Flux RSS

Inscrivez-vous

Apple propose un guide avant une mise à jour pour combattre Mac Defender

Alors qu'Apple s'est fait épingler par une note demandant aux responsables maintenance de la firme de ne pas aider les utilisateurs Mac victimes du faux antivirus, Mac Defender, le groupe vient de publier un guide intitulé «Comment éviter ou supprimer le logiciel malveillant Mac Defender ». Dans cette note, Apple précise que la société prévoit de sortir une mise à jour logicielle pour Mac OS X qui va automatiquement rechercher et détruire Mac Defender (ou une de ses variantes).

Dans le guide, la firme de Cupertino donne une série d'instructions étape par étape pour les utilisateurs qui veulent éviter d'installer les logiciels malveillants ainsi que ceux qui les ont accidentellement installés. L'ensemble des instructions est disponible sur l'article HT4650 de sa base de connaissance.

(...)

Des serveurs du Pirate Party saisis par la police allemande

L'opération de la police allemande a perturbé une partie de l'infrastructure informatique de plusieurs sites web, et une plate-forme de communication utilisée par les membres du Pirate Party ont été fermée. Un porte-parole du parti a affirmé que ni le Pirate Party lui-même, ni aucune de ses antennes n'étaient sous le coup d'une enquête judiciaire et qu'il se désolidarisait de toute infraction criminelle. Selon les premiers éléments fournis par le Pirate Party et la Fondation EtherPad, la police enquête sur la mise à disposition, sur l'un des serveurs, de l'outil de collaboration PiratenPad. L'application web, qui utilise le logiciel EtherPad, permet aux utilisateurs de collaborer à un fichier texte, un pad, et de le modifier librement en ligne.

Le conseil du Pirate Party a dit qu'il agirait en toute transparence et qu'il fournirait tous les éléments nécessaires pour les besoins de l'enquête. Il s'interroge cependant sur l'ampleur des mesures prises par la police et sur la validité du mandat de perquisition. Selon les informations données par ses représentants, un seul service public installé sur un serveur virtuel est concerné. « La déconnexion de tous nos serveurs représente une intrusion massive dans nos systèmes, et un dommage politique grave, » a indiqué le Pirate Party dans un communiqué où il condamne la saisie.  En effet, l'opération a mis hors ligne tous les serveurs du parti pirate allemand, deux jours avant des élections dans le Land de Brême auxquelles il participait.

Une attaque planifiée contre EDF

La Fondation EtherPad a également exprimé sa préoccupation. « Nous pensons que la principale raison de ce raid, c'est que PiratenPad était utilisé par le groupe Anonymous pour planifier une attaque, » a indiqué la Fondation. « Nous sommes inquiets, parce que nous craignons que tous les déploiements EtherPad, utilisés en toute transparence par différents groupes en Allemagne, ne soient saisis par la police. »

Anonymous, un groupe de militants du net, s'est fait connaître par ses attaques contre, notamment, Amazon, l'Église de Scientologie, Paypal et Visa, ces deux derniers en représailles au blocage des dons à Wikileaks par le système de paiement en ligne. Les enquêteurs recherchent une éventuelle activité suspecte de Piratenpad ou de ses membres. Selon certaines rumeurs émises sur Twitter et non vérifiées, les militants d'Anonymous envisageaient d'utiliser une clef SSH qui aurait été publiée sur PiratenPad, pour lancer une attaque DDoS contre le groupe énergétique français EDF.

Sony : un piratage qui coûte cher et qui se poursuit

En avril dernier, des pirates ont réussi à hacker les services en ligne PlayStation Network et Qriocity, en volant au passage les informations personnelles d'environ 77 millions de comptes. Une seconde attaque avait été découverte lors des enquêtes sur le piratage et concernait Sony Online Entertainment utilisé pour les jeux PC. Sony a répondu aux attaques en suspendant ses services et en recrutant plusieurs sociétés de sécurité informatique pour effectuer des vérifications et reconstruire son système de sécurité.

Les utilisateurs dans de nombreux pays se sont vus offrir un programme de protection contre le vol d'identité et des jeux gratuits. Masaru Kato, directeur financier de Sony, a estimé que l'impact du piratage sera de l'ordre de 170 millions d'euros dans les prochains résultats financiers du groupe. Il a ajouté « à ce jour, nous n'avons pas de confirmation d'utilisation abusive des données personnelles ou des coordonnées bancaires de nos clients ».

