Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 291 à 300.
| < Les 10 documents précédents | Les 10 documents suivants > |
(27/09/2011 15:08:11)
MySQL.com piraté pour injecter des logiciels malveillants
Le fournisseur de services de sécurité Armorize Technologies a relevé le problème sur le site MySQL.com le lundi 26 septembre à environ cinq heures, heure du Pacifique. Des pirates avaient installé un code JavaScript qui a injecté toute une série d'attaques à destination des navigateurs web des visiteurs du site web. Ces attaques exploitaient les failles des navigateurs non mis à jour ou utilisant des versions non patchées d'Adobe Flash et Reader. Les PC - sous Windows - pourraient avoir été discrètement infectés par des logiciels malveillants.
Juste après 11 heures, le problème avait été réglé et le site web nettoyé, a déclaré Wayne Huang, PDG de Armorize Technologies. Il pense que le code malveillant est resté moins d'une journée sur le site MySQL.com. Wayne Huang a également indiqué que les hackers avaient utilisé le kit Black Hole pour inquiéter les visiteurs du site, mais son équipe n'avait pas encore compris quel type de logiciel malveillant avait été installé. Généralement, les cyber-criminels tentent d'implanter des programmes malveillants afin de voler les mots de passe des victimes, d'afficher de fausses pubs pour des logiciels antivirus factices ou de créer des ordinateurs zombies qui peuvent être loués à d'autres. Oracle, qui gère le projet MySQL.com, enquête encore sur le problème et n'a pas souhaité apporter d'éclaircissements supplémentaires sur cette affaire.
Cliquer sur l'image pour l'agrandir
Les sites Open Source sont devenus des cibles de choix
Les sites Open Source comme MySQL.com qui génèrent un trafic Internet très important ont été durement touchés ces derniers mois. Ces dernières semaines, la Linux Foundation a été obligée de mettre en berne plusieurs de ses sites compromis, Kernel.org et Linux.com par exemple. Et MySQL lui -même avait déjà été frappé un peu plus tôt dans l'année.
Les pirates informatiques qui ont attaqué MySQL.com en mars dernier ont publié une liste de noms d'utilisateurs et de mots de passe. Des informations réutilisées par la suite pour se réintroduire dans le site selon Maxim Goncharov, chercheur chez l'éditeur Trend Micro. Sur certains forums russes, un hacker nommé sourcec0de a récemment indiqué pouvoir fournir un accès aux serveurs de MySQL.com, explique encore Maxim Gontcharov. Le prix de ce service un peu particulier ? 3000 dollars américains. On ne sait pas si sourcec0de a vraiment eu accès au site MySQL.com, mais il a publié des captures d'écrans qui semblaient démontrer qu'il avait un accès aux serveurs MySQL, a déclaré Maxim Goncharov sur son blog.
Illustration principale : Capture d'écran de MySQL.com réalisée par Amorize
Microsoft veut-il utiliser l'UEFI pour bloquer Linux sur les PC Windows 8
Microsoft se sert-il de la technologie de démarrage sécurisée de Windows 8 pour bloquer l'utilisation de Linux et d'autres OS sur certains ordinateurs ? Si l'éditeur a démenti une telle intention, Matthew Garrett, un développeur de Red Hat, soutient que cela pourrait être néanmoins le cas. Avec Windows 8, Microsoft est en train d'imposer l'utilisation de la technologie UEFI (Unified Extensible Firmware Interface) qui sécurise le boot du système de telle manière que « l'utilisateur final n'est plus en mesure de contrôler son PC », accuse le développeur de Red Hat sur un blog. Mais Microsoft affirme que cette accusation repose sur un malentendu. « À la fin de la journée, le client peut retrouver le contrôle de son PC, » assure en réponse Tony Mangefeste, manager programme chez Microsoft, dans un blog de la firme de Redmont.
