Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 851 à 860.
| < Les 10 documents précédents | Les 10 documents suivants > |
(23/07/2010 16:51:44)
Fuite de données personnelles dans Safari
Une des fonctionnalités du navigateur d'Apple, Safari, conçue pour simplifier le remplissage des formulaires, pourrait être utilisée par des pirates pour collecter des informations personnelles si l'on en croit Jeremiah Grossman, directeur de la technologie pour WhiteHat Security. Activé par défaut dans le programme, AutoFill remplit les champs nom, prénom, société, ville, pays et adresse mail automatiquement lorsqu'il reconnaît un formulaire, même si l'internaute n'a jamais visité le site en question. L'application tire ses données du carnet d'adresses de l'OS sous lequel il est installé.
« Tout ce qu'un site malveillant aurait à faire pour extraire des données du carnet d'adresses serait de créer des champs de formulaire dynamiques, et de simuler l'entrée des lettres de A à Z à l'aide de Javascript. Toutes les informations du carnet ayant été insérées par ce procédé dans lesdits champs peuvent ensuite être envoyées à l'attaquant » précise Jeremiah Grossman. Il a d'ailleurs publié une vidéo de l'attaque sur son blog, à l'instar de Robert Hansen, directeur de SecTheory, qui a mis en évidence un code de celle-ci sur son blog pour démontrer le problème.
Une faille simple, mais dangereuse
Les données commençant par des nombres sont quant à elles épargnées, ne s'insérant pas dans les champs, et ne pouvant donc pas être récupérées. « De telles attaques pourraient facilement être effectuées à grande échelle par l'intermédiaire d'un réseau de publicités. Il y aurait alors peu de chances pour que quelqu'un s'en rende compte, puisqu'il ne s'agit pas d'un code s'installant sur l'ordinateur » ajoute-t-il. « Cette vulnérabilité est tellement simple que j'ai pensé dans un premier temps qu'elle avait déjà été rendue publique depuis un moment. Mais en demandant autour de moi, j'ai réalisé que personne n'était au courant ».
Il déclare avoir rapporté le problème à Apple le 17 juin, sans réponse. Pour éviter que cela n'arrive, il suffit de désactiver AutoFill dans les paramètres du navigateur.
Crédit Photo : AutoFill
Des malwares sur certaines cartes mères de serveurs Dell
Le problème concerne un nombre restreint de cartes PowerEdge " Le billet indique que "ce malware a été détecté dans le firmware de gestion de serveurs embarqués." Forrest Norrod, vice-président et directeur général des plates-formes serveurs chez Dell, écrit dans un mail que " le problème affecte les cartes mères de remplacement de quatre types de serveurs, les PowerEdge R310, R410, R510 ainsi que les modèles T410." Il ajoute que " le code malveilant ne peut se manifester que dans des configurations spécifiques ou si l'antivirus du client est inactif ou obsolète."
Il précise que "ce virus n'affecte pas les systèmes produits dans nos usines et qu'il est uniquement limité aux pièces de rechange. Dell a retiré de sa chaîne d'approvisionnement toutes les cartes mères touchées et les nouveaux stocks de remplacement ne sont pas infectés par ces logiciels malveillants".
Découvert par hasard et communication superficielle
Le responsable n'a par contre fourni aucun détail sur la nature des malware identifiés, ni sur la manière dont ils affectent les serveurs ou les solutions possibles pour y remédier. Forrest Norrod a néanmoins déclaré que " Dell, conscient du problème, a établi la liste des clients concernés et est en contact avec eux," ajoutant qu'il publierait prochainement plus d'informations à ce sujet sur le site web du constructeur.
La réaction de Dell est intervenue après qu'un client a révélé publiquement avoir été contacté par un technicien qui souhaitait prendre rendez-vous pour nettoyer son serveur de ses logiciels malveillants. Dell a indiqué qu'il ne pensait pas que le problème aurait un impact sur ses clients. "A ce jour nous n'avons reçu aucuns rapports relatifs à la sécurité des données,» peut-on encore lire dans le message publié par Forrest Norrod.
Dell précise également que les systèmes d'exploitation autres que Windows ne sont pas touchés par le virus, et que les nouvelles cartes mères livrées avec les systèmes PowerEdge ne sont pas infectées.
