Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 721 à 730.
| < Les 10 documents précédents | Les 10 documents suivants > |
(09/11/2010 15:20:34)
Zscaler neutralise gratuitement Firesheep
Dévoilé par Eric Butler lors de la conférence sur la sécurité ToorCon qui s'est tenue à San Diego le mois dernier, Firesheep est capable de récupérer des informations de session stockées dans le cookie d'un navigateur web. Ces informations peuvent être facilement collectées quant elles transitent dans les deux sens entre l'ordinateur d'un utilisateur et un routeur WiFi non protégé. C'est le cas par exemple quand une personne est connectée à un service web du type Facebook. En effet, si la plupart des sites cryptent le trafic actif à partir du moment où l'utilisateur entre dans le site avec son identifiant - le chiffrement est indiqué par le cadenas présent en bas de page des navigateurs - la plupart basculent ensuite dans un mode de transmission d'informations non crypté pendant le reste de la session. Une faiblesse contre laquelle les experts en sécurité mettent en garde depuis des années, en particulier pour les utilisateurs des réseaux WiFi publics non sécurisés.
Firesheep détecte le trafic non crypté et permet à un intrus de «détourner» la session en cours, ou de se connecter à un site Web à la place de sa victime, en quelques clics seulement. Ce style d'attaque est possible depuis longtemps. Mais Firesheep apporte aux utilisateurs les moins habiles un outil de piratage puissant et surtout simple à utiliser.
Allumer des contre-feux
L'extension Blacksheep de Zscaler se charge de repérer si quelqu'un utilise Firesheep sur le réseau où il est connecté, laissant à l'utilisateur le soin d'apprécier la meilleure attitude à adopter en matière de sécurité quand il utilise un réseau WiFi ouvert par exemple. Lorsque Firesheep intercepte les informations de session pour un site web donné, il envoie une requête au site concerné en utilisant les valeurs contenues dans le cookie piraté. Le rôle de Blacksheep consiste à envoyer des requêtes HTTP toutes les cinq minutes sur chacun des sites surveillés par Firesheep, mais en utilisant de fausses valeurs de cookie. « Si Blacksheep détecte que Firesheep envoi une requête sur un site en utilisant ces fausses valeurs, il émet alors une alerte, » explique Zscaler.
Les experts en sécurité recommandent aux sites web de sécuriser tout le trafic, mais de nombreux sites ne le font pas, parce que l'opération nécessaire pour maintenir le chiffrement demande une puissance de traitement supplémentaire. Cependant, quelques progrès ont été réalisés : ainsi, depuis le début de l'année 2010, Google a activé, pour tous les utilisateurs de son service Gmail, le cryptage HTTPS auparavant proposé en option. Il existe d'autres moyens de se protéger contre Firesheep, comme par exemple ne pas utiliser les réseaux WiFi ouverts. Si ce n'est pas possible, il existe également l'extension « HTTPS Everywhere » pour Firefox, mise au point par l'Electronic Frontier Foundation, laquelle déclenche automatiquement une session chiffrée avec les sites Web capables d'en établir une. Une connexion VPN peut également servir à contrer ce type d'attaques.
(...)(08/11/2010 14:23:40)
Un bug dans Adobe Acrobat et Reader ouvre la voie à des attaques
Adobe Systems a mis en garde contre le bogue rendu public jeudi et disponible via la liste de diffusion Full Disclosure. L'éditeur américain a fait savoir qu'une attaque utilisant cette faille pouvait planter un ordinateur, indiquant aussi qu'elle « pouvait être utilisée » pour exécuter des logiciels non autorisés sur la machine d'une victime. De quoi attirer les cybercriminels, toujours à l'affût de nouvelles pistes pour diffuser leurs logiciels malveillants.
Vupen Security, qui a testé l'attaque, a établi que cette vulnérabilité pouvait être exploitée pour faire exécuter du code malveillant. « Nous confirmons l'exécution de code dans Adobe Acrobat 9.4 sous Windows, » a affirmé Chaouki Bekrar, le PDG de Vupen, dans une interview. « Les tests réalisés par Vupen ont confirmé que l'attaque pouvait fonctionner sous Windows XP Service Pack 3, » a t-il ajouté. « D'autres plateformes, Mac OS X et Unix / Linux notamment, sont aussi affectées, et il est probable que cette vulnérabilité soit exploitable pour l'exécution de code sur ces systèmes. » Selon Chaouki Bekrar, le crash résulte d'une corruption du plug-in « EScript.api » lors du traitement de la fonction non documentée « printSeps () » dans un document PDF.