La controverse a débuté mardi dernier quand Matthew Garrett a fait remarquer dans un blog que les ordinateurs certifiés exécutant Windows 8 ne seraient peut-être pas en mesure d'exécuter d'autres systèmes d'exploitation, comme Linux. Selon le développeur, les utilisateurs ne pourraient pas installer Linux comme second OS, ou remplacer Windows avec une copie de Linux. Matthew Garrett affirme que Windows 8 aura besoin de l'ordinateur hôte pour utiliser UEFI, l'interface bas niveau située entre le firmware de l'ordinateur et le système d'exploitation. Présenté comme un remplacement du BIOS, l'UEFI contient un protocole de démarrage sécurisé, qui demande au système d'exploitation une clé numérique avant qu'il soit chargé par la machine. Sans cette signature, l'UEFI peut bloquer le fonctionnement de tous les programmes ou de tous les pilotes. Ce protocole doit empêcher les logiciels malveillants d'infecter les machines au moment du boot et protège le processus de démarrage.
Des clefs numériques pour installer l'OS
Avec Windows 8, Microsoft va exiger des fabricants de matériel (ceux qui souhaitent afficher le logo Windows sur leurs machines) de livrer des ordinateurs avec ce processus de démarrage sécurisé actif. Chaque machine nécessiterait alors une clé numérique fournie par Microsoft, par le fabricant ou, si elle utilise un autre OS, une clé sécurisée pour cet OS. « Les utilisateurs qui personnalisent leurs propres versions de Linux, ou utilisent un OS générique qui ne nécessite pas de clé ne seront peut-être pas en mesure d'exécuter ces OS sur les machines avec ce processus de boot sécurisé, » explique Matthew Garrett. Par ailleurs, il n'y a aucune garantie que les OEM (Original Equipment Manufacturers) proposent aux utilisateurs l'option d'ajouter leurs propres clés, ou de laisser les utilisateurs démarrer avec d'autres systèmes d'exploitation sans clé.
Le billet de Matthew Garrett a suscité un débat nourri dans la presse spécialisée et les communautés d'utilisateurs de Linux. Répondant à la polémique, Microsoft a nié que son intention était d'exclure Linux de ces machines. Bien qu'il n'ait pas mentionné Linux directement, Steven Sinofsky, président de Windows et de la Windows Live Division, fait valoir dans un article publié sur un blog que certains commentaires s'appuient sur des éléments « qui n'ont rien à voir avec la réalité » pour « élaborer leurs scénarios. » Une autre partie du billet, rédigé par Tony Mangefeste, avance le fait que seul Windows 8 sera protégé par ce mode de démarrage sécurisé, et que les équipementiers seront libres d'intégrer une option pour désactiver ce boot protégé pour exécuter d'autres systèmes sans clé numérique. Il précise également que les autres fournisseurs de système d'exploitation seront chargés de fournir les clés pour leurs OS.
Une option pour installer les vieux OS
« Pour les passionnés qui veulent faire tourner des systèmes d'exploitation plus anciens, une option leur permettra d'installer le système souhaité, » a écrit le manager programme. « Cependant, la désactivation du démarrage sécurisé se fera aux risques de l'utilisateur, » a-t-il ajouté. « La réfutation de Microsoft est tout à fait exacte dans les faits. Mais elle est également trompeuse», a répondu le développeur dans un autre billet de blog, posté vendredi. Selon l'accord de licence, l'équipementier n'a aucune obligation de fournir aux utilisateurs la possibilité de désactiver le démarrage sécurisé. Il faut toutefois tempérer ce débat en rappelant que Windows 8 sera livré avec Hyper-V, l'hyperviseur de Microsoft qui permettra d'installer des OS dans une machine virtuelle.
Mis à part l'option de pouvoir installer des systèmes d'exploitation tiers, ce verrouillage pourrait également empêcher les utilisateurs de modifier certains composants de la machine comme les cartes graphiques par exemple, car il n'y a pas obligation pour le fabricant de permettre à l'utilisateur d'installer des clefs supplémentaires. « La vérité, c'est que la technologie de démarrage sécurisé UEFI est une caractéristique précieuse et utile que Microsoft peut utiliser pour avoir un contrôle plus serré sur le marché, » continue d'accuser Matthew Garrett.
