Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 791 à 800.
| < Les 10 documents précédents | Les 10 documents suivants > |
(08/09/2010 10:48:48)
PSI, l'applicateur de mises à jour automatiques de Secunia arrive en V2
C'est l'absence de mises à jour pour corriger certaines failles, associée à la capacité des logiciels de sécurité à détecter certaines attaques ou un bout de code malveillant, qui reste l'une des principales raisons pour laquelle les ordinateurs se trouvent infectés par des logiciels malveillants. Les cybercriminels le savent bien, passant les applications au crible pour trouver un moyen de s'introduire, voire de prendre le contrôle des ordinateurs.
Sur le top 50 des programmes utilisés par ses deux millions d'utilisateurs, Secunia a constaté que 26 de ces programmes étaient réalisés par Microsoft, lequel utilise un mécanisme de mise à jour automatique pour distribuer ses correctifs (tous les deuxièmes mardi de chaque mois). « En 2009, sur les 420 vulnérabilités détectées dans les 50 programmes identifiés, environ 35 pour cent d'entre elles concernaient des logiciels Microsoft, » a déclaré Stefan Frei, directeur de recherche et analyste chez Secunia. "Les autres failles, soit 65 pour cent des vulnérabilités concernant 24 logiciels restants, affectaient des applications de tierce partie, d'Adobe Systems, d'Apple et autres. Ceux-là utilisent jusqu'à 13 mécanismes de mise à jour différents pour appliquer leurs patches," a-t-il expliqué. "Beaucoup de ces applications sont adossées à des mécanismes de mise à jour automatique, mais aucune n'est programmée pour vérifier l'existence de nouveaux correctifs," a-t-il ajouté. Ce qui laisse une certaine marge de manoeuvre aux cybercriminels. "Cela montre clairement pourquoi la cybercriminalité persiste," a estimé Stephan Frei. Selon lui, "les cybercriminels n'ont pas besoin de Microsoft." Car même lorsqu'un patch est réalisé et distribué correctement, "de nombreux d'utilisateurs continuent à utiliser deux ou trois applications qui ne sont pas corrigées," a-t-il encore déclaré. "En 2009, Secunia a proposé aux éditeurs de logiciels de créer un protocole commun à tous les vendeurs de manière à distribuer leurs correctifs plus rapidement. Mais aucun accord n'a pu être trouvé," a-t-il regretté.
Mise à jour transparente et automatique
C'est pourquoi Secunia a mis au point sa "formule secrète" pour réaliser avec PSI 2.0 des mises à jour automatique discrète et en toute transparence de nombreuses applications. "L'inspecteur est compatible avec quelques applications, et nous travaillons à augmenter le nombre de logiciels avec lesquels il peut fonctionner," a confié Stephan Frei. "Si l'éditeur distribue son patch d'une manière qui nous permet d'automatiser le téléchargement de l'installation, alors, ça marche." PSI réalise un inventaire des applications présentes sur l'ordinateur d'une personne et regarde leur numéro de version. Plusieurs fois par jour, il vérifie ensuite avec Secunia si un nouveau patch est disponible, en général sans modifier la configuration par défaut de l'application que les utilisateurs peuvent néanmoins désactiver. "Secunia recommande de laisser PSI tourner en arrière-plan, car c'est une application légère," a déclaré le chercheur.
Un usage intensif après l'installation
Depuis la sortie de la version 2.0 de PSI - encore en bêta - il y a quelques jours, le logiciel a été téléchargé par plus de 6 500 personnes et plus de 10 000 patches ont été installés. "Chaque utilisateur a donc appliqué au moins un patch. Le nombre de téléchargements de PSI et de correctifs appliqués est surprenant," a déclaré Stephan Frei. Secunia a ainsi recensé plus de 2 000 installations de correctifs pour le Player Flash d'Adobe et plus de 1 000 pour le Reader. Selon le blog de Secunia, les autres applications les plus fréquemment patchées incluent Java JRE de Sun, Adobe Air, Irfan View, le navigateur Web Opera, Skype, Wireshark et le navigateur Firefox. "La version finale - et gratuite - du logiciel PSI 2.0 de Secunia devrait être livrée d'ici la fin de l'année," a précisé Stephan Frei.
