Flux RSS
Virus/alertes
481 documents trouvés, affichage des résultats 51 à 60.
| < Les 10 documents précédents | Les 10 documents suivants > |
(30/08/2011 14:42:53)
Un certificat SSL volé vise Google
Un chercheur en sécurité a indiqué qu'un certificat d'authentification pour les sites Google a été volé et probablement utilisé. Des pirates peuvent utiliser ce certificat pour conduire des attaques de type « man-in-the-middle » ciblant les utilisateurs de Gmail, le moteur de recherche de Google ou tout autre service exploité par la firme de Mountain View. « C'est un carton d'invitation pour tous les sites de Google », résume Roel Schouwenberg, chercheur sur les malware chez Kaspersky Lab. «[Les attaquants] pourrait utiliser un empoisonnement du cache DNS, intégrer un faux site via le certificat et bingo, ils obtiennent l'identification de l'utilisateur », a déclaré Andrew Storms, directeur des opérations de sécurité chez nCircle Security.
Les attaques « Man in the middle » pourraient également être lancées au moyen de spam avec des liens menant sur un site qui ressemble au vrai Gmail. En surfant sur ce lien, les internautes s'exposent à voir leur identifiant de connexion et leur mot de passe détournés. Les détails sur le certificat en question ont été affichés sur Pastebin.com samedi dernier. Pastebin.com est un site public, où les développeurs - y compris les pirates - publient des exemples de code source.
Selon Roel Schouwenberg, le certificat SSL (secure socket layer) est valide, et a été émis par DigiNotar, une entreprise de certification néerlandaise. DigiNotar a été acquise au début de l'année par la société Vasco, basée à Chicago et qui se présente sur son site comme «un leader mondial dans l'authentification forte. ». Vasco n'a pas répondu à une demande de commentaires.
Le chercheur en sécurité et développeur Jacob Applebaum a confirmé lui aussi que le certificat était valide dans une réponse par courriel aux questions de nos confrères de Computerworld, tout comme Moxie Marlinspike chercheur sur SSL qui a posté sur Twitter « Oui, juste vérifié la signature, que pastebin. Le certificat google.com est réel.
Un Etat derrière ce vol ?
On ignore si le certificat a été obtenu en raison d'un manque de vigilance de DigiNotar ou par un vol du certificat lors de l'attribution du certificat à un site. Roel Schouwenberg a demandé à DigiNotar de fournir rapidement de plus amples informations. « Compte tenu des liens avec le gouvernement et les secteurs financiers, il est extrêmement important que nous trouvions très rapidement les raisons de ce vol », a déclaré le chercheur.
La situation n'était pas sans rappeler l'épisode révélée en mars dernier. Un pirate avait obtenu des certificats pour certains des plus grands sites du web, dont Google et Gmail, Microsoft, Skype et Yahoo. Comodo, société de certification avait déclaré que neuf certificats avaient été frauduleusement émis. Comodo avait initialement suspecté le gouvernement iranien, mais quelques jours plus tard, un jeune hacker iranienne avait revendiqué le vol des certificats.
Aujourd'hui, Roel Schouwenberg pense que « l'implication d'un Etat est l'explication la plus plausible » pour l'acquisition du certificat délivré par DigiNotar. Il précise « la première raison concerne le type d'informations visées, les utilisateurs Google, cela s'apparente à une opération de renseignement. Deuxièmement, ces attaques ne fonctionnent que lorsque le pirate a un certain contrôle sur le réseau, mais pas sur la machine ».
Le certificat google.com n'a pas encore été révoqué par DigiNotar, même si il a été émis le 10 juillet. En mars dernier lors de l'affaire Comodo, les principaux éditeurs de navigateur web, Google, Microsoft et Mozilla, ont très rapidement mis à jour leur produit pour ajouter les certificats volées dans leur liste noire. Andrew Storm dit s'attendre à ce que Google Chrome soit rapidement mis à jour, et que Microsoft, Mozilla et d'autres feront de même prochainement. Google a averti les utilisateurs des risques et a indiqué dans un message que le cibles visées seraient a priori des abonnés iranien.
Illustration: preuve du certificat sur pastbin
Crédit Photo: D.R
(...)(25/08/2011 16:56:51)Attaques DoS : Apache et Microsoft vulnérables
Les développeurs du projet Open Source Apache ont averti les utilisateurs du logiciel de serveur web qu'un outil d'attaques en déni de service (DoS) circulait en utilisant une erreur dans le programme. Appelé « Killer Apache », l'outil est apparu vendredi dernier sur la mailing list dédiée à la sécurité « Full Disclosure ». La fondation Apache a reconnu la vulnérabilité de son programme et a déclaré dans un billet d'avertissement qu'elle publierait un correctif pour Apache 2.0 et 2.2 dans les prochaines 48 heures. La version 1.3 est aussi concernée, mais le support n'est plus assuré.