Des attaques renouvelées

Décidément, Sony devient une cible de choix pour les hackers. Selon le Wall Street Journal, le groupe japonais a été obligé de fermer le site de So-Net, qui est fournisseur d'accès Internet au Japon. Les pirates ont dérobé des points virtuels de fidélité convertibles en argent ou en produits Sony. Par ailleurs, le spécialiste de la sécurité F-Secure a alerté Sony sur l'existence d'un site de phishing (hameçonnage) sur un serveur de Sony Thaïlande. L'URL pointait sur un faux site bancaire italien.

Check Point R80 Unified Endpoint Security Management : avantages et inconvénients

Le R80 Unified Endpoint Security Management représente la première intégration des outils de chiffrement de Pointsec, que Check Point a acquis en 2007 et la notion de lames logicielles (modularité dans les solutions de sécurité activables). Le R80 est doté de six types de lames vendus sous licence qui couvrent un large éventail de fonctionnalités de sécurité. On recense ainsi un firewall en mode hébergé, une protection contre les malwares, une solution de DLP pour restreindre l'accès aux médias amovibles (USB par exemple), un service NAC (Network Access Control) pour forcer un ordinateur à installer des mises à jour de sécurité.

Cela signifie qu'il suffit d'installer un seul agent de sécurité des logiciels sur chaque poste de travail, et le logiciel de gestion supervise les dispositifs de sécurité que les agents vont activer sur chaque machine. Tout cela est opéré est depuis une console unique.

Si de prime abord la mise en place apparaît simple, le nombre de paramètres à gérer est incroyablement complexe. Pour un responsable informatique habitué aux produits Check Point, le R80 nécessite une courbe d'apprentissage pour comprendre l'interaction entre les différents modules des lames logicielles, sur la façon de créer les meilleures politiques et également d'interpréter et de corriger les erreurs qui surviendront inévitablement. A titre d'exemple, la section sur la politique du chiffrement complet du disque dur, qui est l'une des fonctionnalités les plus puissantes, comprend 5 accès au menu principal et des dizaines d'options. Alors oui, vous pouvez sécuriser à peu près tout et n'importe quoi sur votre ordinateur, mais à condition de passer du temps sur les manuels, sur les forums de discussion et de dialoguer au téléphone avec l'équipe de support de Check Point.

Test in situ

Nos confrères d'IDG NS ont testé le produit sur Windows 2003 Server et avec des ordinateurs tournant sur Windows XP et Windows 7 Ultimate connectés à un petit réseau. Du côté serveur, il est nécessaire de disposer du Runtime Microsoft. NET Framework 3.5 SP1. L'agent système de Checkpoint consomme moins de 6 Mo de mémoire et moins de 2% de l'activité du processeur, en fonction de son usage. Ces deux mesures sont tout à fait raisonnables compte tenu du niveau de protection offert.

Le déploiement du produit est très simple: on utilise la console pour créer un package MSI que l'on attribue à chaque ordinateur pour être protégé. Pour désinstaller ou mettre à niveau l'agent, il faut d'abord se connecter avec les droits administrateurs et supprimer manuellement l'agent dans le panneau de contrôle Windows. Un des bons points de ce produit est la possibilité de créer des politiques pour trois états des terminaux: Connecté, c'est-à-dire un endpoint qui est physiquement présent sur un réseau local ou contrôlé à distance et visble par le serveur de gestion;  déconnecté ou restreint, quand un endpoint n'est pas en conformité ou déconnecté pendant une période définie. Ces politiques peuvent être attribuées à un niveau très granulaire à des groupes particuliers d'utilisateurs et des différents types de réseaux physiques. En un clic de souris, le responsable IT dispose de beaucoup de rapports pour mieux comprendre la sécurité de son réseau.

Côté points négatifs. En cas de machines tournant en 32 bits et 64 bits, on doit créer un programme distinct pour chaque, avec l'obligation d'activer le support 64-bit de la lame logicielle. Les machines Mac et Linux ne sont pas actuellement prise en charge, ce qui est un problème pour de nombreuses entreprises avec des postes mixtes.  

Globalement, le R80 offre une suite complète d'outils de sécurité des terminaux qui peuvent être exécutée sur un seul agent et gérée sur une console unique. Cependant, il y a un haut niveau de complexité du produit et des défauts que Check Point devra aplanir.