Une faille ancienne mais désormais exploitée
Pour ceux qui ont Acrobat Reader sur leur ordinateur, la faille pourrait être exploitée par des cybercriminels soit par le biais de fichiers .pdf envoyés par mail et infectés par du code malicieux, soit via des fichiers .pdf infectés et publiés sur des sites Web.Selon Vupen Security, la faille est en réalité connue depuis beaucoup plus longtemps qu'ils l'ont d'abord imaginé. « Le bug a été initialement décrit par un chercheur russe inconnu qui a posté une preuve de son existence sur son blog il y a 6 mois... Mais il n'a pas été en mesure d'exploiter le crash pour obtenir l'exécution de code,» a déclaré le dirigeant de Vupen. Vendredi, Adobe indiquait qu'elle étudiait encore la question, tout en reconnaissant néanmoins qu'il était possible d'utiliser la faille pour faire exécuter un logiciel sur une autre machine. L'éditeur recommande aux utilisateurs d'essayer son JavaScript Blacklist Framework pour atténuer l'attaque. Les utilisateurs peuvent également désactiver JavaScript dans Acrobat Reader (Edition -> Préférences -> JavaScript). Cela empêche la plupart des attaques connues contre le viewer pdf d'Adobe, mais peut également empêcher les fichiers .pdf de s'afficher correctement. Adobe indique qu'elle prévoit de livrer une mise à jour pour son Reader la semaine du 15 novembre.
(...)(05/11/2010 16:44:52)Microsoft Security Essentials potentiellement anticoncurrentiel
Lundi dernier, Microsoft a ajouté aux Etats Unis, Security Essentials à la liste de téléchargement des mises à jour facultatives de Windows XP, Vista ou 7. Un programme similaire a déjà été installé au Royaume-Uni depuis le 19 octobre dernier. « Utiliser Windows Update pour distribuer d'autres applications logicielles soulève des questions importantes de concurrence déloyale », a déclaré Carol Carpenter, directrice générale des relations avec les consommateurs et les petites entreprises chez Trend Micro. Elle estime que « Windows Update est une extension de facto de Windows, or commencer la fourniture de logiciels via les mises à jour nous concernent », a t-elle ajouté. « L'outil de mise à jour de Microsoft n'est pas un choix pour les utilisateurs et nous pensons qu'il ne devrait pas être utilisé de cette façon.»
La firme de Redmond a expliqué qu'il n'offrait pas Security Essentials via Windows Update, mais seulement via le service Microsoft Update, qui propose également des correctifs pour les logiciels hors OS, notamment Office et Windows Media Player. Cependant, la plupart des utilisateurs ne comprennent pas la distinction en raison de la façon dont Microsoft a mêlé les deux services. Microsoft a également défendu la pratique, en disant que c'était donner aux clients un moyen pratique pour proposer un logiciel antivirus. « Nous sommes toujours à la recherche des moyens les plus efficaces et efficients pour nous assurer que nos clients sont protégés contre les virus, les spywares et les autres menaces malveillantes », a déclaré Jeff Smith, directeur du marketing pour Security Essentials, dans un mail. « En offrant Security Essentials en téléchargement optionnel pour les PC qui ne sont pas protégés, nous apportons une réponse à ce besoin de protection, mais qui pour une raison quelconque n'ont pas eu l'occasion de l'installer. »
Un risque de contentieux commercial
Sur les inquiétudes de comportement anticoncurrentiel, Jeff Smith a rappelé que Microsoft ne forçait pas les utilisateurs à télécharger son produit. «[C'est] un téléchargement optionnel que les clients sans solution antivirus peuvent choisir de télécharger et d'installer », at-il dit. «[C'est] l'une des nombreuses options disponibles pour les clients pour obtenir des logiciels de sécurité. »
D'autres fournisseurs de logiciel de sécurité, dont Symantec et McAfee, ont refusé de dire s'ils considéraient le comportement de Microsoft comme anticoncurrentiel ou déloyal. Au lieu de cela, ils préfèrent minimiser l'efficacité Security Essentials ». Carol Carpenter a refusé de dire si Trend Micro envisageait une action en justice contre Microsoft sur la question, mais a déclaré que son entreprise « avait déjà regardé cette possibilité ». Dans un e-mail, elle a été plus claire : « nous craignons que Microsoft utiliser son effet de levier sur le marché des OS pour écarter les autres choix. Si cela devait se produire, il ne serait pas bon pour les consommateurs ou l'industrie, et cela mériterait une attention particulière. » Trend Micro était au courant de l'offre Security Essentials au Royaume-Uni qui a commencé le mois dernier, mais la décision de la firme de Redmond de faire de même aux États-Unis a été une surprise.
