Flux RSS
Virus/alertes
481 documents trouvés, affichage des résultats 171 à 180.
| < Les 10 documents précédents | Les 10 documents suivants > |
(23/08/2010 17:27:19)
Summit Partners investit 100 millions de dollars dans Avast Software
Les solutions de sécurité sont décidément très recherchées. Après l'acquisition de McAfee par Intel , Avast a indiqué que son capital comprenait un actionnaire supplémentaire. Ce dernier, Summit Partners a en effet investi 100 millions de dollars dans la société tchèque. Connue pour ces solutions gratuites pour le grand public, Avast Software indique qu'il protège un ordinateur sur cinq dans le monde entier contre les logiciels malveillants.
« Avec Summit Partners, nous allons poursuivre notre stratégie visant à offrir une solution gratuite au plus grand nombre. Nous n'avons pas l'intention de changer notre business modèle et nous conservons notre positionnement de vente au détail » explique Vince Steckler, PDG d'Avast Software. Avec cette opération capitalistique, Scott Colins, directeur général du fonds d'investissements rejoindra le conseil d'administration de l'éditeur.
Cette augmentation de capital intervient sur un marché de la sécurité en plein ébullition. Rapprochement, fusion-acquisition, les éditeurs de logiciel de sécurité pour les résidentiels et les entreprises sont très courtisés. L'orientation vers les services web et le cloud computing augmentent la demande en solution de sécurité.
Illustration: Vince Steckler, PDG d'Avast
Crédit Photo: D.R
(...)(19/08/2010 15:00:50)Intel rachète McAfee pour 7,68 milliards de dollars
Surprise estivale, Intel vient d'annoncer sa volonté d'acquérir l'éditeur de logiciel de sécurité McAfee. La société de Santa Clara va proposer 48 dollars par action aux actionnaires de MacAfee, soit un montant total de 7,68 milliards de dollars. Le comité exécutif de l'éditeur a donné son assentissement à cette offre.
« Avec une croissance rapide des équipements connectés à Internet, de plus en plus d'éléments de notre vie se trouvent maintenant en ligne » a déclaré Paul Otellini, PDG d'Intel sur ce rachat et d'ajouter « dans le passé les performances techniques et la connectivité ont défini les besoins de l'informatique. A l'avenir, la sécurité va devenir le troisième pilier de cette expérience numérique ». Le PDG de McAfee partage cette analyse « le modèle de cybersécurité actuel n'est pas extensible avec le développement des terminaux connectés. Nous aurons besoin d'un changement de paradigme et Intel est le meilleur partenaire pour cela ».
McAfee a réalisé un chiffre d'affaires de 2 milliards de dollars en 2009 et comprend 6 100 employés dans le monde.
Une évolution vers les services
Surprenante au premier abord, cette acquisition s'inscrit dans une double tendance, la consolidation et la diversification. La première a vu plusieurs opérations de rapprochement entre les éditeurs de logiciels de sécurité. Ainsi, très récemment, McAfee a annoncé l'acquisition de Tencube, qui développe la suite de sécurité mobile WaveSecure. De son côté, Symantec s'est offert au mois de mai dernier le spécialiste de l'authentification Verisign. Juste avant, le même acteur avait racheté PGP et Guardian Edge.
L'autre phénomène est la diversification des constructeurs d'équipements informatiques. Avec le développement du cloud computing, les services sont devenus des enjeux stratégiques. Récemment, HP a annoncé l'acquisition de Fortify. Cet éditeur est spécialisé dans les logiciels de sécurité et de mise en conformité des applications durant leur cycle de développement, c'est-à-dire dans l'analyse du code afin de rechercher ses vulnérabilités potentielles. De son côté IBM a racheté en juillet dernier BigFix, société spécialisée dans le déploiement de solutions de sécurité à grande échelle.
Une récente étude du Gartner montrait également que le marché des logiciels de sécurité va augmenter dans les années à venir. En 2010, les solutions à destination des entreprises devraient atteindre 3 milliards de dollars. Pour les années à venir, les services de gestion d'identification et d'accès (IAM) sont évalués à 14 milliards de dollars en 2014.
