Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 861 à 870.
| < Les 10 documents précédents | Les 10 documents suivants > |
(19/07/2010 14:12:40)
Microsoft confirme un bug zero-day dans Windows
Dans un bulletin de sécurité, Microsoft a confirmé ce que certains chercheurs disent depuis près d'un mois : des pirates ont exploité un bug présent dans les fichiers « raccourcis » de Windows. Cette sorte d'alias généralement visible sur le bureau ou dans le menu Démarrer redirige vers les fichiers originaux ou les applications. « Cette vulnérabilité opère en conjonction avec le malware Stuxnet, » a déclaré Dave Forstrom, un des directeurs du Microsoft Trustworthy Computing Group, dans un blog vendredi. « Stuxnet, un groupe de logiciels malveillants, comprend un cheval de Troie qui télécharge le code pour provoquer de nouvelles attaques, et un « rootkit » chargé de masquer l'attaque, » ajoute-t-il, estimant par ailleurs que la menace est « limitée et ciblée. » Mais, le groupe de chercheurs chargés chez Microsoft de coder les signatures antivirus dit avoir comptabilisé 6000 tentatives d'attaque de PC sous Windows depuis le 15 juillet.
Vendredi, Siemens a alerté ses clients utilisant le logiciel de gestion Simatic WinCC que les attaques utilisant cette vulnérabilité de Windows ciblaient les ordinateurs servant à gérer des systèmes de contrôle à grande échelle, ceux-là mêmes utilisés par la plupart des grandes entreprises et des services publics. La vulnérabilité a été évoquée une premières fois le 17 juin dans un billet d'alerte émis par VirusBlokAda, une entreprise spécialisée dans la sécurité informatique peu connue et basée en Biélorussie. D'autres organismes de sûreté, y compris Sophos au Royaume-Uni et l'Internet Storm Center de l'institut SANS, ont également signalé la menace vendredi. Brian Krebs, qui tient un blog sur la sécurité, anciennement hébergé par le Washington Post, avait écrit un billet à ce sujet dès jeudi.
Attention aux clefs USB
Selon Microsoft, Windows ne parvient pas à analyser correctement les fichiers de raccourcis identifiés par l'extension «.Ink ». La faille a été le plus souvent exploitée au moyen de lecteurs flash USB, les pirates ayant placé un fichier malveillant portant l'extension .Ink pour détourner les PC sous Windows sans action de l'utilisateur, puisqu'il suffit que celui-ci affiche le contenu de la clé USB avec un gestionnaire de fichiers comme Windows Explorer. Chester Wisniewski, conseiller en sécurité chez Sophos, qualifie la menace de « mauvaise. » D'après ses tests, le leurre fonctionne même lorsque les fonctions AutoRun et autoplay, déjà utilisées par des pirates pour prendre le contrôle d'ordinateurs à l'aide de lecteurs flash infectés, sont désactivées. « Le rootkit contourne également tous les mécanismes de sécurité de Windows, y compris le message du User Account Control (UAC) de Vista et de Seven, » commente-t-il sur son blog. Microsoft et Chester Wisniewski font remarquer que les attaques peuvent également être menées sans l'aide de clés USB. Les fichiers «Raccourcis » affectés peuvent aussi être diffusés via les réseaux partagés ou les modes de partages à distance WebDAV, » a déclaré le consultant de Microsoft. «Ça rend la situation encore pire, » a-t-il déclaré.
Microsoft n'a pas annoncé de calendrier particulier pour corriger cette vulnérabilité «zero-day » avant son prochain Patch Tuesday prévu pour le 10 août. Pour l'instant, Microsoft conseille aux utilisateurs de désactiver l'affichage des raccourcis pour bloquer les attaques et de ne pas utiliser le service WebClient. Ces deux actions nécessitent cependant la modification du Registre de Windows, une manipulation que la plupart des utilisateurs rechignent à faire de crainte de bloquer leur ordinateur. La désactivation des fichiers de raccourcis rend aussi plus difficile le lancement ou l'ouverture des applications et des documents. Pour ceux encore sous Windows XP SP2, qui ne bénéficie plus de support technique depuis mardi dernier, ce conseil sera l'unique aide qu'ils recevront de la part de Microsoft. « Windows 2000 et Windows XP SP2 ne figurent même plus dans la liste des logiciels concernés par le bug, » a déclaré Chester Wisniewski. «Pourtant, ils sont certainement encore plus vulnérables, » a-t-il ajouté. Microsoft a également cessé tout support à Windows 2000 depuis la semaine dernière.