Adobe succombe au sandboxing sur son Reader
Récemment, alors qu'Adobe tentait de verrouiller son programme et de gérer les failles pouvant être exploitées par des pirates, certains experts en sécurité avaient suggéré que le sandboxing pourrait être une idée judicieuse. Sans doute mieux connu pour son utilisation dans le navigateur Chrome de Google, ce procédé permet de cloisonner le traitement des données et même de l'isoler du système de la machine, afin d'empêcher l'exécution d'un code malveillant. Selon Brad Arkin, directeur de la sécurité et de la vie privée chez Adobe, cette solution sera ajoutée dans la prochaine mise à jour importante du Reader (version 10) sous Windows. S'il s'est refusé à communiquer un calendrier précis pour la disponibilité de cette mise à jour, le responsable d'Adobe a néanmoins indiqué que ce serait avant la fin de l'année.
"Avec le sandboxing, toute personne en présence d'un PDF malveillant pourra constater que le code suspect est conservé dans le bac à sable", a déclaré Brad Arkin, à propos de cette technologie, également utilisée par Microsoft dans Internet Explorer 7 et 8, et dans Office 2010. Les attaques restent possibles, mais il faudrait pour cela que le pirate soit en mesure de sortir le logiciel malveillant de la sandbox. Le plug-in du Reader pour navigateur internet permet déjà d'utiliser IE7 et IE8 en mode protégé - Microsoft utilise le terme Protected Mode au lieu de «sandbox» dans son navigateur - et le cloisonnement fonctionne déjà sous Chrome. L'ajout de la sandbox à la version générale, permettra également de protéger les utilisateurs de Firefox et ceux qui utilisent la version stand-alone du Reader PDF.
Des aides extérieures
Dans un premier temps, le Reader triera les requêtes en écriture faites par le programme, de manière à bloquer les tentatives d'inscrire du code dans le système. Une version ultérieure limitera aussi la lecture seule, afin d'empêcher les tentatives de vol d'informations importantes, comme les numéros de carte de crédit ou les mots de passe. " Dans la première version, tout le processus de rendu d'un fichier PDF se passe dans la sandbox," a déclaré Brad Arkin. Cela comprend aussi l'analyse du document PDF et des images associées, et l'exécution de JavaScript qui avait servi à exploiter des failles dans Reader.
Crédit Photo: D.R
[[page]]
La technologie, activée par défaut, sera associée au mode protégé, selon la terminologie utilisée par Microsoft dans IE7 et IE8. Adobe reconnait avoir reçu le soutien de Microsoft et de Google, "qui ont donné beaucoup de conseils", selon le responsable. Celui-ci a également rappelé que Adobe avait basé sa technologie sur des techniques décrites en 2007 par David LeBlanc, un expert en code sécurisé chez Microsoft, et de Michael Howard, développeur dans la firme de Redmond, co-auteurs de Writing Secure Code. Nicolas Sylvain, ingénieur logiciel chez Google, et l'équipe de Chrome, sont également cités pour leur aide dans la mise au point du mode protégé du Reader.
Une offre complémentaire
Cela fait un peu plus d'un an qu'Adobe concentre ses efforts sur ce que Brad Arkin appelle le " processus du courtier ", qui décide quelles fonctions le Reader est autorisé à mener en dehors de la sandbox, comme l'écriture sur le disque ou le lancement d'une pièce jointe ou d'un exécutable à partir du logiciel. "Le "broker" est contraint par des options préréglées - que les utilisateurs peuvent modifier - qui restreignent différentes actions," a indiqué le responsable d'Adobe. Il s'est dit confiant que la sandbox serait "solide comme le roc" lorsque la version 10 du lecteur serait livrée, notamment parce que le "broker" est récent. Depuis l'année dernière, Adobe a adopté une méthode de développement appelée Secure Product Lifecycle (SPLC), une approche similaire au Software Development Lifecycle (SDL) de Microsoft. Les deux impliquent plusieurs étapes spécifiques de sécurité mises en place pour les programmeurs afin que leurs logiciels abritent moins de bugs.
Ces dispositions sont à rapprocher d'autres actions, dont un calendrier trimestriel de sortie de correctifs de sécurité, mises en place en 2009, suite aux critiques à propos du temps mis par Adobe à réagir à corriger une faille de sécurité exploitée par des pirates la même année. " Le mode protégé est un autre aspect de cette campagne," ajoute Brad Arkin avant de conclure "c'est un changement très important pour Reader."
