Flux RSS
Virus/alertes
481 documents trouvés, affichage des résultats 101 à 110.
| < Les 10 documents précédents | Les 10 documents suivants > |
(08/03/2011 07:24:01)
Bercy piraté : « des professionnels déterminés et très organisés »
Ce sont des professionnels, déterminés et très organisés qui ont mené l'attaque d'espionnage informatique dont vient d'être victime le système d'information des ministères économique et financier. Patrick Pailloux, le directeur général de l'ANSSI, a été formel sur ce point lors du point presse que l'Agence nationale de la sécurité des systèmes d'information a tenu lundi 7 mars au soir, au secrétariat général de la Défense nationale, à Paris. Les hackers ont « attaqué un très grand nombre de cibles au sein de Bercy, plus de 150 ordinateurs, persisté pendant un certain temps, et utilisé des infrastructures sur Internet pour anonymiser et exfiltrer leurs informations de façon assez sophistiquée. Nous ne sommes pas en face d'amateurs, c'est une véritable opération d'espionnage ». Dans l'administration, il n'y a pas eu jusqu'à présent d'attaques de cette ampleur.
Les pirates s'intéressaient au G20 et globalement à la politique économique menée par la France à l'échelle internationale. « Nous avons beaucoup d'éléments techniques qui le confirment », a indiqué Patrick Pailloux. En revanche, il est absolument impossible de donner des informations sérieuses sur l'origine de l'intrusion et a fortiori sur ses commanditaires. Une enquête est en cours dont le Parquet de Paris a été saisi. Remonter jusqu'à la source de l'attaque « n'est pas gagné, mais l'expérience montre que cela arrive », a indiqué le directeur de l'ANSSI en rappelant que tout pirate pouvait faire des erreurs. En revanche, pour ne pas donner de clés aux attaquants, il n'a fourni aucune précision sur la façon dont travaillaient les enquêteurs des services spécialisés qui cherchent à remonter la chaîne d'ordinateurs utilisés par les pirates, signalant simplement que cela mobilisait « des ressources assez pointues, des experts de très haut niveau ».
Pas seulement un cheval de Troie
Interrogé par ailleurs sur les similitudes entre le mode opératoire de l'attaque et celui qui a récemment visé le SI du ministère des finances canadien (dont on a dit qu'elle provenait de Chine), Patrick Pailloux n'a pas souhaité faire de commentaires, tout en admettant les ressemblances. Les attaquants du SI de Bercy ont ciblé un certain nombre de personnes auxquelles ils ont adressé des messages, accompagnés d'une pièce jointe, en se faisant passer pour certains de leurs collaborateurs ou partenaires internationaux. Le document joint était en rapport avec les centres d'intérêt des personnes qui ont donc cliqué sur le fichier piégé. Un cheval de Troie s'est installé sur l'ordinateur dont il a pris le contrôle. « A partir de là, le pirate peut à distance faire ce qu'il veut ». Néanmoins, a précisé Patrick Pailloux, « il n'y avait pas seulement un cheval de Troie, c'était une attaque organisée avec plusieurs moyens techniques, divers, et qui ont évolué dans le temps ».
Pour lancer ce type d'actions, il faut des moyens, certes, mais qui ne sont pas insurmontables, souligne Patrick Pailloux. « Il n'y a pas besoin d'être un Etat extraordinairement doté pour mener ce genre d'attaque ». D'ailleurs, tous les scénarios sont possibles, estime-t-il. Il peut s'agir de personnes manipulées ou dont on loue les services. « Des affaires d'espionnage, on en trouve beaucoup. Là, nous parlons d'une affaire qui a touché l'Etat de façon assez sérieuse, mais il y a parfois dans les administrations des attaques qui peuvent être quasiment individuelles pour espionner des individus. Et les motivations peuvent être extrêmement variées ».
