Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 961 à 970.
| < Les 10 documents précédents | Les 10 documents suivants > |
(25/03/2010 14:57:39)
Twitter d'Obama piraté : un hacker français interpellé
« J'aime les défis, point barre ». Ainsi se définirait François C. plus connu sous le nom de « Hacker-croll » . Considéré comme un exemple par la communauté des pirates, cet expert en « social enginering », le piratage par étude sociale de sa cible, a fait l'objet d'une traque de trois mois, par l'administration de Twitter dans un premier temps, et par le FBI ensuite, lorsqu'il s'en est pris au compte officiel du président Barack Obama. À peine sortie de sa garde à vue, ce sans-emploi vivant encore chez ses parents est accusé d « intrusion dans un système de données » et son procès est fixé au 24 juin prochain.
Un pirate fort prolixe quant à ses exploits
S'il est loin d'être un surdoué de l'informatique, Hacker-croll a en revanche un certain savoir-faire en communication. Depuis maintenant quelques mois, plusieurs sites internet s'étaient fait l'écho de ce pirate qui postait régulièrement les captures-d'écrans de ses exploits en matière de piratage. Mieux, le hacker en question accordait même des interviews à certains sites, ce faisait passer, en vain, pour un citoyen allemand, ou étranger tout du moins. Bien que n'ayant jamais tenté d'utiliser ou de revendre les informations privées qu'il avait obtenues illégalement, Hacker-croll se faisait une joie d'exposer, au grand jour, toutes ses méthodes, ainsi que les pièges qu'il avait dû déjouer pour arriver à ses fins.
[[page]]
Dans une interview publiée sur le site Zataz.com, le pirate explique que sa méthode était « presque » simple ». « Il fallait un peu de temps, de chance et de curiosité » précise-t-il ensuite. On apprend qu'il s'était d'abord employé à chercher l'adresse e-mail de l'un des employés de Twitter. Il utilisait ensuite la question secrète liée à l'adresse pour trouver en déduire le mot de passe. D'après Hacker-croll, ce sont les adresses Yahoo qui étaient les plus simples à forcer, car on accède plus vite à la question secrète lorsqu'on déclare la perte d'un mot de passe. En utilisant le blog très fourni d'un des employés du site de micro-blogging, le français a pu déterminer sa date de naissance et trouver la réponse à la fameuse question « secrète ». Une fois dans la messagerie, Hacker-croll n'a eu qu'à retrouver les e-mails relatifs à l'administration de Twitter, ce qui lui a ensuite permis d'accéder au back-office du site, et de s'emparer des droits des comptes qui l'intéressait.
iPhone, Safari, IE8, Firefox : les sécurités tombent au Pwn2Own
« En moins de cinq minutes, le duo Vincenzo Iozzo et Ralf-Philipp Weinmann avait trouvé la faille de l'iPhone, » a déclaré un porte-parole de 3Com TippingPoint, une entreprise spécialisée dans la sécurité informatique qui parraine le concours. Cet exploit leur a valu de remporter le prix de 15.000 dollars en espèces, un montant record pour un tel défi dans cette manifestation dont c'est la quatrième édition cette année.
Iozzo, un étudiant italien, travaille pour Zynamics GmbH, une société dirigée par le fameux chercheur Thomas Dullien, plus connu sous le nom de Halvar Flake. Quant à Weinmann, il est chercheur post-doctorant au Laboratoire d'Algorithmes, de Cryptologie et de sécurité de l'Université de Luxembourg. Weinmann s'était déjà fait connaître en 2007 pour avoir montré avec son équipe comment casser le protocole de sécurité WEP qui protège les réseaux Wi-Fi, beaucoup plus rapidement que ce que l'on croyait possible auparavant.
