Flux RSS

Inscrivez-vous

Avira lance son antivirus dans le cloud

Spécialiste des anti-virus, la société allemande Avira se développe en France depuis le début de l'année. Elle a racheté la société néerlandaise CleanPort au mois de mars qui lui apporte une compétence en services managés. A partir de là, Avira a mis au point une solution en Saas : Avira Managed Security Services, AMSS, dont un élément, Avira managed email security, AMES, est disponible en France pour le marché des entreprises.

Cette solution offre du filtrage anti-virus et antispam aux PME PMI qui ont déjà un serveur d'email. Leur trafic est redirigé vers le serveur d'Avira et là, il est filtré deux fois pour la partie anti-virus, une fois pour l'antispam, une autre fois pour les contenus. (...)

Microsoft Tuesday Patch de décembre : 17 mises à jour urgentes

Pour son Tueday Patch de décembre, Microsoft établit un nouveau record avec pas moins de 17 mises à jour. Deux d'entre elles corrigent des failles déjà exploitées par les pirates. Andrew Storms, responsable des questions de sécurité chez nCircle se dit même étonné par ce nombre : « Je m'attendais à une dizaine de mises à jour au maximum, mais pas à 17 ! » a-t-il déclaré. C'est aussi une mise à jour de plus qu'en octobre 2010. Quant aux 40 correctifs, c'est, selon Microsoft, 9 de moins que le record établi en octobre dernier, mais 6 de plus que les plus gros mois d'octobre 2009, de juin et août de cette année. Le nombre total de bulletins émis cette année - 106 - est aussi un record, de même que les 266 vulnérabilités corrigées. Mike Reavey, directeur du Microsoft Security Response Center (MSRC), défend dans un blog le rythme de correctifs livrés en 2010. « Celui-ci est dû en parti à la légère augmentation des rapports de vulnérabilité sur les produits Microsoft et au fait que l'éditeur assure le suivi de ses produits sur des périodes allant jusqu'à dix ans,» écrit-il. «Les anciennes versions sont l'objet d'attaques utilisant des méthodes plus récentes, et ce facteur est aggravé par une augmentation globale de la vulnérabilité, d'où un nombre plus élevé de rapports. »

Un nombre élevé pour une fin d'année

Néanmoins, c'est la valeur élevée du mois de décembre qui a attiré l'attention d'Andrew Storms. «Le nombre est assez surprenant, » estime-t-il en effet. « Au cours des trois dernières années, Microsoft n'a jamais publié plus de 9 mises à jour ce mois-là, » a-t-il comptabilisé. « Certes, Microsoft ne se fie pas nécessairement à ce qui se passe ailleurs, mais le fait est que de nombreuses entreprises n'appliqueront pas la plupart de ces correctifs avant le premier jour de l'année à venir, » a-t-il ajouté. D'une part, les entreprises informatiques sont en effectifs réduits ce mois-ci - à cause des jours fériés et des vacances -, mais par ailleurs, elles ne prendront pas le risque de devoir affronter les problèmes qui pourraient éventuellement résulter de ces correctifs à un moment de l'année très important pour leur entreprise. « Ne rien faire est pour elles un moindre risque, » a déclaré Andrew Storms. « C'est particulièrement vrai pour les entreprises du secteur financier par exemple, qui ont verrouillé leurs systèmes depuis début novembre. Beaucoup interdisent d'effectuer des mises à jour les deux derniers mois de l'année pour s'assurer que leur matériel continuera à fonctionner, » a-t-il expliqué.

Des mises à jour très importantes pour Windows, Exchange et Sharepoint

Deux des 17 mises à jour sont qualifiées de « critiques » par Microsoft, soit la note la plus élevée en terme de menace dans son échelle de gravité à 4 niveaux. Les 14 autres sont classées « importantes », soit au deuxième rang, tandis que la dernière est considérée comme « modérée. » Dix failles pourraient être mises à profit par des hackers pour injecter à distance du code malveillant sur des PC, indique par ailleurs Microsoft dans sa notification préliminaire habituelle. L'éditeur de Redmond qualifie souvent les failles permettant l'exécution de code à distance - les plus dangereuses - d'« importantes », dans le cas où les éléments vulnérables ne sont pas activés par défaut, ou lorsque d'autres circonstances atténuantes, comme des mesures défensives de type ASLR et DEP, peuvent protéger certains utilisateurs. « Parmi les correctifs du prochain Tuesday Patch, on trouvera celui qui corrige une vulnérabilité déjà décrite dans toutes les versions d'IE, » a déclaré Mike Reavey. Début novembre, Microsoft dévoilait un bug «zero-day » dans IE et confirmait que les attaques exploitant la faille étaient déjà en cours. Mais l'éditeur n'avait pas été en mesure de développer et de tester un patch dans les temps pour l'inclure dans sa mise à jour de sécurité mensuelle, prévue six jours après. La mise à jour d'IE à paraître est l'une des deux qualifiées de critique, et sera applicable à toutes les versions du navigateur, à l'exception peut-être d'IE9, toujours en preview.

