Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 571 à 580.
| < Les 10 documents précédents | Les 10 documents suivants > |
(11/03/2011 15:12:41)
Les voitures, prochaines cibles des pirates informatiques
Des chercheurs de l'Université de San Diego, Californie, et de l'Université de Washington ont consacré les deux dernières années à examiner dans les moindres détails les milliers de composants électroniques des systèmes embarqués dans les véhicules récents. Objectif : chercher des failles de sécurité et étudier si elles peuvent être détournées à des fins malveillantes. Dans un nouvel article, ceux-ci affirment avoir identifié un certain nombre de méthodes qu'un pirate pourrait utiliser pour prendre le contrôle d'un véhicule, notamment certaines attaques impliquant la connectique Bluetooth et les systèmes de réseau cellulaire, ou alors en introduisant des logiciels malveillants par l'intermédiaire des appareils de diagnostic utilisés dans les ateliers de réparation automobile.
Un piratage qui passe par l'autoradio
Mais le système d'attaque le plus intéressant développé par les chercheurs a porté sur l'autoradio. En ajoutant du code supplémentaire à un fichier de musique numérique, ils ont réussi à muter une chanson gravée sur CD en cheval de Troie. Pendant la lecture du fichier sur le système stéréo de la voiture, le code pourrait modifier le firmware du système audio et ouvrir une porte d'entrée aux pirates, ce qui leur permettrait d'agir sur d'autres composants du véhicule. Selon eux, ce type d'attaque pourrait se propager sur les réseaux de partage de fichiers sans éveiller de soupçons. « Il est difficile d'imaginer quelque chose de plus inoffensif qu'une chanson, » a déclaré Stefan Savage, professeur à l'Université de San Diego. L'année dernière, le professeur américain et ses collègues chercheurs ont décrit comment fonctionnait le réseau de composants équipant les voitures actuelles. Ils ont également rapporté une expérience de piratage menée en 2009, au cours de laquelle ils ont réussi à endommager définitivement un moteur, verrouiller les portes, déverrouiller les freins et transmettre de fausses informations au compteur de vitesse d'un véhicule test. Pour réaliser cette expérience, ils ont relié un ordinateur portable au système de diagnostic interne du véhicule afin d'y introduire leur code malveillant.
Déverrouiller à distance un véhicule
Leur dernier challenge : trouver un moyen de contrôler la voiture à distance. « Notre article traite des difficultés rencontrées pour accéder aux commandes, » explique le professeur Savage. Au final, le document fait état de plusieurs méthodes pour y parvenir. « En fait, toutes les attaques - via Bluetooth, le réseau cellulaire, les fichiers de musique infectés par un code malveillant et les outils de diagnostic utilisés par les garagistes - ont pu être reproduites à distance, malgré une vraie difficulté à se connecter » indique Stephan Savage. « Mais la meilleure méthode reste celle que nous avons expérimenté en premier, c'est à dire en connectant un ordinateur à l'intérieur du véhicule, » a-t-il ajouté. La recherche met en évidence de nouveaux types d'attaques qui pourraient être utilisées dans le futur. Par exemple, les voleurs pourraient déverrouiller les portes des véhicules à distance et envoyer ses coordonnées GPS et son numéro d'identification à un serveur central. « Un voleur audacieux n'aurait plus besoin de voler les voitures lui-même, mais il pourrait vendre ses services à d'autres voleurs, » déclare Stephan Savage. « Un voleur à la recherche de certains types de voitures dans une zone géographique donnée pourrait demander qu'elles soient déverrouillées et identifiées, » ajoute-t-il. Le rapport des chercheurs ne mentionne pas la marque ni le modèle du véhicule qu'ils ont réussi à pirater en 2009...
