Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 811 à 820.
| < Les 10 documents précédents | Les 10 documents suivants > |
(26/08/2010 16:10:21)
Les systèmes informatiques du Pentagone attaqués par une clef USB
D'après un secrétaire d'état à la Défense, une agence d'espionnage étrangère serait responsable de l'attaque la plus sérieuse à l'encontre du réseau informatique du Pentagone. Elle était parvenue à insérer une clef USB contenant un code malveillant sur un ordinateur de l'armée américaine situé au Moyen-Orient. Dans un article du Washington Post, basé lui-même sur un futur article de Foreign Affairs, il est décrit que le virus pourrait bien avoir transféré des secrets et plans de l'armée sur des serveurs basés en dehors du territoire américain. L'auteur, le secrétaire adjoint à la Défense William J. Lynn, expose que cet incident est à l'origine de la stratégie de défense actuelle du Pentagone, qui inclut des moyens de détecter les intrus sur le réseau et qui avait interdit, en novembre 2008, l'usage des petits appareils de stockage dans le complexe. Cette interdiction s'est depuis légèrement assouplie, autorisant un usage limité de tels dispositifs.
De véritables risques
Dans l'article en question, William J. Lynn ne divulgue pas le pays ayant orchestré l'attaque, ni quels secrets militaires ont été éventuellement dérobés. Il indique toutefois que « une douzaine de programmeurs peuvent, s'ils trouvent une vulnérabilité à exploiter, menacer le réseau logistique complet des Etats-Unis, voler des plans, neutraliser les capacités des services d'intelligence et gêner les potentielles frappes militaires sur des ennemis ». C'est d'ailleurs pour protéger ces éléments qu'a été créé fin 2009 le Cyber Commandement militaire. Le responsable ministériel informe à ce propos que plus de 100 organisations étrangères d'espionnage tentent de s'introduire dans les réseaux américains. Alors que l'attaque de 2008 avait été tenue volontairement secrète, il est temps, selon lui, d'informer l'opinion des risques présents sur les réseaux informatiques en montrant que même celui du Pentagone n'a pas été épargné.
Illustration : William J. Lynn III, Secrétaire Adjoint à la Défense Américaine
Crédit Photo : D.R.
Wallix assure la sécurité des serveurs du Ministère de l'Ecologie
L'administration des équipements et serveurs (essentiellement du Windows 2003 et 2008 ainsi que du Linux Debian) est réalisée par une douzaine de personnes en interne et trois en externe. La solution retenue a été un couple d'appliances en redondance l'une avec l'autre Wab (Wallix Admin Bastion) sur chaque site (site principal et un site distant). Le coût du projet n'a pas été précisé.
Détournement de DLL, Microsoft livre enfin un outil de blocage
L'éditeur de Redmond a répondu aux annonces faisant état de possibles attaques zero-day contre un grand nombre de programmes Windows en fournissant un outil qui, selon l'entreprise, bloquerait ces tentatives. Cependant, elle a refusé de dire si l'une de ses applications présentait un tel risque. Beaucoup de logiciels Windows n'ont pas recours aux librairies de code - les DLL ou Dynamic Link Library - qui s'appuient sur le chemin complet qui mène au fichier, mais prennent uniquement son nom en référence. Elles offrent de fait aux pirates la possibilité de tromper l'application en lui faisant charger un fichier malveillant affublé d'un nom de DLL identique. Ils peuvent ainsi détourner des PC et y placer des malwares. HD Moore, chargé de la sécurité chez Rapid7 et créateur de la boîte à outils Metasploit utilisée pour effectuer des tests de pénétration, a été le premier à révéler ces attaques potentielles, annonçant même qu'il avait répertorié 40 applications Windows vulnérables. D'autres chercheurs lui ont emboité le pas, faisant état d'un nombre de programmes à risque qui varierait de plus de 200 à moins de 30. Dans l'intervalle, Microsoft montait au créneau pour dire aux utilisateurs que la faille ne concernait pas son système d'exploitation Windows. «Il ne s'agit pas d'une vulnérabilité dans un produit Microsoft,» a déclaré Christopher Budd, responsable de la communication s'exprimant au nom du Microsoft Security Response Center (MSRC). «Il s'agit d'un vecteur d'attaque qui piège une application en lui faisant charger une bibliothèque non fiable. » Cette responsabilité, attribuée aux développeurs d'applications et non à Windows, empêcherait Microsoft de patcher son système d'exploitation sans prendre le risque de modifier un nombre inconnu de programmes s'exécutant sur sa plate-forme. L'éditeur de Redmond et les développeurs de tierce partie doivent donc identifier lesquels de leurs programmes sont vulnérables, et les corriger séparément.