Crédit photo D.R.

[[page]]

« Microsoft a également l'intention de corriger la dernière des quatre vulnérabilités de Windows utilisées par le ver Stuxnet  pour infiltrer les systèmes de contrôle industriel, » a précisé Mike Reavey. D'après l'éditeur, le bug, qui permet aux attaquants de s'octroyer des privilèges d'accès sur le PC infecté, n'a pas été exploité par d'autres malwares que Stuxnet. Cependant, le code d'exploitation de cette vulnérabilité était disponible sur Internet pendant plusieurs semaines.

Sur les 17 mises à jour, 13 concernent une ou plusieurs versions de Windows, 2 corrigent Office et Microsoft Works, et les 2 dernières comblent des failles dans Exchange et SharePoint Server respectivement. Andrew Storms s'interroge sur l'update d'Exchange. «Chaque fois qu'une mise à jour concerne l'e-mail, on est forcément préoccupé, parce que le serveur est confronté au monde extérieur, et qu'il peut y avoir des vecteurs d'attaque facile à exploiter. Au contraire, SharePoint est généralement très bien protégé à l'intérieur du réseau, » dit-il.

Des mises à jour délicates à installer en décembre

La mise à jour nommée simplement « Bulletin 2 » par Microsoft a également attiré l'attention d'Andrew Storms. « Celle-ci concerne toutes les versions de Windows, mais elle est qualifiée de « critique » pour les nouvelles éditions seulement, notamment Windows Vista, Seven et Server 2008. Le même bulletin est qualifié d'« important » pour les anciennes versions des systèmes Windows XP et Server 2003. » La taille du correctif de décembre sera aussi difficile à gérer pour les administrateurs, à cause de certains évènements particuliers, à savoir la publication des télégrammes diplomatiques américains confidentiels par WikiLeaks et les représailles qui ont suivi sous forme d'attaques par déni de service (DDoS) contre des sociétés comme Amazon, MasterCard et PayPal. «Les administrateurs ont déjà suffisamment à faire pour se protéger des attaques DDoS contre WikiLeaks, dont n'importe qui pourrait très rapidement devenir la cible. Voilà en plus que les entreprises doivent aussi appliquer ce Tuesday Patch de Microsoft et ses 17 mises à jour, » a déclaré Paul Henry, analyste en sécurité informatique chez Lumension. « Il y a déjà fort à faire à part ce Tuesday Patch, » a confirmé Andrew Storms. «Les attaques continues contre ou pour WikiLeaks. Et puis il y a toujours quelques « zero-days » qui surgissent aux alentours de Noël ! » Celui-ci ne doute pas que Microsoft proposera des solutions de contournement pour parer aux bugs les plus flagrants corrigés la semaine prochaine, de façon à permettre aux entreprises et aux utilisateurs de se protéger, s'ils n'étaient pas en mesure d'appliquer les mises à jour de sécurité. « Microsoft a été assez bon dans ce domaine dernièrement, » a déclaré Andrew Storms. « Je m'attends donc à ce que l'éditeur propose une série de mesures probantes pour limiter les risques. » Les 17 mises à jour seront livrées vers 13h00 (côte Est des États-Unis) le 14 décembre.

L'état s'engage sur la question de l'intelligence économique

Juniper se renforce dans la sécurisation de la virtualisation avec Altor

Il y a quelques semaines, Juniper avait racheté Trapeze Networks, aujourd'hui  le spécialiste réseaux et sécurité a déboursé 95 millions de dollars en cash, pour acquérir Altor.  Cette dernière a développé un pare-feu basé au niveau de l'hyperviseur, une détection des intrusions (IDS), des outils de visibilité et de surveillance du réseau, ainsi qu'un reporting pour la mise en conformité.

La solution d'Altor vise à vérifier et contrôler la sécurité à travers l'infrastructure de machines virtuelles. L'objectif est de comprendre comment s'effectue l'échange d'applications, de services et de trafic entre les VM. Altor Networks avait été fondée en 2007 par des spécialistes de la sécurité et des réseaux venus de Check Point Software, Cisco, et Oracle. Au début de 2010, Juniper Networks avait investi via son fonds d'investissement, Junos Innovation Found. (...)