[[page]]
Des problèmes de sécurité à venir
Les universitaires ont présenté leurs travaux au Comité de l'Académie nationale des sciences chargé du Contrôle électronique et des accélérations non intentionnelles. Celui-ci a été créé l'an dernier pour étudier la sécurité des systèmes électroniques embarqués dans les véhicules, suite au rappel massif de voitures par Toyota et des rapports faisant état d'accélération involontaire dans des véhicules de la marque. Après coup, ce problème n'était pas lié aux systèmes électroniques, mais a été attribué aux tapis de sol, aux pédales d'accélérateur collantes et à des erreurs de conduite. Compte tenu de l'important obstacle technique à surmonter, les chercheurs pensent que les actes de piratage contre les voitures seront très difficiles à réaliser. Néanmoins, les chercheurs veulent que l'industrie automobile soit consciente des problèmes potentiels que cela pourrait poser. Selon Tadayoshi Kohno, professeur adjoint à l'Université de Washington qui a travaillé sur le projet, le piratage informatique des véhicules « est peu probable. » Néanmoins, celui-ci estime que les clients ordinaires voudront savoir si le véhicule qu'ils achètent tous les cinq ans... sera à l'abri de ces problèmes. »
Beaucoup d'effort pour attaquer un modèle
Les voleurs de voitures sont aussi face à une autre difficulté : les unités de contrôle électronique intégrées sont très différentes d'un véhicule à l'autre. Même si une attaque peut fonctionner sur type de véhicule d'une année donnée, il est peu probable que celle-ci soit utilisable pour un autre modèle. « Pour pirater un seul type de véhicule, il faudra investir beaucoup de temps, d'argent et de ressources, » a déclaré Brian Herron, vice-président de Drew Technologies, une société basée à Ann Arbor, Michigan, qui fabrique des outils pour les systèmes informatiques embarqués. « Ce n'est pas comme le piratage de Windows où il suffit d'exploiter une vulnérabilité mise en évidence. » Selon Stephan Savage et Tadayoshi Kohno, les constructeurs automobiles ont pris leurs travaux et les questions de sécurité qu'ils soulèvent, très au sérieux.
Crédit photo : Autosec.org
(...)(11/03/2011 11:29:44)Tribune de Gulzhan Zhussipaliyeva : Comment éviter les risques de confusion d'environnement
Consultante dans la BU sécurité de Devoteam, Gulzhan Zhussipaliyeva revient sur les risques de confusion d'environnement dans les entreprises.
L'intégralité de sa tribune libre est publiée sur le Blog Expert du Monde Informatique.
Le 16 mars 2010, le site Internet de la SNCF annonçait l'explosion d'un TGV faisant une centaine de morts et plus encore de blessés. La catastrophe n'a heureusement jamais eu lieu, s'agissant simplement d'une erreur d'administration du site. En effet, ce message, lié à un exercice de gestion de crise, n'aurait jamais dû être diffusé sur le site officiel de la SNCF.
La cause de cette erreur est relativement simple, une personne a émis cette information sur le site public de la société, au lieu de réaliser l'opération sur un site dédié dit de « test ». En effet, dans les entreprises, les applications sont répliquées dans plusieurs environnements (pour le développement, les tests, la validation, etc.).
La SNCF n'a eu à déplorer aucune conséquence lourde, mais cet exemple n'est pas un cas isolé et les impacts financiers et d'image des erreurs semblables à celle-ci peuvent être bien plus importants.
Mais alors quels peuvent être les moyens pour se protéger de ces défaillances de la machine humaine qui sont souvent liées à des facteurs tels que le stress, la fatigue, la routine ? A ce jour, plusieurs approches tentent de répondre à ce risque :
-
Différentiation des accès ;
Différentiation visuelle ;
Confirmation des actions ;
Approche organisationnelle.
L'évitement du risque par la séparation des équipes de production / hors production et le cloisonnement complet des environnements, ne seront pas étudiés compte tenu des impacts financiers et organisationnels majeurs qu'ils engendrent.
Différentiation des accès
La procédure d'accès à un environnement de production doit être différente des autres accès, d'autant que les impacts liés aux opérations effectuées ne sont pas les mêmes. L'objectif est d'éviter que les administrateurs confondent les environnements de par leur similitude. C'est pourquoi l'administrateur doit être contraint d'effectuer une action différente ou supplémentaire dans l'environnement de production, pour bien prendre conscience de l'endroit auquel il accède et des impacts de l'action qu'il effectue.