« Un outil d'attaque est en circulation dans la nature et il est utilisé activement. L'attaque peut être effectuée à distance avec un nombre modeste de requêtes, mais capables d'utiliser massivement la mémoire et le CPU du serveur », souligne Apache dans le billet. Dans l'attente du correctif, ce dernier donne aux administrateurs des conseils pour défendre leurs serveurs web. Selon la société britannique de sécurité Netcraft, Apache est le logiciel de serveur web le plus utilisé dans le monde, avec une part de marché de 65,2%.
Petit élément de distinction pour les utilisateurs du bundle Mac OS X-Apache, ce dernier est mise à jour via le système d'exploitation. Il reste à savoir à quel moment Apple diffusera les correctifs.
Un patch de Microsoft utilisé pour des attaques DOS
La société de sécurité Qualys a montré comment utiliser un patch Microsoft pour lancer une attaque par déni de service sur le DNS Server de Windows. Un test démontre comment des pirates pourraient s'en servir et souligne l'importance de déployer les correctifs de Microsoft dès que possible après la publication du Patch Tuesday mensuel. Le correctif (Windows MS11-058) que Qualys a utilisé corrige deux failles dans DNS Server de Windows et a été classé critique, niveau le plus élevé chez l'éditeur. La firme de Redmond ne pense pas que cette vulnérabilité soit exploitée par des attaquants ce mois-ci, mais le test réalisé par Qualys montre que cela est possible rapidement.
« Nous avons procédé à de la rétro-ingénierie du patch pour avoir une meilleure compréhension du mécanisme de la faille. Nous avons découvert que cette vulnérabilité pouvait être utilisée rapidement à partir de quelques commandes », explique Bharat Jogi, ingénieur en sécurité chez Qualys sur un blog. Il ajoute « la démonstration dans le test montre une attaque par déni de service, mais des pirates peuvent aller plus loin dans l'exécution du code. » Pour son test, il a utilisé un outil de « binary diffing » appelé TurboDiff pour comparer les versions non patchées et corrigées des fichiers DNS Server. Cela aide les experts en sécurité à « comprendre les changements intervenus afin de corriger les failles », souligne l'ingénieur, mais donne aussi les moyens aux pirates d'exploiter la vulnérabilité et de l'utiliser contre les OS qui n'ont pas reçu la mise à jour de sécurité. Une fois les failles identifiées, la société a monté dans son laboratoire deux serveurs DNS et fait tomber l'un d'eux en tapant quelques commandes.
(...)(09/08/2011 09:50:45)
Gartner conseille aux entreprises de réviser leurs politiques de confidentialité
(mise à jour) Selon le cabinet Gartner, plusieurs menaces s'additionnent en matière de confidentialité des données : les violations de données, le cloud computing, les services associés à de la géolocalisation. Elles conduisent toutes les organisations, et au moins la moitié d'entre elles, à revoir leurs politiques de confidentialité d'ici la fin 2012. Ces questions vont même dominer l'agenda des responsables de la sécurité dans les deux ans à venir, soutient le Gartner.
Carsten Casper, directeur de recherches au Gartner, souligne que « en 2010, les organisations en général et les entreprises en particulier ont connu de nouvelles menaces sur les données personnelles et privées, alors que les budgets affectés à ces problèmes sont restés sous pression. En 2011 et 2012, ces programmes sont restés en sous investissement chronique, nécessitant la création de postes de responsables spécialisés aptes à construire et entretenir de solides relations en interne avec : les instances de direction, les RH, la sécurité informatique, les développeurs d'application. Autre nécessite pour ces responsables : se lier avec les autorités de réglementation et la communauté de défense ».
Cinq points essentiels relatifs à la sécurité
Toujours selon Gartner, ces responsables devront se confronter à cinq points essentiels dans leur politique de confidentialité :
- La violation des données continue d'être une préoccupation majeure.
La plupart des contrôles existent déjà si la gestion de la sécurité fonctionne correctement. Les entreprises devraient néanmoins mieux compartimenter les renseignements personnels, restreindre l'accès et le chiffrement des données lors de leur transmission à travers les réseaux publics, chiffrer les données sur des appareils portables, et crypter les données de stockage pour les protéger. Ce sujet ne devrait donc pas consommer plus de 10 % du temps d'un responsable de la confidentialité des données.
- Les services basés sur de la géolocalisation reposent la question de l'exploitation des données personnelles de manière inédite.
Les données de géolocalisation peuvent venir du GPS, de la tour cellulaire la plus proche, des points d'accès sans fil, des informations de positionnement en intérieur, les identifiants des compteurs intelligents et les adresses IP. Chacun de ces cas évolue rapidement et de manière spécifique.
Aller au delà de la collecte des données
Or, les fournisseurs en sont restés à la « collecte » d'information, sans cerner leur « utilisation », ils compilent de vastes quantités d'informations, souvent sans un plan clair de ce qu'il faut faire avec. Ce qui viole un principe fondamental de la confidentialité: collecter des informations uniquement dans le but pour lequel vous avez besoin.