Authentification unique chez Truffaut avec Tools4ever

Désappointés, les abonnés au PSN de Sony scrutent Twitter pour obtenir des infos

Le PSN, qui est surtout utilisé par les propriétaires de la console de Sony pour jouer à des jeux en ligne, avait interrompu son service le 20 avril à la suite d'une "intrusion" dont l'auteur ou groupe d'auteurs n'a pas encore été repéré. Le 1er mai, Sony avait admis que les hackers avaient obtenu les coordonnées des cartes bancaires de ses clients. Sony a continué de travailler à améliorer la sécurité du réseau et le service a été partiellement relancé le 15 mai.

Après quelques jours, nouveau coup dur pour Sony qui s'est rendu compte que les hackers pouvaient exploiter une nouvelle faille de sécurité concernant la réinitialisation des mots de passes. Aux dernières nouvelles, le réseau PSN est toujours en ligne, mais il est impossible de changer de mot de passe pour l'instant. Après toutes ces mésaventures, Sony cherche à regagner la confiance de ses clients en les amadouant avec des cadeaux, et les utilisateurs du réseau PSN se tournent vers Twitter pour rester au fait des dernières actualités sur le sujet.

Sony emploie le compte Twitter officiel de la PlayStation (@PlayStation) pour tenir les utilisateurs informés. D'après le site de veille sur les réseaux sociaux Fanpagelist, le compte Twitter de PlayStation a attiré près de 60.000 nouveaux followers entre le 18 et le 19 mai, et plus d'un demi-million de followers depuis le mois d'avril.

Illustration principale : Les dirigeants de Sony présentent leurs excuses à leurs clients dont les informations bancaires confidentielles ont été dérobées.

Une faille sur les systèmes Scada interdite de diffusion

Le chercheur en sécurité Brian Meixell et Dillon Beresford, en collaboration avec le NSS Labs, avait prévu de parler mercredi lors d'une conférence sur la sécurité, TakeDownCon, à Dallas des faiblesses relatives au PLC (Programmable Logi Controller) des systèmes Siemens . Ces derniers sont largement utilisés au niveau industriel, dans les centrales électriques, sur des navires de guerre, etc.

Mais les chercheurs ont décidé de retirer leur présentation à la dernière minute après que Siemens et l'agence fédéral de sécurité américaine aient soulevé les risques potentiels en cas de diffusion, a déclaré Rick Moy, directeur général de NSS Labs. Celui-ci avait indiqué cette faille aux équipes du ICS-CERT (Industrial Control Systems Cyber Emergency Response). «  Siemens nous avait indiqué qu'un correctif était disponible, mais il semble que ce patch n'a pas été complètement déployé. Nous avons donc retiré notre présentation qui pouvait présenter des risques majeurs ».

Une interruption temporaire

Il est habituel que les chercheurs en sécurité attendent la correction du logiciel avant de parler des failles trouvées. Mais bloquer la présentation de scientifiques dans une conférence reste assez originale. Rick Moy explique « il s'agit d'une suspension temporaire, la présentation n'est donc pas enterrée » .

La sécurité des systèmes Scada a été un sujet important dans la communauté des experts en sécurité suite à la découverte l'année dernière du ver Stuxnet, qui probablement visait le programme nucléaire de l'Iran. Dans une description de leur présentation Brian Meixell et Dilon Beresford souhaitaient montrer comment écrire un malware « au niveau industriel » et d'ajouter,« nous allons montrer comment des attaquants motivés peuvent pénétrer des installations les plus protégés dans le monde, sans le soutien d'un Etat-nation».

Illustration: Système Scada

Google réagit prestement sur une faille de sécurité sur Android

Un porte-parole de Google a indiqué dans un courriel « Aujourd'hui, nous commençons à déployer un correctif qui corrige une faille de sécurité qui pourrait, dans certaines circonstances, permettre à des tiers un accès aux données présentes dans Calendar et Contacts » et d'ajouter « ce correctif ne nécessite aucune action des utilisateurs et le déploiement s'étendra au niveau mondial au cours des prochains jours. » Google semble donc appliquer un patch sur ses serveurs, car il n'a pas besoin de faire de mise à jour des terminaux sous Android.