L'approche la plus simple serait d'exiger un mot de passe pour l'environnement de production distinct des autres environnements.
Lire la suite de la tribune de Gulzhan Zhussipaliyeva sur le Blog Expert du Monde Informatique.fr
La mise à jour sécurité d'Android infectée
Symantec a trouvé une application nommée « Android Market Security Tool » qui est une version reconditionnée de la mise à jour officielle et qui porte le même nom. Cette application vise à éliminer le malware DroidDream sur des terminaux contaminés. La fausse mise à jour envoie des SMS à un serveur de prise de commande et de contrôle, écrit Mario Ballano, membre de Symantec. Cette application a été retrouvée sur un MarketPlace chinois non autorisé. Le code est en cours d'analyse, mais « ce qui est intriguant, c'est que le code de la menace semble être basée sur un projet hébergé sur Google Code et sous licence Apache, » précise le blogeur.
Cette fausse mise à jour montre l'intérêt croissant que portent les pirates pour Android. Il faut dire que les chiffres récents du Gartner montrent une forte croissance de ventes de smartphones sous cet OS mobile (67 millions vendues en 2010).
Des mises à jour difficiles à effectuer
La semaine dernière, Google a pris l'initiative rare d'imposer « Android Market Security Tool Mars 2011 » sur les terminaux atteints par le malware DroidDream. Généralement, cette opération de mise à jour est prise en charge soit par les constructeurs mobiles, soit par les opérateurs sont responsables. Le correctif ne fait pas que colmater la faille qui a permis d'infecter les smartphones, mais supprime aussi les logiciels malveillants, indique dans un blog Timothy Armstrong, un analyste junior sur les malware auprès de Kaspersky Lab.
L'intervention de Google met en exergue les problèmes d'Android sur la façon d'être mis à jour. « En raison de la nature d'Android dans son état actuel, il est très difficile et coûteux de pousser les mises à jour de sécurité comme vous le feriez sur un système d'exploitation comme Linux ou Windows, » explique Timothy Armstrong. « Contrairement à l'iPhone, qui installe les correctifs via iTunes ou Windows Mobile qui utilise ActiveSync, Android fonctionne presque entièrement en mode over the air (via les ondes radios) » conclut le consultant.
(...)
Mac OS X : Apple propose un patch pour corriger 27 bugs critiques dans Java
Selon Apple, certains de ces bugs peuvent être exploités pour exécuter du code en dehors de la sandbox Java, autorisant ainsi des pirates à détourner des Mac. La firme de Cupertino n'a pas précisé combien de vulnérabilités pourraient être exploitées pour exécuter du code malveillant, une façon de dire que les failles doivent bien être considérées comme critiques.
Mac OS X 10.5, alias Leopard, reçoit ainsi une mise à jour pour remiser 16 vulnérabilités dans Java SE 6 et 11 dans Java SE 5. La mise à jour pour le récent Mac OS X 10.6, alias Snow Leopard, vient corriger 16 bugs dans Java SE 6. Cette dernière comble en effet les mêmes défauts qu'Oracle a corrigé le 15 février 2011 avec sa rustine 1.6.0_24 pour Java. Cette mise à jour Java est la première pour Apple depuis la mi-octobre 2010.
Plus de Java en standard dans Mac OS X 10.7
Peu de temps avant que Apple ne livre cette rustine pour remplacer une machine virtuelle Java devenue "obsolète" sur Mac OS X, certains développeurs disaient désespérer du retard de la firme de Cupertino et envisageaient désormais de travailler avec les outils Open Source du projet OPenJDK d'Oracle pour exploiter Java SE 7. D'autant qu'Apple a depuis annoncé son intention de stopper ses propres développements de Java sur Mac et l'abandonnerait même pour les futures versions de son OS. La société s'est toutefois engagée à maintenir le support de Java dans Leopard et Snow Leopard.
