Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 541 à 550.
| < Les 10 documents précédents | Les 10 documents suivants > |
(28/03/2011 17:03:23)
Faux certificats SSL : de la cyber attaque interne au hacker iranien solitaire
Le groupe Comodo, qui vend des certificats numériques et des solutions sécurisés pour Internet, a fait savoir qu'un de ses partenaires - celui-ci a souhaité rester anonyme - avait subi une attaque informatique le 15 mars dernier dans la soirée. L'attaque était préoccupante parce que les certificats Digital Secure Sockets Layer (SSL) vendus par Comodo sont un composant important de l'infrastructure utilisée par l'entreprise pour sécuriser l'Internet. En effets, les certificats, des fichiers cryptés, servent à sécuriser le navigateur et lui permettent de savoir s'il est bien connecté à un vrai site Gmail.com, par exemple, et non pas à un site imposteur. Les SSL aident aussi à prévenir les attaques par phishing et dans un pays comme l'Iran, ils peuvent être d'une importance capitale pour les dissidents, puisqu'ils contribuent à préserver les communications privées et à les tenir à l'abri des regards indiscrets.
L'attaque en question a été bien planifiée et exécutée avec soin, mais selon Comodo, cela n'a pas empêché de la détecter rapidement. Ainsi, Massimo Penco, vice-président de Comodo Italie, dit avoir reçu une alerte l'informant d'un évènement inhabituel le 15 mars vers 19 heures. « Quelqu'un a émis un certificat pour Google, mais nous n'avions reçu aucune requête de ce genre de la part de l'entreprise californienne, » raconte-t-il. « Dans les 15 minutes qui ont suivi, j'appelai mes collègues du New Jersey pour leur demander de verrouiller le système, » a t-il ajouté. Le certificat de Google a été révoqué en une ou deux heures, ainsi que 8 autres certificats, qui avaient été émis dans l'intervalle. Comodo ne savait pas qui était à l'origine de l'attaque. Dans le monde de piratage, passer d'un ordinateur à un autre pour brouiller les pistes est une pratique courante. Quant à obtenir des informations d'un pays qui pratique le secret, comme l'Iran, les probabilités sont minces...
Or l'Iran a tout à fait les moyens, les motifs et la possibilité de mener une attaque de ce type pour espionner des communications sensées être sécurisés entre les Iraniens et les serveurs utilisés par des sociétés comme Google, Skype et Microsoft, celles-là même dont les certificats ont été usurpés, » a déclaré Melih Abdulhayoglu, fondateur et PDG de Comodo. « Un certain nombre de faits désignent le gouvernement iranien et son nouveau ministère chargé de la guerre informatique, » a t-il ajouté. Interrogés à ce sujet, les représentants de la Mission permanente de l'Iran auprès de l'Organisation des Nations Unies n'ont pas fait de commentaire.
La piste de l'Etat Iranien privilégiée
« Cela fait bien une dizaine d'années que le gouvernement iranien s'emploie à espionner et à contrôler l'utilisation de l'Internet par ses citoyens, » a déclaré Mehdi Yahyanejad, fondateur du forum iranien de discussion Balatarin, qui a un succès certain auprès de la population. Mais après la création d'une cyber police fin 2008, l'Iran a commencé à mener quelques actions plus musclées. Ainsi, le fondateur de Balatarin pense que le gouvernement de son pays était à l'origine d'une attaque complexe qui, en février 2009, a vidé son site et l'a maintenu hors ligne pendant trois semaines. Il soupçonne l'État d'avoir été complice de cette attaque : la nouvelle avait été publiée sur le site de l'agence de presse gouvernementale Fars News Agency quelques heures après - avant même qu'il ait le temps de comprendre ce qui s'était passé. Les pirates avaient utilisé des techniques d'ingénierie sociale pour tromper le fournisseur de services Internet utilisé par Balatarin et avoir accès à son compte. Comme dans le cas de Comodo, l'offensive avait été planifiée et exécutée de manière très précise. Depuis 2009, Balatarin a subi de nombreuses attaques par déni de service (DDoS). Et la plus récente, menée en janvier de cette année, avait atteint un degré sans précédent.