(...)(26/09/2011 11:09:02)Timeline de Facebook : Une aubaine pour les pirates
TimeLine, la fonctionnalité tout juste dévoilée par Facebook aux développeurs, et que l'entreprise prévoit de déployer dans quelques semaines, résume, sur une seule page, les événements passés importants des utilisateurs. Selon Mark Zuckerberg, le PDG de l'entreprise, Timeline, c'est « l'histoire de votre vie. » Cet aspect n'a pas échappé aux experts de l'éditeur britannique Sophos spécialisé dans la sécurité. « Timeline facilite énormément la collecte d'informations sur les personnes, » a déclaré Chet Wisniewski. «Certes, ces données existent déjà actuellement sur Facebook, mais elles ne sont pas accessibles aussi facilement. »
« Les cybercriminels cherchent souvent à dénicher des détails personnels sur des sites de réseautage social pour élaborer des attaques ciblées, » fait remarquer le chercheur de Sophos, « et Timeline va leur mâcher le travail. » D'autant que « Facebook encourage les gens à combler les vides dans l'histoire de leur vie», a constaté Chet Wisniewski. Celui-ci fait notamment référence à l'outil qui demande aux utilisateurs d'ajouter des détails aux sections laissées vides. « Les gens utilisent souvent des éléments de leur vie personnelle pour élaborer leurs mots de passe ou encore définir la question de sécurité que certains sites et services demandent pour réinitialiser les mots de passe.
Plus il y a de détails dans un récit, plus les gens se mettent en danger, » a encore estimé le chercheur. « Vous vous souvenez du hack du compte de Sarah Palin, l'ancien gouverneur de l'Alaska? » a-t-il demandé. « Le pirate avait trouvé en ligne les réponses aux questions de sécurité imaginées par l'ancien gouverneur, » a-t-il ajouté. Il avait fallu seulement 45 minutes à l'ancien étudiant de l'Université du Tennessee qui s'était vanté de l'exploit - il a été condamné pour de multiples chefs d'inculpation par un tribunal fédéral l'an dernier - pour réinitialiser le mot de passe du compte de messagerie Yahoo de Sarah Palin.
Des informations importantes pour les pirates
« Les pirates peuvent aussi utiliser ce qu'ils trouvent sur Facebook et ailleurs pour élaborer des emails convaincants dans lesquels ils peuvent inclure des logiciels malveillants ou des liens vers des sites malveillants, » a déclaré Chet Wisniewski, même si l'individu n'est pas forcément la cible. «Le pirate peut chercher à viser l'entreprise pour laquelle travaille un individu particulier, comme ça a été le cas pour les salariés de RSA Security », a-t-il déclaré, en rappelant les courriels envoyés à des salariés ordinaires de cette entreprise plus tôt cette année, accompagnés de feuilles de tableur Excel infectées par des logiciels malveillants qui ont permis aux pirates de s'introduire dans le réseau de RSA. Grâce à cela, les criminels ont pu siphonner les systèmes de RSA et voler des informations confidentielles sur sa technologie d'authentification par tokens SecurID.
D'autres individus, qui ne sont pas des pirates au sens strict, pourraient utiliser Timeline pour déterrer rapidement des informations sensibles qu'ils peuvent exploiter, » a déclaré Chet Wisniewski. «Par exemple, une personne malveillante pourrait utiliser Timeline pour collecter des informations en vue de vous harceler, ou un collègue de travail en concurrence sur le plan professionnel pourrait les utiliser contre vous, » a-t-il ajouté. « Plus vous vous employez à compléter votre histoire - et nous avons été conditionnés à remplir des formulaires - plus il sera facile à une personne mal intentionnée de collecter des renseignements vous concernant, » a déclaré le chercheur.
[[page]]
Même si les paramètres actuels de confidentialité de Facebook vont s'appliquer à la Timeline - les utilisateurs pourront décider de ce que chaque ami pourra voir - et même si la Timeline peut être éditée à tout moment pour supprimer un évènement gênant, le chercheur semble assez pessimiste quant à la capacité de décision des utilisateurs. « Vous pouvez nous taxer de paranoïaques ou nous reprocher d'être trop prudents - mais nous sommes payés pour réfléchir aux dangers possibles. Et, pour 99% des individus, ce facteur danger ne semble même pas traverser leur esprit, » a déclaré Chet Wisniewski.