Un outil de blocage réservé aux développeurs
Pour parer aux attaques, Microsoft a, comme prévu, livré un outil (il peut être téléchargé via le lien spécifique inclus dans le document de sécurité) qui bloque le chargement des DLL à partir de répertoires distants, comme ceux inscrits sur les lecteurs USB, les sites Web et les réseaux d'entreprises, identifiés comme sources d'attaques possibles (l'équipe d'ingénierie du MSRC a publié quelques informations techniques sur le vecteur d'attaque et l'outil de blocage sur le blog « Security Research & Defense» de Microsoft). « L'outil limite le chargement des bibliothèques distantes sur une base dite par application ou au sein d'une fonctionnalité globale, » a déclaré Christopher Budd. Ajoutant que « l'outil de Microsoft visait les entreprises, et non les utilisateurs, et ne sera pas mis à disposition des clients par le biais du service de mises à jour automatique». L'avis de sécurité de Microsoft répertorie d'autres solutions de contournement que les clients pourraient utiliser, comme par exemple le blocage du trafic des SMB (Server Message Block) sortant au niveau du firewall et la désactivation du client Web intégré de Windows, deux parades recommandées par HD Moore aux utilisateurs la semaine dernière. Christopher Budd a aussi fait valoir que les attaques identifiées par HD Moore et d'autres chercheurs constituaient un nouveau type de vecteur, mais certains ne sont pas de cet avis. «On connaît la méthode depuis 2000, et je l'ai également signalé en 2006, » a déclaré le chercheur israélien Aviv Raff sur Twitter lundi, celui-là même qui avait révélé le bogue de détournement de DLL dans Internet Explorer 7 en décembre 2006, et que Microsoft a corrigé en... avril 2009.
Une communication réduite au minimum
Aujourd'hui, Microsoft a refusé de dire si l'une de ses applications était concernée par ce défaut de programmation qui les rend vulnérables. «Nous effectuons des recherches sur nos produits, et si nous trouvons des failles, nous allons y remédier », a déclaré Christopher Budd. Auparavant, plusieurs chercheurs en sécurité extérieurs à Microsoft ont déclaré qu'ils souhaitaient savoir si l'un des logiciels de Microsoft présentait un risque, ce qui signifierait selon eux que les développeurs de l'éditeur de Redmond n'ont pas suivi les recommandations que l'entreprise avait faites aux programmeurs tiers. Christopher Budd n'a pas pu par exemple confirmer si Microsoft avait connaissance de cette vulnérabilité depuis août 2009, au moins, date, à laquelle Taeho Kwon, chercheur à l'Université Davis de Californie, dit avoir contacté l'entreprise au sujet du détournement de DLL. Un membre du service de la communication a simplement dit que Microsoft travaillait sur cette question depuis « une quinzaine de jours » seulement. Si le calendrier de Taeho Kwon est exact, l'incapacité de l'éditeur à dire lesquels de ses produits, s'il y en a, sont vulnérables à ces attaques, semblera immanquablement très étrange aux chercheurs.
(...)(23/08/2010 17:27:19)Summit Partners investit 100 millions de dollars dans Avast Software
Les solutions de sécurité sont décidément très recherchées. Après l'acquisition de McAfee par Intel , Avast a indiqué que son capital comprenait un actionnaire supplémentaire. Ce dernier, Summit Partners a en effet investi 100 millions de dollars dans la société tchèque. Connue pour ces solutions gratuites pour le grand public, Avast Software indique qu'il protège un ordinateur sur cinq dans le monde entier contre les logiciels malveillants.
