Flux RSS

Inscrivez-vous

Recap IT : Les Anonymous et Duqu super stars, Google + s'ouvre aux entreprises, Adobe tue Flash pour mobile

Encore une semaine amputée d'un jour, mais l'actualité IT est toujours aussi dense. Sur le plan de la sécurité, les projecteurs se sont tournés vers le collectif de hackers Anonymous. A chaque piratage de grande envergure, sites gouvernementaux, grandes entreprises ou sectes, ils sont pointés du doigt. Là en l'occurrence, ils sont fortement soupçonnés d'avoir bloqué des sites militaires israéliens, mais également d'avoir fait plier un cartel de drogue mexicain. Autre star de la semaine, Duqu qui n'en finit pas de faire parler de lui. D'un côté, Microsoft annonce un correctif partiel sur ce trojan. De l'autre, F-Secure détaille les risques liés à Duqu, alors que NSS Labs se targue d'avoir créé un outil Open Source pour détecter le malware qui est contesté par plusieurs éditeurs de solutions de sécurité.

Toujours sur la sécurité, la CIA s'intéresse aux tweets en analysant quotidiennement 5 millions de messages pour trouver des éléments criminels ou terroristes. La société Palo Alto a présenté Wildfire, un outil capable de détecter et bloquer le trafic suspect.

SAP, Fujitsu tiennent forum et Google + s'ouvre aux entreprises

Si Gartner annonce une deuxième récession dans les dépenses IT, plusieurs acteurs de l'IT ont montré lors de différents évènements qu'ils étaient dynamiques sur le plan des produits et des services. Ainsi, Fujitsu Forum se positionne clairement dans le cloud comme un acteur de bout en bout, du hardware jusqu'au logiciel en proposant en propre une solution de CRM Open Source en mode SaaS. De son côté, SAP lors de son évènement à Madrid Sapphire cible l'analyse des données à travers sa solution in memory HANA, mais reste aussi vigilant et innovant sur son coeur de métier.  EMC tenait aussi son Forum à Paris avec un focus bien évidement sur le big data, mais aussi sur sa volonté d'étoffer son écosystème de partenaires.

Dans un autre registre, Google a annoncé l'ouverture de son réseau social, Google +, aux entreprises. Cela été très attendu et certains comme la Caisse d'Epargne ont rapidement annoncé leur présence. Le PDG de Facebook, Mark Zuckerberg, a dénigré son concurrent en indiquant qu'avec Google +, la firme de Moutain View s'était créé un petit Facebook.

Adobe liquide Flash sur mobile et Juniper plante le web

Il aura fallu 6 minutes de panne à cause d'une mise à jour sur des routeurs edge de Juniper pour que le web américain et européen soit ralentit pendant plusieurs heures. Pour Adobe, la décision a été prise de cesser le développement de Flash Player sur les mobiles pour se focaliser sur le HTML5. Ce recentrage entraîne la suppression de 750 emplois. Steve Jobs peut sourire d'outre-tombe, lui qui avait refusé l'intégration de Flash sur les terminaux mobiles Apple. La firme de Cupertino ferraille toujours avec Samsung sur les brevets, même si la Commission européenne pourrait pousser les deux protagonistes à un compromis.

Paroles de pirate : une attaque MITM décortiquée

Nous allons vous détailler une attaque dite MITM (Man In The Middle). Cette technique consiste à infiltrer un réseau et intercepter les informations qui y transitent sans être vu.
Nous allons détailler deux types d'attaques utilisant la méthode de « l'homme du milieu ».

En premier lieu, nous allons établir une attaque basique. Elle va analyser le réseau pour récupérer différentes données codées en ASCII. Dans un deuxième temps, nous lancerons une attaque utilisant le certificat SSL sur le port 1500. Cela consiste à envoyer une url de redirection à la victime, qui pense se trouver sur un site sécurisé en https.