10 000 dollars pour avoir réussi
à craquer MacOS X 10.6.2
C'est Charlie Miller, un analyste de Baltimore travaillant pour une entreprise indépendante spécialisée dans l'évaluation de la sécurité informatique, qui a fait tomber Safari sur un MacBook Pro tournant sous Snow Leopard (MacOS X 10.6) L'an dernier, il s'était déjà illustré en craquant Safari en 10 secondes seulement. En 2008 et 2009, Charlie Miller a également remporté des prix pour avoir réussi à pirater un Mac. Cette année, il repartira avec un ordinateur portable et 10,000 dollars en espèces. Il est aussi le premier participant à avoir gagné trois de fois de suite à ce concours !
[[page]]
Peter Vreugdenhil, un chercheur hollandais en sécurité, et nouveau participant à Pwn2Own, n'est pas venu pour rien. En effet, il a réussi à exploiter une vulnérabilité de IE8 sous Windows 7 avec un code d'attaque jugé «techniquement impressionnant» par TippingPoint : « il est parvenu à contourner le mécanisme de sécurité identifié sous le nom de Data Execution Prevention ou DEP du système d'exploitation, et spécifiquement chargé d'arrêter la plupart des attaques. » Comme Charlie Miller, Peter Vreugdenhil, a gagné un prix de 10.000 dollars. Nils, étudiant allemand en informatique et ancien lauréat, a reçu cette année 10.000 dollars pour avoir réussi à pirater Firefox de Mozilla sous Windows 7. Parmi les navigateurs désignés pour cibles par le concours, seul Chrome de Google a tenu au delà de la première journée.
Un business fructueux pour l'organisateur
TippingPoint ne révèle aucun détail sur les vulnérabilités mises à jour pendant le Pwn2Own. Dans le cadre du concours, l'entreprise rachète les droits d'exploitation du code et traite ensuite avec les éditeurs concernés, qui envoient tous des représentants sur place. Souvent, les vendeurs ne tardent pas à sortir les patchs qui corrigent les vulnérabilités découvertes. En 2008 par exemple, trois semaines à peine après que Charlie Miller fasse tomber Safari, Apple livrait son correctif. Mozilla a battu ce record l'année dernière, mettant à jour Firefox une semaine seulement après la faille découverte par Nils sur son navigateur.
TippingPoint divulgue la nature de chaque faille quand le vendeur a fini de colmater ses brèches.
(...)(24/03/2010 17:10:13)
Mozilla étend son outil de sécurité aux navigateurs concurrents
Selon un calendrier publié la semaine dernière, l'outil web de Mozilla sera opérationnel dès aujourd'hui sur les navigateurs concurrents. Mardi, Mozilla avait activé le plug-in sur une version préliminaire de son outil, mais pas sur le module définitif. Intégré au mécanisme de contrôle de Firefox 3.6.2, il permet aux utilisateurs de Chrome 4, d'Opera 10.5 et de Safari 4 de vérifier la validité de plug-ins comme Flash d'Adobe et QuickTime d'Apple, souvent pris pour cible par les pirates. Le support pour Internet Explorer de Microsoft est limité à IE7 et IE8 et au contrôle d'un plus petit nombre de plug-ins. Les plug-ins obsolètes sont marqués d'une étiquette « Mettre à jour » qui les identifie comme potentiellement vulnérables, tandis que les autres sont marqués comme étant «A jour», ou si leur état est inconnu, avec la mention « Recherche ». D'autres tags comme «Peut-être obsolète », « Peut-être vulnérable » seront ajoutés.
[[page]]
L'année dernière, Mozilla avait lancé son outil de contrôle pour vérifier exclusivement le module Flash d'Adobe, que l'éditeur jugeait particulièrement en vu des attaquants du fait de sa grande popularité. Mozilla a ensuite ajouté d'autres plug-ins à sa liste, et intégré l'outil dans la version 3.6 de Firefox lancée en janvier dernier. L'idée est d'indiquer aux utilisateurs quels plug-ins peuvent être vulnérables aux attaques s'ils ne sont pas mis à jour. L'outil fonctionne en exécutant une commande ping sur les serveurs de Mozilla, qui comparent la version du plug-in résidant sur la machine à la version la plus récente disponible. Des liens pour les modules marqués « Mettre à jour » dirigent directement vers les pages de téléchargement des vendeurs, où les utilisateurs peuvent downloader la dernière version du plug-in.