150 postes touchés sur 170 000
L'ANSSI a mené plusieurs opérations « en liens directs et étroits, à la fois avec les services de Bercy et avec les services de police », a expliqué ce lundi soir Patrick Pailloux. La première a consisté à comprendre ce qui se passait techniquement. « Quand des pirates mènent ce genre d'attaques, il le font de façon extrêmement discrète. Il y a eu jusqu'à la semaine dernière un travail très important pour essayer de comprendre dans le détail quelle était cette attaque, comment elle marchait et quels outils techniques étaient utilisés, quels virus, quels vers, quels chevaux de Troie », a relaté le directeur. En parallèle, il a fallu cerner l'étendue de l'attaque. « C'est une opération de grande ampleur que nous avons mené sur l'ensemble de Bercy, ce qui représente 170 000 ordinateurs. Nous avons fait bien sûr des vérifications dans d'autres administrations qui étaient potentiellement concernées et sur lesquelles on voyait par ailleurs des tentatives d'attaques. » Au final, 150 ordinateurs étaient touchés. D'après ce qu'il a été observé, l'attaque n'a pas réussie ailleurs, notamment, cela n'a pas atteint à Bercy les dossiers personnels et fiscaux.
Ce week-end, pour sécuriser les contenus, une très importante reconfiguration de l'informatique du ministère des Finances a été conduite. « Nous avons complètement coupé Bercy d'Internet et un certain nombre de travaux ont été menés jusqu'à la reconnexion lundi matin. Cela a mobilisé 150 personnes ce week-end. »
Illustration : Patrick Pailloux, directeur général de l'ANSSI, lors du point presse du lundi 7 mars 2011 (crédit : MG).[[page]]
Questionné sur le profil des personnes ciblées par l'attaque, le directeur de l'ANSSI a indiqué que, comme l'expérience l'avait montré dans les affaires d'intelligence économique, les gens étaient visés tout azimuts. « Parfois, une attaque sur une secrétaire peut être plus efficace que sur un patron ». Quant aux documents volés, ils vont de l'information banale au document sensible. En revanche, « les documents classifiés ne sont pas concernés », a affirmé Patrick Pailloux. Il y a à Bercy un intranet interministériel nommé Isis, utilisé pour traiter les informations classifiées Défense et totalement isolé, sur lequel ont été placés des dispositifs de sécurité considérables. « Mais vous imaginez bien que l'on ne peut pas déployer ce genre de systèmes partout. Cela coûterait des fortunes. On le limite donc aux informations les plus sensibles ».
Prendre conscience de la réalité de la menace
Alors, l'Etat français est-il suffisamment protégé ? « C'est ce que nous essayons de faire à l'ANSSI. C'est la raison d'être de la création de l'agence de déployer de nouveaux dispositifs de sécurité et de renforcer la protection. » Patrick Pailloux considère néanmoins qu'un effort considérable est consenti en matière de moyens financiers. « Cette année, nous allons recruter, turnover compris, probablement autour de 70 personnes. Il y a 40 créations de postes au sein de mon agence. Pour les avoir vues à l'oeuvre, je peux vous dire que les équipes de mon agence sont à un niveau exceptionnel. » Même si les moyens ne sont jamais suffisants, on ne pourrait pas aller beaucoup plus vite, estime le directeur. En 2012, le budget annuel de l'ANSSI devrait atteindre 90 millions d'euros (salaires compris).