Les logiciels malveillants se multiplient toujours plus sur Internet
Au premier semestre 2010, G Data a identifié 1,017 million de nouveaux logiciels malveillants, soit une augmentation de 51% par rapport au premier semestre 2009. Sur l'ensemble de l'année, ce chiffre devrait dépasser les 2 millions. "Tendance" de l'année, les spywares (ou logiciels espions), qui permettent aux pirates de collecter et s'emparer de données personnelles des internautes ciblés. Il s'agit, selon G Data, l'une des principales activités des cybercriminels cette année. Type de spywares les plus fréquents, les enregistreurs de frappes, et les chevaux de Troie bancaires.
"Les cybercriminels souhaitent un retour sur investissement rapide et pour cela toutes les solutions sont envisagées. Les ransonwares (logiciels de chantage qui cryptent les données d'un utilisateur et l'invite à payer pour le décryptage) et les faux logiciels antivirus payants, qui sont des solutions rapides pour gagner de l'argent, ont ainsi été multipliés par 10 par rapport à l'année 2009", indique le rapport de G Data.
(...)(07/09/2010 14:39:04)FPTI : Une fédération dédiée au monde de l'intrusion informatique
Pour Laurent Dupuy, Président de la FPTI « cette fédération est née du constat que les règles des tests d'intrusion informatiques sont créées par les entreprises. Nous souhaitions réunir des personnes spécialistes en sécurité informatique pour définir des règles permettant de certifier ces entreprises au travers d'une charte ». Cette association a donc vu le jour au début de l'année 2010 et compte actuellement une trentaine de personnes, Laurent Dupuy espère attirer une centaine de membres d'ici la fin de l'année. Les affiliés viennent de différents horizons soulignent le président de la fédération : « Nous avons aussi bien des experts au sein des cabinets de consultant, que des spécialistes de l'audit sécurité travaillant au sein des grands groupes »
Des groupes de travail sur des sujets porteurs
En cette rentrée de septembre, la FPTI a créé des groupes de travail sur 3 thèmes. Le premier concerne son coeur de métier, c'est-à-dire les tests d'intrusion informatique. Le second porte sur la virtualisation, avec comme but de « définir des scénarios de durcissement des plates-formes de virtualisation tout en garantissant la possibilité de construire des plates-formes virtuelles complètes allant des dispositifs de filtrage aux moyens de supervision de la sécurité informatique ». Le dernier thème est comme le souligne Laurent Dupuy, plus « citoyen » et s'articule autour de l'ultra-mobilité et plus particulièrement sur les risques d'intrusion dans les smartphones, Blackberry, iPhone et autres.
Les membres de la FPTI disposent d'un accès privilégié à une plate-forme contributive et collaboratif sur le sujet de la sécurité informatique, Securitygarden.com. Ils pourront trouver des bibliothèques, des outils, des logiciels pour élaborer, échanger et travailler sur la future certification. Interrogée sur la perception des entreprises spécialistes en la matière, Laurent Dupuy indique « certaines nous suivent avec attention, mais il faudra attendre la fin 2011 pour qu'elles se positionnent par rapport à nos propositions et notre travail ».
Emet, l'outil de sécurité gratuit de Microsoft, arrive en version 2.0
« Emet (Enhanced Experience Attenuation Toolkit) 2.0 est un outil gratuit conçu pour prévenir contre des techniques de piratage actuellement en cours à travers l'Internet, » a indiqué Microsoft. « Il permet notamment de bloquer les attaques ciblées visant à exploiter des vulnérabilités non corrigées dans des logiciels Microsoft, des applications tierces, ou des lignes de produits professionnels, » a précisé l'éditeur. « Il peut être utilisé par n'importe qui, mais il est principalement destiné à protéger les applications installées sur des machines à risque. » Cela concerne par exemple les applications industrielles résidant sur des serveurs back-end et les navigateurs Internet tournant sur les ordinateurs des dirigeants d'entreprises. « Ce sont des scénarios où le piratage de ces applications pourrait être particulièrement dommageable," ont déclaré dans un blog Andrew Roth et Fermin J. Serna, deux chercheurs en ingénierie du Microsoft Security Research Center (MSRC).