(...)(22/07/2010 10:53:31)
L'UE va renforcer le cadre d'utilisation des données personnelles
La Commission européenne supervise actuellement un grand nombre de mécanismes destinés à lutter contre la criminalité, dont ceux liés aux activités terroristes. Cela implique la collecte, le stockage ou l'échange de données à caractère personnel. "Les citoyens devraient avoir le droit de savoir quelles données personnelles sont conservées et échangées à leur sujet " a déclaré Cecilia Malmström, Commissaire européen pour les Affaires intérieures, laquelle a par ailleurs exposé la prochaine règlementation.
Toutes les propositions de la future politique seront évaluées en fonction de leur impact possible sur les droits individuels et leurs auteurs devront prouver que ces initiatives sont nécessaires, proportionnées et à même de respecter les droits fondamentaux. Il engendre aussi une répartition claire des responsabilités, ainsi que des procédures de contrôle encadrées. Le respect de ces règles concernant la protection des données à caractère personnel sera enfin soumis au contrôle d'une autorité indépendante au niveau national ou européen.
Des organes touchés par le prochain réglement
La plate-forme européenne sur la cybercriminalité (PECC) mise en place en 2008 à côté des plates-formes nationales de lutte contre la cybercriminalité pour collecter, analyser et échanger des informations sur les infractions commises sur Internet, fait partie de cette initiative. Géré par Europol, le PECC traite des affaires graves signalées par les autorités policières nationales sur la cybercriminalité et qui ont un impact transfrontalier. Actuellement, les règles de protection des données dépendent du Europol Decision and Coucil Framework, mais le futur PECC devra rendre compte de ses activités dans un rapport annuel soumis au Conseil pour approbation et au Parlement européen pour information.
Parmi les autres instruments qui pourraient être concernés par le prochain règlement, figure le très controversé Programme de Traçage du financement du terrorisme (TFTP), qui permet aux Etats-Unis d'accéder aux données financières des citoyens européens. Sont aussi concernés des organismes comme Europol, l'Agence de police européenne, et Eurojust lequel coordonne les opérations transfrontalières de justice et a accès à des informations privées, y compris en matière de télécommunications, lorsque les suspects et les prévenus sont soupçonnés d'actes criminels graves impliquant plusieurs États membres de l'UE.
Ce règlement s'appliquera également au Système d'information Schengen I et II (SIS) à travers lesquels transitent des données sur les personnes se déplaçant dans l'espace Schengen Ce dernier regroupe les pays qui ont accepté de ne pas appliquer de contrôles d'identité à leurs frontières en commun. Les bases de données pour l'évaluation des demandes d'asile au niveau européen (Eurodac), les demandes de visas (VIS Visa Information System) et le traçage des passagers aériens (API ou Advance Passenger Information System) seront également concernés, de même que les systèmes de suivi des déclarations en douane et de partage des casiers judiciaires.
Illustration: Cecilia Malmström, Commissaire européen pour les Affaires Intérieures
(...)(20/07/2010 14:56:44)« Ne changez pas les mots de passe Scada » avertit Siemens
Alors que le ver découvert dernièrement donne l'opportunité aux criminels de pénétrer les systèmes d'automatisation industrielle de Siemens en utilisant un mot de passe par défaut, l'entreprise a averti ses clients de ne pas toucher à ce dernier. Cela risquerait de bouleverser tout le système. « Nous allons publier prochainement un guide d'assistance pour notre clientèle, mais sans inclure de modification des paramètres par défaut risquant de perturber le fonctionnement des usines » a annoncé Michael Krampe, porte-parole pour Siemens Industry dans un email. L'entreprise prévoit donc de lancer un site qui fournira de plus amples informations sur le premier virus ciblant spécifiquement les produits Scada. Ces systèmes WinCC de Siemens sont utilisés pour gérer les machines de production industrielle à travers le monde.
Espionnage industriel invasif
La firme allemande se démène pour régler le problème, tandis que dans le même temps, le ver Stuxnet continue de se répandre mondialement. Gerry Egan, directeur de la gestion de produits chez Symantec, informe que l'entreprise a relevé près de 9000 tentatives d'infections par jour. Le programme malveillant se propage par l'intermédiaire de clés USB, de CD ou de fichiers partagés et s'appuie sur une faille non-corrigée de Windows. Cependant, s'il ne trouve pas le logiciel WinCC sur l'ordinateur infecté, il ne fait que continuer à se copier et reste dormant.