Illustration : David DeWalt, PDG de McAfee (crédit photo : DR)
Les logiciels de sécurité en progression en 2010 selon Gartner
Pour le cabinet d'études, la plupart des segments du marché de la sécurité vont augmenter dans les années à venir. La sécurité sera l'une des zones les plus dynamiques au sein du marché des logiciels d'entreprises. Les acteurs qui auront un chiffre d'affaires équilibré entre vente de licences et revenus de maintenance tout en sachant faire une place au Saas, à l'Open Source et aux sous-traitants, auront le plus de chance de relever la tête.
Ce marché bénéfice d'exigences complémentaires en matière de conformité et d'une sophistication croissante des échanges et des menaces. Gartner prédit un bel avenir au Saas, à la gestion des identités et des accès (IAM), la sécurité de l'information et de la gestion des événements (SIEM) et de la protection des données mobiles. Les acteurs de niche auront autant leur chance que les grands acteurs du marché selon le Gartner. Ce dernier souligne la dynamique du segment IAM, 8% des budgets de sécurité informatique lui seraient consacrés cette année. En 2014, le marché des IAM atteindrait même les 12 milliards de dollars.
Adobe va livrer un correctif d'urgence pour Reader et Acrobat
Adobe vient d'annoncer qu'il publierait un correctif d'urgence la semaine du 16 août, pour rectifier une faille critique dans ses logiciels Reader et Acrobat. Le problème avait été découvert par le chercheur Charlie Miller lors de la conférence Black Hat sur la sécurité qui s'est tenue le mois dernier, alors qu'il montrait comment utiliser la boîte à outils Open Source BitBlaze pour rendre la chasse aux bugs 10 fois plus productive.
L'analyste, qui travaille avec l'Independent Security Evaluators de Baltimore, s'est déjà illustré pour avoir identifié des failles dans le Reader PDF d'Adobe. En mars dernier, il avait aussi montré comment un simple outil de fuzzing pouvait servir à éliminer un grand nombre de bugs potentiels dans Acrobat Reader, mais aussi dans Microsoft Office, l'application Aperçu d'Apple et d'autres logiciels. Selon l'article qu'il a publié après la conférence Black Hat, le bug concerne l'analyse des polices dans Reader et Acrobat. De son côté, l'entreprise danoise Secunia également spécialisée dans la traque aux trous de sécurité, estime que « la faille pourrait être exploitée pour corrompre la mémoire via un fichier PDF contenant une police TrueType infectée ». Elle ajoute que l'exploitation de cette faille pourrait permettre l'exécution de code malveillant.
Charlie Miller précise que si la vulnérabilité affectant les outils PDF d'Adobe ressemble à celle utilisée pour déverrouiller le système d'exploitation mobile iOS d'Apple, ces failles n'ont rien à voir entre elles : « Toutes deux concernent l'analyse des polices dans les fichiers PDF, mais c'est une coïncidence », a t-il déclaré dans un mail. La vulnérabilité exploitée par le logiciel JailbreakMe concerne l'affichage des fichiers PDF en mode Prévisualisation dans l'iOS d'Apple, pas dans Adobe Reader. Comme Adobe a essayé de l'expliquer hier, « toutes les vulnérabilités affectant les fichiers PDF ne sont pas automatiquement liées à des vulnérabilités du logiciel d'Adobe ». Brad Arkin, en charge de la sécurité et de la confidentialité des produits chez Adobe, a aussi fait remarquer que l'ancien code propriétaire du PDF était devenu un standard libre depuis 2008.
Adobe, qui livrera son correctif en dehors de son calendrier trimestriel, probablement le mardi 17 août, si l'on tient compte de ses habitudes, a laissé entendre que cette mise à jour corrigerait d'autres vulnérabilités que celle découverte par le chercheur. Mais l'éditeur a précisé qu'il tiendrait son calendrier de mises à jour régulières, confirmant la date du 12 octobre pour la prochaine livraison. Ce n'est pas la première fois qu'il sort une mise à jour hors calendrier cette année pour son Reader. La dernière mise à jour d'urgence date de la fin du mois de juin, où il avait livré un correctif deux semaines avant la date prévue du 13 juillet, pour corriger un bug déjà exploité par les pirates. Ce fut également le cas pour un patch livré en février.