Sur l'attaque basique

Elle repose sur ce que l'on appelle le cache ARP. Il s'agit d'une table de couples d'adresses IPv4-MAC contenue dans la mémoire d'un ordinateur qui utilise le protocole ARP, ce qui est le cas des ordinateurs qui sont connectés à un réseau IP sur un segment Ethernet.

Pour lire la suite du tutoriel, cliquez ici

Selon PWC, 4 bonnes pratiques améliorent vraiment la sécurité

61% des entreprises françaises ont connu un incident relatif à la sécurité informatique en 2011 selon une étude du cabinet PWC, contre 39% en 2010. Le niveau de confiance des entreprises dans leur sécurité passe en trois ans de 87% à 55%. Tous les domaines sont touchés par une croissance forte de l'insécurité : 20% estiment avoir subi des pertes financières (contre 15% en 2010 et 8% en 2008), 17% se plaignent de vol de propriété intellectuelle (6% en 2008) et 13% des atteintes à l'image (6% en 2008). La situation est plutôt meilleure en France que dans le reste du monde, ceci dit.



Selon le cabinet d'audit, quatre bonnes pratiques divisent par deux les risques observés. Mais seulement 13% des entreprises (11% en France) les appliquent toutes les quatre. Tout d'abord, il s'agit de définir une stratégie de sécurité de l'information au lieu d'une simple politique technique de sécurité informatique. La différence résulte surtout de la volonté d'utiliser la technologie au lieu de la subir.

La deuxième bonne pratique est liée à la mise en place de la stratégie : il s'agit pour les dirigeants d'être en relation directe avec les experts afin d'être informés autant des risques que des opportunités afin de prendre les bonnes décisions. Le rattachement de la sécurité au Top Management n'existe que dans 47% des cas. Ce point est jugé comme le plus critique par 25% des entreprises, juste après le manque de moyens budgétaires (27%). Les RSSI préfèrent citer le manque de compréhension et de vision par la direction des enjeux et l'excès de complexité des SI comme sources des problèmes (respectivement : 37% et 30%).

Bien entendu, la stratégie de sécurité doit être révisée régulièrement. Dans son troisième point, PWC préconise une revue annuelle afin de s'assurer que les risques du moment sont bien couverts. Enfin, mais ce dernier point devrait peut-être se situer en premier, il s'agit d'être en mesure d'identifier les incidents, leurs causes et leurs conséquences afin de prendre les décisions adéquates.

Sources externes d'incidents

La France considérait ses relations externes habituelles (par opposition à des pirates inconnus ou des collaborateurs) plutôt moins sévèrement que le reste du monde en 2009. La tendance s'est aujourd'hui inversée. Ainsi, les clients n'étaient identifiés en 2009 comme une source de menace que dans 6% des cas en France (contre 10% dans le monde), 5% pour partenaires et fournisseurs (8% dans le monde). En 2011, 17% des entreprises, autant en France que dans le monde, accusent les clients et 17% en France les partenaires et fournisseurs contre 15% dans le monde.

Le marché des services de sécurité informatique se joue de la crise selon Gartner

Le marché des services délivrés autour des produits de sécurité informatique ne connaît pas la crise et ne devrait pas la connaître avant quelques années. Selon le cabinet d'études Gartner, la fourniture de ce type de prestations devrait représenter un chiffre d'affaires mondial de 35,1 milliards de dollars cette année contre 31,1 milliards un an plus tôt. L'an prochain, les revenus du secteur devraient progresser de 9% et atteindre enfin 49,1 milliards de dollars en 2015. « Le marché des services de sécurité a évolué rapidement ces dernières années avec [...] des clients qui préfèrent souvent souscrire à des prestations. Cela leur permet de baisser leurs coûts d'exploitation pendant qu'ils consacrent leurs ressources à des problématiques de sécurité plus stratégiques », indique Lawrence Pingree, directeur de recherche chez Gartner.