Mais en dehors de l'administration, ce qui est arrivé à l'Etat pourrait aussi susciter une prise de conscience du côté des entreprises. « C'est une des raisons pour lesquelles nous avons voulu communiquer, a affirmé Patrick Pailloux. Certaines entreprises sont souvent très peu conscientes du niveau de risque qu'elles prennent. C'est pourquoi nous souhaitons dire que ce sont des sujets dont il faut parler parce qu'il s'agit d'une menace qui est totalement réelle. Nous espérons ardemment que cela va participer à la sensibilisation. »
(...)(03/03/2011 10:57:35)Des applications Android infectées par des malwares
L'ensemble de ces applications provient de trois éditeurs douteux, qui sous un aspect commercial classique contiennent un code appelé « DroidDream ». Celui-ci est capable d'exporter des données contenues dans le terminal, selon un article du blog de Lookout Mobile Security . La firme fournit une liste des applications concernées, dont beaucoup sont relatives à des contenus pour adultes, « Ringtones Super Sexy » et « Screaming Sexy Japanese Girls ». Certaines de ces applications semblent identiques à ceux d'origine, mais le nom des éditeurs est différent « Kingmall2010», «we20090202 » et « Myournet ». « Je viens par hasard de tomber sur une application, où le nom de l'éditeur n'est pas celui qui est sensé être » écrit un certain Lompolo sur le site Reddit à l'origine des interrogations de Lookout.
Lompolo écrit que deux des applications analysées contenaient une faille appelée « rageagainstthecage ». Une chaîne de caractère présente même la signature « CVE-2010-EASY Android local root exploit (C) 2010 by 743C ». A l'aide de cette brèche, les smartphones sont infectés par DroidDream, malware qui transmet des informations comme le code IMEI (référence du téléphone) ainsi que l'IMSI (numéro international de l'abonné). Ces données qui sont intégrées à la carte SIM du mobile sont alors transférées à un serveur distant, situé à Fremont, en Californie, selon Lompolo. Le site Android Police va même plus loin en indiquant que DroidDream a un accès au niveau de la racine du téléphone. Cela signifie que potentiellement, il peut voler toutes les données sur le téléphone mais également installer d'autres logiciels malveillants.
Google enquête mais peine à contrôler
L'éditeur a apparemment commencé à retirer quelques applications suspectes de sa boutique. Il est également possible pour l'éditeur de Mountain View de supprimer à distance des applications Android installé sur les smartphones, mais Lookout indique «ce système n'a pas encore été mis en oeuvre pour les applications incriminées, car elles font l'objet d'une enquête » . Google n'a pas souhaité faire de commentaires sur le sujet.
Plusieurs applications malveillantes ont été découvertes récemment pour les applications Android, particulièrement destiné aux utilisateurs de langue chinoise. Le mois dernier, Lookout a dit qu'il avait constaté que des jeux mobiles tels que Monkey Jump sont illégalement copiés et reconditionné avec un code conçu pour dérober des informations personnelles ou accomplir d'autres actions. En décembre dernier, la même société de sécurité avait trouvé un morceau de malware Android appelé « Geinimi » qui contenait des fonctions similaires à un botnet. Plusieurs variantes de ce code sont apparues depuis.
(...)(18/02/2011 12:57:05)
Oracle livre des correctifs critiques pour Java à installer sans délai
Oracle a dû livrer un important paquet de patchs pour corriger 21 vulnérabilités critiques dans Java SE et Java for Business. La majorité des vulnérabilités que vient réparer cette mise à jour critique concernent le JRE (Java Runtime Environment). Oracle et les experts en sécurité de produits tiers exhortent les administrateurs à déployer cette mise à jour sans délai. Ces failles peuvent en effet être exploitées sans authentification, ce qui signifie que les attaquants n'auraient même pas besoin de nom d'utilisateur et de mot de passe pour en tirer profit.
Sur une échelle de 10, huit vulnérabilités affichent le degré de gravité le plus élevé, deux autres sont notées 7,6 et quatre autres 5. Selon Oracle, 13 des 21 vulnérabilités affectent les déploiements client de Java, et 12 parmi les 13 peuvent être exploitées via des applications Java Web Start et des applets Java non fiables, qui s'exécutent dans la sandbox Java avec des privilèges limités. L'une des vulnérabilités client affecte le composant Java Update spécifique à Windows.