« Avec Summit Partners, nous allons poursuivre notre stratégie visant à offrir une solution gratuite au plus grand nombre. Nous n'avons pas l'intention de changer notre business modèle et nous conservons notre positionnement de vente au détail » explique Vince Steckler, PDG d'Avast Software. Avec cette opération capitalistique, Scott Colins, directeur général du fonds d'investissements rejoindra le conseil d'administration de l'éditeur.
Cette augmentation de capital intervient sur un marché de la sécurité en plein ébullition. Rapprochement, fusion-acquisition, les éditeurs de logiciel de sécurité pour les résidentiels et les entreprises sont très courtisés. L'orientation vers les services web et le cloud computing augmentent la demande en solution de sécurité.
Illustration: Vince Steckler, PDG d'Avast
Crédit Photo: D.R
(...)(23/08/2010 16:14:15)Sérieuses mises en garde de sécurité autour du HTML5
Le HTML5 ne fait pas qu'améliorer la performance de l'Internet, il introduit aussi de nouveaux risques contre lesquels les experts en sécurité mettent en garde. C'est le cas de l'équipe qui travaille sur le navigateur Firefox, laquelle associe d'emblée langage HTML5 et problèmes de sécurité. Ainsi, Sid Stamm, qui s'est exprimé la semaine dernière au cours du Symposium sur la sécurité Usenix à Washington, certes, "grâce à ce langage, les applications Internet deviennent incroyablement plus riches, le navigateur peut exécuter des applications complètes et pas seulement afficher des pages Web." Mais en même temps, le membre de l'équipe de développement de Firefox chargé des questions de sécurité chez Mozilla a averti qu'il y avait "beaucoup d'angles d'attaques auxquels il fallait penser." La même semaine, il a réitéré son inquiétude, alors que des développeurs du navigateur Opera faisaient savoir qu'ils cherchaient à réparer une vulnérabilité dans la fonction tampon de rendu d'image du HTML5.
De nouvelles vulnérabilités
Pour certains chercheurs en sécurité, il est inévitable que le HTML5, nouvelle norme du World Wide Web Consortium (W3C) pour l'affichage des pages Web, arrive avec son lot de vulnérabilités. Mais pour le chercheur en sécurité Lavakumar Kuppan, "si le HTML5 apporte de nombreuses fonctionnalités et plus de puissance à l'Internet, il ouvre la porte comme jamais à un nombre beaucoup plus élevé d'actions malveillantes." Pour Kevin Johnson, testeur en systèmes de sécurité au sein de la société de conseil Secure Ideas, "le W3C a validé la refonte du langage HTML parce qu'il permet d'exécuter des applications au sein des navigateurs web, mais nous savons depuis des années quel est leur niveau de sécurité." Ajoutant que " nous devons revenir en arrière et admettre que le navigateur Internet constitue un environnement potentiellement malveillant." Aujourd'hui, les chercheurs regardent de plus près les fonctionnalités de mise en page, les capacités de stockage de données hors connexion, de rendu d'image et d'autres encore qu'apporte le HTML5.
Détournement de la mémoire tampon
Cet été par exemple, Lavakumar Kuppan et un autre chercheur ont découvert comment on pouvait détourner le cache du HTML5. "Google Chrome, Safari, Firefox et la version bêta du navigateur Opera utilisent déjà cette fonctionnalité, et pourraient être sujets à des attaques selon cette approche" font-ils remarquer. Les chercheurs soutiennent que, dans la mesure où tout site Web peut générer un cache sur l'ordinateur de l'utilisateur, et, dans certains cas, sans son autorisation explicite, un attaquant pouvait introduire une fausse page d'idenfication pour un site de réseau social ou d'e-commerce et l'utiliser ensuite pour voler des informations confidentielles. D'autres chercheurs sont plus perplexes vis-à-vis de ces conclusions. «Le point de vue est intéressant, il ne semble pas apporter aux pirates d'avantage supplémentaire comparativement à ce qu'ils peuvent déjà réaliser », écrit Chris Evans, le créateur du logiciel Very Secure File Transfer Protocol (vsftpd) sur la liste de diffusion Full Disclosure. Dan Kaminsky, chercheur pour Recursion Ventures, une entreprise spécialisée dans la sécurité, a convenu que cette méthode était un prolongement des attaques développées avant le HTML5. «Les navigateurs ne se contentent pas de chercher le contenu, de le restituer, et de le retirer. Ils savent aussi le mettre de côté pour un usage ultérieur... Lavakumar Kuppan fait remarquer que "les technologies de cache de la prochaine génération souffriront de cette même faiblesse." Les critiques ont convenu que ces attaques pourraient se produire sur des sites n'utilisant pas la norme Secure Sockets Layer (SSL) pour crypter les données entre le navigateur et le serveur hébergeant la page Web, ce qui est assez fréquent. Et même si ce type de vulnérabilité n'est pas nouveau, le travail effectué par les chercheurs montre que l'ancienne méthode peut être réutilisée dans ce nouvel environnement.