La gestion des ressources IT : premier poste de dépenses en 2015

Parmi les différents services proposés, le développement et l'intégration est celui dont les revenus seront les plus importants, 11,3 milliards de dollars en l'occurrence. Un montant qui devrait atteindre 13,8 milliards de dollars en 2015. Arrivent en seconde position les services de conseil avec 9,6 milliards en 2011 (12,1 milliards en 2015). La gestion des ressources IT, le support logiciel ainsi que le support et la maintenance matériel devraient dégager quant à eux 8, 5 et 1 milliard de dollars de revenus cette année. A noter que la croissance du segment des services de gestion des ressources IT sera telle dans les années à venir que ses revenus devraient passer à près de 15 Md$ en 2015. A cette date, il s'agira du poste de dépense le plus important consacré par les entreprise aux services de sécurité IT.

Comme l'indique Gartner, c'est en Amérique du Nord que les fournisseurs de services de sécurité IT trouvent les plus importants débouchés. Outre-Atlantique, le chiffre d'affaires du secteur devrait en effet atteindre 14,6 Md$ en 2012 puis 19 Md$ en 2015. Pour l'Europe de l'Ouest, Gartner table sur des revenus de l'ordre de 12 Md$ l'an prochain et de 14,4 Md$ en 2015.

Dossier Sécurité : les nouvelles menaces à la porte des entreprises

Avec WildFire, Palo Alto Networks détecte et bloque le trafic suspect

Le spécialiste californien de la sécurité Palo Alto Networks améliore ses produits pare-feu avec une capacité d'identification plus précise des paquets sortants générés par des logiciels malveillants. Une technique qui aidera les entreprises à détecter les malwares inactifs dissimulés sur les postes de travail lors qu'ils commenceront à transmettre des informations.

La société a baptisé sa technologie WildFire, et la proposera comme une mise à jour gratuite pour tous ses firewalls. Elle est censée enrayer les attaques très ciblées, où le malware n'est pas largement diffusé et surtout conçu pour échapper aux traditionnelles méthodes de détection de premier niveau.

Une sandbox virtuelle

Les firewalls de Palo Alto pourront également examiner les fichiers douteux dans une sandbox virtuelle pour examiner comme se comportent ces fichiers. Si un malware tente de modifier la base de registres, en injectant une partie de son code, il sera bloqué. Et même si une partie du malware parvenait à échapper à cet examen, elle finira par être repérée quand elle commencera à commencer à envoyer des données hors de l'ordinateur, et c'est ce que WildFire est censée détecter, même si le flux est crypté, a déclaré Wade Williamson, analyste en sécurité chez Palo Alto Networks.

WildFire examine le trafic, et s'il est douteux, va générer une signature pour identifier les paquets suspects et les bloquer à l'avenir. Cela peut signifier qu'un ordinateur peut être infecté avec le malware, mais que la machine pourra être isolée et désinfectée, poursuit M.Williamson. « La grande question est de s'assurer que vous ne vous laissez infecter qu'une seule fois ». Les firewalls de Palo Alto Networks pouvaient déjà détecter les paquets suspects qui tentaient de sortir de l'entreprise, mais « nous n'avions pas la bonne réponse pour bloquer la cause », indique Wade Williamson.

Des tests concluant avec la bêta

Au cours des tests avec la version bêta de WildFire, nous avons trouvé des malwares qui n'avaient pas encore été détectés par le service VirusTotal de Hispasec, qui permet aux utilisateurs de voir si un logiciel malveillant a déjà été détecté par la communauté des fournisseurs de sécurité, a déclaré M.Williamson.

WildFire est livré avec PanOS 4.1, la dernière mise à jour du système d'exploitation pour firewalls de Palo Alto Networks. La société a également annoncé  l'AP-200, un pare-feu de plus petite taille. Elle propose également son logiciel de contrôle, GlobalProtect pour les systèmes d'exploitation MacOSX et iOS d'Apple.

