Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 831 à 840.
| < Les 10 documents précédents | Les 10 documents suivants > |
(11/08/2010 12:54:09)
Microsoft a livré son Patch Tuesday
En fin de semaine dernière, Microsoft a annoncé qu'il enquêtait sur une vulnérabilité non corrigée de Windows révélée par un chercheur israélien de Tel Aviv, Gil Dabah, également connu sous son surnom d'Arkon. Selon ce dernier, la faille se situe dans le noyau du système d'exploitation : « Le noyau de Windows comporte une vulnérabilité de saturation de bloc mémoire ». Pour attester de l'existence de ce bug, il a publié un élément de preuve sur le site RageStorm.net qu'il anime lui-même avec deux autres chercheurs.
Jerry Bryant, responsable de groupe, chargé des réponses sur les questions de sécurité chez Microsoft, a déclaré que l'éditeur allait étudier les éléments d'une éventuelle vulnérabilité dans le noyau Windows et prendrait les mesures appropriées pour protéger ses clients. Microsoft a communiqué sa réponse hier et livré parallèlement 15 mises à jour de sécurité dans le cadre de son Patch Tuesday mensuel, dont 13 applicables à Windows. Une conférence Web de 90 minutes est également prévue ce 11 août, à 11 h AM Pacific Time, au cours de laquelle Jerry Bryant et Adrian Stone, responsable senior du programme de sécurité chez Microsoft, répondront aux questions.
L'entreprise danoise Secunia, spécialisée dans la traque aux bugs, avait fait savoir vendredi dernier qu'elle avait mis en évidence le problème dans le pilote Win32k.sys, un composant du noyau dans le sous-système de Windows. Les pirates pourraient exploiter la faille en utilisant l'API GetClipboardData qui permet de récupérer les données du presse-papiers de Windows. Une exploitation de cette faille pourrait, si elle aboutissait, permettre à des pirates d'exécuter leur code d'attaque en mode kernel, une porte ouverte pour infecter le PC avec des logiciels malveillants ou pour le pillage des données résidant sur la machine. « La faille est présente dans plusieurs versions de Windows, dont les versions SP3 XP, Server 2003 R2, Vista, Windows 7 et Windows Server 2008 SP2, » a déclaré Secunia, qui note néanmoins le bug comme « moins critique », soit à l'avant dernière place dans le classement des menaces établi par l'entreprise de sécurité informatique.
Cette année, Microsoft a corrigé 13 vulnérabilités dans le kernel de Windows. En juin par exemple, le patch MS10-032 réparait trois vulnérabilités dans Win32k.sys. En avril, le MS10- 021 en annulait huit bugs et en février, le correctif MS10-015 en réparait deux. Tavis Ormandy, un chercheur spécialisé dans le dépistage de bugs au niveau du kernel a déclaré sur Twitter : « C'est comme d'habitude. Il ne s'est pas passé plus de quelques jours cette année sans que Microsoft ne soit touché par des failles de noyau. » Lui même fait état de trois vulnérabilités repérées cette année. La plupart de ces bugs étaient considérés comme «importants» par Microsoft, soit au deuxième rang dans l'échelle des menaces, parce qu'ils ne pouvaient pas être exploités à distance et nécessitaient que l'attaquant puisse avoir un accès physique directe à l'ordinateur pour ouvrir une session valide d'identification. D'après lui, la faille découverte par le chercheur israélien est également de ce type. (...)
La police sud-coréenne perquisitionne les bureaux de Google
Les forces de police sud-coréennes ont, ce mardi, perquisitionné les bureaux de Google dans le cadre d'une enquête sur le projet de cartographie Street View. Il s'agit là de la dernière affaire en date remettant en cause la collecte de données WiFi par les voitures Google Street View. La Police Nationale Coréenne affirme dans un communiqué avoir lancé une investigation sur la base de collecte illégale de données et de mise sur écoute, tandis que de leur côté, des officiels de chez Google ont confirmé la perquisition. « Nous avons l'intention de coopérer et nous répondrons à toutes les questions que la police pourrait avoir ».