Les responsables consacreront, selon Gartner, 5 à 25 % de leur temps sur les services fournis en fonction de la localisation de l'utilisateur.
- Le cloud computing et la notion de confidentialité ne font pas bon ménage.
Et le Gartner d'expliquer que les lois sur la confidentialité s'appliquent et se limitent à un pays alors que le cloud par définition ignore les frontières nationales. Les entreprises doivent ainsi se concentrer sur l'emplacement de l'entité juridique du fournisseur, et non sur les emplacements physiques de ses centres d'opération.[[page]] Il y a des cas où des informations sensibles de l'entreprise ne doivent pas quitter le pays (par exemple, s'il y des contrôles à l'exportation ou des préoccupations de sécurité nationale), mais dans la plupart des cas il n'y a rien d'obligatoire. Il sera suffisant de s'assurer que les données personnelles ne seront pas stockées dans un pays spécifique qui est connu pour ses violations de confidentialité.
Le responsable devrait consacrer 20 à 30% de son temps à ce sujet.
Trouver l'équilibre en matière de protection de la vie privée
- La valeur de la notion de vie privée détermine la protection nécessaire, mais il est difficile de la quantifier ! La valeur de la vie privée et de la sensibilité des renseignements personnels est impossible à déterminer en dehors de son contexte. Les renseignements personnels n'ont guère d'intérêt en eux mêmes. Tout dépend de la manière dont les données sont traitées. Il faut trouver l'équilibre entre «pas assez» de protection et «trop» de protection, c'est un processus continu.
Les responsables devraient mettre en place un processus pour identifier les parties prenantes dans l'élaboration des informations personnelles, rassembler les exigences de leur part, cerner l'influence de la conception des processus des applications, planifier des ajustements. Une fois ce processus créé, son exécution doit prendre 10% du temps du responsable.
- Les modifications réglementaires sont incessantes, mais de portée limitée.
Les modifications réglementaires ne devraient pas détourner l'attention des responsables de la confidentialité, car la plupart de ses modifications auront seulement un effet limité dans le temps. Il faut savoir interpréter la législation existante sur la vie privée pour les technologies émergentes comme les compteurs intelligents, le positionnement à l'intérieur, la reconnaissance faciale sur smartphones corrélée aux bases de données photo, les véhicules et les localisateurs de périphérique, la détection de présence, les scanners corporels, et autres.
Cette stratégie est importante, mais elle devrait consommer entre 5 et 10% des temps du responsable.
Il reste au responsable de la confidentialité encore15 à 50% de son temps, c'est nécessaire pour exécuter le programme de confidentialité, veiller à la gestion des relations, à l'examen des demandes, à la révision des politiques, au contrôles des documents (les termes des contrats de confidentialité , la consultation avec les juristes), la réponse aux requêtes, le suivi des incidents et la supervision du programme de formation à la question de la vie privée.
(...)
DefCon : des experts en sécurité donnent trois conseils aux Anonymous
Le mouvement des Anonymous est-il en train de vivre une crise de mi-parcours ? Il ne fait aucun doute que le collectif de pirates, plus ou moins organisé, a gagné des soutiens et de l'attention au cours de l'année, suite notamment aux attaques menées contre PayPal, Sony, l'entreprise de sécurité HBGary Federal qui travaille pour le gouvernement américain, mais aussi grâce aux diverses perturbations créées par son groupe parent, LulzSec. Mais, le groupe a peut-être besoin de gagner un peu en maturité, afin de mieux faire passer son message. A l'occasion de la conférence Defcon, samedi dernier à Las Vegas, des experts en sécurité informatique ont donné trois conseils aux Anonymous, afin qu'ils soient plus efficaces.
1. Attention aux nouveaux membres.
Suite à l'attaque par déni de service (DoS) menée contre le site de PayPal en décembre 2010, l'entreprise avait remis au FBI (Federal Bureau of Investigation) environ 1 000 adresses IP en relation avec l'assaut. Mais les personnes impliquées pensaient sans doute qu'elles téléchargeaient simplement le logiciel LOIC (Low Cannon Ion Orbit) qu'Anonymous utilise pour mener ses attaques. Elles l'ont fait pour se joindre à un mouvement de protestation, et non pour être accusées de commettre un crime fédéral.
« Les Anonymous sont porteur d'une idée qui fait son chemin : n'importe qui peut se joindre à eux et prendre les armes. Mais ils ne préparent pas ceux qui veulent les soutenir à utiliser leurs outils », a déclaré un expert en sécurité, connu sous le pseudonyme de Jericho, et fondateur du site web Attrition.org sur lequel on peut trouver des informations sur la sécurité informatique. « Anonymous doit éduquer ses supporters et bien informer le public sur ses objectifs. »
Gregg Housh, un porte-parole des Anonymous, dit avoir été submergé de courriels pendant les attaques du mois de décembre. Ceux-ci émanaient de néophytes qui cherchaient à rejoindre le mouvement. Tous les courriels disaient : « je ne sais pas ce que vous faites, mais je voudrais vous aider », a t-il raconté. « Pendant plus de deux jours, toutes les heures, j'ai reçu 100 à 150 messages de ce genre. » Mais il ne pouvait même pas répondre aux mails, « car j'aurais pu être accusé de participer à des activités criminelles. » Celui-ci fait remarquer au passage qu'il existait un canal IRC (Internet Relay Chat) du nom de « New Blood », utilisé par les membres d'Anonymous pour communiquer et apporter leur aide.
