Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 741 à 750.
| < Les 10 documents précédents | Les 10 documents suivants > |
(18/10/2010 17:40:25)
La sandbox pour Acrobat arrive dans les bacs
« Le format PDF est utilisé partout, et ce que nous souhaitons, c'est nous assurer d'avoir le meilleur outil pour utiliser et interagir avec ces fichiers, » a déclaré Rick Brown, directeur senior des produits Acrobat chez Adobe. Comme les dirigeants de l'entreprise ont laissé entendre, Reader X mettra en vedette un « bac à sable » pour limiter l'accès des scripts basé sur le format PDF, réduisant ainsi la surface des attaques. Les lecteurs PDF ont été très souvent utilisés par des pirates comme plate-forme pour lancer des attaques. « Si quelque chose de malicieux infecte le logiciel client, il sera beaucoup plus protégé si ce code est exécuté dans un environnement sandbox », a déclaré Rick Brown. Cette annonce fait suite aux correctifs records que l'éditeur a mis en place la semaine dernière.
L'outil Reader pour navigateur Internet a également subi une révision importante depuis la dernière version 9.4. Cette solution a été simplifiée lorsque le browser la sollicite. Adobe estime que 50% des fichiers PDF sont ouvertes directement depuis le navigateur. Avec cette interface simplifiée, les fonctions de base - telles que l'impression, la recherche ou aller de l'avant ou vers l'arrière dans le document - peuvent être sollicitées directement à partir des éléments de menu du navigateur ou les touches de raccourci eux-mêmes. L'éditeur annonce que cette interface évoluée fonctionnera avec Firefox, Internet Explorer et les navigateurs Safari. Elle ne sera pas compatible immédiatement avec Chrome ou Opera.
Service en ligne et Acrobat X
En plus de ces fonctionnalités, Adobe va proposer un partage de fichiers PDF sur un espace hébergé sur le web. Rick Brown indique que l'utilisation de ce service est plus facile que l'envoi des PDF par email qui risque d'être bloqué par un pare-feu ou entraîne une trop grande consommation d'espace disque. Le service offrira également un ensemble de capacités difficile à reproduire par e-mail, comme la capacité de générer des rapports d'utilisateurs qui ont vu un document et la capacité de fixer un délai dans lequel un invité peut voir le PDF. La société a également réorganisé son service en ligne pour créer des fichiers PDF On Line depuis l'interface de Reader. Ces deux services seront facturés à partir de 10 dollars par mois.
Avec la mise à jour Reader, Adobe a également révisé son logiciel phare pour la création de fichiers PDF, Adobe Acrobat X. Une des fonctionnalités majeures s'appellent Actions. Elle s'apparente aux macros que l'on connaît sur les suites bureautiques, pour automatiser certains procédés. On ne s'étonnera donc pas d'une plus grande intégration avec Microsoft SharePoint et les autres outils de la firme de Redmond. Par ailleurs, Acrobat X étend son utilisation de Flash en incluant de l'audio, de la vidéo, des rendus en 3D et d'autres contenus de Rich Media. On notera que des modèles pré-établis en Flash, comme des tableaux interactifs, sont disponibles dans cette version. Les utilisateurs avancés peuvent utiliser l'environnement de développement Adobe Flex pour créer des modèles encore plus personnalisé, précise Rick Brown.
La version standard d'Acrobat X sera commercialisée à 349 euros et 165 euros pour la mise à jour. Reader X peut être téléchargé gratuitement.
Zeus infiltre les institutions financières via LinkedIn
«Ils élargissent leurs horizons, au-delà de leurs cibles habituelles constituées par les banques en ligne », a déclaré Derek Manky, project manager en cybersécurité, le chercheur travaille sur les menaces informatiques pour Fortinet, une entreprise californienne basée à Sunnyvale. « Nous avons repéré des discussions au sujet de comptes de placement ciblés par Zeus, mais je n'ai pas encore vu la preuve qu'ils l'ont été en réalité. »
Les infections de Zeus sont disséminées à partir de faux messages de rappels émanant de LinkedIn, qui incluent des liens masqués vers des sites malveillants, lesquels sont chargés en retour de frapper tout PC sous Windows avec plusieurs types d'attaques, jusqu'à trouver la faille à exploiter. Parmi elles figurent le bug du centre d'aide et de support de Windows révélé au mois de juin dernier par un ingénieur en sécurité de Google et corrigé en juillet par Microsoft. « L'analyse du logiciel malveillant effectuée par Fortinet apporte la preuve que les attaques cherchaient à voler de l'argent sur les comptes d'investissement détenus par le groupe Charles Schwab, » a déclaré Derek Manky.