Une enquête de plus
Cette enquête intervient alors que Google a redémarré son service Street View dans de nombreux pays après que celui-ci ait été remis en cause par de nombreuses instances nationales de protection de la vie privée. En effet, à la suite d'une requête d'audit par les autorités allemandes, la firme de Mountain View avait admis en mai avoir collecté par inadvertance un certain nombre d'informations à partir de routeurs WiFi non-protégés, comme des SSID et des adresses Mac. Mais l'entreprise avait précisé n'avoir récupéré que des fragments de données étant donné que l'équipement WiFi des voitures impliquées était programmé pour changer de réseau toutes les cinq secondes. Cette durée est pourtant suffisante pour recueillir de nombreuses informations étant donné le débit de ces réseaux. Cet aveu a par la suite provoqué de nombreuses investigations du même ordre concernant Street View que ce soit en France, en Italie, au Royaume-Uni, aux Etats-Unis ou en Espagne.
Selon Google, le logiciel de collecte de données WiFi a depuis été enlevé des véhicules, qui ont du coup repris leur activité en Irlande, en Norvège en Afrique du Sud, en Suède et au Royaume-Uni la semaine dernière.
(...)
Adobe va livrer un correctif d'urgence pour Reader et Acrobat
Adobe vient d'annoncer qu'il publierait un correctif d'urgence la semaine du 16 août, pour rectifier une faille critique dans ses logiciels Reader et Acrobat. Le problème avait été découvert par le chercheur Charlie Miller lors de la conférence Black Hat sur la sécurité qui s'est tenue le mois dernier, alors qu'il montrait comment utiliser la boîte à outils Open Source BitBlaze pour rendre la chasse aux bugs 10 fois plus productive.
L'analyste, qui travaille avec l'Independent Security Evaluators de Baltimore, s'est déjà illustré pour avoir identifié des failles dans le Reader PDF d'Adobe. En mars dernier, il avait aussi montré comment un simple outil de fuzzing pouvait servir à éliminer un grand nombre de bugs potentiels dans Acrobat Reader, mais aussi dans Microsoft Office, l'application Aperçu d'Apple et d'autres logiciels. Selon l'article qu'il a publié après la conférence Black Hat, le bug concerne l'analyse des polices dans Reader et Acrobat. De son côté, l'entreprise danoise Secunia également spécialisée dans la traque aux trous de sécurité, estime que « la faille pourrait être exploitée pour corrompre la mémoire via un fichier PDF contenant une police TrueType infectée ». Elle ajoute que l'exploitation de cette faille pourrait permettre l'exécution de code malveillant.
Charlie Miller précise que si la vulnérabilité affectant les outils PDF d'Adobe ressemble à celle utilisée pour déverrouiller le système d'exploitation mobile iOS d'Apple, ces failles n'ont rien à voir entre elles : « Toutes deux concernent l'analyse des polices dans les fichiers PDF, mais c'est une coïncidence », a t-il déclaré dans un mail. La vulnérabilité exploitée par le logiciel JailbreakMe concerne l'affichage des fichiers PDF en mode Prévisualisation dans l'iOS d'Apple, pas dans Adobe Reader. Comme Adobe a essayé de l'expliquer hier, « toutes les vulnérabilités affectant les fichiers PDF ne sont pas automatiquement liées à des vulnérabilités du logiciel d'Adobe ». Brad Arkin, en charge de la sécurité et de la confidentialité des produits chez Adobe, a aussi fait remarquer que l'ancien code propriétaire du PDF était devenu un standard libre depuis 2008.
Adobe, qui livrera son correctif en dehors de son calendrier trimestriel, probablement le mardi 17 août, si l'on tient compte de ses habitudes, a laissé entendre que cette mise à jour corrigerait d'autres vulnérabilités que celle découverte par le chercheur. Mais l'éditeur a précisé qu'il tiendrait son calendrier de mises à jour régulières, confirmant la date du 12 octobre pour la prochaine livraison. Ce n'est pas la première fois qu'il sort une mise à jour hors calendrier cette année pour son Reader. La dernière mise à jour d'urgence date de la fin du mois de juin, où il avait livré un correctif deux semaines avant la date prévue du 13 juillet, pour corriger un bug déjà exploité par les pirates. Ce fut également le cas pour un patch livré en février.