WikiLeaks : 30 000 PC zombies pour attaquer PayPal et MasterCard

Le site de PayPal a été frappé mercredi en fin de journée par deux réseaux de PC zombies (botnets) dans la droite ligne  des attaques menées par des militants en ligne contre les sociétés financières ayant rompus leurs relations avec WikiLeaks. Si des sympathisants bénévoles ont été recrutés pour participer à ces attaques par saturation ou déni de service (DDoS), des PC infectés ont également été mis à contribution pour mener à bien ces opérations, a expliqué Sean-Paul Correll de Panda Security. «Aujourd'hui [le mercredi 9 déc, NDLR], nous avons observé plus de 3 000 ordinateurs dans le réseau de zombies volontaires, mais nous avons aussi connaissance d'un noeud de 30 000 PC infectés, précise-t-il encore. Ce botnet infecte les ordinateurs via les réseaux peer to peer de partage de fichiers, mais il peut également se propager via Microsoft Messenger et les clefs USB, ajoute-t-il. Panda Security tente d'obtenir un échantillon de ce botnet pour analyser son code.

Une attaque efficace contre Paypal.com

PayPal a été frappée en fin mercredi après-midi, heure du Pacifique, et l'adresse Paypal.com ne répondait pas jeudi matin. « Il y a eu des tentatives d'attaques DDoS
sur Paypal.com cette semaine », a déclaré le porte-parole de l'entreprise Anuj Nayar. « Les attaques ont temporairement ralenti le site, mais cela n'a pas eu d'impact significatif sur les paiements. » Le blog de PayPal avait été touché un peu plus tôt dans la semaine, mais le
principal site Paypal.com a été perturbé pendant au moins plusieurs heures mercredi. Contrairement à Visa et MasterCard, le site web de Paypal est essentiel pour l'activité de l'intermédiaire financier. Les clients sont en effet obligés de passer par le site web pour valider une transaction ou envoyer de l'argent à d'autres utilisateurs de PayPal.

Paypal n'a cependant pas été la seule société à voir ses solutions de paiements perturbés. Le service SecureCode de Mastercard qui ajoute un code de sécurité supplémentaire et personnel pour valider une transaction en ligne, a également souffert d'une interruption mercredi, a déclaré le porte-parole de MasterCard, James Issokson. « Il y a eu des problèmes opérationnels et ils ont été résolus », explique-t-il.

Le groupe Anonymous à l'origine d'Operation Payback a revendiqué cette perturbation. Ils estiment que les serveurs web de MasterCard - cible de leur attaque DDoS - devaient partager certaines de leurs ressources avec le système SecureCode. Sur une note publiée sur le blog SecureTrading de MasterCard, l'intermédiaire financier explique qu'un des serveurs web est tombé et que la bascule sur la machine de secours a entrainé des difficultés de connexion.

Les sites web de MasterCard et de Visa ont également été visés par les frappes des
3000 sympathisants qui avaient téléchargé le logiciel d'attaque web LOIC (Low Orbit Ion Cannon), disponible au téléchargement sur différents sites Web.

Des opérations politiques antliberticides

Depuis plusieurs mois, Operation Payback avait disparu de la scène après des attaques très médiatiques contre des sites web appartenant à des organisations en lutte contre l'échange de musique non autorisée et la copie de film - la Motion Picture Association of America (MPAA) et la Record Industry Association of America (RIAA). Cette semaine, les activistes ont donc repris les armes contre les cyberentreprises qui ont rompu leurs activités commerciales avec Wikileaks, ce qui rend plus difficile pour Julian Assange de recueillir des fonds et de poursuivre ses activités. Les activistes à l'origine d'OP ont également frappé les sites d'hommes politiques américains critiques à l'égard de Wikileaks, notamment ceux du sénateur américain Joseph Lieberman et de l'ancien gouverneur de l'Alaska, Sarah Palin.

Pour Operation Payback, les attaques contre Wikileaks sont une entrave à la liberté d'expression. « Nous sommes simplement le regroupement de citoyens de tous horizons, partout dans le monde qui sont malades de voir des personnes exploitées et dépassées par toute la vague de lois liberticides sur les droits d'auteur », a déclaré un membre du groupe ayant utilisé le nom « Emily » dans un chat en ligne. Les attaques se poursuivront jusqu'à ce que ces lois soient réformées, précise Emily.

Mais le groupuscule a également connu quelques désagréments sur ses sites. Facebook et Twitter ont fermé les comptes utilisés par les activistes, et son site web a été déconnecté mercredi. Un compte Twitter alternatif a toutefois immédiatement pris le relais pour porter la parole du groupe.