2. Attention à ce que vous divulguez.
Anonymous a fait connaître au public les campagnes de désinformation menées par HBGary Federal pour discréditer des organisations comme Wikileaks. Mais, selon un autre blogueur, expert en sécurité, connu sous le pseudo de Krypt3ia, l'entreprise de sécurité est loin d'être la seule à mener ce type d'opérations. « Voilà longtemps que ça se passe comme ça dans le secteur privé », a-t-il indiqué. « Ce n'est pas nouveau. Et HBGary est juste une entreprise épinglée parmi d'autres. »
Cela signifie qu'il y a de bonnes chances pour qu'Anonymous soit un jour la cible d'une campagne de désinformation de ce genre. N'importe quel pirate pourrait laisser sur l'ordinateur où il s'est introduit un fichier avec le slogan d'Anonymous, « Nous sommes légion » pour porter préjudice au groupe. Il n'y a aucun moyen de l'en empêcher. « Comment faire la différence entre une vraie action ciblée et une action de désinformation ? », demande Krypt3ia.
3. Attention aux dommages collatéraux.
Lorsque, il y a deux mois, le groupe LulzSec, a publié les noms et mots de passe de milliers d'utilisateurs, il n'a pas fallu longtemps pour que quelques-uns soient touchés. Certains ont vu leurs comptes de messagerie compromis et constaté que des commandes frauduleuses avaient été passées en leur nom sur Amazon suite à la diffusion de cette liste. Les Anonymous disent qu'ils veulent dénoncer l'hypocrisie des entreprises et la corruption des gouvernements. Mais rendre publiques les informations personnelles de gens ordinaires ne contribue pas à servir cette cause.
« Anonymous a livré les mails de HBGary. Mais historiquement, la meilleure information est toujours venue de sources internes.» Ce fut le cas de Deep Throat (l'agent du FBI Mark Felt) dans le cas du Watergate, ou encore de Bradley Manning, le membre des forces armées qui a livré les câbles diplomatiques et autres documents à Wikileaks. « Ces informations ne sont pas venues des pirates eux-mêmes », a déclaré Krypt3ia. « Les véritables révélations émanaient des initiés. »
Il était prévu que, pendant la conférence où se sont exprimés Jericho et Krypt3ia, l'ancien PDG de HBGary Federal, Aaron Barr, prenne également la parole. Mais suite aux menaces juridiques formulées par son ancien employeur, celui-ci est resté à l'écart du podium. « HBGary essaie de prendre ses distances avec Aaron Barr, mais le fait de l'empêcher de s'exprimer ne va probablement pas plaire aux pirates qui soutiennent les Anonymous », a déclaré Joshua Corman, un chercheur en sécurité, également présent à la conférence. Selon lui, HBGary vient en quelque sorte « de se désigner comme cible. »
Illustration : DefCon (crédit IDGNS)
Recap IT : Black Hat et « bug bounty », Adobe montre Edge, L'Enisa scrute HTML5, Bull accueille le FSI
Vous avez manqué les principaux sujets de la semaine, pas de panique, voici un récapitulatif des actualités incontournables. L'Etat français aurait trouvé des partenaires pour son cloud. Et par l'intermédiaire du FSI, il rentre au capital de Bull. L'indicateur mensuel des offres d'emploi cadres publié par l'Apec montre que les annonces IT ont poursuivi leur progression en juin.
L'une après l'autre, les SSII françaises livrent leurs résultats semestriels : entre croissance à deux chiffres et progression modérée, on trouve aussi quelques replis. Le groupe Steria a fait part du décès de Jean Carteron, son fondateur, qui a créé sa société sur la lancée du Plan Calcul et des grands principes de la participation.
Du côté des acteurs du web, Facebook a annoncé qu'il rémunérerait 500 dollars ceux qui trouveraient des bugs sur son site. Deux jours plus tard, la société de Mark Zuckerberg jette son dévolu sur Push Pop Press, éditeur de livres numériques, tandis que la ville japonaise Takeo bascule son site web sur le réseau social. Le désormais rival Google+ atteint les 25 millions d'utilisateurs.
L'éditeur Adobe a profité de l'été pour livrer aux développeurs une pré-bêta du logiciel Edge, conçu pour assembler des contenus dynamiques sur le Web en s'appuyant sur HTML5 et les standards ouverts associés. Mardi, Google et Living Social se sont offert des sites d'achats groupés.