Puisque les systèmes Scada font partie de l'infrastructure critique des entreprises, les experts de la sécurité se sont dans un premier temps inquiétés d'une attaque potentiellement dévastatrice. Dans le cas présent, pourtant, le virus ne semble être qu'un programme d'espionnage et de vol d'information. S'il détecte un environnement Scada, il utilise le mot de passe par défaut pour ensuite rechercher, puis copier des fichiers sensibles ou confidentiels vers un site web extérieur. « L'individu ayant écrit ce code connait très bien les produits Siemens. Ce n'est pas un amateur » indique Eric Byres, directeur de la technologie chez Byres Security. En dérobant les secrets Scada d'une usine, les malfaiteurs pourraient prendre connaissance des procédés de fabrication utilisés, ajoute-t-il. Son entreprise est d'ailleurs débordée d'appels de clients Siemens inquiets et désireux de se prémunir face à cette menace.
Des solutions temporaires pour rassurer les clients
L'United States Computer Emergency Readiness Team (US-CERT) a mis en place un comité consultatif concernant Stuxnet, mais les informations ne sont pas encore rendues publiques. D'un autre côté, d'après Eric Byres, et à l'instar des déclarations de Siemens, changer le mot de passe de WinCC empêcherait les composants critiques du système d'interagir avec ce dernier. Or, comme celui-ci les administre, « cela reviendrait en somme à désactiver tout le système si le mot de passe n'est plus reconnu ».
Les clients sont donc entre deux eaux, mais ils peuvent toutefois faire quelques modifications afin que les ordinateurs n'affichent plus les fichiers .lnk utilisés par le virus pour passer d'un système à l'autre. Ils peuvent aussi désactiver le service Windows WebClient qui lui sert à se répandre dans le réseau local. Microsoft a d'ailleurs publié, dans cette optique, un avertissement de sécurité expliquant la procédure. « Siemens est en train de développer une solution qui pourra identifier et systématiquement se débarrasser de Stuxnet » a précisé Michael Krampe, sans dire quand elle serait disponible.
Scada a été conçu « en considérant que personne n'aurait accès à ces mots de passe. C'est une hypothèse qui revient à croire que personne ne s'attaquera jamais à vous » signale Eric Byres. Les noms d'utilisateurs et mots de passe par défaut utilisés par les concepteurs du ver ont en effet été publiés sur le web en 2008 selon lui.
Crédit Photo : D.R.
Les systèmes Scada de Siemens visés par un virus-espion
Michael Krampe, porte-parole de Siemens Industry, a déclaré que « Siemens avait identifié le problème le 14 Juillet. », ajoutant que l'entreprise avait immédiatement rassemblé une équipe de spécialistes pour évaluer la situation. « Siemens prend toutes les précautions pour alerter ses clients sur les risques potentiels de ce virus, » a-t-il écrit dans un mail. Les experts en sécurité disent que le virus ressemble au type d'attaque qu'ils redoutent depuis des années : un logiciel malveillant conçu pour infiltrer les systèmes utilisés dans la gestion des usines et certains éléments sensibles des infrastructures. Certains craignent que ce type de virus puisse être utilisé pour prendre le contrôle de ces systèmes, perturber les opérations ou déclencher un accident majeur. Cependant, une analyse rapide du code semble plutôt indiquer, selon eux, que le virus a probablement été conçu pour voler des secrets sur les sites et autres installations industrielles. «Il a toutes les caractéristiques d'une arme informatique, sans doute à vue d'espionnage, » a déclaré Jake Brodsky, informaticien dans le département IT d'une grande entreprise, qui s'est exprimé en son nom propre.
