Ion Cannon) pour mener des attaques DDoS contre des sites Internet en signe de soutien à l'action de Wikileaks , lequel diffuse depuis fin novembre les télégrammes diplomatiques américains, peuvent être facilement retrouvés. Cet outil, téléchargé par des milliers de personnes, permet de bombarder un site web ciblé afin de saturer son trafic pour le mettre hors ligne. Promu par le groupe de militants Anonymous, il a déjà utilisé pour mener des attaques contre des entreprises qui ont coupé les vivres à Wikileaks.

Low Orbit Ion Cannon existe en plusieurs versions : d'une part, une application cliente téléchargeable contrôlable à distance via un IRC (Internet Relay Chat) ou configurable manuellement. D'autre part, une version sous la forme d'un site web JavaScript. « Avec l'application cliente, le site web ciblé peut voir la vraie adresse IP de l'ordinateur d'où est déclenchée l'attaque, » écrivent les chercheurs. L'adresse IP permet de remonter au FAI qui fournit le service, lequel peut savoir à quel abonné correspond l'adresse. Il se passe la même chose quand un internaute utilise la version web. En général, les pirates qui mènent des attaques par déni de service DDoS configurent leur programme de manière à ce qu'il utilise une fausse adresse IP, mais Low Orbit Ion Cannon ne le fait pas. Les attaques DDoS peuvent également être coordonnée par un botnet, un réseau de machines infectées par un virus qui permet de les commander à distance. Généralement, cette action se fait à l'insu du propriétaire de l'ordinateur. Le danger avec les attaques de soutien à Wikileaks, c'est que les personnes souhaitant participer à la campagne en ligne ne sont pas assez férues de technologie et ne mesurent sans doute pas le fait qu'il est possible de retrouver leurs traces. « La technique d'attaque actuelle s'apparente un peu à l'envoi de milliers de lettres, mais avec le nom et l'adresse de l'expéditeur au dos de chacune, » écrivent les chercheurs hollandais. Sans compter que « l'Union européenne oblige les opérateurs de télécommunications à conserver leurs données pendant une durée de six mois. Ce qui signifie que les « hacktivistes » peuvent être facilement retrouvés même après l'interruption des attaques, » écrivent-ils encore. Déjà, aux Pays-Bas, la police a arrêté deux adolescents en relation avec les attaques. Le procureur a même déclaré qu'il avait été facile de retrouver la trace de l'un d'eux.

Un logiciel téléchargé par 67 000 sympathisants

Selon le vendeur de solutions de de sécurité Imperva, qui a comptabilisé que LOIC avait été téléchargé environ 67 000 fois, « l'Opération: Payback, » comme l'a baptisé le groupe Anonymous pour qualifier les attaques DDoS de soutien à WikiLeaks, « semble se poursuivre. » MasterCard, qui a fermé le compte de Wikileaks, a été à nouveau attaqué ce week-end, « et les statistiques montrent que son site a subi une interruption » indique Netcraft. « Si bien que désormais, la plupart des vendeurs de solutions de sécurité classent Low Orbit Ion Cannon parmi les menaces potentielles et s'emploient à bloquer le logiciel, » explique Imperva. L'entreprise a également déclaré avoir constaté que LOIC avait permis de coordonner certaines attaques. « Les attaquants recommandent le développement d'un système qui dirige les internautes vers un site intermédiaire, un site pornographique par exemple, pour rendre le JavaScript utilisé par l'outil DDoS invisible. » Selon Paul Mutton, analyste en sécurité chez Netcraft « ce contournement a peu de chance d'être efficace. » Le trafic destiné à bombarder le site visé passe par le browser web de l'utilisateur. « Le trafic du navigateur est difficile à contrôler, et en cas de surcharge, le navigateur traite l'excès de données qui lui reviennent, » explique-t-il. C'est en contradiction avec un outil dédié qui peut envoyer des charges énormes. « La version web de LOIC n'est pas aussi efficace qu'une vraie attaque DDoS, mais le logiciel est beaucoup plus facile à utiliser par tous, » conclut Paul Mutton.

Apple désactive en catimini la détection d'iPhone jailbreakés

Les outils de jailbreak constituent une sérieuse menace pour la sécurité des entreprises qui utilisent des smartphones (iPhone ou autres). En effet même si l'utilisateur final n'a pas l'intention de télécharger des programmes douteux, il reste complètement ignorant des logiciels malveillants dissimulés dans les applications non autorisées.

L'API désactivée par Apple faisait partie d'un ensemble d'API baptisé MMD (Mobile Management Device) destiné à faciliter la gestion des flottes d'iPhone dans les entreprises. Ces API étaient par exemple utilisées par des applications tierces comme AirWatch ou Afaria de Sybase, pour accéder directement aux fonctions et aux informations d'iOS ou du terminal mobile.

Mais avec l'arrivée d'iOS 4.2 fin novembre, l'API chargée de détecter les terminaux jailbreakés a été désactivée ou supprimée. Cet outil permettait aux applications MMD de vérifier si le système d'exploitation avait été compromis. Pour débrider les terminaux mobiles, les développeurs exploitent certaines failles pour modifier certains composants de bas niveau de l'OS afin d'autoriser le transfert de leurs propres applications ou celles de fournisseurs tiers. En octobre 2010, deux jailbreaks différents avaient exploité des vulnérabilités découvertes dans la Rom de démarrage d'IOS. Depuis trois ans, Apple lutte contre ce phénomène et avertit que le jailbreaking annule la garantie de l'appareil et risque endommager le smartphone.