Autant dire que les dissidents iraniens ont du souci à se faire aujourd'hui en matière d'usage de l'Internet. « Les emails et les logiciels malveillants, les attaques DDoS, sont devenues monnaie courante en Iran, » a déclaré Mehdi Yahyanejad. Les attaques par déni de service inondent les sites de requêtes inutiles, jusqu'à les mettre hors ligne. Elles sont déclenchées quand il y a des manifestations ou pendant des périodes de troubles, et servent souvent à étouffer la protestation sur Internet. « Pendant les manifestations, le gouvernement veut éviter la circulation rapide des vidéos, afin de réduire leur impact médiatique, » a t-il expliqué. Ces dernières années, un groupe se faisant appeler Armée Cyber iranienne a fait surface. Il s'en est pris à des sites appartenant à Twitter, au moteur de recherche chinois Baidu, et à la Voix de l'Amérique. Personne ne sait vraiment qui fait partie de cette « armée », mais selon Mehdi Yahyanejad, il y a de fortes chances pour que ses membres soient aussi soutenus par l'État.
Un hacker revendique l'attaque
Un début de réponse est intervenu ce week-end avec la revendication de ces attaques par un pirate répondant au nom de ComodoHacker. Celui-ci indique dans un couriel « je ne suis pas un groupe de hacker, mais un pirate avec l'expérience de 1000 hackers ». Il explique ensuite la méthode utilisée pour créer de faux certificats SSL. Il affirme avoir été en mesure de compromettre deux partenaires de Comodo, GlobalTrust.it et InstantSSL.it. A l'origine, ComodoHacker indique qu'il voulait casser un algorithme de la société de sécurité RSA avant de trouver des failles sur les deux sites mentionnés. Parmi ses motifs, le pirate de 21 ans, qui ne se revendique pas de l'Armée Cyber Iranienne, cite le vers Stuxnet créé par les Etats-Unis et Israël et des millions de dollars dépensés pour le mettre au point, affirme qu'un Internet sécurisé n'existe pas et qu'il recommencera, se pose en égal de la CIA et menace ceux qui s'immiscent dans les affaires de son pays et veulent faire du mal au peuple iranien.
Le vol d'identité médicale, une menace réelle outre-Atlantique
Selon de nombreux experts, le vol d'identité médicale est en hausse, d'une part parce qu'il est devenu plus rentable, mais aussi à cause de l'utilisation croissante des dossiers de santé informatisés qui offrent l'accès à un plus grand nombre de données privées. En outre, les numéros de carte de crédit et autres types de données financières ont perdu de leur valeur. « Sur le marché noir, les numéros de carte de crédit se négocient pour quelques dollars, alors que les numéros d'identification médicaux et ceux des mutuelles de santé se vendent pour quelques centaines de dollars, » explique Robbie Higgins, vice-président, responsable des services de sécurité chez GlassHouse, un fournisseur de solutions informatiques. Par ailleurs, comme il le fait remarquer, les organismes de cartes de crédit, les banques et les sociétés de services financiers ont les moyens de surveiller les transactions et de repérer celles qui sont frauduleuses, ce qui n'est pas le cas des services de santé. « Ces organismes sont peu performants pour détecter des transactions frauduleuses », confirme t-il.
Près de 1,5 million d'Américains en ont été victimes
C'est aussi l'avis de Jennifer Leuer, directrice générale de ProtectMyID chez Experian, un service chargé de protéger les données d'identification dans le domaine de la santé. « Le secteur de la santé est beaucoup plus fragmenté. Il peut potentiellement faire appel à des dizaines de fournisseurs ou d'intervenants », indique t-elle. Et cette disparité favorise les incidents. Ça été le cas du fournisseur de services de santé Health Net qui a découvert que les données personnelles et les dossiers de 1,9 million de ses clients avaient disparu de ses serveurs. La mutuelle conservait sur ses disques les noms, adresses, numéros de sécurité sociale, informations financières et données sur la santé des anciens adhérents et des adhérents actuels de Health Net, plus celles d'employés et de professionnels de soins de santé.