Des fonctionnalités sources de failles
Kevin Johnson affirme que de nombreuses fonctionnalités apportées par le HTML5 sont des menaces en elles-mêmes, parce qu'elles augmentent le nombre d'entrées exploitables par des attaquants. "Pendant des années, la sécurité a mis l'accent sur les vulnérabilités - la saturation de la mémoire tampon, les attaques sur le SQL. Nous les corrigeons, nous les réparons, nous les surveillons », a-t-il déclaré. Mais dans le cas de HTML5, ce sont souvent les fonctionnalités elles-mêmes qui peuvent servir de vecteur d'attaque," a-t-il ajouté. A titre d'exemple, celui-ci cite le service Gmail de Google, qui utilise déjà les capacités de stockage local du HTML5. Auparavant, un attaquant devait voler les cookies d'une machine et les décoder pour en extraire le mot de passe du service e-mail en ligne. Maintenant, il lui suffit d'entrer dans le navigateur de l'utilisateur, dans lequel Gmail conserve une copie de la boîte de réception. «Ces fonctionnalités font peur," dit-il. "L'attaquant qui trouve une faille dans l'application Web, peut y injecter du code HTML 5, modifier le site et y placer des choses qu'on ne peut pas voir." Le stockage local permet à un pirate de lire les données à partir du navigateur, ou d'y insérer des données autres à l'insu de l'utilisateur. Avec la géolocalisation, il peut connaitre la position géographique de l'utilisateur. Avec la nouvelle version des feuilles de style en cascade (Cascading Style Sheets, CSS), un attaquant peut contrôler l'affichage de certains éléments. Dans le HTML5, le WebSocket fournit une pile de communication au navigateur, qui pourrait être détournée et utilisée comme voie de communication clandestine.
Un meilleur contrôle des extensions
Cela ne veut pas dire que les éditeurs de navigateurs internet ne sont pas conscients de ces problèmes. Même s'ils travaillent pour intégrer les nouvelles normes, ils cherchent aussi les moyens d'éviter l'utilisation abusive de leurs produits. Lors du Sypmposium Usenix symposium, Sid Stamm a mis en valeur certaines techniques explorées par l'équipe de Firefox pour limiter les dégâts qui pourraient survenir avec ces nouvelles technologies. Il a par exemple évoqué la plate-forme de plug-in alternative, appelée Jetpack, qui permettrait d'avoir un contrôle plus strict sur les actions exécutables par une extension. "Si nous avons un contrôle complet de l'interface de programmation des applications, nous pourrons être en mesure de dire: «telle extension demande un accès à Paypal.com, l'autorisez-vous ? " a-t-il expliqué. Le Jetpack peut également utiliser un modèle de sécurité dans lequel le plug-in doit déclarer au navigateur chaque action qu'il entend entreprendre. Le navigateur contrôlerait le module complémentaire afin de s'assurer qu'il se conforme aux paramètres d'autorisation.
Pourtant, les critiques soutiennent que les développeurs de navigateurs doivent encore apporter la preuve qu'ils font bien le nécessaire pour sécuriser le HTML5. "L'éditeur doit commencer par évaluer si les nouvelles fonctionnalités sont utiles avant de les déployer dans le navigateur, "a déclaré Johnson." Ce sera peut-être l'une des rares fois où l'on pourra entendre quelqu'un dire que « Internet Explorer 6 était peut-être mieux."