Après s'être insidieusement infiltré dans un PC, le bot Zeus observe et capture, à l'insu de l'utilisateur, les identifiants de connexion de toutes ses banques en ligne, ainsi que les identifiants et les mots de passe des comptes détenus par Charles Schwab. Le code d'attaque inclus un faux formulaire demandant aux victimes de fournir des informations supplémentaires, comme le nom de jeune fille de la mère du client, son numéro de permis de conduire ou encore le nom de son employeur, que les voleurs pourront utiliser plus tard afin de prouver qu'ils sont bien les propriétaires d'un fonds de placement détenu chez Charles Schwab. Derek Manky pense que le système d'attaque à partir des faux messages LinkedIn parce qu'ils misaient sur une forte corrélation entre leur identité sur le réseau social et les informations bancaires.
Des méthodes plus en plus élaborés
« Les attaques de Zeus ont commencé fin de septembre, avec un pic observé début octobre, » a déclaré Derek Manky, lequel fait remarquer que les criminels mènent très souvent des campagnes en plusieurs vagues. Les domaines utilisés pour le commandement et le contrôle du botnet sont toujours actifs, il continue à recevoir des informations volées sur les PC infectés et à assurer la transmission de nouvelles commandes au botnet. «Ils injectent du code en tâche de fonds pendant une session active quand on se connecte au site officiel de Charles Schwab, » souligne le spécialiste de la sécurité à propos du formulaire, preuve qu'il est impossible pour un utilisateur de voir que celui-ci est un faux. « En ce qui concerne le client, tout lui indique qu'il se trouve dans une session sécurisé valide, alors qu'il a affaire à un contenu malveillant. » Le chercheur de Fortinet affirme que les pirates utilisent le formulaire pour obtenir des informations d'authentification supplémentaires afin de parer aux requêtes de confirmation qui sécurisent les demandes de transactions en ligne, en plus des noms d'utilisateur et des mots de passe.
« Comme la plupart des gangs de botnet Zeus, ceux-ci récupèrent les liquidités, puis utilisent des « passeurs d'argent» pour transférer les fonds aux dirigeant de ces organisations, » explique Derek Manky. Grâce à l'accès aux comptes d'investissement, les escrocs peuvent non seulement s'emparer de l'argent, mais aussi vendre des titres pour réapprovisionner le compte et réaliser ainsi d'autres retraits. Selon les experts, l'arrestation par la police d'une centaine de membres d'un gang Zeus aux États-Unis, au Royaume-Uni et en Ukraine il y a trois semaines, ne suffira pas à stopper le botnet. « D'autres gangs peuvent facilement réapparaître » a également convenu le chercheur. «D'autant que Zeus est largement soutenu et dispose aujourd'hui d'un nombre important de développeurs. Si bien que le jeu du chat et de la souris va naturellement se poursuivre, » conclut-il.
Crédit Photo: D.R
(...)(18/10/2010 15:15:58)VMworld Europe 2010 : Un écosystème en pleine effervescence
Le cru 2010 de cette édition européenne est marqué par une montée en puissance de Vmware sur les différentes couches de l'IT, du datacenter virtualisé en passant par l'utilisateur final, les annonces ont été nombreuses. Au sein du centre des congrès danois, plusieurs sociétés ont profité de cet évènement pour promouvoir leurs solutions parfois en complément des annonces de VMware, d'autres en concurrence avec, peut-être, le secret espoir d'attirer l'attention de l'éditeur américain.
La sécurité étant un frein psychologique ou réel, à l'adoption du cloud computing, plusieurs sociétés ont annoncé des solutions pour répondre à cette crainte. Ainsi, Trend Micro va fournir une appliance virtuelle de sécurité qui apporte une protection des VM et des Vapps dans le cadre d'un datacenter virtualisé. Pour Harish Agastya, directeur marketing et produit de sécurité pour datacenter chez Trend Micro, « notre solution deep security 7.5 comprend un anti-malware qui s'appuie sur VShield Endpoint [NDLR : une gamme de produit de sécurité comprenant les applications, le réseau, etc.] , elle permet de créer une protection anti-virus pour les VM sans agent tiers installé sur chaque machine virtuelle ». Par ailleurs, dans la logique de migration des données d'un cloud privé vers un cloud public, Trend Micro a lancé une version bêta d'une plateforme de sécurité baptisée SecureCloud. Celle-ci comprend une gestion à base de clés, une technologie de chiffrement standard et une authentification des serveurs virtuels. Cela répond aux propos de Paul Maritz, CEO de VMware qui expliquait en ouverture du salon, « nous devons concevoir la sécurité autrement. Celle-ci ne se réalise plus à la marge du réseau, mais devant les applications elles-mêmes. » Autre acteur, qui se lance dans les appliances virtuelles de sécurité, Fortinet, ce dernier propose en effet 4 solutions (Fortigate, FortiManager, FortiAnalyzer et FortiMail) à destination des environnements virtualisés. Christophe Auberger, ingénieur système senior, explique « sur le cloud, les menaces sont les mêmes, mais les risques sont plus importants, car il y a des zones d'ombres ». Les solutions présentées s'associent donc aux services de sécurité physique existant pour combler ses zones.