La semaine dernière, le Ponemon Institute, sponsorisé par Experian ProtectMyID, a publié son deuxième rapport annuel sur le vol d'identité médicale au niveau national. Son étude conclut que près de 1,5 million d'Américains sont victimes de vols de ce type. Le rapport a même estimé le coût moyen pour résoudre une affaire de vol d'identité médicale : 20 663 dollars en 2011, contre 20 160 dollars l'année précédente. L'étude a porté sur 1 672 cas, dont 633 victimes concernées directement ou indirectement, en général par le biais d'un membre de leur famille proche, par le vol d'identité.
Signaler la perte de sa carte d'assurance maladie
Les situations observées dans le vol des données médicales ne sont pas différentes de celles des vols d'identité. Dans 36% des cas, le vol est le fait d'un membre de la famille. L'origine reste inconnue dans 17% des cas. Le fournisseur de soins est mis en cause dans 14% des cas. Dans 10% des cas, ils sont le fait d'employés administratifs malveillants travaillant pour un prestataire de santé. Enfin, 9% résultent de la perte de portefeuille, 8% de l'interception par des pirates d'une déclaration envoyée par mail et 6% du phishing.
Par ailleurs, selon Jennifer Leuer, contrairement au vol d'identité financière, le vol d'identité médicale n'est pas la première chose à laquelle pensent les individus. « Lorsque quelqu'un perd son portefeuille, il pense en priorité à remplacer son permis de conduire, à appeler l'organisme émetteur de sa carte de crédit, mais il ne pense pas à signaler le vol de sa carte d'assurance maladie », déclare t-elle. « Nous espérons que l'augmentation des déclarations faisant état de ce type de violations va davantage sensibiliser le public au vol d'identité médicale », ajoute t-elle. Dans le rapport annuel qu'a publié la Federal Trade Commission début mars, pour la 11 année consécutive, le vol d'identité dont sont victimes chaque année 9 millions d'Américains, arrive encore en tête des plaintes pour fraudes à la consommation.
Illustration (crédit : D.R.)
Mise à jour de Java : Un antivirus McAfee presque imposé
Les utilisateurs de Windows installant la dernière mise à jour de sécurité de Java peuvent se retrouver avec un peu plus de sécurité que ce qu'ils ont demandé. Du moins, c'est le risque qu'ils prennent, s'ils ne prêtent pas une attention particulière au processus d'installation. En effet, depuis le mois dernier, Oracle livre en bundle avec ses mises à jour de Java pour le système d'exploitation Windows l'outil d'analyse Security Scan Plus de McAfee. Le logiciel est installé par défaut, de sorte que, si l'utilisateur ne décoche pas la case d'installation de McAfee au moment de la mise à jour, celui-ci sera téléchargé en même temps.
Un antivirus gourmand en mémoire vive
Security Scan Plus scanne le PC pour voir s'il dispose d'un logiciel antivirus et d'un pare-feu et vérifie également les numéros de version des logiciels de sécurité. Le programme ouvre des fenêtres pop-up et il est un peu plus visible - à la manière de la Toolbar de Yahoo! - que dans le bundle de l'update précédent de Java, livré aux États-Unis. Selon le territoire concerné, Oracle associe différents produits avec Java, si bien que tous les utilisateurs de Windows ne se retrouvent pas forcément à installer Security Scan Plus lors de la mise à jour de Java. Une fois téléchargé, le logiciel de McAfee invite l'utilisateur à accepter les conditions de licences du logiciel sur une base quotidienne avant d'achever l'installation. L'utilisateur peut annuler cette invite, mais il n'y a aucun moyen de se soustraire aux termes de la licence. Finalement, pour supprimer le logiciel, l'utilisateur doit passer par la fonction « Désinstaller un programme » de Windows.
Des utilisateurs mécontents
Depuis qu'Oracle a commencé son opération avec McAfee, filiale d'Intel, un certain nombre d'utilisateurs ont installé le logiciel par inadvertance. Oracle a même posté une FAQ intitulée « Qu'est-ce que Security Scan Plus » sur son site Internet Java.com pour expliquer ce que faisait le logiciel. Certains utilisateurs sont mécontents. L'un d'entre eux a même posté un message sur un forum d'Intel après avoir constaté un ralentissement du PC d'un membre de sa famille depuis quelques semaines, visiblement à la suite d'une mise à jour de Java. « Ma belle-fille m'a demandé pourquoi son ordinateur était si lent. Et, bien sûr, McAfee AV était installé, » écrit-il. « Sérieusement, cette chose pompe toute la vitalité du système. » Security Scan Plus pèse 1 Mo en téléchargement, « mais il utilise 4 Mo de mémoire pour être exécuté, » a indiqué un porte-parole de McAfee. Mais l'antivirus a aussi un autre moyen de s'introduire sur un ordinateur PC. « Certains utilisateurs se sont plaints que le logiciel était téléchargé pendant la mise à jour d'Adobe Reader, et cela peut arriver lors du téléchargement via le centre de téléchargement d'Adobe, » a déclaré un porte-parole d'Adobe.