(...)(23/08/2010 16:57:43)Un crash aérien causé par un cheval de Troie ?
En août 2008, le vol JK 5022, un MD82 appartenant à Spanair qui devait relier Madrid aux Canaries, s'était écrasé peu après son décollage, tuant 154 des 172 occupants. Un réacteur avait pris feu après que l'avion ait été retardé pour des problèmes de surchauffe. Deux ans après, le journal espagnol El Pais fait état d'un document interne à la compagnie aérienne qui mettrait en cause un cheval de Troie. Ce dernier aurait nuit à l'intégrité d'un système informatique chargé du contrôle de l'état des avions.
Si l'analyse des données venait à confirmer cette responsabilité, il s'agirait du premier exemple connu d'un malware ayant directement provoqué des morts. Les pilotes auraient omis à deux reprises de rapporter que les volets de l'avion n'étaient pas dans la bonne position pour le décollage, mais le système de l'ordinateur central, utilisé au sol par la compagnie, aurait malgré tout dû relever cette erreur et activer l'alarme, ce qui ne fut pas le cas. Un juge espagnol a donc demandé à récupérer les données de cet ordinateur. Cela ne remettra pas en question la responsabilité des deux pilotes de l'avion. Il s'agit désormais de déterminer de quelle manière ce virus s'est infiltré dans ces systèmes critiques, fait relativement rare. Pourtant, en 2008, la station spatiale avait été infectée par un ver informatique qui s'était propagé dans les ordinateurs portables présents à bord. Il avait été amené dans la station orbitale par un membre de l'équipage russe, malgré lui.
Crédit Photo : D.R.
Une faille affecterait près de 40 applications sous Windows
Une quarantaine d'applications Windows contiennent une faille critique qui peut être utilisée par des pirates pour prendre le contrôle de PC et y introduire du code malveillant, a averti HD Moore, responsable sécurité de l'éditeur Rapid7, via Twitter cette semaine. Il y a quatre mois, un bug a été rectifié par Apple dans son logiciel iTunes pour Windows. Mais on le trouve toujours dans de nombreux autres programmes, y compris le shell de Windows, affirme l'expert en sécurité, sans toutefois préciser le nom des applications vulnérables, ni leur éditeur. Chaque logiciel devra être corrigé séparément. HD Moore est par ailleurs le créateur du projet Open Source Metasploit destiné notamment à évaluer les risques d'intrusion.
Des informations accessibles aux entreprises
Dans son « tweet », il pointe vers un bulletin publié sur le site d'Acros (un éditeur slovène) qui détaille une vulnérabilité d'iTunes pour Windows. Celle-ci peut être exploitée par des hackers pour inciter des utilisateurs à télécharger et ouvrir un fichier infecté, ou à se rendre sur un site malveillant. Apple a corrigé ce bug en mars lorsqu'il a livré la version 9.1 de son player. Ce problème n'affecterait pas les Mac, selon le constructeur. Le bulletin d'Acros sous-entend que la faille concerne d'autres programmes que iTunes. Il précise que des informations complémentaires peuvent être communiquées aux entreprises et administrations, mais que leur divulgation publique fournirait trop de détails ce qui augmenterait de façon inconsidérée le risque d'exploitation de la faille.
On peut penser qu'Acros n'aurait peut-être pas signalé le problème s'il s'était effectivement limité à iTunes et s'il avait été corrigé il y a plusieurs mois déjà. HD Moore confirme que le bug s'étend au-delà et qu'il est tombé dessus en recherchant le ver affectant les raccourcis de Windows (identifié par Microsoft en juillet qui l'a corrigé le 2 août avec un patch d'urgence, procédure rarement utilisée par l'éditeur en dehors de ses 'Patch Tuesday' réguliers).