Abandonner Windows 2000 et XP SP2 ?
Wolfgang Kandek, le directeur technique de Qualys, est au moins aussi inquiet que Chester Wisniewski au sujet de XP SP2 et de Windows 2000, les deux systèmes qui ne seront pas corrigés. « Nous pensons que les pirates profitent justement de ce trou de sécurité pour viser ces deux versions » a-t-il déclaré samedi. Microsoft a fait savoir de son côté que toutes les versions de Windows prises en charge, y compris Windows XP SP3, Windows Vista, Server 2003, Windows 7, Server 2008 et Server 2008 R2, sont concernées par le bogue. Les versions bêta de Windows 7 SP1 et Windows Server 2008 R2 SP1, livrées la semaine dernière, présentent également un risque. Les utilisateurs de Windows XP SP2 doivent mettre à niveau vers XP SP3 pour bénéficier du patch quand le correctif du bug « raccourci » sera disponible. C'est aussi une manière pour Microsoft de forcer la mise à jour vers le SP3...
Mozilla augmente ses primes pour la découverte de failles de sécurité
La fondation qui est à l'origine du navigateur Firefox a annoncé avoir sensiblement augmenté, de 500 à 3000 dollars, la prime dédiée aux chercheurs, hackers, dévelopeurs qui travailleront sur les questions de sécurité de ses produits. Ce programme existe depuis 2004 sous le nom Security Bug Bounty Program. « Beaucoup de choses ont changé au cours des six dernières années depuis le lancement de ce programme. Nous estimons que l'une des meilleures façons de fidéliser nos utilisateurs en toute sécurité est de récompenser à sa juste valeur les chercheurs en sécurité qui participent à la mise à jour de nos produits », a écrit Lucas Adamski, directeur de l'ingénierie de sécurité, dans un blog.
Conditions assouplies et champs d'application élargis
Le programme qui s'adressait à l'origine à Firefox et à l'outil de messagerie Thunderbird, s'étend maintenant au navigateur sur mobile et à d'autres produits. Les mises à jour et les versions bêta sont également éligibles. Lucas Adamski a souligné que « les primes étaient auparavant attribuées de manière discrétionnaire. Aujourd'hui, nous allons le faire de manière plus explicite » et d'ajouter « Mozilla ne pourra pas refuser une prime à un chercheur qui aura trouver véritablement une faille sauf si la fondation estime que la personne n'a pas agi dans le meilleur intérêt des utilisateurs ». Enfin une partie de la prime pourra être octroyée si un chercheur a publié des informations sur une faille de sécurité ou s'il n'a pas eu le temps de travailler en collaboration avec les équipes de sécurité de Mozilla.
(...)(15/07/2010 15:20:12)Oracle publie 59 correctifs de sécurité, dont trois critiques
Sur les 59 patchs annoncés dans le cadre de la campagne trimestrielle Critical Patch Updates d'Oracle, 13 concernent des problèmes de sécurité fragilisant la suite de base de données maison et 28 pour des vulnérabilités exploitables à distance et considérées d'une importance capitale par l'éditeur. : elles permettent en effet de prendre le contrôle des systèmes sans avoir besoin de s'identifier par un nom d'utilisateur ou un mot de passe. « Trois de ces patchs sont essentiels car ils portent sur des défauts particulièrement dangereux dans toutes les versions database server d'Oracle, » a déclaré Josh Shaul, directeur de la gestion produits chez Application Security, un spécialiste en solutions de sécurité basé à New York. L'une des failles, qui porte le numéro CVE-2010-0902, permet à tout utilisateur authentifié au sein d'une base de données Oracle de disposer d'un accès administrateur total. «Ils peuvent consulter la base de données, la modifier ou arrêter le serveur de base de données. En un mot, ils disposent de toutes les autorisations administrateur de la base de données, » a expliqué Josh Shaul.
Des failles critiques pour les entreprises
Les deux autres failles critiques affectant la base de données pourrait être exploitées sans que l'utilisateur ait même besoin d'être connecté à la celle-ci. Elles permettraient notamment à un attaquant de déclencher un déni de service (DoS) contre la base pour la rendre inaccessible aux utilisateurs légitimes. «Ce sont trois vulnérabilités très dangereuses pouvant mettre à néant la base de données, » a encore déclaré le responsable d'Application Security. « L'indice établi par Oracle pour classer les failles par niveau de gravité ne reflète pas la véritable nature de la menace, » a t-il commenté.