McAfee a justifié son choix d'installer Security Scan par défaut. « Nous estimons qu'il est préférable d'être protégé que pas du tout, c'est pourquoi cette option est cochée par défaut, » a déclaré une porte-parole de McAfee. « Étonnamment, beaucoup d'utilisateurs ont des ordinateurs équipés de logiciels de sécurité obsolètes ou non sécurisés tout court. » Selon StopBadware.org, une association qui surveille les éditeurs de logiciels, McAfee et Oracle pourraient faire un effort pour mieux informer les utilisateurs de l'installation, mais, en tout état de cause, le logiciel de scan n'est certainement pas un programme malveillant. « Il semble qu'il dérange plutôt, mais il n'a pas l'air méchant, » a déclaré le directeur exécutif de StopBadware, Maxim Weinstein. « Même si ce type d'installation ne doit pas se faire de manière sournoise, ce serait bien que l'utilisateur ait un choix un peu plus clair. »
(...)(25/03/2011 14:24:21)La Commission européenne victime d'une sérieuse attaque informatique
Cette cyber-attaque, détectée dès mardi, a été soutenue et ciblée, selon des sources de la Commission. Les accès à la messagerie et à l'intranet de l'institution ont été suspendus et le personnel a été invité par une note interne à modifier ses mots de passe afin d'empêcher la « divulgation d'informations non autorisées. » Le personnel de la Commission, l'exécutif de l'Union européenne et l'organisme de réglementation, ont également été invités à envoyer leurs informations sensibles par e-mail sécurisé.
L'événement a eu lieu quelques jours avant le sommet du Conseil européen qui a débuté hier. Le Sommet réunit pendant deux jours les dirigeants des États membres pour aborder des questions cruciales relatives notamment à l'intervention en Libye, la sécurité nucléaire et à la gouvernance économique.
Une attaque tout d'abord attribuée à la Libye
Les premières spéculations laissaient entendre que l'attaque pouvait avoir son origine en Libye, mais la Commission a rapidement exclu cette hypothèse. L'attaque ressemble à la cyber-attaque menée en février 2010 contre le gouvernement français, dans la perspective du Sommet du G20. L'agression avait utilisé un malware et ciblait la messagerie électronique. Certaines données dérobées avaient été redirigées vers la Chine.
Selon Antony Gravili, porte-parole de l'Union européenne, les représentants ne se risqueront pas à spéculer sur la source des attaques dans un domaine de sécurité aussi sensible. Celui-ci a toutefois, confirmé que les attaquants visaient certains fonctionnaires de la Commission, en particulier le Service européen pour l'action extérieure (SAEA), un département qui assiste dans ses fonctions la haute représentante de l'Union pour les affaires étrangères et la politique de sécurité, Catherine Ashton. « Nous avons déjà pris des mesures urgentes pour lutter contre cette attaque. Une enquête a été lancée. Ce n'est pas inhabituel que la Commission soit la cible des pirates, » a déclaré Antony Gravili. Selon le porte-parole, il n'y a actuellement aucune preuve concrète que l'attaque soit liée au Sommet qui doit s'achever aujourd'hui.
PAC analyse le marché français de la sécurité informatique
Parmi les 200 responsables interrogés par PAC, 25% sont des RSSI , les autres : des responsables informatiques, des DSI ou leurs adjoints, ou des responsable sécurité. Cette étude a le mérite de porter sur le seul marché français, d'être moins quantitative que ses homologues internationales centrées, elles, sur les seules ventes de produits. L'étude de PAC est également plus qualitative.