Un ancien CTO de Microsoft attaque Symantec, McAfee, Hynix pour violation de brevets

Intellectual Ventures a déposé trois plaintes en contrefaçon de brevet mercredi auprès du tribunal de l'Etat du Delaware. La première saisine concerne des éditeurs de logiciels de sécurité Symantec, McAfee, Trend Micro et Check Point. La deuxième s'adresse au monde de la DRAM (mémoire vive dynamique) et les fournisseurs de mémoire Flash, tel que Hynix et Elpida Memory. Enfin le troisième stigmatise les pratiques sur les circuits logiques programmables ou FPGA des acteurs Altera, Lattice Semiconductor, et Microsemi, qui a récemment acquis Actel FPGA.

« Au fil des ans, Intellectual Ventures a réussi à négocier des accords de licence avec certaines des entreprises disposant de technologies à valeur ajoutée »  explique Melissa Finocchio, chef du contentieux pour la société de gestion des droits. « Toutefois, certaines entreprises ont choisi d'ignorer nos demandes de négociations et de discussions. La protection de nos droits à travers ces actions est le bon choix pour nos investisseurs, les inventeurs et les titulaires de brevets actuels. »

Description et rémunération

L'entreprise, fondée en 2000, a acheté plus de 30 000 brevets, en plus de déposer ses propres inventions, selon des documents judiciaires. Intellectual Ventures a gagné près de 2 milliards de dollars par l'acquisition  de ces droits de propriétés, a précisé la société dans une des plaintes. Des représentants de Symantec, McAfee, Check Point et Trend Micro a refusé de commenter ces actions. Un représentant d'Hynix n'était pas immédiatement disponible pour commenter.

Sur les logiciels de sécurité, Intellectual Ventures allègue que les quatre accusés ont violé un brevet pour des méthodes de dépistage du virus informatiques, publié en novembre 1999, ainsi que d'un brevet pour l'analyse automatisé du poste de travail fondé sur des règles de messages e-mail et d'autres types de données dans un environnement réseau distribué, validé en juin 2000. Les accusés auraient également violé un brevet pour un système d'identification du contenu accepté en octobre 2002, et l'autre pour un système et une méthode de protection des e-mails contre les virus, accordé en mars 2009. Intellectual Ventures allègue qu'Hynix et Elpida ont violé sept brevets, et que les fournisseurs de FPGA sont en infraction sur cinq brevets.

Illustration : Myhrvold Nathan, fondateur d'Intellectual Ventures

Symantec : un bilan 2010 très orienté vers la protection de l'information

Symantec a dressé un bilan de l'année 2010, tant au niveau de l'entreprise que sur les enseignements des récentes attaques. Avant de rentrer dans les détails, le spécialiste de la sécurité est revenu sur la vie de la société. Elle se porte bien en affichant 6 milliards de dollars de chiffre d'affaires. Elle a réalisé plusieurs acquisitions, PGP, Guardian Edge et enfin Verisign. Pour Eric Soares, vice-président et general manager Europe de l'Ouest, ces mouvements s'inscrivent dans la stratégie de la société qui s'articule autour de deux priorités les personnes et les informations, en créant un espace de confiance. Ce dernier passe par 3 étapes : protection de l'infrastructure, la classification de l'information, définition des politiques de sécurité et leur contrôle. Un focus tout particulier a été souligné par Laurent Heslault, directeur des technologies de sécurité de l'éditeur. Il a ainsi cité un ancien PDG de Symantec « la donnée est la monnaie du 21 ème siècle ». Il a constaté des évolutions des fonctions des responsables de la sécurité au sein des entreprises, « aux Etats-Unis, on commence à voir apparaître des CISO, à côté des CSO, en France aussi le RSSI bascule vers le RSI ». La prise de conscience que l'information est importante au sein de l'entreprise est plus forte souligne le dirigeant, « nous sommes clairement dans un mode rustine, où les entreprises nous appelle pour nous demander d'intervenir sur la mise en place de solution de DLP, par exemple ».