« La machine virtuelle Java pour Mac OS X 10.6 Snow Leopard et Mac OS X 10.5
Leopard, continuera d'être soutenue et maintenue durant la durée de vie de ces produits » a indiqué Apple en octobre dernier sur son site web destiné aux développeurs. Cette annonce laisse toutefois entendre qu'Apple ne proposera pas en standard de runtime Java avec Mac OS X 10.7, la prochaine mise à jour du système connu sous le nom de code Lion et attendu cet été. Des informations rapportées par le site AppleInsider le mois dernier confirment que Java est bien absent de Lion. Les experts restent toutefois divisés quant à savoir si la disparition de Java dans Mac OS X améliorera la sécurité du système d'exploitation.
Les mises à jour Java (de 78 à 120 Mo) proposées cette semaine peuvent être téléchargées sur le site d'Apple ou installées à l'aide de l'utilitaire de mise à jour intégré au système d'exploitation.
Microsoft corrige un bug Windows critique sans toucher à IE
Microsoft a qualifié ce Patch Tuesday de « promenade » pour les utilisateurs. « C'est un mois favorable, » a ainsi déclaré Jerry Bryant, group manager du Microsoft Security Response Center (MSRC) l'entité chargée de pister, de corriger et de livrer les correctifs pour les produits Microsoft.
L'éditeur a aussi pris pour habitude de livrer moins de correctifs les mois impairs. En janvier, par exemple, seules trois vulnérabilités ont été patchées, alors que le mois dernier la mise à jour mensuelle corrigeait 22 vulnérabilités. Une seule des trois mises à jour, le « bulletin » MS11-015, a été jugée «critique», soit le niveau de menace le plus élevé dans le classement de l'éditeur, et les deux autres d'« importantes », soit au second rang de cette classification. Le bulletin critique corrige deux vulnérabilités, dont une dans les composants de Windows Media Center et de Windows Media Player que l'on trouve dans la plupart des versions de Windows. « Celle-ci nous inquiète particulièrement » a déclaré Wolfgang Kandek, CTO de Qualys. La faille se trouve dans les fichiers d'enregistrement vidéo numériques (DVR-MS), créés par le moteur Stream Buffer Engine (SBE) et portant l'extension de fichier .dvr.ms. « C'est un bug lié au navigateur et au site visité, » a déclaré Jerry Bryant, pour expliquer que les attaquants devaient amener les utilisateurs à visiter un site malveillant pour exploiter la vulnérabilité. Selon Andrew Storms, directeur des opérations de sécurité chez nCircle Security, « c'est un drive-by bug, ». « Il existe deux méthodes pour l'exploiter, la première dans un IFRAME, c'est le drive-by classique. L'autre méthode consiste à envoyer un fichier en pièce jointe par mail : les utilisateurs doivent l'ouvrir pour en voir le contenu, car il ne génère pas de preview dans le client mail. » Toutes les éditions de Windows, que ce soit Windows XP, Vista et 7, sont vulnérables tant que ce correctif n'est pas appliqué. « Seule exception : Windows XP Home Edition, qui ne prend pas en charge le codec malveillant, » a déclaré Angela Gunn, senior communications manager du MSRC.