Dans un sondage réalisé par Sophos sur son site Internet, près de 50% des personnes ayant répondu ont convenu que la Timeline de Facebook les inquiétait, et environ 17% ont trouvé l'idée séduisante ou dit qu'ils s'y adapteraient. Chet Wisniewski a admis que le sondage ne reflétait probablement pas l'opinion de la plupart des utilisateurs de Facebook. « Ces utilisateurs ont répondu volontairement au sondage et ils sont suffisamment préoccupés par la sécurité pour avoir consulté notre site internet. »
(...)(26/09/2011 10:01:11)Support : Attention aux faux appels d'escrocs
Selon la Centrale d'enregistrement et d'analyse pour la sûreté de l'information suisse MELANI, plusieurs entreprises ont récemment été contactées téléphoniquement par des personnes se faisant passer pour des employés de Microsoft. Ces appels ont pour but de convaincre les victimes potentielles d'exécuter des manipulations sur leur propre ordinateur, afin de télécharger des codes malveillants, de visiter des pages web infectées ou encore d'opérer des modifications sur le système Windows afin de permettre l'accès à distance. Les criminels tentent par ce biais de se procurer un accès aux ordinateurs de l'entreprise.
Des appels en anglaisLes personnes qui appellent parlent pour la plupart anglais et disent être basés aux USA, en Angleterre ou en Australie. Le numéro de téléphone de contact provient d'un de ces pays. Ces faux employés prétendent que Microsoft a reçu des messages d'erreur en provenance d'un ordinateur de l'entreprise. Le choix des victimes semble être de nature aléatoire.
Il convient de préciser que Microsoft n'appelle pas spontanément pour résoudre des problèmes informatiques. De plus amples informations à ce sujet sont disponibles sur le blog du responsable de la sécurité de Microsoft (voir illustration principale).
Un auteur des attaques contre Sony arrêté aux États-Unis
Cody Kretsinger, 23 ans, a été arrêté jeudi matin par le FBI. L'étudiant de Phoenix est accusé de piratage et de complot. Selon l'agence fédérale américaine, celui-ci appartiendrait au groupe de hackers LulzSec responsable de la cyber-attaque menée contre Sony Pictures, au cours de laquelle les données personnelles de plus d'un million de personnes avaient été compromises. Selon les procureurs, Cody Kretsinger et le hacker « Recursion», celui qui a utilisé la technique d'attaque dite par injection de SQL pour s'introduire dans la base de données de Sony Pictures, sont la même personne. C'est lui qui aurait fourni l'énorme quantité de données divulguées par LulzSec le 2 juin 2011, dont des coupons de promotion, les adresses mail et les mots de passe des clients de Sony.
Au moment où LulzSec a posté ces données, Sony se remettait à peine de l'effraction dévastatrice qui avait mis K.O son PlayStation Network, obligeant l'entreprise à le déconnecter pendant plus de deux mois. La remise en route du service lui avait coûté la bagatelle de 183 millions de dollars. « Nous enquêtons toujours sur les dégâts causés par l'attaque contre Sony Pictures », a déclaré le FBI jeudi dans un communiqué. La réponse musclée de Sony pour parer à la diffusion d'un code «jailbreak» permettant de faire tourner sur sa console PS3 des logiciels non autorisés, a transformé l'entreprise en cible de premier plan pour tous les pirates, et les hackers de LulzSec n'ont pas été les seuls à essayer de s'introduire dans les systèmes informatiques du géant de l'électronique.
Des attaques tout azimut cette année
LulzSec a mené plusieurs actions cette année, mettant l'Internet sens dessus dessous. Ainsi, le groupe a piraté plusieurs sites web appartenant à des entreprises en vue et à des agences gouvernementales (la CIA par exemple), et a ensuite joyeusement dispersé les données volées sur le Net sans se préoccuper des conséquences. Depuis, le groupe semble s'être calmé, suite à une série d'arrestations survenues aux États-Unis et en Angleterre. Cody Kretsinger aurait essayé de masquer ses traces en utilisant le service de proxy Hidemyass.com et en effaçant le disque dur de son ordinateur après l'attaque. Aujourd'hui, s'il est reconnu coupable, il encoure 15 ans de prison.