De l'administration et du management à profusion
La migration vers le cloud apporte sans conteste de la souplesse, mais nécessite quelques aménagements des infrastructures souvent complexes. Pour accompagner au mieux cette transition et pour l'automatiser, les responsables IT sont friands d'outils de gestion, d'administration du cloud. Le salon a été l'occasion de découvrir des sociétés qui proposent différentes solutions en la matière. C'est le cas de VKernel qui a présenté sa suite de capacity management intégrant le monitoring, le planning, l'optimisation et la refacturation à la demande. Cette solution entre en concurrence avec Capacity IQ de VMware mais revendique une plus grande granularité dans l'administration des VM, ainsi qu'un coût moindre. Avec la montée en gamme de VMware, des acteurs unifient leurs outils de supervision comme le montre Veeam, qui propose One Solution, qui se compose d'éléments similaires à ceux de VKernel. Daniel Fried, Directeur Général de Veeam souligne que « le management des infrastructures virtualisées a besoin de temps réel et d'unification, les entreprises vont dans la direction d'une plus grande agilité ». En parallèle des ses solutions d'administration, Veeam est également très présent dans le backup et la restauration, « une étude que nous avons réalisé montre qu'en France, par exemple les problèmes, de restauration coûtent en moyenne 458 000 dollars par an, car les sociétés réalisent très peu de test dans ce domaine ». Les données étaient au coeur des discussions dans les allées du salon et plus exactement les bases de données. Un petit acteur, qui répond au nom de Splunk, (diminutif de spéléologie en anglais) a présenté une solution capable d'analyser tous les types de données (sécurité, log, incident, charge de travail, etc.) en temps réel.
Les opérateurs télécoms, cibles privilégiées
Pour l'ensemble des acteurs, l'adoption de cloud passera par les opérateurs télécoms, véritable lien entre le monde des services managés et des offres de communications. Ce n'est donc pas pour rien que plusieurs opérateurs étaient présents sur le salon. Colt s'est ainsi distingué en devenant le premier partenaire de VMware pour déployer Vcloud Datacenter. Deux clients ont déjà intégré cette solution de virtualisation du datacenter, Carphone Warehouse et Fidelity. Pour l'instant il s'agit de plateforme de test applicatif, la mise en production devrait se faire progressivement. En France, Béatrice Rollet, directrice produit et marketing chez Colt France a indiqué « nous avons des beta testeurs sur cette solution, notamment dans le e-commerce qui sont très sensible à la montée en charge de leur activité pendant certaines périodes ». Si les allées du salon ont bruissé de la compétition entre des services des providers et les opérateurs, ces derniers ont démontré qu'il fallait compter sur eux, « il ne faut pas réduire le cloud au datacenter », prévient Michel Calmejane, DG France de Colt et d'ajouter « la mise en place de SLA, les outils de sécurisation, la localisation des données sont aussi importants ».
Microsoft freine juridiquement les activités des botnets
Ce malware a été utilisé pour envoyer des e-mails et infecter des ordinateurs par l'entremise d'un faux logiciel antivirus, en s'appuyant sur un système peer-to-peer compliqué pour communiquer avec d'autres machines infectées. Dans le dernier rapport semestriel sur la sécurité informatique qu'elle vient de publier, Microsoft indique ainsi avoir nettoyé seulement 29 816 ordinateurs infectés par Waledac au second trimestre de cette année, contre 83 580 ordinateurs au premier trimestre.
Selon Adrienne Hall, directeur général du département "Trustworthy Computing" de Microsoft, « la baisse du nombre de machines infectées atteste du succès de l'action juridique menée par Microsoft cette année. » Les actions en justice menées par Microsoft contre Waledac sont sans précédent, puisque, fait assez rare, l'entreprise a obtenu une ordonnance ex parte d'interdiction temporaire (TRO) pour fermer les noms de domaine malveillants que les contrôleurs de Waledac ont utilisé pour communiquer avec les machines infectées. Le fait de recourir à un tribunal « permet de prendre acte du fait que des poursuites sont engagées pour rechercher les auteurs, » a déclaré Adrienne Hall.