Pas de vacances pour les experts en sécurité
Dans le domaine de la sécurité, un chercheur de CA a découvert un cheval de Troie capable d'enregistrer des conversations téléphoniques effectuées depuis un terminal sous Android (alors que l'OS mobile de Google a trusté 48% du marché mondial des smartphones au 2e trimestre). L'Enisa, l'agence européenne chargée de la sécurité des réseaux et de l'information, a pour sa part livré un rapport pointant 51 problèmes de sécurité sur HTML5.
Mercredi a débuté à Las Vegas la conférence Black Hat. Un professeur de Carnegie Mellon y a exposé comment on peut associer des données privées à la photo d'une personne publiée sur Internet. Quant à Microsoft, il lance un concours de sécurité, BlueHat Prize, doté de 250 000 dollars, pour développer de nouvelles technologies de lutte contre le piratage. Dans le même temps, son centre de sécurité (MSCR) livre un rapport faisant le compte des failles permettant d'exécuter du code à distance.
Enfin, les rumeurs bruissent toujours autour de la sortie de l'iPhone 5 (septembre ou octobre ?), tandis que le Canadien RIM montre de son côté cinq nouveaux smartphones sous BlackBerry 7. (...)
Black Hat 2011 : Microsoft lance le concours de sécurité BlueHat Prize
Microsoft a donné le top départ hier à un concours qui porte sur le développement de technologies de sécurité défensives couvrant les différentes classes de mécanismes d'attaques qui permettent de prendre le contrôle d'un ordinateur (en anglais : 'exploits'). Le vainqueur de cette compétition baptisée « BlueHat Prize » remportera 200 000 dollars. Le deuxième prix s'élève à 50 000 dollars. Un abonnement à MSDN Universal, d'une valeur de 10 000 dollars, est offert pour la troisième place.
Le total des sommes déboursées ainsi par Microsoft surpasse les campagnes de « bug bounty » lancées par ses rivaux pour récompenser les chasseurs de bugs. Google, par exemple, qui rémunère ceux qui le renseigne sur des failles dénichées dans Chrome, n'a encore dépensé que 110 000 dollars cette année. A ce rythme, il devrait avoir distribué près de 190 000 dollars en 2011. De son côté, Facebook, entré dans la danse cette semaine, promet 500 dollars par bug de sécurité, et davantage si la faille est plus importante.
Le défi lancé par Microsoft vise à titiller les méninges des experts pour quelque chose de plus ambitieux qu'un bug par ici ou une faille par là, soulignent nos confrères de Computerworld. « Nous voulons rendre plus difficile et plus coûteuse l'exploitation des vulnérabilités par les criminels, a déclaré Katie Moussouris, l'une des responsables de la sécurité chez Microsoft à l'occasion d'une conférence hier. « Nous voulons inviter les chercheurs à concentrer leur expertise sur les technologies défensives de sécurité ».
Pas de « bug bounty » prévu
Ce concours, qui prendra fin le 1er avril 2012, a été annoncé dans le cadre de la conférence de sécurité Black Hat qui se tient en ce moment à Las Vegas. Les gagnants seront dévoilés lors de la conférence Black Hat de l'an prochain. Katie Moussouris a expliqué que Microsoft rejetait l'idée d'un programme de récompenses pour les bugs trouvés. « De façon générale, il nous a semblé qu'englober l'ensemble des catégories [de mécanismes d'attaques] était la meilleure façon de s'engager avec la communauté de chercheurs et de protéger nos clients, a-t-elle indiqué à Computerworld. Katie Moussouris a cité des statistiques montrant pourquoi Microsoft n'avait pas besoin de programme de « bug bounty » similaire à celui mis en place par Google pour son navigateur Chrome ou que HP TippingPoint mène afin de récupérer des vulnérabilités sur de multiples systèmes d'exploitation, incluant Windows et Mac OS X, ou sur des applications de Microsoft ou d'autres éditeurs. Selon elle, 90% des chercheurs en sécurité qui communiquent des failles à Microsoft le font directement plutôt que de les soumettre à un intermédiaire tel que TippingPoint.
Katie Moussouris ajoute que les récompenses versées -qui vont jusqu'à 3 000 dollars chez Google- n'ont rien à voir avec l'argent que l'on peut se faire en les vendant sur le marché noir. Andrew Storms, directeur des opérations de sécurité chez nCircle Security, est d'accord avec elle et considère que ce concours est une idée fabuleuse. « Historiquement, la plupart des bugs leur arrivent directement. Un système de récompenses ne serait donc pas la meilleure façon pour eux d'utiliser leur argent dans ces conditions », confirme-t-il. Il apprécie l'initiative de Microsoft. « Ils engagent ici un processus de réflexion prospective et apportent l'argent à l'appui », souligne Andrew Storms. Il estime qu'il s'agit de quelque chose de nouveau et de différent et que l'industrie de la sécurité a besoin de cela. « Nous sommes dans une sorte de cage de hamster en ce moment avec les bugs ».