Firefox 3.6.2 dispose de différentes alertes, y compris lorsqu'une page web tente de charger un plug-in obsolète. Cette fonctionnalité n'existe pas dans l'outil web offert aux autres navigateurs. Mozilla a également indiqué qu'il intégrera un plug-in de mise à jour, semblable à celui utilisé pour les extensions du navigateur, dans Firefox puisque à l'heure actuelle, la dernière version (3.6.2) dirige toujours les utilisateurs vers la page de contrôle des plug-ins lorsqu'on clique sur le bouton « Vérifier la Mise à jour » dans la section «Plug-ins» de l'outil «Add-ons ». (...)
Top 10 des villes visées par la cybercriminalité aux Etats-Unis
S'appuyant sur des critères qui tiennent compte du nombre d'ordinateurs par habitant et de la taille de la population, l'étude a placé Seattle en tête de ce palmarès des villes les plus visées par la cybercriminalité, notamment pour ce qui est des cyber attaques, du phishing et des menaces liées aux logiciels malveillants. Viennent ensuite Boston, Washington (DC), San Francisco, Raleigh (NC), Atlanta, Minneapolis, Denver, Austin, Texas, et Portland (Oregon).
« Les facteurs qui font qu'une ville est fière de son administration et de son mode de vie sont les mêmes que ceux qui en font une ville à risque en matière de cybercriminalité», a déclaré Marian Merritt, conseiller à la sécurité Internet chez Norton. Les villes les plus risquées sont celles où les habitants possèdent de nombreux ordinateurs individuels, où la population affiche un de niveau de vie élevé, et dans laquelle un grand nombre de personnes font des achats en ligne, consultent les services bancaires via Internet, consomment de la bande passante et disposent de nombreux hot spots Wifi. Ce mode de vie s'accorde typiquement avec des niveaux élevés d'infection par les logiciels malveillants, le phishing et autres types de cyberattaque.
C'est la raison pour laquelle de grandes villes comme New York ou Chicago ne figurent pas au Top 10 des villes les plus risquées. En effet, malgré la taille de leur population, ces villes n'ont pas un niveau d'ordinateurs par habitant ou d'usage de l'Internet équivalent. Si bien que New York n'arrive qu'à la 24ème place de ce classement et Chicago à la 35ème parmi les 50 villes auditées par l'étude de Symantec et BestPlaces Sperling.
[[page]]
Certains peuvent sans doute trouver ça inutile de savoir que certaines villes sont plus risquées que d'autres en matière d'Internet. Mais Marian Merritt a indiqué que Symantec s'était intéressé à ce sujet après avoir analysé les sources provenant d'une vaste compilation de données récoltées par le réseau de la société qui répertorie les intrusions et surveille les cyber attaques localisées en fonction des adresses IP. « De plus, Sperling's BestPlaces, partenaire de Symantec sur le projet, disposait déjà d'une montagne d'informations sur la démographie, y compris des informations sur le nombre de hot spots disponibles, » fait remarquer Marian Merritt. Les hotspots sans fil sont considérés comme à risque parce qu'il est relativement facile d'espionner quelqu'un sur ce type de réseau, et Symantec conseille de ne jamais entrer de données sensibles lors de la navigation sur un Wifi public.