Jugement favorable et exequatur accélérée
Ce type de jugement permet d'interrompre une activité sans préavis et sans nécessité de faire comparaître l'auteur devant un tribunal. Dans le cas de Waledac, le blocage soudain des noms de domaine a empêché les opérateurs du botnet de disposer de suffisamment de temps pour enregistrer d'autres domaines et permettre à leurs robots de réinitialiser des instructions. En général, les tribunaux fédéraux rechignent à délivrer ce genre d'ordonnance, car elle peut violer le droit des accusés à un procès équitable, sauf si le juge est convaincu que les auteurs peuvent se réorganiser rapidement et reprendre leur activité. C'est ainsi que Microsoft a réussi à obtenir deux TRO ex parte du tribunal.
Dans les documents d'assignation de Microsoft, on trouve 27 fois le nom de celui qui a enregistré les noms de domaines mis en cause, apportant au tribunal « un objectif identifiable pour une procédure juridique, tout en protégeant les droits des personnes de recourir à une procédure régulière. » Mais la plupart des 276 noms de domaines utilisés pour contrôler Waledac ont été enregistrés par des registrars domiciliés en Chine. Autre signe de la diligence dont a bénéficié Microsoft, celle-ci a pu rendre la TRO ex parte applicable par la loi chinoise et mettre la procédure en conformité avec les traités internationaux. Les titulaires des noms de domaine ont été notifiés par la Convention de La Haye par une « demande aux fins de signification ou de notification à l'étranger d'un acte judiciaire ou extra judiciaire » et tous les documents ont été envoyés au ministère chinois de la Justice en plus d'être publiés sur un site Internet spécifique.
Touché mais encore actif
Les sites ont été fermés dans les 48 heures après que la cours de justice de Virginie a délivré son ordonnance. Le mois dernier, le tribunal avait déjà tenu audience, ouvrant un jugement par défaut contre les prévenus non identifiés, et a octroyé le transfert du contrôle des domaines à Microsoft. L'entreprise indique dans son rapport qu'une injonction permanente est en cours. « Nous pensons que cela a effectivement porté un coup à Waledac, » a déclaré Adrienne Hall. Si les avocats ont travaillé sur le plan juridique, les experts techniques ont également attaqué Waledac. Microsoft a ainsi mobilisé une équipe de chercheurs en sécurité informatique qui ont infiltré le système de contrôle peer-to-peer de Waledac. Une fois à l'intérieur du réseau de zombies, ils ont détourné les machines infectées vers leurs serveurs, de manière à couper les cybercriminels de leur propre botnets.
Mais si Waledac a bien été touché, il reste encore actif, puisque le botnet arrive en 23ème position des sur l'ensemble de botnet détectées. Ce qui fait dire à Microsoft dans son rapport, que même après de nombreuses mesures juridiques et techniques, les botnets restent des adversaires difficiles à combattre.
Joueurs en ligne : des proies idéales pour les cybercriminels
La société a établi un rapport sur les sites de jeux en ligne récemment détectés comme infectés par des virus. Résultat, des sites comme Gamefactoryinteractive.com, Jeux-digest.com, ou encore Mariogamesplay.com font partie des sites les plus infectés. "Les joueurs sont une cible parfaite pour les pirates informatiques, car ils sont plus préoccupés par leurs jeux que par la sécurité de leur ordinateur", explique Ondrej Vlcek, Directeur Technique chez Avast. "Comme l'industrie du jeu ne cesse de croître, les pirates vont inévitablement développer d'autres moyens de cibler cette importante communauté". Avast recommande aux joueurs de ne pas éteindre leur antivirus lorsqu'ils jouent, utiliser les fonctions "jeu" des antivirus, ou encore se méfier des téléchargements de jeux des sites "warez". (...)
(12/10/2010 14:05:25)SafeTIC redevient profitable au 1er semestre
Après une année 2009 difficile, le chiffre d'affaires (CA) avait plongé de 20,9% à 83,5 millions d'euros (ME) du fait des mauvais résultats de l'activité biométrie, SafeTIC (*) retrouve une bonne santé financière. Au 1er semestre 2010, le CA progresse de 26% avec 55,1 ME contre 43,7. Le résultat courant avant impôts passe dans le même temps de -10,9 ME à +1,4 ME. Le résultat net part du groupe suit le même chemin : -8,2 au 1er semestre 2009, + 0,5 ME au 1er semestre 2010.