Google corrige 12 failles sur Chrome 7 et prépare la version 8
La version patchée de chrome inclus également une mise à jour d'Adobe Flash Player, qui permet aux utilisateurs de Google un correctif rapide pour une faille critique que les pirates ont exploité avec des documents PDF falsifiés. Adobe prévoit de sortir en même temps ce correctif pour Flash pour les utilisateurs d'autres navigateurs. Parmi la douzaine de failles dans Chrome 7.0.517.44, deux sont liées au protocole SVG (Scalable Vector Graphics), l'une au moteur JavaScript V8 de Chrome, et trois impliquant la gestion du texte par le navigateur.
Google a payé 7 500 dollars en primes à huit chercheurs qui ont déclaré 11 des 12 bugs. Comme d'habitude, l'éditeur n'a pas donné des détails techniques sur ces vulnérabilités. La société donne généralement la liste des failles plusieurs semaines après la réalisation d'un patch, pour donner aux utilisateurs le temps de mettre à jour leur navigateur avant que l'information devient publique. Les concepteurs d'autres navigateurs, y compris Mozilla, font la même chose.
La mise à jour d'aujourd'hui est désigné comme « stable » - Google gère trois critères pour Chrome, allant de stable, « beta » et « dev » - y compris une version remaniée de Flash Player. Il ya sept mois, Google et Adobe ont conclu un accord qui permet au lecteur multimédia de se mettre à jour en arrière plan de celle du navigateur. C'est la deuxième fois en six semaines que les utilisateurs Chrome ont reçu une version corrigée de Flash Player avant que les autres navigateurs concurrents, comme Microsoft Internet Explorer ou Firefox de Mozilla.
Une osmose Adobe-Google
La semaine dernière, Adobe a confirmé que Flash contenait une faille critique que et a promis d'y remédier au plus tard le 9 novembre. Plus tôt cette semaine, l'éditeur annonçait la mise à jour pour aujourd'hui, en soulignant qu'il avait travaillé plus vite que prévu. Bien que le bug affecté Flash, les pirates utilisent réellement cette faille des documents PDF malveillants. Adobe Reader inclut ce code erronée pour intégrer du Flash dans un PDF. L'éditeur prévoit de publier un correctif pour Reader et le logiciel Acrobat dans la semaine du 15 novembre.
Selon Net Applications, société de mesure d'audience web, la technologie de mise à jour Google-off - qui ne s'applique pas uniquement sur les correctifs, mais aussi sur certaines fonctionnalités - a permis la migration de la majeure partie des utilisateurs de Chrome 6 vers la version 7 en quelques jours. Chrome 7 peut être téléchargé pour Windows, Mac OS X et Linux à partir du site web de Google. Les personnes qui disposent déjà du navigateur seront automatiquement mis à jour. Par ailleurs, Google a mis à jour la « bêta » de Chrome en version 8.0.552.28, qui ajoute un plug-in pour un lecteur de PDF intégré dans le navigateur.