Première donnée, ce marché progresse. La sécurité informatique est l'un des rares investissements à croître en période de crise. La progression serait de 2,2% en France en 2010. 7% seulement des responsables interrogés affichent un budget de sécurité informatique en baisse. Cette progression devrait se poursuivre. Pour 2011, le panel interrogé fait ressortir deux sujets : la sécurité des infrastructures (et leur disponibilité), la gestion des accès (authentification forte) et des identités (comme le fameux SSO, Single sign on). Plus généralement, le panel fait remonter trois sujets : le cloud, la mobilité, la virtualisation. Trois sujets qui dépendent étroitement des questions de sécurité.
Spécificité française
Malgré ces atouts, la sécurité informatique demeure encore à des niveaux très faibles dans l'investissement informatique global des entreprises. C'est une spécificité nationale, elle progresse mais reste à des niveaux très bas. Une prise de conscience existe, dans les directions informatiques du moins. Moins sûrement à la tête des entreprises où l'utilisation des smartphones par exemple se fait sans contrainte.
La sécurité informatique n'est donc pas mature en France et garde de fortes marges de progression. Les budgets sont encore réactifs, après l'affaire Kerviel par exemple, ou sous la pression de la presse, les décisions s'accélèrent. Du côté des utilisateurs, les usages et les process manquent de cohérence d'où la nécessité d'actions de formation. Les responsables en sécurité informatique des entreprises doivent donc jongler avec différents impératifs : financiers, techniques, humains.
Les prestataires extérieurs ont leur rôle mais dans une approche qui devient globale de la sécurité avec des problématiques d'analyse comportementale des usages dans l'entreprise, d'intégration dans le SI, de nouvelles approches comme le cloud ou la mobilité. L'offre est également très particulière en France, avec beaucoup d'intégrateurs, souvent de petite taille. Spécialisés, avec de la valeur ajoutée, ils ont du mal à progresser dans les grands comptes et les projets réseaux importants. La consolidation est pour le moment internationale entre grands acteurs.
McAfee acquiert Sentrigo, spécialiste de la sécurité des bases de données
L'acquisition intervient un peu moins d'un mois après qu'Intel a finalisé le rachat de McAfee pour 7,6 milliards de dollars. Aucun commentaire sur le montant proposé par McAfee sur Sentrigo n'a été apporté, on sait simplement que l'opération devrait être finalisée en avril prochain.
Sentrigo offre une gamme de produits conçus pour aider à prévenir les attaques sur les bases de données grâce à un suivi d'activité, de prévention d'intrusion, de détection de vulnérabilité et de protection des systèmes non corrigés. Les produits de la société peuvent également aider les clients à satisfaire aux exigences réglementaires et de se conformer à des normes telles que PCI-DSS (Payment Card Industry Data Security Standard) ou HIPAA (Health Insurance Portability and Accountability Act).
McAfee était déjà en partenariat avec Sentrigo depuis 201. Le projet d'acquisition permettra donc de renforcer ces échanges et de renforcer le portefeuille de la filiale d'Intel sur ce segment de marché à fort potentiel.
Adobe a corrigé la faille de Flash qui se servait d'Excel
Adobe a livré hier un correctif pour réparer la vulnérabilité critique trouvée dans son Reader, ainsi qu'il l'avait promis il y a une semaine. Un patch pour son lecteur Flash a suivi dans la journée. Lundi dernier, l'éditeur avait indiqué qu'une faille zero-day était exploitée en recourant à des documents Excel malveillants, attachés à des courriels. Il avait alors indiqué qu'il aller corriger ses logiciels Flash, Reader et Acrobat dans la semaine, sans spécifier de date. Le Reader et Acrobat étaient également vulnérables parce que la faille qui affectait Flash existait dans le composant « authplay.dll » de ces deux produits. Authpaly est l'interpréteur qui restitue les contenus Flash au sein des fichiers PDF.
Hier, Microsoft a conseillé aux utilisateurs d'Office d'utiliser son outil de sécurité EMET pour se prémunir de ces attaques.