Renforcer la sécurité de toutes les applis
Parmi les modifications apportées à la version 2.0, on note une interface utilisateur qui permet de suivre les processus en cours et de voir si l'outil Emet a bien été activé. En outre, le logiciel sait désormais ajouter des parades de protection à des applications qui ne les supportent pas en natif.
Du point de vue de la sécurité, cette version embarque, selon le blog des équipes de Microsoft, de nombreuses améliorations comme : La randomisation de l'espace d'adressage (ASLR), une technique d'adressage aléatoire des objets partagés. Cette technique pourrait compliquer les attaques qui exploitent les adressages mémoires écrits en dur; «Export Address Table Access Filtering », une atténuation qui empêche les shellcode d'allouer les API Windows; « Structured Error Handling Overwrite Protection » par la validation de la chaine des gestionnaires d'exception; « Dynamic Data Execution Prevention », qui marque des parties de la mémoire allouée par un processus donné comme non exécutable, ce qui complique l'exploit des vulnérabilités de corruptions de la mémoire; « NULL page allocation », qui empêche l'exploit des références NULL en mode utilisateur; « Heap Spray Allocation », Emet réserve les adresses mémoires généralement utilisées pour ce type d'exploit, qui consiste à injecter aléatoirement du shellcode dans la mémoire dans l'espoir de l'exécuter accidentellement.
Emet 2.0 permet aux utilisateurs de sécuriser les applications en 32 ou 64 bits, soit en ligne de commande soit avec l'interface utilisateurs. Les mesures d'atténuation peuvent être déterminées par application et par processus. Emet pourra être mis à jour au fur et à mesure de la disponibilité de nouvelles technologies de protection.
(...)(03/09/2010 15:25:04)
Defcon 2010 : Les femmes résisteraient mieux aux pirates en ingénierie sociale
Parmi les 135 personnes ciblées à partir du classement du magazine Fortune 500 pour mesurer leur capacité à résister aux pirates en ingénierie sociale, seules cinq ont refusé de livrer une quelconque information sur leur entreprise. Et devinez quoi? Toutes sont des femmes. C'est l'une des données que les organisateurs du concours qui s'est tenu pendant la conférence Defcon sur le piratage informatique le mois dernier, et largement médiatisé depuis ont recueilli. Cette semaine, ils se sont même déplacés à Washington pour un debriefing au siège du FBI pour y exposer ce qu'ils ont appris. Et ils devraient publier le détail de leur rapport la semaine prochaine.
Au cours de l'événement qui s'étalait sur deux jours, les participants, isolés dans une cabine en plexiglas plantée au milieu du public, se sont focalisés sur 17 grandes entreprises, dont Google, Wal-Mart, Symantec, Cisco Systems, Microsoft, Pepsi, Ford et Coca-Cola. Leur mission : appeler les employés pour essayer de leur soutirer des informations. "Ils ont obtenu de très bons résultats," a déclaré Chris Hadnagy, l'un des organisateurs. Une seule entreprise n'a pas divulgué les informations que les participants tentaient d'obtenir, et pour cause : ils n'ont jamais pu avoir directement accès à un interlocuteur physique au téléphone. "Si nous avions été mandatés par ces entreprises pour mener un audit de sécurité en matière d'ingénierie sociale, presque toutes auraient obtenu de mauvais scores," a ajouté Chris Hadnagy. Les participants n'étaient pas autorisés à demander des informations vraiment sensibles comme des mots de passe ou des numéros de sécurité sociale. Mais ils ont essayé de trouver des informations susceptibles d'être détournées par la suite par des attaquants potentiels, comme quel système d'exploitation, quel type de logiciels antivirus ou de navigateur Internet utilisaient leurs victimes. Ils ont également essayé de pousser leurs interlocuteurs à se connecter à des pages web non autorisées. Parmi les découvertes intéressantes, ils ont pu établir que la moitié des entreprises contactées utilisaient encore Internet Explorer 6, un navigateur pourtant réputé pour présenter de graves failles de sécurité. Autre découverte: les candidats ont toujours réussi à amener les employés à visiter un site web externe ouvert pour les besoins du concours. Les résultats montrent que la sécurité des entreprises, même les plus sûres, peut être sapée par des salariés qui font ce qu'ils ne devraient pas faire ou disent ce qu'ils ne devraient pas dire.