Des attaques très ciblées
Bien que la plupart des gens supposent que la cybercriminalité résulte toujours d'une série d'attaques menées au hasard, comme le phishing ou les tentatives d'effraction dans les systèmes, mettant ainsi tout le monde sur un pied d'égalité, la réalité est que la cybercriminalité « n'est pas menée de manière large et qu'elle est souvent le fait d'attaques ciblées », affirme Marian Merritt. Elle précise même que le genre d'individus en particulier que visent les criminels sont des personnes fortunées, qui passent beaucoup de temps en ligne, que ce soit pour le travail, le shopping ou le divertissement, et dont le comportement en matière de sécurité peut-être parfois négligent. Selon Symantec, il faut au minimum « s'assurer que son ordinateur est toujours protégé par un logiciel de sécurité, mis à jour avec les derniers correctifs. »
(...)(23/03/2010 10:03:14)
Selon IDC, la sécurité reste toujours une problématique complexe
A l'occasion du lancement de l'offre convergente Triton, Frédéric Braut, directeur des opérations de l'éditeur Websense France, a rappelé que « les utilisateurs ont une forte attente de connexion avec l'extérieur des organisations et ce de façon parfaitement légitime, y compris, par exemple dans la recherche, à des blogs ou à Facebook. Et puis si le RSSI les bloque trop, il reste les clés 3G... » La sécurité et la continuité du SI obéissent donc désormais à des principes qui ont beaucoup évolué depuis quelques années. « Aujourd'hui, le SI central respecte en général les principes de la sécurité, de la continuité et de la conformité réglementaire » a jugé Eric Domage, analyste chez IDC. La connexion est un élément basique et banalisé du SI : ne pas réussir à connecter à un SI central les utilisateurs, même nomades, constituerait une faute inexcusable de la part du DSI. La difficulté n'est donc pas là. Selon Eric Domage, « l'enjeu migre de la connectivité vers la collaboration. Or cette collaboration se fait en coopétition [collaboration ponctuelle et limitée avec des concurrents, NDLR], avec des régulateurs publics, des clients, des fournisseurs, des partenaires divers... » Il s'agit donc de s'assurer que chaque donnée est accessible aux bonnes personnes en fonction de leurs droits propres.
La sécurité évolue constamment
La sécurité évolue donc sur un schéma en trois phases : d'abord la très basique sécurité centrée sur le réseau (la connexion, les supports...), puis la sécurité basée sur l'utilisateur et enfin la sécurité basée sur les données (qui peut accéder/modifier/transférer quoi, quoi doit être détruit quand, etc.). Chaque type de sécurité implique le respect d'un certain nombre de règles. IDC estime, en Europe, qu'un simple firewall obéit en moyenne à plus de 5000 règles différentes. Et il y a 2 à 3 changements par mois. « Si les règles d'origine légale changent peu, les règles internes évoluent, elles, sans cesse » souligne Eric Domage. Et ce n'est là qu'un aspect basique de la sécurité. Un élément mal pris en compte, en général, est celui de la pérennité et de l'obsolescence des donnés. La plupart des données personnelles doivent ainsi être détruites au bout d'un certain délai, variable selon les cas. Or, face à des manquements sur la sécurité des données, les régulateurs nationaux (comme la CNIL en France) n'ont plus aucun complexe à sanctionner. Leurs enquêtes sont d'ailleurs menées en général suite à dénonciation, en provenance d'un concurrent ou bien d'un ancien salarié mécontent.
[[page]]
La sécurité sous les nuages, l'orage menace
Les évolutions de plate-forme techniques ne sont pas non plus sans incidence. Ainsi, l'émergence du « cloud » se fait en général sans se préoccuper de la sécurité. Le choix est souvent fait sur des critères financiers et le RSSI n'est averti que quand les données sont déjà quelque part dans le nuage. Or, dans le cloud, plusieurs problème subsistent a insisté Eric Domage : la perte de contrôle (qui applique les règles de gestion et de sécurité ? Comment sont-elles auditées ?), les menaces internes (le talon d'Achille des hyperviseurs reste ainsi les machines virtuelles déviantes), la conformité réglementaire (géolocalisation de données personnelles par exemple), suivi de la sous-sous-traitance, réversibilité du choix d'un prestataire... Pour couvrir tel ou tel risque, l'entreprise adopte telle ou telle solution. Il en résulte un empilement de méthodes et d'outils dont la complexité devient un risque en elle-même. « Le vrai problème aujourd'hui concerne plus le management de la sécurité que les techniques de sécurisation en elle-même » insiste Eric Domage. (...)