Adobe indique que les efforts entrepris pour livrer ce correctif d'urgence n'affecteront pas la sortie de la prochaine mise à jour d'Acrobat Reader. La version 10 du Reader pour Windows prévue pour la fin de l'année est en effet très attendue : elle inclura la technologie sandboxing qui permet d'isoler les documents PDF infectés par des malwares, comme ceux qui pourraient par exemple profiter de la faille découverte par Miller.
Mise en garde sur des failles de sécurité sur les iPhone, iPod et iPad
Le Certa (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) a émis un bulletin d'alerte relatif à des failles de sécurité concernant les smartphones iPhone, les baladeurs iPod et de la tablette numérique iPad d'Apple. Il explique que deux vulnérabilités ont été découvertes dans le système d'exploitation Apple iOS utilisés par ces terminaux. L'une concerne le traitement des fichiers au format PDF, l'autre est relatif au "noyau utilisable pour effectuer une élévation de privilèges".
"La combinaison des deux permet à une personne malintentionnée d'exécuter du code à distance avec les droits administrateur et d'accéder ainsi à l'ensemble des informations (contacts, mails, documents...) et ressources (caméra, micro, GPS...) de l'appareil. Cette vulnérabilité est entre autre utilisée pour effectuer le Jailbreak", explique le CERTA dans son bulletin d'alerte.
Ce dernier précise que dans l'attente du correctif d'Apple, il est recommandé "la plus grande prudence lors de l'ouverture de fichiers au format PDF, par exemple en n'ouvrant que des fichiers attendus ou en validant la légitimité du message auprès de l'envoyeur".
Microsoft livre un correctif zero-day pour Windows
Comme l'a fait remarquer Andrew Storms, directeur des opérations de sécurité chez nCircle Security, le bulletin MS10-046 accompagnant la sortie du patch pour le bug des raccourcis dans Windows ne contenait pas de surprise. D'une part Microsoft a livré le correctif d'urgence, palliant à ce bug exploité depuis plusieurs semaines par les pirates, à la date annoncée. D'autre part, l'éditeur s'en est aussi tenu à son calendrier qui exclut désormais Windows XP Service Pack 2 (SP2) et Windows 2000 de tout support depuis trois semaines. « La seule vraie question était de savoir si Microsoft serait tenté de publier un correctif pour les systèmes d'exploitation non pris en charge, » a-t-il déclaré, en faisant référence aux version XP SP2 et à Windows 2000. « Il y a énormément de gens qui utilisent encore SP2, et le système a été tout bonnement mis hors circuit,» a t-il fait valoir. « Typiquement, des solutions comme les Scada fonctionnent généralement sur les anciennes versions de l'OS. J'ai aussi pensé que les vendeurs de Scada feraient pression sur Microsoft pour livrer un correctif pour SP2. »
Un vers très dangereux pour les plates-formes Scada
La vulnérabilité corrigée aujourd'hui a été décrite pour la première fois mi-juin par VirusBlokAda, une société biélorusse, peu connue, spécialisée dans les questions de sécurité. Mais l'affaire avait commencé à attirer l'attention seulement après un papier publié le 15 Juillet par le blogueur Brian Krebs sur le sujet. Le lendemain, Microsoft reconnaissait que des attaquants exploitaient déjà la faille en utilisant le ver Stuxnet connu pour cibler les PC sous Windows des systèmes de contrôle à grande échelle Scada de Siemens (Supervisory Control and Data Acquisition, en français télésurveillance et acquisition de données), utilisés dans l'industrie et les services publics.