Adobe indique que les efforts entrepris pour livrer ce correctif d'urgence n'affecteront pas la sortie de la prochaine mise à jour d'Acrobat Reader. La version 10 du Reader pour Windows prévue pour la fin de l'année est en effet très attendue : elle inclura la technologie sandboxing qui permet d'isoler les documents PDF infectés par des malwares, comme ceux qui pourraient par exemple profiter de la faille découverte par Miller.
Microsoft livre un correctif zero-day pour Windows
Comme l'a fait remarquer Andrew Storms, directeur des opérations de sécurité chez nCircle Security, le bulletin MS10-046 accompagnant la sortie du patch pour le bug des raccourcis dans Windows ne contenait pas de surprise. D'une part Microsoft a livré le correctif d'urgence, palliant à ce bug exploité depuis plusieurs semaines par les pirates, à la date annoncée. D'autre part, l'éditeur s'en est aussi tenu à son calendrier qui exclut désormais Windows XP Service Pack 2 (SP2) et Windows 2000 de tout support depuis trois semaines. « La seule vraie question était de savoir si Microsoft serait tenté de publier un correctif pour les systèmes d'exploitation non pris en charge, » a-t-il déclaré, en faisant référence aux version XP SP2 et à Windows 2000. « Il y a énormément de gens qui utilisent encore SP2, et le système a été tout bonnement mis hors circuit,» a t-il fait valoir. « Typiquement, des solutions comme les Scada fonctionnent généralement sur les anciennes versions de l'OS. J'ai aussi pensé que les vendeurs de Scada feraient pression sur Microsoft pour livrer un correctif pour SP2. »
Un vers très dangereux pour les plates-formes Scada
La vulnérabilité corrigée aujourd'hui a été décrite pour la première fois mi-juin par VirusBlokAda, une société biélorusse, peu connue, spécialisée dans les questions de sécurité. Mais l'affaire avait commencé à attirer l'attention seulement après un papier publié le 15 Juillet par le blogueur Brian Krebs sur le sujet. Le lendemain, Microsoft reconnaissait que des attaquants exploitaient déjà la faille en utilisant le ver Stuxnet connu pour cibler les PC sous Windows des systèmes de contrôle à grande échelle Scada de Siemens (Supervisory Control and Data Acquisition, en français télésurveillance et acquisition de données), utilisés dans l'industrie et les services publics.
La faille utilisait la manière dont Windows gère les raccourcis, ces petits fichiers affichés sous forme d'icônes sur le bureau, dans la barre d'outils et dans le menu Démarrer, qui facilitent le lancement d'applications et de documents. Les pirates ont fabriqué des raccourcis malveillants, capables d'exécuter automatiquement des malware à chaque fois qu'un utilisateur affichait le raccourci ou un dossier contenant le raccourci piégé. Le code était public depuis le mois dernier, et Microsoft et d'autres ont repéré plusieurs campagnes d'attaques profitant de la faille. En même temps que l'éditeur de Redmont annonçait la date de disponibilité du correctif, il signalait que même le dangereux malware de la famille « Sality » avait exploité le bogue du raccourci.