La CIA surveillerait jusqu'à 5 millions de tweets par jour

Twitter et Facebook permettent à la CIA, l'agence centrale de renseignement américaine, de se faire une idée fiable, en temps réel, de l'opinion publique, au tempo de l'évolution des événements dans le monde. Selon l'Associated Press, la CIA suit jusqu'à 5 millions de tweets par jour déversés sur Twitter, Facebook et dans les blogs. La centrale du renseignement observe aussi d'autres réseaux sociaux depuis un immeuble ordinaire situé dans une zone industrielle de Virginie. Contacté au sujet de cet article par nos confrères de ComputerWorld, le porte-parole de la CIA n'a pour l'instant pas réagi.

Une équipe de la CIA composée d'une centaine de personnes environ, connues en interne comme les « bibliothécaires vengeurs », rassemble des informations en plusieurs langues pour établir une photographie en temps réel de l'état de l'opinion dans différentes régions du monde. L'analyse est « prisée au plus haut niveau de la Maison Blanche » et « les services de renseignement du Président en font un compte rendu presque quotidien, » indique l'AP, citant Doug Naquin, le directeur de l'Open Source Center de la CIA.

Analyse des tweets en arabe et en turc

Par exemple, selon l'article de l'agence de presse, le jour où un soldat des SEAL, les forces spéciales de la Navy, a tué Oussama ben Laden au Pakistan, les analystes du centre de Virginie ont surveillé Twitter pour donner à la Maison Blanche une image rapide de la réaction mondiale à l'événement. Les analystes ont pu rapidement se rendre compte que la « majorité des tweets en ourdou, la langue officielle du Pakistan, réagissaient de manière négative à l'évènement, » indique l'AP.

« Une analyse similaire du trafic en arabe et en turc sur Twitter après le discours du Président Obama sur les enjeux au Moyen-Orient, quelques semaines après le raid, avait montré que dans la région, la majorité des gens estimait que Barack Obama était favorable à Israël, alors que les tweets en hébreu exprimaient des sentiments contraires, » ajoute l'AP.

Des directives pour protéger la vie privée des américains

« Récemment, Twitter et Facebook ont fourni des ressources clés pour suivre les événements en Égypte, à Bangkok, la capitale thaïlandaise, et en Iran, » ajoute encore l'AP. « Mis en place pour répondre aux recommandations de la Commission 9/11 sur le 11 septembre, ce département de la CIA se concentre sur les opérations antiterroristes, » précise aussi l'article.

Ces informations sur les opérations de la CIA interviennent quelques jours à peine après que le Département de la Sécurité Intérieure Américain (Department of Homeland Security - DHS) ait affirmé qu'il travaillait sur des directives pour protéger la vie privée des citoyens américains.

NSS Labs fournit un outil contesté de détection de Duqu

Le scan mis au point par NSS Labs utilise des techniques de reconnaissance de structure avancées et a été créé spécialement pour pister Duqu, ce bout de code de malware qui mobilise l'attention de l'industrie de la sécurité toute entière depuis quelques semaines. Beaucoup d'experts pensent que Duqu est étroitement lié au ver Stuxnet, découvert l'an dernier, qui avait montré ses capacités en matière de sabotage industriel. Les techniques d'attaque utilisées par Duqu et même le code, présentent des similarités avec le ver, qualifié comme le malware le plus sophistiqué de tous les temps.

Jusqu'ici, la communauté de chercheurs en sécurité a établi que Duqu infectait les systèmes en exploitant une vulnérabilité non corrigée dans le noyau Windows via des documents Word, que celui-ci avait une architecture modulaire comportant un « outil de dissimulation d'activité » ou « rootkit » se comportant comme un pilote de système, et qu'il ciblait certaines organisations dans le but d'exfiltrer des informations sensibles. « Nous espérons que cet outil va nous permettre de découvrir des vecteurs supplémentaires de Duqu, d'en savoir davantage sur la manière dont ils fonctionnent, sur leurs capacités, et de connaître la vraie raison d'être du malware, » ont déclaré les ingénieurs du NSS Labs à l'origine du scanner Open Source dans un blog. Le laboratoire affirme que l'outil est capable de détecter les vecteurs de Duqu sans faux positifs et qu'il a même capté deux échantillons de code juste après sa mise en service.