[[page]]
La suite de produits Solaris acquise par Oracle avec le rachat de Sun Microsystems est concernée par 21 correctifs dans le total de ceux qui ont été livrés, dont 7 sont exploitables à distance. Dix-sept des correctifs réparent des failles dans E-Business Suite et Supply Chain Management (SCM), dans la suite JD Edwards de PeopleSoft. Une autre série corrige 7 failles dans les produits Fusion Middleware d'Oracle, tandis que l'un des correctifs colmate un trou dans Enterprise Manager Grid Control.
Mise en oeuvre prudente
Comparativement aux livraisons précédentes, le nombre de correctifs appliqués cette fois-ci est globalement assez faible. En Janvier 2006 par exemple, Oracle avait publié 82 correctifs après une mise à jour effectuée en octobre qui réparait déjà 101 bugs. Dans le passé, les administrateurs d'Oracle ont été notoirement lents à déployer des correctifs de sécurité, en particulier dans les environnements de base de données. Des enquêtes ont montré que les environnements sous Oracle attendent souvent plusieurs mois avant de disposer de correctifs de sécurité, même dans les cas où les failles peuvent représenter un danger manifeste. Cet immobilisme découle en grande partie de la préoccupation concernant la mise en oeuvre de ces correctifs, le délai nécessaire pour tester et déployer ces patchs entrainant une perturbation redoutée de la production. « Depuis peu les entreprises savent de mieux en mieux réagir pour effectuer le déploiement des correctifs dans les base de données Oracle, aidées notamment par des outils qui facilitent la gestion de l'application des patchs, » a déclaré Josh Shaul.
Crédit photo : D.R.
IBM assume la défaillance de la banque DBS à Singapour
IBM a admis sa responsabilité concernant la panne des systèmes informatiques ayant touché DBS, une des banques les plus importantes de Singapour, le 5 juillet dernier. Big Blue explique qu'un de ses employés aurait commis une erreur de jugement, qui aurait ensuite provoqué cet incident. Dans un communiqué publié mardi, IBM explique que les problèmes ont débuté lorsque les logiciels de surveillance ont détecté une instabilité au sein du système de stockage de la banque. Alors que ce système était toujours « entièrement fonctionnel », des employés d'IBM auraient lancé un processus de récupération pour régler l'instabilité en question. « Malheureusement, l'incapacité à appliquer la procédure correcte a causé, par inadvertance, la panne généralisée » indique IBM, tout en faisant remarquer de nouveau qu'aucune donnée n'a été perdue durant l'incident.
Un partenariat à renforcer
La défaillance avait fait s'effondrer toutes les plateformes informatiques de DBS pendant sept heures, empêchant les clients de retirer de l'argent dans les distributeurs. Tous les systèmes, qu'ils soient à destination des clients ou des entreprises, avaient été touchés. Dans le même temps, la banque avait d'ores et déjà confirmé l'absence de perte de données. La plupart de ces systèmes sont gérés par IBM via un contrat d'outsourcing, signé en 2002, de 868 millions de dollars.
De nouvelles mesures préventives
Les deux entreprises sont actuellement en train de faire en sorte qu'un incident de ce type ne se reproduise plus. IBM aurait d'ailleurs « pris des mesures pour améliorer la formation de notre personnel local, en vue de mieux intégrer les procédures actuelles, et fait venir certains de nos experts afin de les aider dans cette optique », explique le communiqué de la firme d'Armonk. On peut aussi y lire qu'IBM et DBS ont mis en place « des actions supplémentaires en vue d'augmenter significativement la résistance et la redondance de cette partie de l'infrastructure informatique de la banque ».
La NSA admet l'existence du programme Perfect Citizen
La National Security Agency (NSA) a confirmé jeudi l'existence d'un programme déjà controversé visant à la protection des infrastructures décisives du réseau américain. Pour autant, ce programme, appelé Perfect Citizen, ne surveillerait pas le trafic réseau des infrastructures en question. L'article du Wall Street Journal ayant dévoilé son existence affirmait pourtant que la NSA s'appuierait « sur une batterie de capteurs déployée au sein des réseaux décisifs, déclenchés en cas d'activité inhabituelle ». Le journal précise au passage que c'est la société Raytheon, spécialisée dans la défense du territoire, qui a remporté le contrat de 100 millions de dollars pour gérer la première phase du projet Perfect Citizen.