Pour l'ensemble de l'année 2010, SafeTIC prévoit un CA total de 115 ME mais un résultat courant avant impôts de 3 ME. 2011 s'annonce avec un CA de 160 ME et un résultat courant avant impôts de 15 ME.
(*) SafeTIC, ex EasydenTIC est une société spécialisée dans la protection des accès (biométrie), des biens (visiomobilité), des personnes avec DOC.
Les hackers Zeus pourraient aussi voler des secrets d'entreprise
Le chercheur, qui a suivi de près différents groupes criminels utilisant Zeus, se dit inquiet : en général, le malware est utilisé pour voler les identifiants aux services bancaires en ligne et se sert ensuite de ces informations pour transférer de l'argent depuis les comptes Internet. Mais l'an dernier, il a constaté que certains hackers utilisant Zeus essayaient également de savoir pour quelles entreprises travaillaient leurs victimes.
Dans certains cas, le malware affiche un faux écran de connexion à une banque en ligne, demandant à la victime d'inscrire le numéro de téléphone et le nom de son employeur. Dans les forums, il a aussi repéré des pirates se demandant comment ils pourraient monnayer l'accès à des ordinateurs de certaines entreprises ou d'organismes gouvernementaux. « Ils veulent savoir où vous travaillez, » a-t-il expliqué. « Cela peut valoir la peine pour eux de visiter votre ordinateur plus en profondeur, car il peut constituer une passerelle vers le système informatique de l'entrepris ». C'est inquiétant, parce que Zeus a les capacités de devenir un outil très puissant pour voler des secrets d'entreprise. Il permettrait aux criminels de contrôler à distance les ordinateurs de leurs victimes, d'analyser des fichiers, de récupérer des mots de passe et d'enregistrer les frappes au clavier. Avec Zeus, les pirates peuvent même utiliser l'ordinateur de leur victime comme passerelle pour pénétrer les systèmes informatiques de l'entreprise.
Une extension de son périmètre d'application malveillant
Néanmoins, il existe d'autres raisons pour lesquelles les créateurs de Zeus veulent savoir où vous travaillez. « Ils pourraient tout simplement essayer d'estimer quelles sont les données les plus précieuses, » a déclaré Paul Ferguson, chercheur en sécurité chez Trend Micro. « Une entreprise de soudure pourrait rapporter plus d'argent que, par exemple, une troupe de majorettes, » a-t-il ajouté. Cependant, Paul Ferguson imagine surtout que les escrocs pourraient faire de l'argent en vendant l'accès à des ordinateurs appartenant aux employés de certaines entreprises. « Je n'ai pas vu cela personnellement, mais ces gars-là sont suffisamment tordus. » D'ailleurs, ces dernières années, ce genre d'espionnage industriel ciblé est devenu un problème sérieux, et de nombreuses entreprises, dont Google et Intel, ont été touchées par ce type d'attaques. La police a même arrêté plus de 100 membres présumés d'un gang Zeus la semaine dernière, mais cela ne met pas fin pour autant aux attaques. Zeus est largement vendu à des fins criminelles, et les experts en sécurité affirment qu'il existe des dizaines d'autres gangs Zeus. Le groupe qui, l'an dernier, a disséminé le ver Kneber, est soupçonné de disposer du plus grand équipement Zeus encore en activité.
Revoir son informatique nomade
Si les opérateurs de Zeus commencent à vendre leur logiciel illégal en le présentant comme un outil permettant d'entrer dans les backdoors des entreprises - et Gary Warner pense que c'est déjà le cas - alors les entreprises ont du souci à se faire. Le plus gros problème viendrait des ordinateurs personnels et des ordinateurs portables opérant en dehors du pare-feu de l'entreprise, et qui ont toujours accès aux données via Internet. « Ces systèmes pourraient brutalement s'avérer un risque pour les responsables informatiques, » a déclaré Gary Warner. A l'intérieur du pare-feu, un ordinateur qui se met soudain à envoyer des données vers la Russie pourrait être repéré tout de suite. Ce qui ne serait pas le cas sur un réseau domestique. « Si vous travaillez pour une entreprise qui vous permet l'accès à des données sensibles, celle-ci doit se soucier de savoir si votre équipement domestique n'est pas infecté par un malware,» a ajouté le chercheur. « La solution pourrait impliquer soit de ne pas laisser les gens utiliser leur ordinateur professionnel à domicile, soit de procurer aux salariés des ordinateurs réservés exclusivement à un usage professionnel, » a déclaré Gary Warner.