La technologie licenciée sans royalties à Microsoft
Les détails du concours ont été publiés sur le site de Microsoft qui espère que les chercheurs vont déboucher sur une technologie novatrice. Katie Moussouris a explique que les gagnants du concours BlueHat Prize conserveront la propriété intellectuelle de leur invention mais qu'ils devront la licencier à Microsoft sans royalties. Les dossiers éligibles devront fournir un prototype qui fonctionne sur Windows et qui sera développé à l'aide du Windows SDK. Ils seront examinés par un panel d'employés du Microsoft Security Response Center. « Microsoft sait qu'il y aura toujours des bugs dans son code, mais une technologie défensive à ajouter à ASLR et DEP [data execution prevention, une protection anti-exploit dans Windows] permettra d'éviter que ces bugs puissent être mis en oeuvre », ajoute Andrews Storms, de nCircle Security.
Néanmoins, il pourrait s'écouler des années avant que le concours ne porte ses fruits. Andrews Storms pense que la technologie pourrait apparaître dans Windows 9 ou peut-être dans une version d'Internet Explorer telle que IE 11 ou IE 12. « Windows 8 est déjà engagé sur son cycle de production » Peut-être que Microsoft pourra intégrer la technologie gagnante dans un service pack pour Windows 8, OS qui est attendu pour l'année prochaine. C'est une chose de trouver une idée et un prototype, « c'en est une autre de la mettre vraiment en oeuvre dans Windows », insiste Andrews Storms.
Microsoft fait le compte des failles permettant d'exécuter du code à distance
Dans son dernier rapport annuel sur la sécurité, Microsoft met en avant certains progrès réalisés pour réduire le nombre de vulnérabilités permettant l'exécution de code à distance. Une version corrigée, re-publiée cette semaine, est moins affirmative à ce sujet. Dans la version initiale du rapport on pouvait lire que « le nombre de vulnérabilités susceptibles de permettre l'exécution de code à distance avait considérablement baissé en termes de pourcentage et en chiffres bruts ». A sa lecture, des incohérences entre les chiffres mentionnés dans le texte et un tableau d'accompagnement ont été soulignées par nos confrères de Network World, incitant Microsoft à publier une mise à jour de son document. L'éditeur indique désormais que le nombre de vulnérabilités permettant l'exécution de code à distance a seulement « baissé en pourcentage. »
Selon le troisième rapport annuel du Microsoft Security Response Center (MSRC) qui suit les progrès réalisés dans ce domaine, au cours de l'exercice fiscal 2011, 62,8% des vulnérabilités permettaient l'exécution de code à distance, un chiffre en baisse comparé aux 70,8% de 2010 et aux 74,1% de 2008. Entre juin 2010 et juin 2011, Microsoft a publié 117 bulletins de sécurité couvrant 283 vulnérabilités, soit un total qui dépasse celui des précédentes années couvertes par le rapport. Microsoft publie le deuxième mardi de chaque mois un Tuesday Patch qui corrige une série de vulnérabilités dans de nombreux produits. Au cours de l'exercice 2010, Microsoft a publié 88 bulletins de sécurité couvrant 211 vulnérabilités dans les produits Microsoft. Selon les pourcentages fournis par la société, environ 149 de ces vulnérabilités permettaient l'exécution de code à distance. En 2011, ce nombre a grimpé à environ 178, soit 29 vulnérabilités de plus.
Les nouvelles versions moins vulnérables
Ces chiffres ne sont que des estimations et un responsable de Microsoft a refusé de préciser le nombre exact de vulnérabilités permettant l'exécution de code à distance identifiées chaque année, et de fournir des statistiques sur d'autres types de vulnérabilités. « Traditionnellement, Microsoft ne divulgue pas le nombre réel de vulnérabilités permettant l'exécution de code à distance, et ne précise pas quels types de vulnérabilités a augmenté ou diminué », écrit le responsable dans un e-mail adressé à Network World. Selon le rapport, les statistiques montrent que les nouvelles versions logicielles sont moins vulnérables que les anciennes, ce qui n'est pas une surprise. Environ 38% des vulnérabilités sont « moins graves, voire inexistantes sur la dernière version de l'application affectée que sur les précédentes. » Seulement 3% des vulnérabilités « affectent la version la plus récente, mais pas les versions plus anciennes », indique encore Microsoft.
Malgré cela, les professionnels de l'informatique et les revendeurs sont toujours accablés par le nombre croissant de patchs à déployer. S'ils appliquaient uniquement les correctifs les plus critiques pour les versions client et serveur actuelles de Windows, les utilisateurs auraient pu réduire le nombre de correctifs de 117 à 24 au cours des 12 derniers mois. Cependant, « Microsoft recommande à ses clients d'installer toutes les mises à jour de sécurité applicables », et déconseille de s'abstenir d'appliquer les correctifs les moins sensibles. « Les techniques de piratage évoluent avec le temps, et, parmi les nouvelles, certaines peuvent permettre à un attaquant de tirer parti de vulnérabilités qui étaient auparavant plus difficiles à exploiter », explique Microsoft.