Apprendre à résister aux appels inquisiteurs
Et les menaces sont réelles, selon Christopher Burgess, expert en sécurité chez Cisco, l'une des sociétés visées par les candidats. "Dans la vie réelle, de nombreuses entreprises reçoivent en permanence de faux appels où s'exerce un art raffiné de la collecte d'informations," a-t-il déclaré. "Comme ces individus qui appellent Cisco, affirmant que leurs systèmes sont en panne et qu'ils se trouvent dans une situation d'urgence, pour amener les employés à donner des informations qu'ils ne devraient pas donner," raconte t-il. "Notre personnel est formé pour apprendre que l'ingénierie sociale est un moyen que certains utilisent pour manipuler les autres et les amener à effectuer des actions ou à divulguer des informations sensibles." Cisco a rendu publiques un bon nombre de ces formations, de façon à permettre à d'autres entreprises à tirer les leçons de cette expérience acquise depuis plusieurs années. Pour Christopher Burgess, les résultats du concours montrent d'abord que le processus de formation ne doit jamais s'arrêter. "On ne peut pas tout expliquer une fois pour toute et disparaître," a-t-il estimé. "Il faut faire en sorte que cette formation reste toujours active et présente." Beaucoup de candidats ont obtenu leurs informations en prétendant être des experts spécialisés dans les audits ou des consultants qui réalisaient des enquêtes. Selon lui, les employés doivent savoir démasquer ces tentatives. "Si j'ai appris une chose de ce test, c'est que la meilleure défense est de former tous les membres de son personnel à identifier la personne avec laquelle ils parlent, s'ils ne reconnaissent pas sa voix, avant d'échanger une quelconque information concernant l'entreprise." Celui-ci n'a pas voulu expliquer pourquoi toutes les personnes qui ont su faire opposition aux candidats étaient des femmes.
Les femmes sont plus prudentes
Pour Chris Hadnagy cependant, différentes attaques marchent contre des personnes différentes. Et peut-être que les techniques d'ingénierie sociale utilisées par les concurrents du concours Defcon n'étaient pas forcément bien choisies. "Les cinq femmes se sont comportées de manière admirable," a-t-il déclaré. "Après les 15 premières secondes, elles disaient : cela ne me semble pas correct, et mettaient un terme à l'appel, " a-t-il expliqué. Ce qui n'a pas été le cas de leurs collègues. "Sans doute, elles ont été sensibilisées à la question de la sécurité pendant leur formation," a-t-il dit. "Cela peut aussi tenir au fait que tous les participants étaient des hommes, et je pense que, fondamentalement, les femmes sont plus prudentes," a-t-il ajouté. "Moins de la moitié des 135 personnes appelées pour les besoins du concours étaient des femmes," a encore précisé l'organisateur.
Jonathan Ham, consultant en sécurité au sein du Groupe Lake Missoula qui effectue des tests en ingénierie sociale pour des sociétés de services financiers, constate que "trois des cinq femmes qui ont mis rapidement fin à leur conversation avec les concurrents étaient des cadres," ajoutant que "les cadres de sexe féminin, plus méfiantes, sont souvent les moins susceptibles de se laisser prendre à des attaques d'ingénierie sociale." Lors d'une prochaine étape de l'expérience et de la formation, "j'essaierai d'éviter les femmes et de parler au téléphone avec des hommes, si je peux," a-t-il suggéré.