Un avant et un après Stuxnet

Laurent Heslault a dressé les tendances de la sécurité pour l'année 2011, mais a insisté sur le virage que constitue la découverte de Stuxnet.  « Il y a eu un avant et un après Stuxnet » précise le responsable et de « saluer » la complexité, le niveau de développement de ce ver « là où certains programmes malveillants pèse entre 2 et 10 ko, Stuxnet pèse 600 ko ». Cette menace évoluée touche principalement les infrastructures critiques reposant sur des systèmes Scada. Les réseaux d'eau, d'électricité, les lignes de fabrications pharmaceutiques par exemple se retrouvent exposés à ce genre d'attaques. Laurent Heslault confie « Stuxnet a eu au moins le mérite qu'un dialogue s'installe entre les responsables de la sécurité informatique et ceux en charge des infrastructures. Les systèmes Scada sont équipés de vieux systèmes d'exploitation, non patchés et donc très vulnérables ».

Autres inquiétudes, les failles « 0 Days » qui se multiplient et le business autour de ces vulnérabilités aussi. Selon Laurent Heslault « cela se vend très cher, plusieurs milliers de dollars ». La stéganographie (le fait de cacher des informations au sein d'un flux vidéo, image ou dans un site) est un sujet d'appréhension, car elle demande beaucoup de ressources pour les déchiffrer. Paradoxalement, le cloud n'est pas assimilable à un risque supplémentaire en matière de sécurité « cela apportera des choses positives si cela est bien construit » conclut l'expert de l'éditeur.

Illustration : Laurent Heslault, directeur des technologies de sécurité de l'éditeur

Le gouvernement français veut expulser Wikileaks

Expulsé du cloud d'Amazon, sous pression d'un sénateur américain ( l'éditeur a réfuté l'idée d'une intervention politique, Wikileaks sur un fil twitter a accusé Amazon de mensonge), le site Wikileaks avait trouvé refuge chez un hébergeur national, OVH. Eric Besson, ministre de l'Industrie, également chargé de l'économie numérique a adressé une lettre au Conseil Général de l'Industrie, de l'Energie et des Technologies (CGIET) pour trouver les moyens de mettre un terme à cet hébergement. Pour le ministre, « la France ne peut héberger des sites internet qui violent ainsi le secret des relations diplomatiques et mettent en danger des personnes protégées par le secret diplomatique ».

Migration chez les Helvètes

De son côté, OVH a publié un billet signé de la main d'Octave Klaba, directeur général, indiquant qu'il « avait décidé de saisir le juge en référé afin qu'il se prononce sur la légalité ou pas de ce site sur le territoire français. Ce n'est pas au monde politique ni à OVH de demander ou de décider la fermeture ou pas d'un site mais à la justice. C'est comme cela que ça doit marcher dans un pays de droit. » Face à cette tourmente, le site Wikileaks qui dévoile des documents diplomatiques a décidé de « s'expatrier » en Suisse, car EasyDNS, en charge de la gestion du nom de domaine en .org a lui aussi rendu les armes. Le registrar a indiqué qu'il avait subi trop d'attaques qui risquaient d'impacter les autres sites. Le site pointe maintenant sur le lien wikileaks.ch.

Le Syntec Numérique se penche sur la sécurité du cloud

Psychologique ou réelle, la peur sur la sécurité du cloud effraye les responsables et reste le premier obstacle à son adoption. Conscient de ce problème, le Syntec Numérique, après un premier livre blanc, vient de se pencher sur ce sujet crucial en essayant d'y apporter des réponses. Le fascicule recense tout d'abord l'ensemble des problématiques sécuritaires associées au cloud computing. On peut citer ainsi, quels types d'informations sont accessibles dans le cloud ? Qui peut y accéder et comment sont-elle isolées ? Qui dispose de droit pour envoyer et recevoir des données sensibles ? Le livre blanc répertorie ainsi 9 risques : la perte de maîtrise, des déficiences au niveau des interfaces et des APIs, la conformité, la localisation des données, la ségrégation/isolement des environnements, la perte et destruction maîtrisée des données, récupération des données, malveillance dans l'utilisation et enfin usurpation.

Pour le Syntec Numérique, les mesures à mettre en place sont de 3 ordres, la sécurité physique (contrôle d'accès (système à clé, cartes, digicode), redondance matérielle, résilience), la sécurité logique (protection des serveurs virtuels, une colocation sécurisée (avec les risques du multi-tenants), une segmentation réseau, une interface d'administration protégée). Enfin, le troisième élément est la sécurité des données, avec la responsabilité juridique de la sécurité et de la confidentialité des données dans le cloud, la protection, la récupération, l'intégrité, le chiffrement, l'accessibilité des données aux autorités d'un autre pays et la réversibilité des contrats cloud. Le livre blanc du Syntec Numérique apporte donc des réponses aux inquiétudes des responsables IT encore réticents à migrer certaines activités dans le cloud. Il sera sans doute nécessaire d'évangéliser encore sur les bienfaits du cloud versus les risques ou les menaces.