Des tests de sécurité propres aux éditeurs

Auparavant, certains vendeurs de MMD avaient créé leurs propres tests détecter les jailbreaks,  à l'image de ceux menés par les logiciels antivirus pour découvrir si un PC était infecté par un trojan. La fourniture de cette fameuse API par Apple leur donnait un accès direct aux informations sur le système d'exploitation. En théorie, le terminal iOS "avouait" s'il avait été jailbreaké, déclenchant ainsi des réponses automatiques telles qu'alerter le support technique ou interdire l'accès au serveur Exchange de l'entreprise.

« Nous l'avons utilisée quand elle était disponible, mais comme un complément », explique Joe Owen, vice-président en charge de l'ingénierie chez l'éditeur Sybase, qui propose l'outil de gestion et de sécurité pour mobiles. « Je ne sais pas ce qui a motivé cette suppression... » Dans la pratique, l'idée d'Apple d'utiliser une requête basée sur une API s'est avérée être beaucoup plus compliquée qu'il n'y paraît. «C'est un concept intéressant -
demander à l'OS de vous dire s'il a été compromis», poursuit Joe Owen. « Une attaque astucieuse pourrait toutefois commencer par changer cette partie précise de l'OS. Les jailbreaks dissimulent de mieux en mieux le fait que quelque chose a été compromis. » Lorsque cela se produit, l'API est trompée ou simplement incapable de détecter le jailbreak.

[[page]]

« [il] est peut être possible de détecter le jailbreak d'une version spécifique, mais ils [les éditeurs] seront toujours pris au piège, au jeu du chat et de la souris, s'ils veulent jouer avec les jailbreakers » explique Jeremy Allen, consultant en sécurité au sein d'Intrepidus Group. « Quels que soient les ajouts [dans l'OS] pour détecter les jailbreaks, s'il est nécessaire d'interroger le noyau pour être renseigné ce dernier doit rester accessible et peut toujours être modifié. Quelle que soit la manière d'appréhender le problème, si une méthode de détection est utilisée, une fois connue, elle peut être contournée. C'est un problème insoluble qu'on ne peut pas résoudre à 100%. »

Installer toutes les applications sans les payées

Pour un groupe d'utilisateurs doués en informatique, le jailbreaking est un exercice intéressant, sans même parler des questions de liberté individuelle, qui leur permet d'installer toutes les applications qu'ils souhaitent. Mais pour les entreprises, les terminaux mobiles iOS jailbreakés constituent véritablement une grave menace pour la sécurité.

« Quand un dispositif [mobile] est  jailbreaké, l'objectif premier est de contourner ou de désactiver les composants du système d'exploitation et de la plate-forme qui maintiennent les applications dans un sas pour prévenir les défaillances et limiter les privilèges », écrit Jeremy Allen sur son blog consacré à la sécurité des plates-formes mobiles. « Avec ces terminaux, il pourrait être difficile, voire impossible, d'appliquer une politique de sécurité tant que les utilisateurs peuvent facilement contourner les mesures internes sans que les outils de gestion s'en rendent compte. »

Les fournisseurs de solution MMD tels que Good Technology, MobileIron et Sybase prétendent tous être en mesure de détecter les terminaux iOS jailbreakés sans l'API d'Apple. En règle générale, leurs agents sur l'appareil dialoguent avec les serveurs pour exécuter une série de tests ou tenter de faire des opérations strictement interdites par Apple, comme accéder à certaines fonctions bas niveau de l'OS. Si l'application peut exécuter ces tâches, elle comprend immédiatement que l'appareil est déplombé, et peut ensuite bloquer ou restreindre l'accès au réseau de l'entreprise.

Des utilisateurs inconditionnels du jailbreaking

Ces techniques ne sont toutefois pas infaillibles, prévient Jeremy Allen. « Ces méthodes ne peuvent pas être invoquées sans un degré élevé de confiance. Elles pourraient suffire dans de nombreux jailbreaks, mais pas tous », précise-t-il. « Je les vois comme des outils utiles, mais pas une solution globale. » Jeremy Allen encourage fortement les entreprises à utiliser une approche multicouche et surtout à être réaliste sur les risques encourus. «Je stresse toujours les utilisateurs [quant à l'importance] des risques avec le jailbreak. Je pense que les organisations doivent expliquer, dans un document interne la politique officielle, que le jailbreaking des terminaux n'est pas autorisé. Beaucoup d'utilisateurs ne sont tout simplement pas au courant des risques associés à l'exploitation d'un appareil jailbreaké. »

Compte tenu de l'ingéniosité  des pirates aujourd'hui, les entreprises doivent reconsidérer leurs mesures internes en conséquence, met en garde Jeremy Allen. « En ce qui concernent les utilisateurs qui sont des inconditionnels du jailbreaking, et qui connaissent les risques encourus et les mécanismes de  détection utilisés, il n'y a pas de solutions pour les repérer », conclut-il.

Le ministère de l'Intérieur verrouille son SI avec la SSII CS