(...)(11/10/2010 15:33:44)Les sites de médias français, cible d'attaques DDoS
En France, un important hébergeur s'efforce de protéger les sites Internet de ses clients représentant des médias européens. Ce qui signifie notamment pour lui de repousser les attaques de déni de service (DDoS, distributed denial-of-service attacks), lesquelles ont déjà provoqué dans le passé le plantage de plusieurs sites. La persistance de ces attaques laisse penser qu'elles sont déclenchées par des lecteurs en colère qui veulent exprimer leur désapprobation vis-à-vis de certaines informations. « Nous avons subi beaucoup d'attaques DDoS visant principalement les sites de journaux en ligne », a indiqué Salim Gasmi, directeur technique et directeur technique chez SvD Plurimedia, qui compte parmi sa clientèle des médias européens bien connus comme Le Figaro, Les Echos ou encore la chaîne de télévision Arte, ainsi que des sociétés de services bancaires.
Un flot de requêtes SYN
« Même si l'origine et le motif de ces attaques DDoS ne sont pas tout à fait clairs, celles-ci se produisent généralement à des périodes où l'information se rapporte au Moyen-Orient », précise Salim Gasmi. « C'est une colère d'origine politique », explique t-il, ajoutant que ces types d'attaques se produisent de manière régulière depuis plus de dix ans. « Les nouvelles relatives au Moyen-Orient peuvent déclencher une avalanche de SYN émis depuis des ordinateurs qui semblent se trouver dans plusieurs endroits à travers le monde, y compris le Brésil, la Russie et la Chine, et contrôlés par un attaquant depuis un lieu inconnu », déclare le directeur technique de SvD Plurimédia. Les outils pour réaliser ce type d'attaques semblent faciles à trouver. Une attaque bien dirigée, consistant à envoyer un flot de requêtes SYN à hauteur de 10 Mbps et visant à provoquer un déni de service (cela exigerait au plus l'utilisation de 100 ordinateurs en mode attaque) serait suffisant pour placer un site Web sous énorme pression et peut-être même le mettre temporairement hors d'état. « Certaines attaques peuvent atteindre les 3Gbps », a-t-il indiqué.
Mais SvD Plurimedia n'est pas la seule entreprise à devoir faire face à des attaques politiquement motivées. Le rapport que publie Symantec cette semaine, intitulé « Symantec 2010 Critical Infrastructure Protection Study » est le résultat d'une enquête menée auprès de 1 580 entreprises à travers le monde. L'éditeur de logiciels antivirus a voulu savoir si elles avaient été la cible « d'attaques politiquement motivées », y compris éventuellement de cyberattaques terroristes ou derrière lequelles se profilerait un Etat, visant à voler des informations sensibles ou à faire tomber un réseau. Symantec a constaté que la moitié des responsables informatiques de ces entreprises pensaient avoir été victimes d'une attaque de ce genre.
Un effet en cascade sur les serveurs du datacenter
Quant à Salim Gasmi, il était certain que, à partir du moment où SvD Plurimedia avait décidé de faire entrer des médias dans son portefeuille clients, l'hébergeur aurait à faire face à ce type d'attaques et à se défendre contre les DDoS - et vite. La question était de trouver les moyens de détecter les prémices d'une attaque DDoS, puis de drainer efficacement le trafic hostile, tout en essayant de ne pas perturber le bon trafic. Et ce n'est pas facile. L'une des complexités vient du fait que les attaques massives en SYN peuvent provoquer un effet en cascade sur les serveurs du datacenter. « Lorsqu'un client est ciblé par une attaque, et si cette attaque est puissante, il faut rendre tous les sites non dynamiques. C'est un cauchemar », explique Salim Gasmi.