« Ce n'est pas l'usage prévu pour ces capteurs »
Pour l'agence, la description présentée par l'article est inexacte, et préfère présenter le programme comme étant « purement une évaluation des vulnérabilités et un contrat de développement des performances de sécurité ». La NSA ajoute qu'il s'agit « d'un effort d'ingénierie et de recherche » et qu'« aucune activité d'espionnage ou de surveillance ne sera impliquée, ce n'est pas l'usage prévu pour ces capteurs ».
Toujours d'après le service de renseignement, « ce contrat fournit des solutions techniques visant à aider la NSA à mieux comprendre les menaces qui pèsent sur les réseaux utilisés pour garantir la sûreté nationale, qui est une mission décisive de l'agence ». « Toute suggestion d'association de cet effort à des activités illégales ou intrusives sont tout simplement fausses ». (...)
Les ventes de boîtiers de sécurité repartent légèrement à la hausse
Les firewall en forte baisse
Pour les autres segments de produits qui composent le marché des boîtiers de sécurité, « les résultats sont toujours décevants », commente IDC. Cela se traduit par une baisse de 20,2% (75,56 M$) des ventes de firewall, avec toutefois une forte hausse des revenus pour les firewall haut de gamme. Sur le segment des IPS (détection d'intrusion), le recul est de -29,7% à 56,7 M$. Il s'élève à -16,6% pour les VPN au sujet desquels IDC est toutefois optimiste. Pour le cabinet d'études, l'augmentation du nombre de travailleurs nomades et à distance offre un fort potentiel de croissance à ces produits pour les années à venir.
CheckPoint dégringole
Toujours leader du marché des appliance de sécurité en Europe de l'Ouest, Cisco renforce en outre sa position avec une part de marché (PDM) de 24,1% en hausse de 1,3 points. Loin derrière lui avec 8,8% de PDM, McAfee se situe en seconde position devant Juniper et ses 8% de PDM. A noter que ce dernier s'est fait ravir la seconde place du marché des UTM par Fortinet pour la première fois en deux ans. Dans le classement général, Fortinet se classe en cinquième position avec une part de marché de 4,3%, inchangée depuis l'an dernier. Seul fabricant de premier plan à avoir vu son poids diminuer, CheckPoint n'a pas fait dans le demi-mesure. Sa part de marché a baissé de 6,6 à 3,6%, le reléguant en cinquième position.
Crédit photo : McAfee
Microsoft pressé de livrer ses derniers patchs
Comme prévu, le délai est relativement court : Microsoft a déjà livré plusieurs séries de patchs, alternant les gros et les petits correctifs, avec un calendrier fixé sur les mois pairs pour les mises à jour les plus importantes. En juin, par exemple, l'entreprise a émis 10 bulletins de sécurité corrigeant un nombre record de 34 vulnérabilités. Le mois de mai s'est limité pour sa part à deux bulletins et à deux failles seulement. « Ce mois-ci n'est pas encombré, et aurait été encore plus léger si Tavis ne nous avait pas forcé à aller plus vite que le rythme choisi pour les patchs de vulnérabilité,» a déclaré Wolfgang Kandek, directeur technique de Qualys.
Ce dernier fait allusion à Tavis Ormandy, ingénieur en sécurité chez Google qui a publié, début juin, le code d'attaque utilisé par un bug affectant l'aide de Windows XP et du Centre de Support, une fonctionnalité qui permet aux utilisateurs d'accéder et de télécharger des fichiers d'aide de Microsoft via le Web. Elle est également utile aux supports techniques pour effectuer la maintenance à distance d'un PC en local. Comme l'a annoncé Microsoft, ce bug affecte également Windows Server 2003. Après avoir rendu cette vulnérabilité publique, insinuant au passage que Microsoft ne s'engagerait pas à émettre un correctif dans un délai raisonnable, Tavis Ormandy s'est retrouvé au coeur d'une sérieuse controverse. Si certains chercheurs en sécurité l'ont critiqué d'avoir divulgué cette faille publiquement, d'autres ont pris sa défense, bombardant Microsoft et la presse, Computerworld compris, pour les accuser de lier Tavis Ormandy à son employeur, Google.