Mise à jour de la .dll Shell32
Microsoft a également précisé aux utilisateurs qui avaient mis en oeuvre la solution de contournement recommandée de réactiver l'affichage de tous les raccourcis après avoir appliqué le patch. Certains rapports signalent des problèmes et conseillent de rétablir l'affichage avant l'application du correctif. Parce que le patch de l'éditeur repose sur une nouvelle version de la Shell32.dll, il est important que la mise à jour soit bien effectuée : cette librairie logicielle abrite de nombreuses API de fonctions pour Windows et une mauvaise mise à jour pourrait bloquer certaines machines avec le fameux écran bleu de la mort. Andrew Storms pense pour sa part qu'il n'y a rien à craindre. « En janvier, Microsoft a réussi à livrer un patch pour corriger un bug du noyau de Windows en 20 jours. » Pour Jason Miller, responsable de la sécurité chez Shavlik Technologies, même s'il ne s'attendait pas un patch d'urgence du fait de la date prochaine des mises à jour de sécurité régulières fixée au 10 août, estime que « Microsoft a évalué les risques en sortant ce patch intermédiaire.» Précisons que plusieurs éditeurs d'antivirus comme Sophos et G Data ont été plus rapides en publiant un outils destiné à bloquer le vers Stuxnet (voir illustration).
Le correctif, disponible pour toutes les versions encore supportées de Windows, dont XP SP3, Vista, Windows 7, Server 2003, Server 2008 et Server 2008 R2, peut être téléchargé et installé via Microsoft Update et Windows Update Services, ainsi que via Windows Server Update Services.
Les américains souhaitent une coopération internationale sur la cybercriminalité
C'est durant la conférence Black Hat que l'ancien directeur de la CIA Michael Hayden a déclaré que les Etats-Unis devraient se mettre à considérer un partenariat avec les autres pays pour développer des règles internationales de luttes contre la cybercriminalité. Les Etats-Unis y auraient été réluctants car ne voulaient pas révéler, dans le cadre de telles négociations, les limites de leurs capacités en la matière. L'ex-directeur de l'agence de renseignement précise toutefois que le besoin se fait pressant étant donné la complexité à définir ce type de criminalité et à proposer une stratégie de défense et de réponse adaptée. « Nous sommes vraiment en retard sur ce débat concernant la limitation des armes utilisables dans le cyberespace. Plus le temps passe, moins notre voix sur le sujet risque d'avoir de portée ». Mais il ajoute que toute coordination internationale devrait plutôt porter sur l'établissement de normes plutôt que sur le contrôle des outils à disposition. Un exemple pourrait être d'avoir une règle interdisant les attaques par déni de service (DoS) sur des actifs d'un autre pays, sauf en cas de conflit armé. Ces dernières sont « des armes tellement simples à utiliser qu'il faudrait en stigmatiser l'usage, et sanctionner les pays qui les autorisent. De la même manière, les attaques contre les réseaux électriques et les secteurs financiers devraient être placées hors-limite, tant les conséquences pourraient être dévastatrices ».
Quelques obstacles organisationnels
Michael Hayden admet aussi que la régulation et la mise en place de sanctions risquent d'être les éléments les plus difficiles à mettre en place dans le cadre d'une coopération internationale. Le Département de la Défense a longtemps considéré Internet comme un domaine à protéger au même titre que les quatre autres (air, sol, mer et espace), mais appliquer les mêmes modèles défensifs et offensifs s'est révélé plus compliqué que prévu dans ce cadre particulier. L'organisation même du Cyber Command reflète ces difficultés : en théorie, le Homeland Security s'occupe des fonctions défensives, les agences de renseignement sont elles en charge des tâches liées à l'espionnage, et le Département de la Défense de tout ce qui renvoie à l'offensif. « De manière technologique et opérationnelles, elles sont au même niveau. Chacune contrôle son petit domaine sur Internet à sa façon. Heureusement, grâce au système politique, elles ne sont pas subventionnées de la même manière et sont régies par des lois différentes ».
Crédit Photo : D.R.
Google sacré roi des malwares
La firme de sécurité Barracuda Networks a couronné Google « roi des malwares », celui-ci renvoyant vers deux fois plus de liens malveillants que Bing, Yahoo et Twitter réunis. Selon l'entreprise, après une analyse de 25 752 sujets à la mode déclinés en près 5,5 millions de résultats de recherche, Google propose 69% de tous les malwares détectés, tandis que Yahoo est à 18%, Bing à 12% et Twitter 1%. Quant à ces thèmes populaires qu'utilisent les malwares pour piéger les internautes, le délai entre leur publication sur Twitter et leur apparition sur un moteur de recherche varie de 1,2 jours pour Google à 4,3 pour Bing et 4,8 pour Yahoo. Cela tend à suggérer que la popularité de Google dans le monde des logiciels malveillants est principalement due à l'efficacité de ses robots indexant les pages web. Mais il faut aussi considérer sa popularité pour comprendre ces résultats. D'après une analyse de comScore, 62,6% du trafic de recherche américain passe par Google, largement devant Yahoo et Bing qui ne séduisent respectivement que 18,9% et 12,7% des internautes.