Un chercheur prêt à livrer un code d'attaque contre Android
M.J. Keith, chercheur en sécurité informatique chez Alert Logic, affirme avoir écrit un code lui permettant de faire exécuter une simple ligne de commande shell par Android, lorsque la victime visite un site web contenant son code d'attaque, en utilisant une faille dans le moteur du navigateur WebKit. Google a confirmé, par la voix de son porte-parole Jay Nancarrow, qu'elle connaissait l'existence de cette vulnérabilité. « Nous savons que WebKit présente un problème qui pourrait affecter les anciennes versions du navigateur d'Android. Mais celui-ci ne concerne pas Android 2.2 ou les versions ultérieures, » a t-il déclaré.
Selon Google, 36,2 % des téléphones sous Android sont équipés de la version 2.2. C'est le cas en particulier des modèles Droid et Evo 4 d'HTC. Seuls des téléphones plus anciens, comme le G1 et le Droid Eris d'HTC, dont le logiciel ne peut pas être mis à jour, pourraient présenter un risque. Mais, parce qu'Android compartimente les différentes composantes du système d'exploitation, l'attaque de M.J. Keith, qui passe par le navigateur, ouvre à tout ce que lit le navigateur, mais ne donne pas un accès complet à la racine d'un téléphone piraté. Cela signifie que l'attaque ne pourrait probablement pas être utilisée pour lire ou envoyer des messages SMS ou effectuer des appels, mais pourrait permettre de voler des photos sur le téléphone ou de s'emparer de l'historique de navigation. « On peut prendre le contrôle total sur le contenu de la carte SD, » a t-il déclaré dans une interview. « S'ils utilisent leur navigateur pour accéder à quoi que ce soit, il doit être possible d'avoir la main sur ces choses là, » a t-il ajouté.
Une faille exploitable sur plusieurs plates-formes
WebKit est un logiciel Open Source utilisé par les navigateurs Safari et Chrome, mais aussi de nombreux autres produits. La faille de WebKit que M.J Keith envisage d'exploiter avait déjà été rendue publique, mais le chercheur l'a maintenant mise à profit contre Android. Il a soumis son attaque sur le site Exploit Database, mais celle-ci n'a pas encore été mise en ligne. Les professionnels de la sécurité sont conscients de l'existence de nombreux bugs non corrigés dans les composants des téléphones mobiles, mais cela fait peu de temps que les smartphones suscitent l'intérêt sérieux dont profitent les systèmes d'exploitation et les applications Windows. C'est le signe que ces questions deviennent de plus en plus de notoriété publique.
En 2008, le chercheur en sécurité Charlie Miller avait remporté 10 000 dollars lors d'un concours de piratage. Il avait réussi à exploiter un bug situé dans le PCRE (Perl Compatible Regular Expressions) inclus dans la bibliothèque WebKit pour Mac. Quelques mois plus tard, il montrait que la même faille pouvait être utilisée pour réaliser une attaque contre Android. « A l'époque, celle-ci avait était corrigée dans WebKit, mais pas dans le système d'exploitation Android, » a indiqué Charlie Miller dans une interview. La semaine dernière, lors d'un audit de sécurité, Coverity a identifié plus de 359 défauts potentiels dans le code source du kernel du système d'exploitation Linux d'Android. Selon son analyse, un quart d'entre eux sont à haut risque et pourraient conduire à des attaques similaires à celle imaginée par M.J. Keith.
La fragmentation d'Android nuit à la difusion d'un patch
L'attaque de M.J Keith met en évidence un problème bien plus grave, lié au nombre multiple de fabricants de téléphones et de fournisseurs de services par lequel Android est distribué. Si l'iPhone ou le BlackBerry nécessitent un correctif de sécurité, Apple ou Research in Motion peuvent le livrer directement à leurs utilisateurs. Mais avec Android, rien de tel : c'est aux fabricants ou aux opérateurs réseau qu'il revient de diffuser les mises à jour logicielles pour les smartphones tournant sous le système d'exploitation de Google. Et tous ne prévoient pas de faire passer leurs téléphones à la version 2.2. « À l'heure actuelle, le problème avec Android, c'est que les gens ne disposent pas immédiatement du patch nécessaire, » a déclaré Robert Graham, PDG d'Errata Security, qui s'attend à voir plus d'attaques du type WebKit dans l'avenir.