Un vecteur très différent suivant les applications
L'expert en sécurité constate que le vecteur de diffusion « est très différent entre les applications », mais le résultat se matérialise dans une .dll chargée après l'ouverture, par l'utilisateur, d'un fichier sain partagé sur un réseau local ou sur Internet. Dans un e-mail de réponse à nos confrères de Computerworld, il note qu'il est possible d'obliger un utilisateur à ouvrir un fichier partagé, que ce soit à partir d'un navigateur web ou en trompant d'autres applications, par exemple, par l'intermédiaire de documents Office embarquant un contenu. Cela lui rappelle un peu les attaques mises en oeuvre avec le ver touchant les raccourcis. Par exemple, les hackers pouvaient lancer une attaque à la volée en exploitant le bug des raccourcis depuis des sites malveillants via WebDAV et pouvaient embarquer leur code dans des documents Office, qui parvenaient aux victimes potentielles comme d'innocentes pièces jointes à des e-mails.
Pour résoudre ce problème, chaque éditeur concerné devra donc livrer son propre correctif, avertit HD Moore. Il existe peut-être des solutions de contournement, mais le problème principal réside dans l'application elle-même et pas nécessairement dans le système d'exploitation, souligne-t-il. Il peut y avoir des correctifs à appliquer au niveau de l'OS, mais ceux-ci risquent d'affecter les applications existantes.
Adobe corrige deux vulnérabilités dans Acrobat et Reader
L'éditeur avait promis de corriger cette vulnérabilité en urgence, en livrant un patch de sécurité hors de son programme trimestriel. C'est désormais chose faite avec la mise à jour qu'elle vient de livrer. La faille avait été découverte par Charlie Miller, chercheur d'Independent Security Evaluators, une entreprise de Baltimore réputée dans la sécurité informatique, alors qu'il faisait la démonstration de la boîte à outils open-source BitBlaze et de son utilité pour augmenter la productivité dans la chasse aux bugs. Celui-ci avait indiqué que la faille concernait la fonction d'analyse des polices dans Reader et Acrobat. Mais il s'est avéré qu'il connaissait ce bug dont Tavis Ormandy, ingénieur en sécurité chez Google, avait déjà fait état.
L'avis publié par Adobe qualifie ce dernier bug et de la seconde vulnérabilité, comme critique, jugeant que chacune "pourrait conduire à l'exécution de code indésirable." Ce qui signifie en clair que des attaquants pourraient les exploiter pour prendre le contrôle d'un ordinateur. Comme à son habitude, l'éditeur a révélé le minimum de détails sur les bogues qu'elle a corrigé, précisant simplement que la seconde faille était capable «de provoquer une attaque d'ingénierie sociale," autrement dit d'utiliser l'erreur humaine pour obtenir des informations confidentielles.
Une des erreurs déjà réparée
Mais Adobe a omis de mentionner qu'elle avait déjà corrigé cette seconde faille dans le passé. D'abord fin juin avec la dernière mise à jour de Reader et Acrobat qui corrigeait le bug portant la référence CVE-2010-1240 et découvert en mars par le chercheur belge Didier Stevens. Ce dernier avait montré comment une attaque en plusieurs étapes utilisant la spécification "/Launch" de Reader pouvait être exploitée. Il avait également montré comment un message d'avertissement dans Reader pouvait être détourné pour piéger les utilisateurs. Les pirates ont employé la technique de Didier Stevens dans des attaques de masse pendant plusieurs mois avant qu'Adobe ne livre sa mise à jour "hors-programme" du 29 juin, devançant le calendrier des updates fixé au 13 juillet.
Ces dernières mises à jour font passer respectivement les deux logiciels en versions 9.3.4 et 8.3.4. Elles incluent également les correctifs pour le player Flash livrés la semaine dernière (Reader et Acrobat intègrent le code pour exécuter Flash dans les documents PDF). Ces dernières versions pour Windows, Mac et Linux peuvent être téléchargées en utilisant les liens inclus dans l'avis publié par Adobe. Mais il est également possible de passer par le mécanisme de mise à jour de chaque application. Depuis le mois d'avril, l'éditeur a également inclus dans les versions récentes de Reader et d'Acrobat un mécanisme de mise à jour automatique, mais il doit être activé manuellement par les utilisateurs.
Crédit Photo: D.R
(...)| < Les 10 documents précédents | Les 10 documents suivants > |