En quelques années, l'hébergeur a cherché différentes manières de gérer ses serveurs, différentes configurations réseaux, divers moyens pour atténuer les attaques, des systèmes de prévention contre l'intrusion et des pare-feu. Les derniers équipements, basés sur les systèmes Peakflow SP et Peakflow SP Threat Management System d'Arbor Network, et mis en place depuis environ un an, se sont avérés parmi les plus efficaces pour filtrer les attaques de trafic, notamment grâce à une technologie de redirection qui permet d'alléger le poids du trafic indésirable. « Bien que très efficace, l'équipement anti-DDoS n'est pas parfait et il est possible qu'une certaine quantité de trafic légitime passe à la trappe », fait remarquer Salim Gasmi. « Mais les sites Web résistent beaucoup mieux qu'avant. »
Certains hébergeurs proposent des services anti-DDoS
Aux États-Unis, certains opérateurs, comme AT & T notamment, proposent en option des services anti-DDoS. Salim Gasmi dit pour sa part traiter avec neuf opérateurs différents en France, mais aucun ne prévoit de service anti-DDoS, de sorte qu'il a dû investir et construire sa propre ligne de défense. Il aimerait bien que les FAI et les opérateurs s'emparent plus activement du problème, d'autant qu'en France, d'autres hébergeurs subissent ce même type d'attaques DDoS. Il n'est pas rare que les sites web de certaines entreprises soient noyés par une attaque DDoS. Même si d'expérience, les chantages aux attaques ne sont pas aussi répandus que les attaques menées contre les sites d'information, Salim Gasmi a néanmoins entendu parlé de pirates qui demanderaient de l'argent à certaines entreprises pour, en contrepartie, ne pas attaquer leurs sites web.
Illustration : Attaques DDoS (source du schéma : Cisco)
Microsoft tuesday patch: L'énorme paquet d'octobre atteint (encore) des records
Quatre des 16 mises à jour sont jugées « critiques », soit le plus haut degré en terme de menace dans l'échelle de notation à quatre niveau de Microsoft, 10 autres sont qualifiées d' «importantes », soit au deuxième rang, alors que la paire restante est jugée «modérée». Comme a son habitude, Microsoft a détaillé le contenu de ses mises à jour avant la livraison prévue pour le mardi 12 octobre à 1H00 Eastern Time, indiquant que neuf d'entre elles pourraient être exploitées par des attaquants pour injecter du code malveillant dans PC. L'éditeur qualifie souvent les bugs susceptibles d'être utilisés pour exécuter du code à distance - les plus dangereux - comme importants, quand les éléments vulnérables ne sont pas activés par défaut, ou quand d'autres fonctions, comme les mesures défensives de type ASLR et DEP, peuvent protéger certains utilisateurs.
La série de patchs de la semaine prochaine représente un record à tout point de vue. Les 16 mises à jour - désignées sous le terme de bulletins ou avis par Microsoft - sont un record, parce qu'elles doublent celui déjà élevé d'août 2010. Les 49 correctifs dépassent largement le record des 34 mises à jour livrées au cours d'un seul mois, déjà atteint en octobre 2009 et répété en juin et en août derniers. Microsoft a alternativement livré des grosses et des petites mises à jour, les plus grosses étant généralement réservées aux mois pairs, si bien que le nombre élevé de mises à jour d'octobre ne devrait pas surprendre. En août, par exemple, Microsoft a émis 14 bulletins pour corriger 34 vulnérabilités. La série de septembre comprenait cependant 9 bulletins fixant 11 failles. « J'ai une théorie sur la taille élevée de la mise à jour d'octobre, » a déclaré Andrew Storms qui fait remarquer que Microsoft avait publié 13 bulletins et corrigé 34 vulnérabilités ce même mois l'année passée, livré 12 mises à jour et fixé 21 failles en octobre 2008. « C'est la fin de l'année, la plupart des entreprises verrouillent les deux derniers mois où elles font leur bilan commerciaux et financiers. Elles ne mettent pas leurs systèmes à jour, » a t-il expliqué. « Douze des 16 bulletins concernent les éditions desktop ou serveur de Windows, et parfois les deux. Deux concernent Office - Word et Excel, en particulier - et patchent une ou plusieurs vulnérabilités identifiées dans le format de fichier des applications, » a encore détaillé Andrew Storms. L'un des patchs de sécurité règle un problème dans SharePoint, la suite logicielle collaborative entreprise de l'éditeur. Selon la notification rendue publique, la mise à jour de SharePoint est liée à Office Web Apps qui comprend les versions en ligne de Word, Excel, PowerPoint et OneNote.
Windows 7 et Windows Server 2008 R2 également patchés
A part comptabiliser les mises à jour que les utilisateurs auront à appliquer, Andrew Storms a également remarqué que plusieurs d'entre elles s'appliquaient aux versions les plus récentes des systèmes d'exploitation de Microsoft, Windows 7 et Windows Server 2008 R2. Toutes deux ayant été corrigées à maintes reprises depuis leur introduction l'an dernier. Neuf des mises à jour de Windows à paraître mardi prochain concernent Windows 7 - dont trois patchs critiques - et Windows Server 2008 R2 recevra neuf mises à jour, dont deux critiques. Microsoft a toujours présenté Windows 7 comme étant l'OS le plus sûr jamais créé, incitant même les utilisateurs de Windows XP à abandonner ce système lancé il y a neuf ans. Au final, lors du le prochain Tuesday Patch, XP n'est concerné que par huit des 13 bulletins, et par deux patchs critiques.