Trois vulnérabilités touchent les déploiements client et serveur. Elles peuvent également être exploitées par des applications et des applets non fiables, et par des données injectées à des API particulières via un service Web, par exemple. Trois autres failles ne concernent que les déploiements serveur de Java et peuvent être exploitées par l'introduction de données malveillantes dans les API de certains composants Java. Oracle précise que l'une de ces vulnérabilités a déjà été corrigée dans le cadre du correctif d'urgence publié le 8 février. Enfin, l'une de ces failles est spécifique à Java DB, un composant du Java JDK, qui n'est pas inclus dans le JRE.
La mise à jour est disponible sur le site d'Oracle, ainsi que toutes les détails la concernant.
RSA 2011 : Microsoft appelle à un Internet plus sûr et plus sain
Scott Charney, vice-président en charge du Trustworthy Computing chez Microsoft, propose une approche collaborative et coopérative de la sécurité de l'Internet et du parc informatique selon un modèle qui s'inspire des méthodes utilisées pour lutter contre les pandémies au niveau mondial. Selon lui, une série de facteurs - l'utilisation accrue d'appareils mobiles, le cloud computing, la persistance des menaces que font peser les botnets, la sensibilisation du public à la cybercriminalité, et la demande croissante pour l'amélioration de la sécurité Internet aux gouvernements - créent une occasion unique et indiquent que le moment est venu de s'engager dans un tel processus. « Nous assistons à une harmonisation croissante des facteurs sociaux, politiques et économiques. Le temps est venu pour l'industrie, les gouvernements et les individus de concentrer leurs efforts sur la sécurité Internet et la vie privée, afin de s'orienter vers un Internet plus sûr, » proclame-t-il. Consulté sur la question, Jeff Jones, directeur du Microsoft Trustworthy Computing, a expliqué que Microsoft prenait soin de ne pas s'approprier la paternité d'une quelconque solution, ou même de suggérer qu'il n'existait qu'une méthode unique. « L'idée de construire un Internet plus sûr et plus sain avec la collaboration de tous ne repose sur aucun produit ou service spécifique, » a-t-il affirmé.
Internet : le bien commun
Toutefois, en prenant l'initiative de cette entrée en matière, Microsoft espère amener les différentes parties et intervenants à coopérer pour le bien commun. Sans un travail d'équipe, les fournisseurs ou les prestataires de services peuvent développer des solutions propriétaires concurrentes qui risquent de brouiller les pistes et rendre la question plus complexe à résoudre pour les consommateurs et les entreprises, et moins profitable à l'Internet dans son ensemble. À n'en pas douter, il y aura des obstacles à surmonter. Quand il s'agit du réseau mondial, pris dans sa globalité, les lois qui régissent l'utilisation et le contrôle de l'Internet sont différentes, de même qu'il existe des différences sociales et culturelles pour déterminer ce qui est acceptable ou non sur Internet, à quoi il faut ajouter des capacités économiques et technologiques inégales pour surveiller ou bloquer les menaces.
S'inspirer de la lutte contre les épidémies
Scott Charney rapproche ces facteurs de ceux que l'on peut observer dans le domaine de la santé au niveau mondial. La médecine et les soins de santé varient d'un pays à l'autre, ils sont régis par des lois différentes, suscitent des attentes culturelles différentes, et sont confrontés à des limites économiques et technologiques différentes. Mais, cela ne n'a pas empêché la création d'un système global pour identifier et s'attaquer à des épidémies ou à des pandémies afin d'éviter qu'elles aient un impact plus large. Dans le cas d'une pandémie potentielle, l'un des premiers objectifs est de contenir la propagation de la maladie. Cela signifie que tout pays peut être effectivement mis en quarantaine - comme le Mexique pendant l'épidémie de grippe porcine H1N1 en 2009 - même si un pourcentage relativement faible de la population est vraiment malade. La santé de l'Internet peut être traitée de la même manière - par exemple en fermant le réseau Internet entrant et sortant d'un pays victime d'une épidémie de malware, afin de contenir la menace jusqu'à ce qu'un «vaccin» ou une méthode de «guérison» soit mis au point.