Une vulnérabilité récurrente
La seconde vulnérabilité MS11-015, et les deux autres failles décrites dans les bulletins MS11-016 et MS11-017, concernent le détournement de DLL, parfois appelé bug « binaire entrainant le plantage de la machine. » En août dernier, les chercheurs avaient déjà révélé des problèmes conséquents de détournement de DLL dans Windows, mais aussi dans un grand nombre d'applications de tierce-partie. Microsoft avait commencé à corriger ce problème de DLL dans ses propres programmes en novembre dernier. En décembre, Jerry Bryant avait déclaré que Microsoft pensait avoir résolu tous les problèmes relatifs à cette question. Mais en janvier et février, l'éditeur a fourni des correctifs supplémentaires pour corriger ce problème. « Nos investigations se poursuivent, » a déclaré hier le group manager. « Même si nous pensons avoir identifié tous les problèmes de détournement de DLL dans IE, nous continuons à examiner les autres produits de notre gamme. »
Wolfgang Kandek et Andrew Storm estiment quant à eux que Microsoft continuera à produire des correctifs pour régler le problème du détournement de DLL pendant encore un certain temps. « Cela va durer, non seulement pour les produits de Microsoft, mais aussi pour les produits tiers, » a ainsi déclaré Wolfgang Kandek. Suite à l'alerte diffusée en août, Microsoft avait sorti en urgence un outil pour bloquer les attaques potentielles. Mais les pirates n'ont pas utilisé la technique pour attaquer les ordinateurs sous Windows, ou s'ils ont essayé, leurs tentatives n'ont pas été détectées. Pour Andrew Storm, ce n'est pas une surprise. « Ces failles sont très difficiles à exploiter,» a t-il affirmé. « L'an dernier, cela avait effrayé tout le monde, mais il s'est avéré que le détournement de DLL n'était pas si facile à exploiter. Pour que l'exploit soit efficace, il faut que l'utilisateur se rende sur le site malveillant, ouvre un fichier, que l'attaquant introduise le DLL malveillant et substitue un fichier infecté. Cela représente un certain nombre d'étapes. » HD Moore, directeur de la sécurité chef Rapid7 et créateur de la boîte à outil Open Source de piratage Metasploit, a rappelé aujourd'hui aux entreprises qu'elles pouvaient rendre les attaques de détournement de DLL plus difficiles encore : en désactivant le service client WebDAV sur tous les ordinateur sous Windows, et en bloquant les ports sortants 139 et 445. L'an dernier, le responsable de Rapid7 avait été l'un des premiers à révéler la nature de cette nouvelle menace.
Pas de modification d'IE avant le Pwn2Own
Cela n'a pas incité Microsoft à corriger IE avant le Pwn2Own qui démarre aujourd'hui. La conférence du hacking, qui met chaque année des chercheurs en sécurité au défi de casser les sécurité des navigateurs internet, Internet Explorer de Microsoft, Safari d'Apple, Chrome de Google et Firefox de Mozilla, se passe en même temps que la conférence sur la sécurité CanSecWest qui se tient à Vancouver du 9 au 11 mars. Le premier chercheur qui réussira à pirater IE, Safari ou Firefox recevra un prix de 15.000 dollars. Et 20.000 dollars s'il parvient à craquer Chrome. Pour Jerry Bryant, il était inutile de perturber les utilisateurs avec une mise à jour de sécurité uniquement pour donner plus de chance à IE de passer l'épreuve du Pwn2Own. « Le concours n'est pas une raison suffisante pour perturber nos clients, » a ainsi déclaré le responsable du MSRC. « Le fait de sortir de notre calendrier de mise à jour est un motif de rupture potentiel, et nous n'avons pas de raison de prendre une telle décision aujourd'hui, sauf s'il était avéré que la vulnérabilité était utilisée de manière active par des attaquants. »
La réponse de Microsoft à propos du patch éventuel d'IE avant le Pwn2Own n'est pas une surprise : les mises à jour d'IE sont réservées aux mois pairs, et le dernier patch du navigateur date du 8 février. « Dans tous les cas, » a ajouté Jerry Bryant, « il n'y a pas de risque à ce que les failles éventuellement découvertes pendant le concours Pwn2Own ne s'échappent dans la nature, puisqu'il est entendu que les bugs sont d'abord signalés aux vendeurs. » C'est le programme Zero Day Initiative (ZDI) initié par HP TippingPoint, qui sponsorise le concours Pwn2Own, paye la majorité des prix en argent comptant, en contrepartie des droits sur les bugs exploités au concours, qu'il revend aux éditeurs. Après quoi, le ZDI accorde six mois aux développeurs pour corriger ces bugs avant de rendre ses informations publiques. C'est ainsi que Google et Mozilla ont récemment patché leur navigateur - Google a même livré une nouvelle mise à jour hier - et Apple devait mettre à jour Safari avant le début du concours Pwn2Own.