Un outil peu efficace selon les éditeurs de solutions de sécurité

Costin Raiu, directeur de l'équipe de recherche et d'analyse chez Kaspersky Lab, a émis certaines réserves quant à la portée de l'outil de NSS Labs. « Il est utile, mais ses règles heuristiques sont trop réduites, » a-t-il estimé. Selon lui, tout outil heuristique capable de détecter les vecteurs de Duqu devrait également être en mesure de détecter le ver Stuxnet, en raison de la grande similitude entre les deux. Or cela ne semble pas être le cas avec le scanner de NSS Labs. « La menace est complexe, c'est pourquoi Kaspersky Lab ne propose pour l'instant aucun outil pour détruire spécifiquement Duqu, » a encore déclaré Costin Raiu. « D'autant qu'un simple outil de suppression ne serait tout simplement pas suffisant. Chaque cas d'infection doit être traité très sérieusement, et nous recommandons aux victimes de nous contacter immédiatement pour effectuer une analyse criminelle approfondie, » a-t-il ajouté. Selon l'expert en sécurité, « l'analyse des autres traces laissées par Duqu sur les systèmes infectés, en dehors des pilotes malveillants, est tout aussi importante, car elle peut fournir des renseignements sur l'objectif final des attaquants. »

Par ailleurs, Costin Raiu ne croit pas que la nature Open Source de l'outil de NSS Labs va permettre aux créateurs de Duqu d'échapper plus facilement à la détection. « Il est évident que les auteurs de Duqu et de Stuxnet ont, de toute façon, fait en sorte que leurs logiciels malveillants ne soient pas détectés au moment de l'attaque. Ils ont donc déjà contourné les détections, » a t-il fait valoir. « Open Source ou pas, ce ne sera pas un problème pour eux de recréer de nouveaux composants non détectables, » a ajouté le responsable de Kaspersky Lab. Son opinion est partagée par Mikko Hypponen, directeur de recherche chez F-Secure. «  Les créateurs de Duqu sont très forts. Ils n'auraient aucune difficulté à échapper à la détection de n'importe quel scanner, si ils le veulent, » a t-il dit.

NSS Labs propose non seulement son scanner gratuitement, mais aussi la rétro-ingénierie complète du code de Duqu et d'autres ressources. Néanmoins, le code ne sera disponible que pour les chercheurs qui prennent contact avec l'entreprise et satisfont à leur procédure d'admission.

La CNIL confirme la condamnation d'un collecteur de donnée personnelles

La jurisprudence de la CNIL (Commission Nationale Informatique et Liberté) est constante en matière d'aspiration de données personnelles sur le web : c'est et cela demeure interdit. Une telle aspiration constitue en effet une collecte déloyale de données personnelles. En l'occurrence, la société PM Participation a été condamnée à une amende administrative de 10 000 euros par la formation contentieuse de la CNIL en juin dernier. La condamnation vient d'être publiée, une fois les délais de recours épuisés.

Cette société, tout comme Direct Annonces condamnée en 2009, collectait les petites annonces immobilières un peu partout sur le web et revendait les fichiers de personnes vendant leurs biens à des agences ou à des prestataires de services (déménageurs...). La collecte et la revente ne tenait même aucun compte de mentions expresses comme « agences s'abstenir ».

Aucun moyen de s'opposer à la revente des données personnelles

Au-delà de la collecte déloyale, le droit d'opposition des personnes ainsi intégrées aux fichiers revendues était nié. N'étant pas informés de la collecte en vue d'une revente, ces personnes n'avaient pas la possibilité de s'y opposer.

La condamnation a été opérée après un contrôle sur place dans les locaux de l'entreprise par des agents assermentés de la CNIL.