La mise à jour importante d'Internet Explorer concerne IE6, IE7 et IE8. Microsoft n'a pas dit si elle mettrait à jour également IE9, sortie en version beta il y a trois semaines, mais selon Andrew Storms, « cette mise à jour est aussi prévue. » Microsoft a corrigé IE tous les mois impairs pendant un période, et les derniers correctifs pour le navigateur datent d'il y a deux mois.
Pas d'informations sur
L'éditeur n'a pas précisé si les mises à jour de la semaine prochaine incluraient des correctifs pour bloquer les vulnérabilités susceptibles d'être exploitées par des attaques utilisant le détournement de DLL. Celles-ci utilisent les applications Windows pour charger des fichiers malicieux de type DLL (Dynamic Link Libraries) sur les PC, lesquels sont ensuite exécutés automatiquement. Plusieurs éditeurs ont corrigé leurs programmes pour remédier au détournement de DLL, mais Microsoft a refusé de confirmer si l'une de ses applications étaient vulnérables, et si oui, laquelle. Cependant, les chercheurs ont fait valoir que IE, Word, PowerPoint et un certain nombre de programmes Windows moins connus développés par Microsoft présentaient des failles et devaient être mis à jour. « Même si on exclus les correctifs pour les DLL, les mises à jour de la semaine prochaine vont préoccuper les administrateurs, » a déclaré Andrew Storms. « Elle ne semble pas compliquée, » a t-il dit. « Il n'y a par exemple aucune mise à jour d'Exchange, de SQL Server ou de IIS. Mais elle est importante en taille... encore une fois. Elle sera lourde à mettre en route pour les entreprises qui testent les mises à jour avant de les déployer. »
D'autres éditeurs ont récemment publié des mises à jour importantes. Comme Adobe, par exemple, qui vient de livrer 23 patchs pour son Reader PDF cette semaine. « Je continue à surveiller de près le nombre élevé de mises à jour de sécurité publiées par Apple, » a déclaré Andrew Storm. « Ensuite, je regarde du côté de Microsoft et je me rends compte que je ne peux pas leur laisser de répit ce mois-ci. »
(...)(08/10/2010 12:26:28)Oracle va livrer 81 correctifs à installer d'urgence
La base de données d'Oracle, ses outils Fusion middleware, plusieurs applications dont celles de PeopleSoft et le système d'exploitation Solaris, récupéré depuis le rachat de Sun, sont concernés par l'importante livraison de rustines que l'éditeur mettra mardi prochain 12 octobre à la disposition de ses utilisateurs. En tout, 81 correctifs sont annoncés pour corriger de multiples vulnérabilités. 31 d'entre eux sont destinés à des produits du catalogue Sun. Certains couvrent plusieurs produits.
Oracle recommande vivement à ses clients d'installer ce patch critique aussi rapidement que possible en raison des menaces d'intrusion. La faille la plus sensible (selon le standard CVSS 2.0), assortie de la note 10.0, affecte le produit Solaris Scheduler.
Egalement visés : Agile, Primavera, Open Solaris et StarOffice
Parmi les correctifs, plusieurs sont destinés à la base de données, versions 10g et 11g, Release 1 et 2, au serveur d'application 10gR2 et R3, ainsi qu'à BI Publisher et Identity Management 10g. Du côté des applications, le progiciel intégré E-Businesss Suite est concerné, Release 12 et 11i, de même que l'application de PLM Agile, et les solutions Transportation Management, PeopleSoft Enterprise CRM, FMS, HCM, SCM et EPM. On trouvera aussi des mises à jour pour les PeopleTools, Siebel Core et la solution de gestion de projets Primavera P6.
Du côté de l'offre Sun, Oracle précise que onze failles risquent d'être exploitées sans authentification (en passant par un réseau sans se voir demander de nom d'utilisateur ni de mot de passe). Outre l'OS Solaris et sa version Open Source, sont affectés les produits Directory Server Enterprise Edition, Communications Messaging Server, Oracle Explorer, Sun Convergence, iPlanet Web Server, Java System Identity Manager et la suite bureautique StarOffice/StarSuite. A noter que cinq rustines visent la suite Open Office, la plus sensible étant notée 9.3. Là aussi, les vulnérabilités en question risquent aussi d'être exploitées sans authentification. A corriger rapidement donc.
| < Les 10 documents précédents | Les 10 documents suivants > |