Les défis sécuritaires du cloud
« Le défi va être permanent, mais sous tension, non seulement en terme d'innovations techniques, mais aussi en matière de communication», a déclaré le PDG de Microsoft Steve Ballmer lors d'une conférence à l'université de Washington qui s'est tenu ce mois-ci. «Certains pensent que le cloud est un coffre-fort bien sécurisé, mais d'autres estiment que ce n'est pas sûr et sécurisé, sans parler de ceux qui ne pensent pas grand-chose du tout. La question est de savoir si on peut donner aux gens des outils dont ils pourront avoir le contrôle, dont ils pourront se sentir responsable? Je crois que les utilisateurs seront en mesure d'apprécier la question de la sécurité cloud quand ils en verront les effets. Le problème actuel est que les utilisateurs ne savent pas vraiment ce qui se passe ... et il est primordial de réaliser des outils et des technologies qui en facilitent la gestion. » « L'idée de « partager » des informations transforme le problème de la sécurité cloud en défi » explique Eva Chen, PDG de Trend Micro, dans l'entretien qu'elle a accordé à Network World : «Traditionnellement, les entreprises étaient propriétaires de leurs infrastructures informatiques. Avec le cloud, elles partagent la puissance de calcul, le stockage. Elles veulent donc savoir avec qui elles partagent leurs données. Quand vous louez une chambre dans un hôtel, vous ne voulez pas que votre porte soit ouverte, vous voulez qu'elle soit fermée à clef. Pour le cloud, c'est pareil : une entreprise qui loue temporairement un espace a besoin de savoir qu'il y a des verrous. » Network World a également interrogé Art Coviello, président de la division RSA de EMC et vice-président exécutif chez EMC. " Sur la question de la sécurité du cloud, je pense honnêtement qu'elle réside au niveau du microprocesseur, car avoir confiance en ce socle matériel est essentiel. C'est même selon moi la condition sine qua non du processus, » a t-il déclaré. « L'autre grand enjeu, c'est la gestion. Afin de disposer de tous les contrôles, il faut unifier la politique de sécurité avec la politique commerciale de l'entreprise et coordonner les deux afin d'avoir un effet de levier. Les sociétés abonnées au service cloud doivent être en mesure de dicter et de déléguer cette politique aux prestataires, seuls à pouvoir appliquer les décisions. » [[page]] Education et interopérabilité Dave DeWalt, président et CEO de McAfee, a déclaré à Network World que l'éducation était pour lui le plus grand défi: «Beaucoup d'entreprises sont aujourd'hui inquiètes car depuis 20 ou 30 ans, elles avaient le contrôle totale sur leur activité. Mais dans l'approche cloud, elles doivent parfois faire appel à plusieurs fournisseurs pour gérer leurs applications et donnent à chaque prestataire un contrôle sur leurs données. En premier lieu, elles sont préoccupées par cette perte de contrôle sur leurs actifs sensibles. Et il n'existe aucun standard en matière de cloud aujourd'hui. Les applications à base de cloud en sont à leurs débuts. Des vulnérabilités existent et des erreurs sont commises. Le cloud a donc besoin d'évoluer. » Enrique Salem, Président et CEO de Symantec, a déclaré pour sa part que le cloud réclamait de nouvelles exigences en matière de sécurité. « Tout d'abord, du point de vue des infrastructures, la sécurité devra se rapprocher des applications et des données. Dans une architecture de services partagés, il ne suffit pas simplement de protéger le périmètre du cloud, le datacenter, les serveurs ou même les baies de stockage. Les sociétés doivent renforcer leur gouvernance des informations pour optimiser le contrôle de celles émanant de l'entreprise. Elles doivent définir des politiques et des procédures et se les appliquer. Il est clair que cela est plus facile à dire qu'à faire. Une autre condition essentielle est la nécessaire visibilité des outils de sécurité mis en oeuvre par les prestataires de cloud, pour être en adéquation avec le niveau formulé par les entreprises. Cette interopérabilité sera importante et permettra aux sociétés de tirer parti, ensemble, des différents modèles, et d'optimiser les avantages de chacun. » (...)
| < Les 10 documents précédents | Les 10 documents suivants > |