La faille utilisait la manière dont Windows gère les raccourcis, ces petits fichiers affichés sous forme d'icônes sur le bureau, dans la barre d'outils et dans le menu Démarrer, qui facilitent le lancement d'applications et de documents. Les pirates ont fabriqué des raccourcis malveillants, capables d'exécuter automatiquement des malware à chaque fois qu'un utilisateur affichait le raccourci ou un dossier contenant le raccourci piégé. Le code était public depuis le mois dernier, et Microsoft et d'autres ont repéré plusieurs campagnes d'attaques profitant de la faille. En même temps que l'éditeur de Redmont annonçait la date de disponibilité du correctif, il signalait que même le dangereux malware de la famille « Sality » avait exploité le bogue du raccourci.
Mise à jour de la .dll Shell32
Microsoft a également précisé aux utilisateurs qui avaient mis en oeuvre la solution de contournement recommandée de réactiver l'affichage de tous les raccourcis après avoir appliqué le patch. Certains rapports signalent des problèmes et conseillent de rétablir l'affichage avant l'application du correctif. Parce que le patch de l'éditeur repose sur une nouvelle version de la Shell32.dll, il est important que la mise à jour soit bien effectuée : cette librairie logicielle abrite de nombreuses API de fonctions pour Windows et une mauvaise mise à jour pourrait bloquer certaines machines avec le fameux écran bleu de la mort. Andrew Storms pense pour sa part qu'il n'y a rien à craindre. « En janvier, Microsoft a réussi à livrer un patch pour corriger un bug du noyau de Windows en 20 jours. » Pour Jason Miller, responsable de la sécurité chez Shavlik Technologies, même s'il ne s'attendait pas un patch d'urgence du fait de la date prochaine des mises à jour de sécurité régulières fixée au 10 août, estime que « Microsoft a évalué les risques en sortant ce patch intermédiaire.» Précisons que plusieurs éditeurs d'antivirus comme Sophos et G Data ont été plus rapides en publiant un outils destiné à bloquer le vers Stuxnet (voir illustration).
Le correctif, disponible pour toutes les versions encore supportées de Windows, dont XP SP3, Vista, Windows 7, Server 2003, Server 2008 et Server 2008 R2, peut être téléchargé et installé via Microsoft Update et Windows Update Services, ainsi que via Windows Server Update Services.
La puce RFID des passeports piratable à 70 mètres
Avec un matériel trouvé dans les rayons de différents magasins et sur eBay, le tout pour moins de 2 500 dollars, le chercheur a pu assembler un système qui, dit-il, lui a permis "de lire les balises contenues dans les puces RFID des passeports à une distance de 70 mètres." Mais celui-ci pense que l'appareil placé dans de meilleures conditions pourrait atteindre les 300 mètres. Chris Paget est même prêt à le prouver au cours de la conférence, si quelqu'un lui donne accès à un toit. "Ces puces RFID sont également utilisées dans les passeports canadiens et les permis de conduire délivrés par l'État de New York," a t-il déclaré. Elles sont aussi utilisées pour le contrôle des stocks chez le leader de la grande distribution Wal-Mart.
Lecture des données cryptées
Le chercheur a indiqué qu'il ne savait pas précisément quelles données étaient stockées sur les puces puisqu'elles sont cryptées avec une clef MZR (Machine-Reable Zone ), mais selon lui, au minimum, il serait possible par recoupement d'identifier la provenance du titulaire du document. Le gouvernement américain déclare que les puces contiennent toutes les informations imprimées sur le passeport, y compris une copie numérique de la photo d'identité. Avec un peu de temps et de la puissance de calcul, la clef MZr peut toutefois être cassée. L'expert en sécurité Bruce Schneier a écrit sur son blog à propos des puces de ces documents: "cela signifie que les détenteurs de passeports diffusent en permanence leur nom, nationalité, âge, adresse et tout ce qui est inscrit sur la puce RFID. Donc, n'importe quelle personne en possession d'un lecteur peut avoir accès à ces informations, à l'insu du titulaire du passeport et sans son consentement. Les pickpockets, les kidnappeurs et les terroristes peuvent facilement - et subrepticement - repérer des ressortissants américains ou d'autres pays utilisant le même système, dans une foule », poursuit-il. Celui-ci a aussi imaginé différents scénarios dans lesquelles ces balises pourraient être utilisées, y compris si les gens étaient porteurs de ces puces de manière plus ordinaire. Par exemple, il a imaginé que les centres commerciaux pourraient balayer les clients et récolter les identifiants des visiteurs dès leur entrée dans le centre afin de les suivre et de créer un profil numérique pour chacun. "Cela pourrait fournir des informations précieuses en matière de marketing," écrit-il.