Ce n'est qu'une approche. Le fait est que le monde partage l'Internet et que tous - consommateurs, fournisseurs de services Internet, vendeurs de matériel et de logiciels, entreprises de toute taille et gouvernements - ont intérêt à travailler ensemble pour faire en sorte que les menaces soient rapidement éliminées, et que l'Internet reste aussi sûr et sain que possible.
Illustration principale : Scott Charney, vice-président en charge du Trustworthy Computing chez Microsoft
RSA 2011 : Symantec veut protéger les utilisateurs contre les malwares mutants
En soi, la défense antivirus basée sur les signatures devient de moins en moins efficace parce que les développeurs de logiciels malveillants sont de plus à plus habiles et parviennent à trouver des moyens pour engendrer des taux énormes de mutations de virus. Dans ce cas, le blocage des malwares par des méthodes qui reposent uniquement sur l'analyse des signatures est pratiquement impossible. « En 2009, Symantec avait dénombré 240 millions de virus et n'a pas encore fini de comptabiliser ceux en circulation l'an dernier, sans doute le double, » a déclaré Hormazd Romer, directeur du marketing produit pour le département Sécurité d'entreprise chez Symantec. « Les auteurs de malware ont adopté un modèle de micro-distribution basé sur la mutation de virus » a expliqué le responsable de Symantec. « Du coup, c'est l'explosion. »
Pour se défendre contre ces assauts, Symantec a mis au point une méthode d'identification de fichiers basée sur le cloud computing. Baptisée Symantec Insight, elle sera ajoutée à Symantec Endpoint Protection 12. Symantec a déjà testé sa technologie Insight l'an dernier dans son logiciel antimalware grand public Norton qui analyse les fichiers téléchargés par l'utilisateur depuis un service cloud. « En évaluant les évènements rencontrés par des millions d'utilisateurs de la solution de Symantec, ainsi que d'autres facteurs, l'objectif est de déterminer le risque que présente le fichier en cours d'inspection, » a expliqué Hormazd Romer. Selon lui, il est notamment important de savoir si le fichier est connu, combien de fois il a été repéré, et de quand il date. « Ces malware mutants résistent aussi bien qu'un panaris sur le pouce, » a-t-il commenté, ajoutant que Symantec avait tracé plus de 2 milliards de fichiers en ayant à l'esprit « qu'un logiciel normal ne se modifiait pas comme ça. »
Des options activées en fonction des groupes d'utilisateurs
« Dans la nouvelle version de Endpoint Protection, l'usage de la technologie Insight est laissé à l'appréciation des gestionnaires de sécurité de l'entreprise, lesquels pourront décider de l'activer ou non, » a précisé Hormazd Romer. Insight permet au gestionnaire de sécurité d'appliquer ses propres paramètres en fonction de groupes d'utilisateurs. De même, les paramètres de la « configuration dial» de Symantec Endpoint Protection 12 permettent de choisir différents seuils de risques. Selon le niveau de risque, il est possible soit de bloquer tout type de fichiers provenant du web ou de la messagerie, soit d'informer simplement l'utilisateur que tel ou tel fichier est suspect. Un message de mise en garde peut aussi proposer à l'utilisateur de ne pas ouvrir le fichier.
La protection antivirus basée sur la signature des fichiers est toujours maintenue comme une autre une ligne de défense possible. Et pour la première fois dans une mise à jour de logiciels, Symantec ajoutera Sonar, une troisième méthode de détection basée sur le comportement et déjà introduite dans des produits grand public de l'éditeur. « Celle-ci procède à une vérification des fichiers en temps réel, et au moment de leur ouverture, ils sont exécutés dans une sandbox », explique Hormazd Romer. L'objectif de Sonar est d'arrêter tout ce qui passe au travers d'Insight ou qui n'est pas détecté par l'analyse des signatures.
Pour l'instant Symantec Endpoint Protection 12 est disponible en version bêta, la mouture finale pour Windows, Mac et Linux étant attendue cet été. Une version optimisée est recommandée pour les environnements VMware ou Hyper-V. Symantec annonce qu'elle sortira également une version distincte pour les petites et moyennes entreprises (de cinq à 99 employés), similaire, mais pas optimisée pour les environnements virtualisés et avec une gestion de console différente.