Statistiques en demi-teinte pour Twitter
Barracuda a aussi relevé quelques données intéressantes sur Twitter. Son taux de criminalité s'élèverait à 2,38% en juin 2010 selon les analystes, pour une moyenne de 1,67% sur le semestre. Ceux-ci se basent sur un échantillon de 25 millions de comptes, comprenant ceux qui font état d'un comportement erratique et suspicieux, ainsi que ceux d'utilisateurs légitimes pour pouvoir distinguer leurs attitudes. Ce pourcentage représente le nombre de comptes suspendus sur la période donnée, et est ici en hausse après plusieurs mois de faible criminalité. L'entreprise affirme aussi que seuls 28,87% des utilisateurs sont de « vrais » utilisateurs de la plateforme, c'est-à-dire qu'ils participent activement, suivent d'autres comptes ou ont leur propres followers. Globalement, l'activité a tendance à augmenter, ce qui rend le site de micro-blogging d'autant plus attractif pour les criminels. 15,8% des comptes n'ont par ailleurs aucun follower, mais ce chiffre a connu une baisse substantielle depuis 2009 où il s'élevait à 30%, tandis que 36,39% des inscrits ont entre un et quatre abonnés. Seul 1% réussit à passer le cap des 1000 followers.
Un des chiffres montre toutefois une corrélation inverse entre le nombre de tweets et le nombre de followers. Plus il y en a, c'est-à-dire si le compte est hyperactif, plus cela tend à faire fuir les personnes susceptibles de le suivre, ces derniers ne voulant pas voir leur page d'accueil polluée. D'ailleurs, 30,62% des utilisateurs n'ont jamais publié un seul tweet.
Crédit Photo : Barracuda Networks
Fraude massive aux chèques via un botnet russe
La fraude aux chèques est un crime un peu dépassé à l'heure du numérique. Une organisation criminelle russe utilise pourtant des techniques de cybercrime pour réaliser des opérations de falsifications de chèques automatisées s'élevant à plusieurs millions de dollars de préjudice. Elle passe notamment par l'utilisation de botnets, de bases de données financières et d'archives de chèques numérisés. L'organisation, surnommée BigBoss suite à la découverte du nom sur un serveur utilisé durant la fraude massive, a été mise au jour par des chercheurs de SecureWorks. Joe Stewart, directeur d'analyse des malwares pour l'entreprise, précise qu'il s'est aperçu de l'existence de BigBoss durant l'analyse de code botnet sur Internet.
Une large récolte d'informations bancaires
Les botnets sont des systèmes de commande très élaborés, utilisés par les criminels pour contrôler les PC infectés. Ceux sur lesquels SecureWorks effectuait ses recherches, les « ZeuS », sont principalement utilisés pour des délits bancaires, comme le vol d'informations bancaires et le transfert de fonds. Mais Joe Stewart admet que c'est la première fois qu'il relie un de ces codes à une combine de fraude sur chèques. « Je suis tombé sur un échantillon de ZeuS utilisant un tunnel VPN, ce qui était pour le moins inhabituel. Ils étaient en train d'accéder à des archives de copies numériques de chèques, et en téléchargeaient massivement. Ils s'étaient au préalable introduits dans des services d'encaissement ou même des bases de données d'entreprises ». C'est en utilisant la faiblesse de certaines authentifications et l'introduction de vulnérabilités dans les bases SQL des entrepôts de stockage de chèques que BigBoss serait parvenu à les infiltrer. Ironiquement, certaines des images de chèques proviendraient d'un réseau anti-fraude dédié aux commerçants acceptant ce système de paiement. L'organisation criminelle cherchait non seulement ces numérisations, mais aussi le numéro de routage ABA, celui du compte, le nom de l'entreprise et son adresse, et une image de la signature autorisée, le tout pour des milliers de sociétés.