Crédit photo ; Defcon
(...)(03/09/2010 14:55:13)Facebook renforce sa sécurité pour protéger les comptes
Les utilisateurs de Facebook disposeront bientôt d'un moyen d'expulser les spammeurs de leurs comptes. L'entreprise devrait prochainement sortir un module de sécurité qui affichera quels ordinateurs et autres appareils sont connectés aux comptes. Il leur offrira la possibilité d'enlever ceux qui ne devraient pas y avoir accès. Cette fonctionnalité a pour but de faire face à un problème prenant progressivement de l'ampleur sur le réseau social. Les spammeurs utilisent en effet des sites de phishing pour piéger les utilisateurs de Facebook et leur faire entrer leurs login et mots de passe. Ils utilisent ensuite ces informations pour envoyer des messages indésirables à un maximum d'amis de ces victimes.
Ce genre de spam est alors très efficace, puisqu'il apparaît avoir été envoyé par une source fiable - un ami - et des experts en sécurité affirment que de nombreux spammeurs utilisent des programmes automatisés qui se connectent aux comptes piratés et qui envoient ces messages indésirables. Rien que la semaine dernière, des escrocs ont fait usage de comptes piratés pour envoyer de fausses offres d'iPad gratuit.
Un ajout rassurant
En plus d'écarter les spammeurs, cette fonctionnalité offre aussi la possibilité de se déconnecter à distance de machines récemment utilisées, comme le smartphone d'un ami ou le PC d'une bibliothèque par exemple. Pour autant, tout le monde ne pourra pas avoir immédiatement accès à ce module. Il sera mis en place graduellement, selon un email de Facebook. Ceux des utilisateurs qui feront partie des premières vagues d'instauration du module pourront y accéder en allant dans les Paramètres du Compte puis dans la section Sécurité du Compte. A cet endroit, ils seront en mesure de visualiser la liste des ordinateurs s'étant connectés sur Facebook, l'heure de ces connexions, quel navigateur et quel OS ont été utilisés pour chacune d'entre elles, mais aussi une estimation de leur localisation (grâce aux informations de l'adresse IP). En un clic, l'utilisateur pourra alors « terminer l'activité » sur n'importe laquelle de ces sessions. Quelqu'un qui aurait été piraté aura donc moyen de vérifier, via ces informations, que son compte a effectivement été compromis et sera à même de changer son mot de passe.
Ce module fait suite la fonctionnalité de notification des connexions présentée au mois de mai dernier, qui avertit les utilisateurs par mail ou par SMS lorsqu'un autre appareil se connecte à leur compte Facebook. Néanmoins, contrairement aux mises à jour concernant les moyens d'ajouter les amis ou autres améliorations relevant de l'activité générale du site, ce module de sécurité ne devrait pas être mise en avant sur la page d'accueil, à l'instar de son prédécesseur. Cela signifie qu'il faudra que les utilisateurs fouinent dans leurs paramètres pour le découvrir et en tirer avantage.
Cisco et Itron s'allient sur les smart grid
Cisco va travailler avec Itron, entreprise concevant des technologies de mesure des services publics, comme eau, gaz et électricité, afin de développer un système de communication IP sécurisé pour son activité smart grid. Cisco prévoit par ailleurs d'intégrer un tel système dans ses cartes d'interface réseau et autres équipements du même ordre. Selon le constructeur, cette technologie sera basée sur le protocole IPv6, au lieu de l'actuel IPv4. Il devrait aussi s'aligner sur les normes en vigueur dans les services publics. Itron en sera le premier client, même si Cisco espère vendre ce système à d'autres entreprises fournissant des compteurs intelligents, admet Paul de Martini, directeur technique de l'unité smart grid de Cisco, signalant que l'alliance avec Itron n'est pas exclusive.
Un réseau ouvert et interopérable
Les smart grid ont pour but de fournir de manière fiable et précise l'électricité aux abonnés, mais aussi d'assurer le retour sur la consommation effective en temps réel aux distributeurs et producteurs d'énergie. « C'est un grand pas en avant vers la réalisation d'une infrastructure énergétique plus moderne et intelligente » affirme Laura Ipsen de l'unité smart grid de Cisco. Le design conjoint avec Itron devrait aider à transformer les compteurs intelligents actuels en un réseau ouvert et interopérable pour les autres services en plus de l'électricité. Itron prévoit de l'intégrer à ses compteurs OpenWay, et devrait aussi distribuer les équipements réseau et logiciels Cisco lorsqu'il déploiera ces compteurs intelligents.