(...)(04/11/2010 16:09:33)L'Europe simule une cyberattaque pour tester ses défenses
Cet exercice s'est déroulé dans le cadre de l'opération « Cyber Europe 2010 ». Des spécialistes de la cybersécurité vont tenter de contrer les tentatives simulées de pirates informatiques pour paralyser des services en ligne critiques dans plusieurs Etats membres. Ce test repose sur un scénario où la connectivité Internet est progressivement perdue ou gravement altérée dans tous les pays participants, rendant difficile l'accès aux sites essentiels (comme les services d'administration en ligne) pour les particuliers, les entreprises et les institutions. L'opération est orchestrée par l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et par le Centre commun de recherche (JRC) de la Commission européenne.
Une nécessaire coopération
Le but de cet exercice, selon Neelie Kroes, commissaire en charge de la stratégie numérique, « vise à évaluer l'état de préparation de l'Europe face aux menaces informatiques et constitue une première étape dans l'instauration d'une coopération dans la lutte contre les dangers en ligne ciblant les infrastructures essentielles ». L'opération « Cyber Europe 2010 » implique que l'ensemble des pays participant à l'exercice coopère. Cela permettra de tester à la fois les points de contact dans les différents pays, les canaux de communications, le type d'échange de données par ces canaux, etc... La simulation intervient quelques semaines après la médiatisation du ver Stuxnet, qui s'attaquait à des systèmes industriels et avait un impact politique en ciblant prioritairement l'Iran. Le développement de ces menaces et de la complexité des attaques font que les Etats coopèrent sur ce sujet. Il est d'ailleurs prévu que l'initiative européenne qui concerne aussi l'Islande, la Suisse et la Norvège, soit étendue à d'autres pays.
Inquiétudes des entreprises sur la sécurité du cloud et du web 2.0
« Moins d'un tiers des entreprises dans le monde disposent d'un plan de gestion des risques informatiques à même de les prémunir contre les dangers liés à l'utilisation des nouvelles technologies » constate le cabinet Ernst & Young dans sa treizième étude mondiale sur la sécurité informatique, « Global Information Security Survey ». Les principaux problèmes sont liés à la croissance de l'externalisation, notamment via l'informatique en nuage (cloud computing) comme le très courant SaaS, mais aussi par les pratiques collaboratives comme les réseaux sociaux et le web 2.0. Michel Richard, associé chez Ernst & Young responsable du département sécurité des SI, attire également l'attention sur la mobilité croissante des équipes et l'insécurité inhérente aux outils et méthodes de cette mobilité (smartphone, ordinateurs portables, tablettes, connexion au SI par le web, etc.). Pour lui, il ne s'agit pas de remettre en cause l'évolution des pratiques métiers mais plutôt d'être conscient des risques et de prendre les mesures nécessaires pour s'en prémunir.
Précisons que le cabinet ne s'intéresse pas principalement à la sécurité informatique au sens technique du mot mais plus à la sécurité des données transitant dans un SI.
La sécurité parent pauvre des budgets
Les dépenses en sécurité n'augmentent en proportion du budget IT que dans la moitié des cas. Dans 6% des cas, la proportion des budgets informatiques consacrée à la sécurité est même en baisse, le solde étant constitué par des organisations aux dépenses plus ou moins stables en sécurité.
Les priorités des entreprises concernent avant tout la continuité d'activité (28% des répondants la placent en première priorité) et la « compliance » (16%), c'est à dire la conformité avec les règles tant légales que professionnelles (Bâle II, etc.). Viennent ensuite la prévention des pertes de données, la gestion des risques sur la sécurité des données, les problématiques d'identification et de sécurité d'accès...
Les efforts particuliers de cette année ne recoupent pas nécessairement les besoins immédiats. En effet, une priorité peut être déjà largement traitée et ne pas nécessiter de nouveaux investissements. Malgré tout, on constate que dans ces efforts financiers la continuité d'activité mais au même niveau que la prévention des fuites d'informations (50% des répondants vont dépenser davantage que l'année passée). Les problématiques d'identification et de sécurité d'accès sont juste derrière (48%) et suivies de la sécurisation des clouds.