Les experts en sécurité se sont déclarés impressionnés par la rapidité de l'éditeur de Moutain View. « C'est impressionnant de voir comment Google est rapidement intervenu » a déclaré Kevin Mahaffey, directeur de la technologie et co-fondateur de Lookou, société spécialisée dans la sécurité sur mobile et de compléter « l'équipe en charge de la sécurité chez Google, en particulier sur Android, est très, très rapide pour traiter ces questions. »

Pour mémoire

Vendredi dernier, des chercheurs de l'Université d'Ulm en Allemagne ont publié cette faille de sécurité qui touche 99% des terminaux Android. Cette vulnérabilité touche l'identification des utilisateurs quand ils se connectent sur des réseaux WiFi non sécurisés (de type hotspot public).

Dans Android 2.3.3 et sur des versions antérieures, Contacts, Calendar, Gmail transmettent des informations via HTTP non crypté, puis récupèrent un Token d'authentification de Google. Les hackers pourraient analyser le trafic HTTP sur un hotspot public, déverrouiller les « authToken » et les utiliser pour un maximum de deux semaines (durée de validité d'un jeton). Ils pourraient ainsi accéder aux calendriers des utilisateurs sur le web, leurs contacts et aussi le stockage de photos sur Picasa.

Des applications tierces sur les mobiles mais aussi sur les PC traditionnels ont été impactées, car elles utilisent le protocole ClientLogin de Google, comme le logiciel de messagerie Thunderbird de Mozilla. Les chercheurs allemands ont expliqué que pour éviter ce risque de fuites de données, le passage en HTTPS des échanges d'informations, y compris pour les tokens d'authentification étaient la meilleure solution. Les spécialistes de la sécurité soupçonnent Google d'avoir été dans cette direction pour corriger la faille.

VMware lance un service d'authentification unique pour les applications cloud

« Horizon App Manager est capable d'utiliser les annuaires utilisateurs de l'entreprise pour les étendre à des services délivrées en cloud, sans redemander les noms d'utilisateur et les mots de passe associés, » affirme la filiale d'EMC. « Avec ce service, les salariés peuvent accéder à un portail web en utilisant leur nom d'utilisateur et leur mot de passe professionnel, puis profiter de différentes applications hébergées sans avoir besoin de s'authentifier à nouveau, » a déclaré Noah Wasmer, directeur Product Management, Advanced Development, chez VMware.

Selon l'éditeur, les utilisateurs peuvent uniquement voir et accéder aux applications pour lesquelles ils disposent d'une autorisation. « Beaucoup de clients souhaiteraient utiliser des services hébergés, à condition de pouvoir utiliser les annuaires internes de l'entreprise pour couvrir ces services, » explique Noah Wasmer. En effet, il constate que « les entreprises sont très préoccupées à l'idée que les noms d'utilisateur et les mots de passe soient stockés dans le nuage ».

Sécurisation et évangélisation du cloud

Le service VMware synchronise la liste interne des comptes utilisateurs avec les répertoires Active Directory et LDAP (Lightweight Directory Access Protocol) existant. Aucun mot de passe n'est transmis entre les annuaires internes et la solution Horizon App Manager. La sécurisation des échanges s'effectue avec des tokens reposant sur le standard SAML (Security assertion markup language). Pour développer ce système, VMware a travaillé avec différents fournisseurs de services cloud, comme Salesforce.com et Google, et avec sa propre solution collaborative Zimbra. La firme signale qu'il est possible de développer des connecteurs additionnels pour mettre en relation des services internes à d'autres fournisseurs, en écrivant une interface SAML dédiée.

« Le portail client a également d'autres avantages, » a déclaré Noah Wasmer. Notamment, il offre aux employés la possibilité d'accéder aux services cloud, quel que soit leur équipement informatique. Il permet aussi aux entreprises de mettre en place des catalogues d'applications en interne que les employés peuvent consulter, afin de choisir celles qui répondent le mieux à leurs besoins. Le service réduit aussi le nombre de mots de passe nécessaire, et permet aux entreprises de mieux contrôler la manière dont leurs employés utilisent les services cloud. Le directeur de VMWare a indiqué que ce service est un élément de ce qui pourrait éventuellement devenir un service de gestion des applications dans le  cloud. Lundi, la firme de Palo Alto a annoncé avoir conclu un accord pour acquérir Shavlik Technologies, un éditeur qui développe des solutions de management traditionnel et des services spécialisés dans la sécurité des réseaux, notamment la gestion de correctifs et la supervision de la sécurité des environnements physiques et virtuels.

Le service Horizon App Manager est disponible et coûte 30 dollars par utilisateur et par an.