En France, pour rappel, ces équipements sont encore en phase de test, et la CNIL étudie encore des moyens de protéger les informations personnelles récoltées par de tels dispositifs. Atos envisage même de regrouper les informations de consommation électrique dans une « box » domestiques capable de communiquer avec les distributeurs.
Crédit Photo : Cisco
IBM publie son classement X-Force des vulnérabilités web
Le rapport établi par IBM, qui classe les éditeurs en fonction de leur assuidité à corriger les failles de sécurité dans leurs logiciels, vient de désigner Google comme le plus mauvais et fait passer Microsoft à la première place. Google, qui chute de la sixième à la douzième place, a protesté contre les méthodes utilisées par l'équipe X-Force d'IBM pour réaliser son rapport semestriel 2010 sur la sécurité, intitulé "Risques et tendances".
Pour justifier ces changements, Tom Cross, un blogueur d'IBM, a affirmé qu'il était difficile de suivre toutes les publications et les correctifs de vulnérabilité, du fait que les données devaient être recueillies manuellement. "Comme vous pouvez l'imaginer, il s'agit d'une tâche complexe, car chaque éditeur de logiciel gère les failles de sécurité de manière différente et il existe aujourd'hui peu de normes pour le partage de cette information," a-t-il ainsi écrit. Dans l'un de ses blogs, Google estime cependant qu'il faudrait faire plus d'efforts pour vérifier les données utilisées dans ces rapports. "Dans un premier temps, les personnes chargées de réunir les informations pour constituer cette base de données devraient s'adresser aux éditeurs et leur faire part de leur intention afin de trouver une solution durable qui garantisse un échange d'information plus cohérent pour les deux parties," a déclaré dans son blog Adam Mein, membre de l'équipe chargé de la sécurité chez Google. "Une autre amélioration importante consisterait à obtenir plus de transparence de la part des compilateurs - notamment en ce qui concerne l'intégration de davantage de données brutes, selon la méthodologie qui sous-tend la collecte des informations, et une présentation critique reconnaissant les limites des données présentées."
Mal classé, Google conteste la méthodologie d'IBM
Google s'est plaint à IBM parce que le rapport déclare que l'entreprise présente un taux de vulnérabilités critiques, identifiées et non patchées, de 33%. Or, il s'est avéré après coup que les 33% font référence à un patch pour trois vulnérabilités, et que l'une d'entre elles n'est pas une faille de sécurité.
IBM a publié deux listes, l'une qui établit le classement des entreprises en fonction des vulnérabilités connues mais non patchées et l'autre listant les entreprises en fonction des vulnérabilités critiques non patchées. C'est ainsi que Google a chuté de la sixième à la douzième place dans la première évaluation et de la première à douzième place dans la seconde. Mais ce n'est pas la seule à accuser un repli. D'autres éditeurs de logiciels reculent de manière significative dans le classement, comme Sun, qui passe respectivement de la première à cinquième place et de la septième à la douzième place - à égalité avec Google -, et Linux, qui passe de la septième à la dixième place et de la quatrième à la douzième place, selon les deux types de critères retenus par le rapport de l'équipe X-Force d'IBM.
Au final, le classement des entreprises en fonction du nombre de vulnérabilités non patchées et connues est le suivant : Microsoft, 23%; Mozilla, 17%; Apple, 12%; IBM, 9%; Sun, 8%; Oracle, 6%; Cisco, 6%; Novell, 5%; HP, 4%; Linux, 3%; Adobe, 3%; Google, 0%. Celui des entreprises en fonction du nombre de vulnérabilités critiques connues et non corrigées est : IBM, 29%; Oracle 22%; Novell, 10%; Microsoft, 7%; HP, 5%; Mozilla, 4%; Adobe et Cisco avec 2%, et Apple, Google, Linux et Sun, chacune avec 0%.
Crédit photo D.R.
| < Les 10 documents précédents | Les 10 documents suivants > |