(...)(14/02/2011 15:06:11)RSA 2011 : des produits et services en avant-première
- Zscaler va ajouter le support pour iPhone et iPad à son système de filtrage d'email et d'antivirus via le Cloud. « Les entreprises doivent pouvoir choisir leur politique de sécurité indépendamment du lieu ou de l'appareil utilisé », explique Amit Sinha, directeur technique chez Zscaler. Les entreprises souhaitant adopter l'iPad et l'iPhone pourront appliquer les contrôles de filtrage de Zscaler Mobile en utilisant les technologies VPN des appareils d'Apple. « Ils sont tous livrés avec un VPN. Notre solution redirige le trafic vers le nuage de Zscaler où il est filtré, » explique-t-il. « Cela ne nécessite aucun logiciel particulier. Le service coûte 1 à 3 dollars par utilisateur et par mois. »
- Détecter et stopper le détournement de trafic IP, tel est l'objectif du nouveau service de l'Internet Identity (IID). Rod Rasmussen, son président et CTO, a déclaré que l'entreprise, qui se spécialise dans la recherche de moyens pour limiter les attaques contre les routeurs Border Gateway Protocol (BGP) et les systèmes de noms de domaine (DNS), avait ouvert un service de protection appelé ActiveTrust BGP. Destiné aux entreprises et aux prestataires de services, celui-ci propose de prévenir le type d'incident BGP survenu l'an dernier, où 15% du trafic Internet mondial avait été inondé par une communication envoyée, sans doute par erreur, par une entreprise de télécommunications sous contrôle d'un État. Cette surcharge avait causé la saturation du trafic pour les sites web, la messagerie et d'autres services, affectant même les agences du gouvernement américain. La solution ActiveTrust serait capable de repérer les signes d'un accident de routage de ce type, qu'il soit involontaire ou malveillant. L'IID maintient en alerte 24H/24 et 7j/7 une équipe d'analystes de la sécurité qui peut informer immédiatement ses abonnés. « Certains essaient de détourner l'usage de l'espace IP avec de mauvaises intentions,» a affirmé Rod Rasmussen. Le service ActiveTrust BGP surveille l'information technique, notamment la manière dont les fournisseurs de service internet gèrent le trafic IP, afin de limiter tout incident, grâce également à ses contacts avec les fournisseurs d'infrastructure Internet, des institutions chargées de l'application des lois, et d'autres partenaires de la sécurité avec lesquels elle communique en vue de trouver une solution à un tel problème.
- Fortinet doit présenter son appliance FortiGate-3140B Unified Threat Management (en illustration principale). Celui-ci permet non seulement de travailler à la manière dont le fait un appareil de la série FortiGate, mais apporte en plus un moyen de profilage actif afin de repérer des comportements inhabituels au sein du trafic. L'appareil peut envoyer des alertes, procéder à des mises en quarantaine ou effectuer des blocages. L'éditeur lance également un point d'accès sans fil pour l'extérieur FortiAP-222B. La mise à jour 4.0 MR3 du système d'exploitation FortiOS 4, désormais partie intégrante des appareils FortiGate, permet une gestion unifiée des réseaux câblés et sans fil à partir d'une seule plate-forme FortiGate, ainsi que le profilage actif, l'analyse du trafic en fonction du flux et la détection de points d'accès sans fil non autorisés.
- Huawei Symantec, joint-venture entre l'entreprise chinoise Huawei et Symantec, présentera sa gamme de passerelles Secospace USG5500 destinées à fournir aux moyennes et grandes entreprises des pare-feu consolidés, le VPN, le filtrage d'URL, un antivirus, un antispam et un système de détection et de protection contre les intrusions. Selon le constructeur, la ligne supporte un débit de 30 Gb/s au niveau d'un pare-feu offrant une interface de 14 ports en 10 Gigabits Ethernet.