Les fichiers PDF, cibles potentielles
Précédemment, Adobe avait précisé que s'il avait bien constaté des attaques exploitant la vulnérabilité avec des fichiers Flash corrompus inclus dans des tableaux Excel, en revanche il n'en avait encore remarqué aucune ayant ciblé des utilisateurs avec des documents PDF altérés. Il est néanmoins possible que les cybercriminels changent de tactique et se mettent à duper les utilisateurs de cette façon. « Gardez à l'esprit que bien que nous n'ayons vu pour l'instant que des attaques prenant la forme de fichiers Flash insérés dans des fichiers Excel distribués par e-mail, nous fournissons des correctifs pour toutes les configurations et plateformes parce qu'il subsiste toujours la possibilité qu'un assaillant modifie la méthode et emploie la faille d'une autre façon », a reconnu Wiebke Lips, une porte-parole d'Adobe.
Chrome déjà corrigé, IE à vérifier
Les utilisateurs de Chrome n'ont peut-être pas besoin d'installer les correctifs livrés hier parce que Google les a appliqués la semaine dernière lors d'une mise à jour de son navigateur (qui intègre une copie du lecteur Flash). Cela dépend en fait de la présence ou non d'Internet Explorer sur leur machine. « Si l'utilisateur dispose d'une version d'IE intégrant le Flash Player, en plus de Google Chrome, il devra effectivement appliquer le correctif de Flash Player pour IE », a expliqué Wiebke Lips dans un e-mail à nos confrères d'IDG News Service. L'utilisateur peut vérifier si le lecteur Flash est installé dans IE en pointant vers ce lien fourni par Adobe.
Adobe X, protégé par sa sandbox
L'éditeur d'Acrobat n'a pas corrigé Adobe X, la nouvelle version de son lecteur PDF qui inclut une sandbox conçue pour contrecarrer la plupart des attaques. Il a rappelé que celle-ci bloquait la faille corrigée par les mises à jour d'hier et qu'elle protège aussi de l'installation du malware si les pirates décident de changer de tactique et d'opérer en passant par un fichier PDF corrompu. La mise à jour trimestrielle de Reader X n'est pas prévue avant le 14 juin prochain. Les versions corrigées du Reader, d'Acrobat et du lecteur Flash peuvent être téléchargées sur le site d'Adobe. Les utilisateurs peuvent aussi passer par l'outil de mise à jour intégré ou attendre que les logiciels leur signalent qu'une nouvelle version est disponible. (...)
SFR Business Team s'associe à Fortinet pour proposer un appliance
Les services sécurité de SFR ciblent les entreprises de plus de 500 salariés. L'offre associe des boitiers de sécurité réseau FortiGateR et le logiciel endpoint FortiClient pour les postes de travail et une sécurité de bout en bout. Ce logiciel client autorise la création de VPN IPsec et SSL.
Pierre Pfister, Directeur Marketing chez SFR. Business Team estime que les entreprises sont très en retard en termes de sécurité, malgré leur raccordement systématique à internet. « Bien que la majorité des entreprises dépendent d'Internet pour mener leurs activités, beaucoup d'entre elles n'ont toujours pas mis en place les bonnes ressources informatiques et politiques internes pour assurer la sécurité de leurs principaux actifs informatiques » dit-il.
Une solution bien pensée avec quelques options
Pour les raccordement à haut débit ou pour l'offre de VPN MPLS, la sécurité proposée inclut le pare-feu, les VPN IPSec et SSL, l'antivirus, la prévention d'intrusions (IPS), le filtrage Web et l'anti-spam. Des fonctions supplémentaires sont proposées telles que la connectivité DMZ ou la redondance de pare-feu. Dans le cadre de son offre, SFR Business Team a déployé deux chassis de sécurité de classe ≪ opérateurs ≫ FortiGate-5140 en mode virtualisé sur douze serveurs en lames FortiGate-5001, de quoi gérer des milliers de clients à partir d'une seule plateforme matérielle et d'isoler les services de sécurité de chacun d'eux.
Pour les grandes entreprises, SFR Business Team fournit des boitiers de sécurité multi-menaces FortiGate dédiés, qui sont hébergés par SFR Business Team ou deployés en mode CPE (sur site). La sécurite du poste de travail est basée sur le logiciel FortiClient de Fortinet, qui présente une protection contre les menaces pour les PC et les ordinateurs portables, même utilisés sur des réseaux publics non sécurisés.