Illustration : extrait du rapport publié par le Microsoft Security Research Center (MSRC)
5 erreurs à éviter en sécurité (MAJ)
Comme le nettoyage des vitres, la sécurité informatique peut être une tâche ingrate, car cela se remarque seulement lorsque cela n'est pas fait. A l'ère de la virtualisation, du "Cloud Computing" et des smartphones, on se doit d'éviter certaines erreurs techniques et politiques. Notre confrère américain NetworkWorld décrit cinq erreurs à éviter en matière de sécurité.
1. Penser que la vision du business de votre organisation est la même qu'il a cinq ans
Ceci est totalement faux. Le pouvoir et l'influence des responsables de systèmes d'information et de la sécurité ont été rognés à partir du moment où l'entreprise a autorisé les employés à utiliser des appareils mobiles personnels au travail, et depuis qu'elle a poussé des ressources informatiques traditionnelles et d'autres applications en mode Cloud Computing, parfois sans prévenir les responsables informatiques.
Face à ces changements, il est conseillé aux managers des systèmes d'information d'être pro-actifs en introduisant des pratiques de sécurité raisonnables en ce qui concerne les choix des technologies qui évoluent rapidement. Ces choix sont parfois réalisés par des personnes extérieures au département informatique. Les missions des responsables informatiques peuvent être qualifiées de « missions-impossibles » mais ce sont les leurs, et elles peuvent conduire à la mise en place d'une nouvelle politique de sécurité afin d'identifier et de catégoriser les risques afin que les responsables de l'entreprise ne se fassent pas une fausse idée des enjeux.
2. Ne pas réussir à construire des relations qui fonctionnent entre le département informatique et les autres managers de rang élevé
Les équipes en charge de la sécurité informatique sont généralement petites par rapport au reste du département informatique. La sécurité informatique repose alors sur les équipes informatiques afin de s'assurer que les mesures de protection de base sont bien effectuées. Le professionnel en charge de la sécurité informatique doit avoir des connaissances spécifiques pointues et de bonnes certifications en poche (comme le CISSP), mais cela ne signifie pas pour autant qu'il est forcément admiré ou aimé - d'autant plus que les gens en charge de la sécurité sont généralement réputés pour être ceux qui disent "non" aux projets des autres personnes.
Par ailleurs, il ne faut pas penser que l'organisation de l'entreprise est telle que le directeur informatique est toujours le preneur de décisions. Un changement fondamental se produit. Le rôle du CIO en tant que dirigeant et décideur pour les projet IT est entrain de décroitre au profit des directeurs financiers qui ont le dernier mot.
NetworkWorld estime même que certaines preuves révèlent que les directeurs financiers n'apprécient guère les directeurs informatiques. Les idées des directeurs financiers en matière de sécurité ne dépasseraient pas les simples aspects de la conformité à la réglementation en vigueur. Le travail pour le professionnel de la sécurité doit être de communiquer, communiquer, communiquer.
3. Ne pas être conscient des problèmes de sécurité soulevés par la virtualisation
Les entreprises sont sur la route de la virtualisation de 80 % de leur infrastructure de serveurs. Les projets de virtualisation des PC de bureau sont quant à eux en augmentation. Mais la sécurité est à la traîne, beaucoup pensent encore à tort qu'elle se résout avec l'usage de réseaux virtuels VLAN. La réalité est que les architectures de virtualisation ont tout changé en ouvrant de nouvelles voies qui peuvent être exploitées par des pirates. Cela s'est déjà produit à de multiples reprises dans l'industrie informatique : des technologies révolutionnaires sont devenues disponibles mais une attention insuffisante a été accordée à l'impact sécuritaire qu'elles pouvaient avoir.
Certains produits traditionnels de sécurité, tels que les logiciels antivirus par exemple, ne fonctionnent pas bien sur des machines virtuelles. Les "appliances" matérielles peuvent présenter de nouvelles failles ou être invisibles sur le réseau et donc difficiles à contrôler. Aujourd'hui, les produits de sécurité spécialisés pour les environnements virtualisés arrivent enfin sur le marché - et les professionnels de la sécurité doivent comprendre s'ils doivent être utilisés ou pas. En parallèle, ces mêmes professionnels doivent tenir compte des évolutions en matière de sécurité des éditeurs tels que VMware, Microsoft ou Citrix. La virtualisation s'annonce très prometteuse en matière de sécurité pour améliorer le redémarrage de l'informatique en cas d'incident majeur.
Crédit photo : D.R.
[[page]]
4. Ne pas donner suite à une fuite d'informations
C'est un scénario cauchemardesque dans lequel les données sensibles sont volées ou accidentellement divulguées. En plus des techniques de détection ou de correction, les responsables de l'informatique doivent suivre l'évolution de la loi en matière de fuites de données.