Au final, l'arnaque a exploité frauduleusement 3285 chèques durant les douze derniers mois, totalisant près de 9 millions de dollars afin de piéger les banques pour qu'elles reversent les sommes à travers des comptes d'entreprises légales. Ils étaient dupliqués sur papier avec une précision confondante par le réseau criminel qui entretient apparemment des liens étroits avec la ville de St Petersbourg dans laquelle le groupe voulait transférer l'argent.
Des mules américaines
Les sommes étaient payées à des individus recrutés aux Etats-Unis par l'organisation et qui devaient reverser l'argent sur des comptes créés par BigBoss. Certaines de ces personnes pensaient même qu'il s'agissait d'un réel emploi pour une compagnie finlandaise. Quelques unes des façades étaient épelées avec des fautes d'orthographes suspicieuses, comme Succes Payment ou Global Busines Payment. Les recrutés agissaient donc comme des « mules », acceptant la tâche de déposer les chèques reçus dans leurs propres comptes et de transférer la somme en Russie après coup.
Selon les estimations de SecureWorks, ces mules gagnaient une commission de 15% si elles parvenaient à encaisser les chèques en une journée, ou 8% si elles mettaient plus de temps. BigBoss disposait d'une réserve de 2884 noms de candidats à ce poste ou ayant été contactés par l'organisation suite au dépôt d'une annonce d'emploi sur Internet. Par ailleurs l'organisation aurait aussi piraté des bases de données dédiées à la recherche d'emploi pour dénicher ses recrues.
Il n'est pas encore établi si ces mules avaient connaissance de l'illégalité de leurs activités, mais Joe Stewart en a contacté une douzaine, et a même été frapper à la porte de deux de ces individus pour entendre directement leur version des faits. « Ils ont su directement de quoi je leur parlais. Ils ont souvent admis ne pas avoir compris dans un premier temps ce qui leur arrivait après avoir été contactés par BigBoss, mais au bout d'un certain moment, ils avaient fini par réaliser de quoi il s'agissait ». Une de ces mules a même expliqué que lorsqu'elle ne donnait pas, au bout de deux jours, les informations concernant le transfert de fond, le groupe n'abandonnait pas pour autant. Il lui téléphonait et réclamait l'argent, avec notamment une femme parlant anglais avec un accent russe.
Rester sous le radar des banques
La limite des chèques était de moins de 3000 $ (plutôt entre 2700 et 2900 en général), pour ne pas éveiller les soupçons des banques américaines qui ont certaines obligations lorsque le montant dépasse ce palier. Pourtant, certaines d'entre elles ont malgré tout remis en question la validité de ces chèques, ajoute Joe Stewart, notant qu'il est encore difficile de dire à quel point BigBoss a réussi son coup. SecureWorks a évidemment partagé sa trouvaille avec la justice américaine, et recommande aux entreprises d'utiliser un service appelé « Positive Pay » pour éviter de telles escroqueries.
Même si la plupart des opérations de BigBoss se déroulaient à partir de la Russie et via Internet, il pourrait y avoir eu complicité sur le territoire américain étant donné que la livraison des chèques se déroulait de nuit à partir d'endroits situés aux Etats-Unis. D'après Joe Stewart, l'utilisation d'un trafic crypté par VPN était un moyen d'empêcher la détection des transferts frauduleux par des dispositifs IPS/IDS. « Le principal usage du tunnel VPN était d'autoriser le pirate à rediriger le trafic vers les bots, outrepassant les firewalls et la translation d'adresse qui bloqueraient en principe les connexions provenant d'Internet ». En trois mois, SecureWorks a été en mesure de comprendre les objectifs réels de ce botnet en l'analysant au même titre que tout autre PC infecté.
Crédit Photo : D.R.
| < Les 10 documents précédents | Les 10 documents suivants > |