- BeyondTrust fera la démonstration en direct d'un utilitaire qu'elle a développé, capable d'exploiter le curseur de contrôle du compte utilisateur de Microsoft Windows 7, et montrera comment un pirate peut acquérir et tirer profit d'un niveau d'autorisation élevé. L'exploit est basé sur une faille du système de Microsoft, connu depuis juin 2009 selon BeyondTrust, mais jamais corrigée. BeyondTrust montrera comment son logiciel permet d'éviter l'exploit - elle n'a pas l'intention de rendre son utilitaire publique - et de se prémunir contre cette faille de Windows 7, et comment certains concurrents, comme Avecto, n'y parviennent pas. « Il n'est pas possible de se protéger contre cette vulnérabilité si l'on ne se place pas au niveau du kernel», explique Jim Zierick, vice-président exécutif des opérations produit chez BeyondTrust.
(...)(11/02/2011 10:53:41)
Spamina, spécialiste de la sécurité de messagerie, arrive en France
Créée en 2005, la société est spécialisée sur le filtrage de mails en mode cloud (hybride ou privé) et le DLP quel que soit le support utilisé (PC fixes ou portables, smartphones). Les solutions sont vendues par abonnement, au nombre d'utilisateurs. 4 offres vont être proposées aux revendeurs et aux ISP, la première est l'email firewall, la fonctionnalité archivage de mail sera effectif avant la fin du mois de février. Le chiffrement des messages et l'outil de perte de données seront disponibles respectivement en avril et mai prochain. Pour la solution de filtrage l'objectif est selon Jim Tyer, responsable vente à l'international « de réduire fortement le spam, car près de 93% des messages reçus quotidiennement sont du spam ». Spamina propose ses services en mode logiciel, mais offre aussi des appliances physiques si les clients le souhaitent.
Le bureau français de Spamina est dirigé par Sébastien de la Tullaye, un ancien de iPass et Atheos. La société est entièrement en indirect et recrute des revendeurs en France. Un grossiste ITway s'en occupe, c'est déjà le grossiste de Spamina en Espagne. ITway a pour mission de recruter, former et certifier les partenaires avec un programme nommé SAPP (Spamina action partner program). Le partenaire réalise le support 1er niveau.
Spamina se développe à l'international : Italie, Grande-Bretagne, France, Amérique latine. Par ailleurs, deux nodes supplémentaires devraient être installés aux Etats-Unis au cours de l'année 2011. Ses produits sont disponibles en six langues : allemand, anglais, catalan, espagnol, français, portugais-brésilien. Les rapports d'activités et les listes d'e-mails bloqués sont disponibles dans ces six langues.
Adobe corrige 42 vulnérabilités dans Reader X et Flash
Presque toutes les failles corrigées dans le lecteur PDF ont été qualifiées de «critiques» par Adobe, ce qui signifie qu'elles pourraient être exploitées par des attaquants pour introduire des logiciels malveillants sur un système non patché. Cependant, l'éditeur indique que pour plusieurs bugs, il n'est pas certain que l'exécution de code à distance soit possible. 2 failles parmi les 29 seraient vulnérables à des attaques dites «cross-site scripting » (XSS), une tactique banale utilisée par les voleurs d'identité qui ciblent les navigateurs Internet. En particulier, les pirates pourraient exploiter une de ces deux vulnérabilités - dans Windows seulement - pour s'octroyer des privilèges supplémentaires sur un ordinateur.