Par ailleurs, le FBI a également annoncé l'arrestation de deux membres présumés du Peoples Liberation Front, un groupe qui, en 2010, a revendiqué une attaque par déni de service DoS de 30 minutes contre le comté de Santa Cruz, en Californie. Comme LulzSec, Peoples Liberation Front s'est affilié au mouvement des Anonymous. Christophe Doyon et Joshua Covelli, les deux membres du Peoples Liberation Front, doivent comparaître pour répondre d'accusations de piratage. Quant à Joshua Covelli, il a déjà été inculpé pour l'attaque menée par Anonymous en décembre 2010 contre le site de Paypal.com.
(...)(22/09/2011 12:21:56)Adobe corrige un bug dans Flash déjà exploité par les pirates
Hier, Adobe a patché six vulnérabilités dans son lecteur Flash, dont une déjà exploitée par des pirates, comme l'a reconnu l'éditeur. Cette vulnérabilité, identifiée par la référence CVE-2011-2444, partage certaines caractéristiques avec une faille antérieure de Flash, utilisée au mois de juin dernier pour cibler les comptes d'utilisateurs Gmail, la messagerie de Google. Adobe a qualifié cette vulnérabilité de cross-site scripting (XSS), un genre prisé par les voleurs d'identité pour subtiliser des identifiants et des mots de passe sur des navigateurs Internet vulnérables. Cette fois, ils n'ont pas directement visé les navigateurs web. Par contre, les attaquants ont exploité le plug-in Flash présent dans tous les navigateurs Internet. Comme celui du mois de juin, le bug CVE-2011-2444 a été signalé à Adobe par l'équipe de sécurité de Google.
Le contenu de l'avis publié par Adobe décrivant la vulnérabilité CVE-2011-244, ressemble presque mot pour mot à ce que l'éditeur avait mentionné dans son bulletin de sécurité à propos de la précédente faille de juin. « Des informations indiquent que cette vulnérabilité est exploitée de manière sauvage dans des attaques actives et ciblées visant à tromper l'utilisateur, l'incitant à cliquer sur un lien malveillant diffusé par mail, » a déclaré Adobe. « Cette vulnérabilité XSS pourrait être utilisée par les attaquants pour prendre le contrôle des comptes utilisateurs détenus sur tout site Web ou par tout fournisseur de service de messagerie, si l'utilisateur s'est rendu sur le site malveillant. » Adobe a refusé de donner des détails sur la manière dont la vulnérabilité CVE-2011-2444 était exploitée, renvoyant ces questions vers Google. Le géant de la recherche sur Internet n'a pour l'instant pas répondu à une demande de commentaires.
Cinq bugs corrigés dans ce patch
Quant aux quatre des cinq autres bogues de Flash patchés par Adobe, « ils pourraient être exploités par des attaquants pour exécuter un code malveillant sur les ordinateurs de leurs victimes, » a déclaré Adobe dans son bulletin. La mise à jour de Flash livrée mercredi est la première depuis celle du 9 août dernier, laquelle corrigeait 13 vulnérabilités. Depuis le début de l'année, c'est la huitième fois qu'Adobe corrige son lecteur Flash. Cela inclus les patchs « out-of-band », c'est-à-dire hors du calendrier régulier de mise à jour d'Adobe, livrés en urgence pour parer à des attaques en cours.
Les versions corrigées du Player Flash pour Windows, Mac, Linux et Solaris peuvent être téléchargées à partir du site Web d'Adobe. Comme toujours, les utilisateurs peuvent également passer par l'outil de mise à jour de Flash ou attendre l'invite du logiciel indiquant qu'une nouvelle version est disponible. Les utilisateurs d'Android doivent se rendre sur l'Android Market pour obtenir la dernière version du Player d'Adobe.