La semaine dernière, un groupe de chercheurs anonymes du nom de Collectif de Chercheurs rejetés par Microsoft (CSEM) - le groupe a repris ironiquement l'acronyme de l'équipe de chercheurs chargée de pister les bugs chez Microsoft - a riposté en publiant des informations sur une vulnérabilité non corrigée dans Windows Vista et Windows Server 2008. Le groupe déclare vouloir marquer sa désapprobation quant à « l'hostilité de Microsoft envers les chercheurs en sécurité, » et cite l'affaire Ormandy comme exemple le plus récent. « Cela montre que Microsoft peut agir très rapidement quand il le faut, » a déclaré Wolfgang Kandek, qui s'exprimait sur la vitesse de réaction de Microsoft à livrer ses patchs.
[[page]]
Selon Jerry Bryant, un manager en relation avec le Microsoft Security Response Center, l'entreprise commençait son enquête lorsque Tavis Ormandy a rendu le fait public. Celui-ci a contacté l'éditeur le 5 juin. « Deux jours plus tard, Microsoft lui faisait savoir qu'elle ne pouvait pas estimer de calendrier de livraison d'un patch avant la fin de la semaine, » a t-il déclaré. «Le 9 juin, la faille a été rendue publique alors que nous étions dans les premières phases d'investigation, » a t-il encore écrit dans un mail. «À la fin de la semaine, nous avions décidé d'essayer d'inclure le correctif avec le cycle prévu en août, mais nous avons du aller plus vite, afin limiter le risque pour nos clients, soumis cette fois à des attaques actives. »
Les pirates n'ont pas tardé à utiliser la vulnérabilité à leur profit, lançant des attaques cinq jours après la publicité faite par Tavis Ormandy. La semaine dernière, Microsoft a indiqué que depuis le 15 juin, elle avait comptabilisé plus de 10.000 attaques utilisant le bogue du Centre d'aide. Jerry Bryant a également fait remarquer que la livraison d'un patch dans ce délai a été possible parce que le bug n'affectait que deux versions de Windows. La notification mensuelle de l'éditeur a donc été avancée à la semaine prochaine: trois des quatre mises à jour sont qualifiées de «critique», pour signifier le risque le plus élevé dans le classement établi par Microsoft. Le quatrième patch est qualifié pour sa part d'«important», soit juste derrière dans l'échelle des menaces.
Egalement dans le tuyau, un correctif pour un bug déjà connu qui affecte les versions 64 bit de Windows 7 et Windows Server 2008 R2, réparant une faille confirmée par l'éditeur mi-mai. Les deux patchs concernant Windows sont également marquées comme « critiques », tandis que la mise à jour d'Office est également désignée d'« importante ». Les mises à jour d'Office bouchent des trous dans la base de données Access et le client de messagerie Outlook. Enfin, les correctifs à paraitre mardi seront les dernières pour Windows 2000 et Windows XP Service Pack 2 (SP2), puisque ces deux produits ne bénéficieront plus de support à partir de cette date.
Les quatre mises à jour seront mises en ligne à environ 1 h (Eastern Standard Time) le 13 juillet.
(...)(09/07/2010 16:07:52)Le mystérieux code du Cyber Commandement américain craqué (MAJ)
9ec4c12949a4f31474f299058ce2b22a, c'est ce que l'on peut lire sur le rond doré, au centre du blason du cyber commandement américain. Ce code a été soumis par un site Internet à la sagacité de ses lecteurs et les hypothèses ont été légions. Du mot de passe pour le réseau WiFi de l'organisation à sa localisation GPS, l'imagination des Internautes n'a pas de limites.
La solution a été dévoilée par Sean-Paul Corell, un chercheur de Panda Security, éditeur d'anti-virus, qui a reconnu, un Hash MD5, une méthode de scellement, qui était lié à la phrase indiquant les missions attribuées à l'organisation : « USCYBERCOM plans, coordinates, integrates, synchronizes and conducts activities to: direct the operations and defense of specified Department of Defense information networks and; prepare to, and when directed, conduct full spectrum military cyberspace operations in order to enable actions in all domains, ensure US/Allied freedom of action in cyberspace and deny the same to our adversaries. »
Pour l'anecdote, le chercheur a indiqué qu'entre le moment de sa réflexion sur le sujet et la découverte du lien avec Hash MD5, deux minutes se sont écoulées.
| < Les 10 documents précédents | Les 10 documents suivants > |