Beaucoup de bugs dans la version X du Reader
Selon l'avis publié par Adobe, environ la moitié des bugs identifiés dans le Reader X concernent le code d'analyse de fichier pour les polices de caractères, l'image ou la 3D. Tous les bugs, sauf 3, affectent le Reader X, cette version Windows du lecteur lancée en grande pompe par l'éditeur il y a trois mois. Elle comprend la fameuse SandBox, cette technologie qui permet d'isoler l'application de l'ordinateur pour arrêter, ou du moins emprisonner un code d'attaque pour l'empêcher de faire des ravages sur l'ensemble du système d'exploitation. La sandbox intégrée dans le Reader X est basée sur des technologies utilisées par Google et Microsoft : ainsi Google a « sandboxé » son navigateur Chrome, tandis que Microsoft utilise des défenses similaires pour protéger Internet Explorer et Office 2010 dans Windows. Il y a quelques semaines un chercheur avait trouvé une faille dans ce « mode protégé ». Un porte-parole de l'éditeur se veut rassurant « aucun des 26 bugs affectant le Reader X ne concernent la sandbox et ne peuvent donc pas être mis à profit pour contourner la protection. » Le Reader passe en versions 8.2.6, 9.4.2, et 10.0.1 pour Windows et Mac OS X. Les utilisateurs Linux devront quant à eux attendre jusqu'au 28 février, date à laquelle Adobe livrera les correctifs pour le Reader tournant sous ce système d'exploitation.
Flash mais aussi ColdFusion et Shockwave
Le Tuesday Patch publié met également mis à jour le plug-in Flash, corrigeant 13 vulnérabilités, toutes qualifiées de critiques, car susceptibles d'être exploitées pour exécuter du code malveillant. Adobe a précisé que 8 des 13 failles étaient liées à des problèmes de corruption de mémoire, tandis que les autres bugs été liées au chargement de bibliothèque, à un dépassement de nombre entier et à l'analyse de fonte. La mise à jour de sécurité fait passer Flash en version 10.2.152.26. Comme cela a été le cas il y a un an environ, les utilisateurs de Google Chrome ont pu profiter de la nouvelle version de Flash via une mise à jour du navigateur, également publiée mardi. Adobe a également livré des mises à jour de sécurité pour ColdFusion, son serveur d'applications web de classe entreprise, et pour Shockwave, un player assez répandu pour lire des contenus online animés. « On aurait dit qu'Adobe était prête pour ce cycle de patch ! » a déclaré Andrew Storms, directeur des opérations de sécurité chez nCircle Security, dans une interview. « J'ai été surpris par cette coordination. » Selon Adobe, « cette coordination est sans doute exceptionnelle, parce que le Reader et son cousin Acrobat sont patchés régulièrement. » Reste que, comme le dit Wiebke Lips, la porte-parole d'Adobe, « chaque fois que possible, l'éditeur tente de prévoir, en même temps que le Tuesday Patch, la livraison de mises à jour de sécurité pour d'autres produits. » Cette fois, le calendrier a inclus Flash Player, ColdFusion et le player Shockwave.
Du tout ou rien
Cependant, si Andrew Storm se félicité de la mise à jour simultanée de plusieurs produits d'Adobe, il souligne que l'éditeur continue à livrer des mises à jour de sécurité « tout-ou-rien, » contrairement à Microsoft qui répartit ses correctifs en plusieurs avis séparés, laissant le choix aux utilisateurs de les déployer ou non, selon leur configuration. « C'est du genre à prendre ou à laisser, ça manque de nuances, » estime Andrew Storm. « Pratiquement tout est du code à distance et nous n'avons aucune possibilité d'en avoir un aperçu pour faire un choix, si cela s'avérait nécessaire, pour une raison ou une autre. » À cet égard, les mises à jour de sécurité d'Adobe ressemblent plus à celles d'Apple qu'à celles de Microsoft. « La seule différence, c'est que, avec Adobe, nous savons à quel moment le déjeuner sera servi, » a déclaré le directeur des opérations, évoquant la planification des mises à jour faite par Adobe, contrairement à Apple.
Adobe Reader et Flash pour Windows et Mac OS X peuvent être téléchargés via les liens inclus dans les avis publiés mardi. Mais, comme toujours, les utilisateurs peuvent récupérer les nouvelles versions via les mécanismes de mise à jour intégrés.
| < Les 10 documents précédents | Les 10 documents suivants > |