Mais quelles lois ? Cette question se pose particulièrement aux États-Unis où presque chaque état a maintenant ses propres lois sur la fuite de données et qu'il existe des règles fédérales. Quand une fuite de données arrive, cet évènement - souvent coûteux - requiert une participation coordonnée du directeur de la sécurité IT, du département IT, du service juridique, des ressources humaines et de la communication, au minimum. Il est préconisé que ces organisations se réunissent pour planifier le pire des scénarios de gestion de crise. En Europe et en France, les lois sont également en train d'évoluer et préparer des scénarios de gestion de crise est tout aussi indispensable, notamment afin d'éviter toute dégradation de l'image de l'entreprise auprès du public.
5. Se reposer sur les fournisseurs de sécurité informatique
NetworkWorld estime qu'il est nécessaire d'avoir de solides partenariats avec les éditeurs et les fournisseurs de sécurité informatique. Mais le danger, comme dans toutes relations avec un fournisseur, est d'oublier de regarder les produits et les services avec un oeil critique, en particulier en ce qui concerne la comparaison du service ou du produit avec les offres de la concurrence.
Il est nécessaire également d'examiner s'il est possible de trouver de nouvelles approches aux problèmes de base tels que l'authentification et l'autorisation, l'évaluation des vulnérabilités et la protection contre les malwares. De nombreux fournisseurs ont du mal à adapter leurs solutions de sécurité traditionnelles aux domaines de la virtualisation et du cloud computing. Dans un certain sens, c'est un peu le temps du chaos à l'heure où l'industrie informatique entreprend de se réinventer. Mais cela signifie que l'équipe en charge de la sécurité informatique va devoir s'imposer pour obtenir ce qu'elle croit nécessaire à l'entreprise maintenant et demain.
(...)
Patch Tuesday : Mises à jour moins nombreuses, mais correctifs plus denses
Le nombre de correctifs pour le prochain Patch Tuesday est plus petit que celui du mois de juin. Microsoft avait alors livré 16 mises à jour, corrigeant 34 vulnérabilités. L'éditeur fournit généralement moins de mises à jour dans les mois impairs. En mai, par exemple, Microsoft livré seulement 2 mises à jour pour réparer 3 failles.
Parmi les 4 mises à jour prévue la semaine prochaine, une sera qualifiée de « critique », notation la plus élevée dans le système de Microsoft qui en comprend 4. Les 3 autres seront affectées de la notation « important ». Le Patch Tuesday sera le troisième en nombre de correctifs proposés (22), le mois d'avril détient le record avec 64 puis vient le mois de février avec 34.
Mais le ratio failles par mise à jour sera le plus élevé de l'année, observe Andrew Storms, directeur des opérations de sécurité chez nCircle security. « Je pense que nous allons voir un bulletin avec un nombre très élevé de vulnérabilités », a déclaré Andrew Storms. « Nous avons vu cela se produire plusieurs fois cette année, notamment le mois dernier quand l'éditeur a corrigé 8 bugs dans Excel avec une mise à jour » ajoute-t-il.
Réparer les augmentations de privilèges et les détournements de DLL
Le spécialiste indique que le Patch Tuesday devrait réparer de nombreuses failles permettant soit une « augmentation de privilèges » (prendre les droits administrateurs sur une machine), mais également pour éviter des « détournements de DLL ». Sur ce dernier risque, Microsoft a publié plus d'une douzaine de mises à jour concernant ce type d'attaque.
La seule mise à jour critique prévue pour la semaine prochaine affecte Windows Vista et Seven, mais n'a pas d'impact sur XP ou sur les versions serveurs de l'OS. Andrew Storms indique que la faille corrigée était présente dans Vista, puis livrée avec Windows 7.
Trois des quatre mises à jour seront liées à Windows, tandis que la quatrième s'attachera à des problèmes dans Microsoft Visio 2003, qui a été patché en février dernier. Les 3 mises à jour qui s'appliquent à Windows Vista corrigeront des bugs dans le Service Pack 1 (SP1), édition qui prendra aussi sa retraite dès mardi prochain tout comme Office XP.
(...)
Des hackers d'Anomymous identifiés en Italie et Suisse
Les pirates d'«Anonymous» ont subitement perdu une partie de leur anonymat. La police italienne a procédé à des perquisitions visant quinze pirates de ce collectif. Ils sont accusés d'être impliqués dans des attaques contre des sites institutionnels italiens, notamment la Chambre des députés et le Sénat, et des sites de grandes entreprises, par exemple Enel et Rai. Des dizaines d'ordinateurs et des documents ont été saisis. Ils devraient permettre de remonter à d'autres membres du groupe. L'un des membres du groupe est né en Suisse et vit au Tessin. Sous le pseudonyme de «Phre», il est soupçonné d'avoir organisé et donné le feu vert aux attaques décidées par le groupe.
Au niveau mondial, le groupe de pirates s'est fait connaître par des attaques ciblées des sites de cartes de crédit américaines (Visa et MasterCard). Il est surnommé « Robin des bois ». Des opérations policières similaires ont eu lieu aux Etats-Unis, au Royaume-Uni et en Espagne.
Crédit photo : D.R.www.ICTjournal.ch (...)
| < Les 10 documents précédents | Les 10 documents suivants > |