Une technologie facilement détournable
En général, les puces RFID sont activées par ondes radio. Elles utilisent ensuite l'énergie reçue pour répondre par un signal lui-même capté par un récepteur. «La balise est stimulée par l'onde radio pour être mise en route, puis la puissance diminue," explique Chris Paget. Les puces EPC Gen 2 utilisées dans la démonstration qu'il a faite au Black Hat ajustent le niveau des ondes pour communiquer avec l'émetteur, après avoir absorbé une partie de l'énergie pour alimenter la puce, un peu à la manière dont fonctionnent les radars. Le chercheur a d'ailleurs utilisé les équations qui servent à calculer les performances des radars pour optimiser la norme des transmetteurs/récepteurs RFID qu'il a trouvé dans le commerce. Les puces utilisent la bande de fréquence ISM (Industrie, Sciences, Médecine) à 900 MHz, avec laquelle les opérateurs radio amateurs sont autorisés à communiquer, à condition d'accepter tout brouillage causé par leurs appareils ISM. Selon Chris Paget, « dans les applications RFID, la puissance maximale nécessaire pour transmettre des ondes radio vers les puces est de 1 watt. » Mais en faisant en sorte que l'émetteur se comporte plutôt comme une station radio amateur et en lui appliquant la puissance légale maximum de 1 500 watts, on fait monter la limite théorique supérieure de la plage de lecture de quelques mètres pieds à plus de 3 kilomètres. « Avec de grandes antennes et des émetteurs plus puissants, comme ceux utilisés par l'armée, on pourrait pousser cette limite à une centaine de kilomètres », explique-t-il.
Une sécurité insuffisante
Pour conclure, il est toutefois utile de préciser qu'en théorie, les passeports américains sont équipés d'une trame métallique censée bloquer la lecture de la puce quand le document de voyage est fermé. Ce qui ne semble pas avoir arrêté Chris Paget. Le test n'a pas encore été réalisé avec des passeports européens, mais la technique devrait être parfaitement utilisable à mois que le génie administratif français ait réussi pour une fois à devancer les hackers... De vrais étuis de protection radio faisant office de cage de Faraday sont toutefois commercialisés depuis la diffusion des passeports biométriques RFID. Un achat judicieux pour les vacances, notamment quand on doit patienter de longues heures dans un aéroport.
Crédit photo : D.R.
Les américains souhaitent une coopération internationale sur la cybercriminalité
C'est durant la conférence Black Hat que l'ancien directeur de la CIA Michael Hayden a déclaré que les Etats-Unis devraient se mettre à considérer un partenariat avec les autres pays pour développer des règles internationales de luttes contre la cybercriminalité. Les Etats-Unis y auraient été réluctants car ne voulaient pas révéler, dans le cadre de telles négociations, les limites de leurs capacités en la matière. L'ex-directeur de l'agence de renseignement précise toutefois que le besoin se fait pressant étant donné la complexité à définir ce type de criminalité et à proposer une stratégie de défense et de réponse adaptée. « Nous sommes vraiment en retard sur ce débat concernant la limitation des armes utilisables dans le cyberespace. Plus le temps passe, moins notre voix sur le sujet risque d'avoir de portée ». Mais il ajoute que toute coordination internationale devrait plutôt porter sur l'établissement de normes plutôt que sur le contrôle des outils à disposition. Un exemple pourrait être d'avoir une règle interdisant les attaques par déni de service (DoS) sur des actifs d'un autre pays, sauf en cas de conflit armé. Ces dernières sont « des armes tellement simples à utiliser qu'il faudrait en stigmatiser l'usage, et sanctionner les pays qui les autorisent. De la même manière, les attaques contre les réseaux électriques et les secteurs financiers devraient être placées hors-limite, tant les conséquences pourraient être dévastatrices ».