Google a discrètement mis à jour son navigateur Chrome mardi avec la version patchée du Player Flash. Depuis avril 2010, Google inclus Flash avec Chrome, et reste le seul éditeur de navigateur Internet à livrer en bundle le plug-in avec ses propres mises à jour.
(...)(19/09/2011 14:07:51)Sécurité renforcée pour Windows 8
La plupart des fonctions de sécurité mentionnées par le responsable de Windows, Steven Sinofsky, lors de la conférence Build de Microsoft conférence qui a eu lieu la semaine passée, étendent des fonctionnalités déjà apparues au fil des mises à jour dans Vista et Windows 7. C'est le cas notamment de la fonction Address Space Layout Randomization (ASLR), qui sera plus largement utilisée dans Windows 8, de même qu'une nouvelle fonctionnalité protégeant le noyau de l'OS des « vulnérabilités liées au déréférencement du pointeur Null,» une méthode essentiellement utilisée pour mener des attaques destinées à installer des programmes qui modifient les privilèges du système.
Windows 8 sera également capable de faire un usage étendu de l'allocation aléatoire de l'adressage mémoire. Cette technique, déjà présente dans Windows 7, permet de compliquer les attaques par « saturation de cache» ou buffer overflow par exemple, utilisées pour introduire des logiciels malveillants. Mais sans doute, le plus gros ajout de Windows 8 en matière de sécurité concerne le support pour la technologie de démarrage sécurisée UEFI 2.3.1 (qui nécessite un support du BIOS), laquelle empêche les logiciels malveillants agissants dans le pré-boot d'interférer avec l'action des antivirus avant leur chargement en mémoire. Aucun de ces changements n'est vraiment radical, mais ils poursuivent la politique de Microsoft en matière de conception de systèmes, à savoir circonscrire autant que possible le travail des applications au niveau la plate-forme sans bouleverser le système. Bien sûr, dans le monde du Web 2.0, le travail des applications est de plus en plus régi par des interfaces logicielles différentes de celles chargées du fonctionnement du système.
Eviter de retrouver les failles de Win XP
Steven Sinofsky a cependant rappelé aux développeurs l'importance du Secure Development Lifecycle (SDL) pour les entreprises, et les procédures de codage, de test et de conception du système qui l'accompagnent, de façon à éviter les problèmes de sécurité posés par Windows XP il y a une décennie. « Certains malwares sont aussi complexes que les applications commerciales», a déclaré Steven Sinofsky dans un blog où il a exposé l'environnement dans lequel travaillerait Windows 8. Microsoft a également avancé un motif intéressant pour expliquer pourquoi une minorité non négligeable de PC semblait ne pas disposer de protection antivirus adéquate : les gens utilisent l'antivirus gratuit fourni avec le nouveau PC, mais ils omettent ensuite de se réabonner après la fin de la période d'essai. « Peu après la sortie de Windows 7, en octobre 2009, nos tests ont montré que presque tous les PC sous Windows 7 avaient des logiciels anti-malware à jour, » a déclaré le président de Windows. « Un an plus tard, plus de 24 % des PC sous Windows 7 n'avaient pas effectué de mises à jour. Nos données ont également montré que les PC qui ne sont plus protégés ont tendance à rester dans cet état pendant longtemps. »
Le plus important défi en matière de sécurité auquel Microsoft doit faire face avec Windows 8 reste identique à celui qu'elle a du affronter avec Windows 7 : un certain nombre d'utilisateurs récalcitrants refuse de mettre à jour les systèmes d'exploitation plus anciens, en particulier Windows XP. Les critiques pourraient souligner que c'est largement la faute de Microsoft, car l'éditeur a sorti quatre versions de son système d'exploitation desktop depuis 2000, une approche marketing qui a rendu certains utilisateurs perplexes quant à l'intérêt de payer chaque fois pour une nouvelle version.
Illustration principale : Steven Sinofsky, en charge de l'activité Windows chez Microsoft, lors de la conférence Build 2011.
Crédit photo : IDG NS
| < Les 10 documents précédents | Les 10 documents suivants > |