L'intégration avec les boîtiers FortiGate permet aux entreprises clientes de SFR Business Team de mettre en place une connexion VPN (IPSec et SSL) pour les utilisateurs a distance, d'accélérer les accès WAN, et d'étendre les politiques de sécurite réseau jusqu'aux postes de travail. Une appliance FortiAnalyzer sert à alimenter un portail web, à partir duquel les clients peuvent accéder aux rapports de statistiques sur l'utilisation du réseau et des tentatives d'attaques.
Une volonté d'aller vers les points d'accès WiFi
Yann Pradelle, vice-président régional Europe de Fortinet, nous a indiqué travailler sur un autre axe de développement, le WiFi. En déployant des solutions pour le réseau WAN, le dirigeant estime que la société a suffisamment d'expertise pour apporter des réponses aux problématiques du WLAN. "Notre implémentation dans les entreprises nous permet de les amener à nous considérer dans le domaine du wireless".
Photo : le Fortigate 5140 de Fortinet (D.R.)
L'authentification forte des tokens SecurID est-elle compromise ?
« N'importe qui utilisant des tokens SecurID de RSA pour sécuriser des accès distants devrait se poser la question de leur usage jusqu'à ce que RSA - qui a admis une brèche majeure dans son réseau le 17 mars - ait clarifié les informations qui ont été compromises», déclare les NSS Labs.
Ce laboratoire de test de produits de sécurité est situé à Carlsbad en Californie. Il estime même que les clients de RSA devraient s'intéresser à des solutions d'authentification alternatives. Dans son analyse, intitulée « RSA breach » [NDLR : RSA violation], NSS Labs indique qu'« il attend une chaîne de violations découlant de cet événement » et dit qu'il croit que la violation RSA divulguée par le président exécutif de RSA, Art Coviello, le 17 mars, a été pour les hackers « une décision stratégique visant à récupérer les clés virtuelles des clients de RSA, qui sont les plus soucieux de la sécurité dans le monde. »
Des risques pour un grands nombre d'organisations
NSS Labs va plus loin : « Les organisations militaires, financières, gouvernementales, qui doivent gérer des informations confidentielles courent des risques. » Les commentaires publics de Art Coviello ainsi que les déclarations réalisées auprès de la SEC (Securities and Exchange Commission) (au format 8K) au sujet de cette effraction et publiées par RSA ont été insuffisants et ont laissé des questions sans réponse selon NSS Labs.
Art Coviello a appelé cette attaque une « menace avancée persistante » (ou APT pour Advanced Persistent Threat), qui a abouti au fait que « des renseignements » relatifs à SecurID aient été pris. Une APT est une violation furtive par des pirates, souvent de long terme et parfois par des gouvernements étrangers ou des entreprises concurrentes, qui tentent de voler des informations de valeur.
Les bases de SecurID seraient compromises
NSS Labs déclare qu'il croit que « les secrets du serrurier ont pu être volés, et que l'intégrité de l'authentification à 2 facteurs de RSA ait été compromise. Cette connaissance rompt le modèle de l'authentification à deux facteurs, étant donné que l'attaquant peut désormais créer la chaîne nécessaire pour une authentification réussie, ce qui élimine la nécessité de connaître le mot de passe et le code PIN. Il permettra à un attaquant de seconnecter en tant qu'utilisateur de confiance avec un accès correspondant à ses privilèges.»
Certains analystes s'attendent à voir un correctif pour le système SecurID de RSA. Et le cabinet Gartner a suggéré que les clients potentiels de SecurID puissent avoir envie de suspendre leurs achats jusqu'à ce que RSA ait rendu publics de plus amples renseignements. Le 21 mars, IronKey, dont le produit IronKey Trusted Access pour la banque peut être utilisé en combinaison avec RSA SecurID, a déclaré : « Le scénario le plus probable proposé par les experts de l'industrie est que les codes secrets, également connus sous le nom de 'seeds' , utilisés pour créer des mots de passe utilisables une seule fois, ont été compromis ou volés, ce qui pourrait permettre de réaliser une authentification SecurID sans disposer d'un token véritable. »
Illustration : le token SecurID est disponible sous de multiples formes. Il délivre un mot de passe valable durant 30 secondes et utilisable une seule fois pour accéder à un serveur distant. (D.R.)
| < Les 10 documents précédents | Les 10 documents suivants > |