Quelques obstacles organisationnels
Michael Hayden admet aussi que la régulation et la mise en place de sanctions risquent d'être les éléments les plus difficiles à mettre en place dans le cadre d'une coopération internationale. Le Département de la Défense a longtemps considéré Internet comme un domaine à protéger au même titre que les quatre autres (air, sol, mer et espace), mais appliquer les mêmes modèles défensifs et offensifs s'est révélé plus compliqué que prévu dans ce cadre particulier. L'organisation même du Cyber Command reflète ces difficultés : en théorie, le Homeland Security s'occupe des fonctions défensives, les agences de renseignement sont elles en charge des tâches liées à l'espionnage, et le Département de la Défense de tout ce qui renvoie à l'offensif. « De manière technologique et opérationnelles, elles sont au même niveau. Chacune contrôle son petit domaine sur Internet à sa façon. Heureusement, grâce au système politique, elles ne sont pas subventionnées de la même manière et sont régies par des lois différentes ».
Crédit Photo : D.R.
Google sacré roi des malwares
La firme de sécurité Barracuda Networks a couronné Google « roi des malwares », celui-ci renvoyant vers deux fois plus de liens malveillants que Bing, Yahoo et Twitter réunis. Selon l'entreprise, après une analyse de 25 752 sujets à la mode déclinés en près 5,5 millions de résultats de recherche, Google propose 69% de tous les malwares détectés, tandis que Yahoo est à 18%, Bing à 12% et Twitter 1%. Quant à ces thèmes populaires qu'utilisent les malwares pour piéger les internautes, le délai entre leur publication sur Twitter et leur apparition sur un moteur de recherche varie de 1,2 jours pour Google à 4,3 pour Bing et 4,8 pour Yahoo. Cela tend à suggérer que la popularité de Google dans le monde des logiciels malveillants est principalement due à l'efficacité de ses robots indexant les pages web. Mais il faut aussi considérer sa popularité pour comprendre ces résultats. D'après une analyse de comScore, 62,6% du trafic de recherche américain passe par Google, largement devant Yahoo et Bing qui ne séduisent respectivement que 18,9% et 12,7% des internautes.
Statistiques en demi-teinte pour Twitter
Barracuda a aussi relevé quelques données intéressantes sur Twitter. Son taux de criminalité s'élèverait à 2,38% en juin 2010 selon les analystes, pour une moyenne de 1,67% sur le semestre. Ceux-ci se basent sur un échantillon de 25 millions de comptes, comprenant ceux qui font état d'un comportement erratique et suspicieux, ainsi que ceux d'utilisateurs légitimes pour pouvoir distinguer leurs attitudes. Ce pourcentage représente le nombre de comptes suspendus sur la période donnée, et est ici en hausse après plusieurs mois de faible criminalité. L'entreprise affirme aussi que seuls 28,87% des utilisateurs sont de « vrais » utilisateurs de la plateforme, c'est-à-dire qu'ils participent activement, suivent d'autres comptes ou ont leur propres followers. Globalement, l'activité a tendance à augmenter, ce qui rend le site de micro-blogging d'autant plus attractif pour les criminels. 15,8% des comptes n'ont par ailleurs aucun follower, mais ce chiffre a connu une baisse substantielle depuis 2009 où il s'élevait à 30%, tandis que 36,39% des inscrits ont entre un et quatre abonnés. Seul 1% réussit à passer le cap des 1000 followers.
Un des chiffres montre toutefois une corrélation inverse entre le nombre de tweets et le nombre de followers. Plus il y en a, c'est-à-dire si le compte est hyperactif, plus cela tend à faire fuir les personnes susceptibles de le suivre, ces derniers ne voulant pas voir leur page d'accueil polluée. D'ailleurs, 30,62% des utilisateurs n'ont jamais publié un seul tweet.
Crédit Photo : Barracuda Networks
| < Les 10 documents précédents | Les 10 documents suivants > |