D'autres experts en sécurité des systèmes industriels ont confirmé son analyse, affirmant que « le logiciel malveillant a été écrit par un attaquant subtil et déterminé. » Le logiciel en question n'exploite pas un bug du système de Siemens pour prendre le contrôle de l'ordinateur, mais plutôt un bug de Windows jamais divulgué pour s'introduire dans le système. Le virus vise en effet le logiciel de gestion Simatic WinCC de Siemens, lequel fonctionne sous le système d'exploitation de Microsoft. « Siemens a informé son équipe commerciale et communiquera directement avec ses clients pour expliquer les circonstances, » a déclaré son représentant. «Nous demandons instamment à nos clients d'effectuer un bilan actif des systèmes informatiques sur lesquels sont installés et utilisés WinCC, et de mettre à jour leurs logiciels antivirus, comme nous leur demandons de rester vigilants sur le plan de la sécurité informatique dans leurs environnements de production. »
Un virus ciblant toutes les versions de Windows
Vendredi dernier, Microsoft a publié un avis de sécurité sur la question, précisant que le bug affectait toutes les versions de Windows, y compris son dernier système d'exploitation Windows 7. Selon Microsoft, le bug n'a été exploité que dans un nombre limité de cas, et dans des attaques ciblées. Généralement, pour des raisons de sécurité, les systèmes exécutant le logiciel de contrôle et d'acquisition de données Scada (Supervision, Control and Data Acquisition
) de Siemens ne sont pas connectés à Internet, mais ce virus se propage lorsqu'une clef USB infectée est insérée dans un ordinateur. « Une fois le périphérique USB connecté au PC, le virus cherche un système Siemens WinCC ou un autre périphérique USB, » selon Frank Boldewin, analyste en sécurité auprès du prestataire de services informatiques allemand GAD, qui a étudié le code. « Il se copie dans n'importe quel périphérique USB trouvé, mais s'il détecte le logiciel de Siemens, il tente immédiatement de se connecter en utilisant un mot de passe par défaut. Sinon, il ne fait rien, » a-t-il expliqué dans une interview réalisée par mail. « Cette technique fonctionne parce que les systèmes Scada sont souvent mal configurés, avec des mots de passe par défaut inchangés, » affirme Franck Boldewin. Le virus a été découvert le mois dernier par des chercheurs du VirusBlokAda, une entreprise de sécurité informatique basée en Biélorussie, et dont s'est fait l'écho le blogueur Brian Krebs.
Une fausse signature Realtrek pour s'infiltrer
Pour contourner les systèmes Windows qui ont besoin de signatures digitales - une pratique courante dans les environnements Scada - le virus utilise une signature attribuée au fabricant de semi-conducteurs Realtek. Le virus est déclenché chaque fois qu'un utilisateur essaie de visualiser le contenu de la clé USB. (voir le PDF expliquant comment agit le virus). On ne sait pas comment les auteurs du virus ont pu attribuer à leur code la signature numérique de Realtek, mais cela pourrait indiquer que la clé de cryptage Realtek a été cassée. Au moment de la publication de cet article, le fabricant de semi-conducteurs taïwanais n'avait pas pu être joint pour commentaire.
À bien des égards, le virus imite les attaques de type proof-of-concept que des chercheurs en sécurité, comme Wesley McGrew, ont mis au point depuis plusieurs années dans leurs laboratoires. Ces virus sont attractifs pour les attaquants, car ils peuvent récolter des tas d'informations sur l'usine ou l'entreprise dans lesquelles ils parviennent à s'infiltrer. « L'auteur du virus peut avoir visé une installation spécifique, » indique Wesley McGrew, fondateur de McGrew Security et chercheur à l'Université du Mississippi. « Si les auteurs avaient voulu pénétrer dans un grand nombre d'ordinateurs plutôt que viser une cible spécifique, ils auraient essayé d'exploiter des systèmes de gestion Scada plus populaire comme Wonderware ou RSLogix, » a-t-il encore déclaré.
Une question d'argent
Selon les experts, les raisons pour lesquelles quelqu'un pourrait vouloir casser un système Scada ne manquent pas. Pour Wesley McGrew, « il s'agit sans doute d'une question d'argent, » ajoutant qu'« en entrant dans un système Scada, le criminel détient un otage qu'il peut monnayer. » Comme l'a déclaré Eric Byres, directeur et conseil en sécurité chez Byres Security, les criminels pourraient utiliser les informations volées à un constructeur utilisant WinCC pour réaliser des produits de contrefaçon. « C'est le must de la récolte IP réussie ! Ça ressemble aussi à une attaque ciblée et bien réelle, » conclut-il.
(...)| < Les 10 documents précédents | Les 10 documents suivants > |