[[page]]
La perte directe d'efficacité de l'organisation liée à un problème de sécurité est loin d'être la préoccupation majeure des répondants (38% sont principalement préoccupés par la perte de chiffre d'affaires directement induite). Dans 67% des réponses, c'est en effet la perte de crédibilité de l'entreprise et de ses marques qui est jugée comme la conséquence la plus dramatique d'un incident de sécurité, suivi par la perte de confiance des actionnaires (42%) et des clients (41%).
Les fuites de données dans les nuages sont redoutées
Les risques évoluent. Pour 52% des répondants, le danger qui s'accroit le plus concerne les pertes de données, loin devant la perte de visibilité sur la confidentialité et la sécurité des données (39%) et les accès non-autorisés à celles-ci (34%). Seulement 30% des organisations disposent d'un plan de sécurité informatique qui tient effectivement compte de l'évolution des risques.
Or la nature même des SI évolue. Si 55% des répondants n'envisagent pas de recourir au cloud dans les 12 prochains mois, 23% y recourent déjà et 22% travaillent sur le sujet (soit déjà planifié, soit en cours d'évaluation). Les craintes de sécurité expliquent sans doute que le cloud privé reste privilégié (54% des répondants) contre 29% pour le « vrai » cloud public et 45% qui entendent mixer les deux ou recourir à des solutions hybrides. Le SaaS reste le mode d'exploitation le plus populaire (77% des répondants), devant l'IaaS (45%) et le PaaS (34%).
Une vision moyen-terme plutôt myope
Au-delà du SI au sens strict, les nouveaux usages sont des sources d'inquiétudes mal maîtrisées, qu'il s'agisse du cloud, des réseaux sociaux ou de l'introduction des outils personnels comme les smartphones. Seules 28% des entreprises estiment disposer d'une politique de sécurité adaptée et 34% savoir ce qu'il faudrait faire, 35% n'en n'ayant pas vraiment une vision et désirant y réfléchir.
Les répondants sont curieusement fidèles aux référentiels de bonnes pratiques : 52% déclarent pratiquer ITIL, 47% ISO/IEC 27001:2005, 43% Cobit, 35% ISO/IEC 27002:2005... Malgré tout, seules 60% des organisations disposent d'un plan stratégique formel sur l'évolution de leur politique de sécurité du SI et des données dans les trois ans à venir.
Google trouve un accord sur la class action contre Buzz
La société paiera 8,5 millions de dollars à un fonds, qui sera ensuite versé à des organisations en charge d’éduquer et d’informer sur les questions de confidentialité sur Internet, a déclaré la firme de Moutain View dans un communiqué. La société va également faire des efforts supplémentaires pour sensibiliser les usagers sur les aspects de confidentialité de Buzz. Ce dernier est un réseau social et un outil de messagerie qui peuvent être utilisés avec le service d’e-mail Gmail. La classe-action contre Google a allégué que des abonnés à Gmail avaient été automatiquement inscrits dans Buzz et que leurs données, y compris les contacts, ont été exposées publiquement sans leur consentement. Google a nié l'exactitude de ces allégations.
Malgré le règlement en cash, les personnes représentées dans le recours collectif ne verront pas un centime de cette somme. « Juste pour être clair, ce n'est pas un règlement dans lequel les gens qui utilisent Gmail peuvent prétendre à recevoir une compensation », a indiqué la société dans un e-mail aux utilisateurs de son service de messagerie. Google a déclaré que l’accord reconnaît qu'il a très vite changé le service Buzz pour répondre aux préoccupations des utilisateurs.
Un accord juste en attente de validation
« Nous pensons que ce règlement comporte de nombreux avantages aux membres du groupe, notamment en fournissant une importante somme d'argent à des associations sans but lucratif vouées à l'éducation des utilisateurs concernant la confidentialité sur Internet et faire en sorte qu’ils puissent rejoindre Buzz sans compromettre leur vie privée », précise Google.
Le juge James Ware, de la Cour du District Nord de Californie a préalablement approuvé le règlement le 7 octobre dernier, souligne Google. La société a été mandatée pour révéler les détails de règlement dans les 30 jours suivant l'approbation. La validation finale du règlement proposé sera examinée par la juridiction le 31 janvier de l'année prochaine. Des détails sur le règlement sont disponibles à BuzzClassAction.com.
| < Les 10 documents précédents | Les 10 documents suivants > |