Les mises à jour de sécurité de Microsoft peuvent être téléchargées et installées en utilisant les services Microsoft Update et Windows Update, et Windows Server Update (WSUS) pour la version serveur.
BlackBerry Protect Bêta propose un MobileMe gratuit
RIM est un peu en retard sur son agenda de développement. Elle avait en effet annoncé cette version bêta en juillet dernier, qui devait être généralisée à la fin 2010. Les possesseurs de BlackBerry qui ne se connectent pas via un BlackBerry Entreprise Server peuvent utiliser cette solution. S'ils perdent leur téléphone, ils peuvent localiser leur terminal sur le portail BlackBerry Protect. Il peut alors le verrouiller à distance et afficher un message sur l'écran d'accueil pour indiquer des coordonnées pour le renvoyer ou le rapporter. La sauvegarde à distance des données sur le téléphone est aussi disponible ainsi qu'effacer ces informations stockées dans l'appareil et sur la carte MicroSD. Si le smartphone est très probablement égaré dans un environnement proche, l'utilisateur peut activer à distance une sonnerie forte, même quand le téléphone est en mode silencieux. Les clients intéressés par ce service peuvent installer l'application depuis le BlackBerry App World Center Test. Elle est gratuite.
Incompatibilité avec BES
Suite à un article de blog annonçant l'open beta, quelques personnes ont écrit sur leurs déception de ne pas rendre ce service accessible pour ceux qui se connectent via le serveur BlackBerry Enterprise (BES). Utilisé par les entreprises, le BES permet aux administrateurs d'appliquer des politiques de sécurité et de performance, y compris des fonctions d'effacement à distance. RIM n'a pas répondu sur ce sujet.
Par ailleurs, cette solution est pour l'instant disponible aux Etats-Unis et en Amérique Latine. Elle devrait arriver très prochainement en Europe et pourquoi pas en langue Française. Cette solution s'apparente au service MobileMe proposé par Apple, mais celui-ci est payant. Un autre moyen de jouer la carte de la différence.
(...)
Bercy piraté : « des professionnels déterminés et très organisés »
Ce sont des professionnels, déterminés et très organisés qui ont mené l'attaque d'espionnage informatique dont vient d'être victime le système d'information des ministères économique et financier. Patrick Pailloux, le directeur général de l'ANSSI, a été formel sur ce point lors du point presse que l'Agence nationale de la sécurité des systèmes d'information a tenu lundi 7 mars au soir, au secrétariat général de la Défense nationale, à Paris. Les hackers ont « attaqué un très grand nombre de cibles au sein de Bercy, plus de 150 ordinateurs, persisté pendant un certain temps, et utilisé des infrastructures sur Internet pour anonymiser et exfiltrer leurs informations de façon assez sophistiquée. Nous ne sommes pas en face d'amateurs, c'est une véritable opération d'espionnage ». Dans l'administration, il n'y a pas eu jusqu'à présent d'attaques de cette ampleur.
Les pirates s'intéressaient au G20 et globalement à la politique économique menée par la France à l'échelle internationale. « Nous avons beaucoup d'éléments techniques qui le confirment », a indiqué Patrick Pailloux. En revanche, il est absolument impossible de donner des informations sérieuses sur l'origine de l'intrusion et a fortiori sur ses commanditaires. Une enquête est en cours dont le Parquet de Paris a été saisi. Remonter jusqu'à la source de l'attaque « n'est pas gagné, mais l'expérience montre que cela arrive », a indiqué le directeur de l'ANSSI en rappelant que tout pirate pouvait faire des erreurs. En revanche, pour ne pas donner de clés aux attaquants, il n'a fourni aucune précision sur la façon dont travaillaient les enquêteurs des services spécialisés qui cherchent à remonter la chaîne d'ordinateurs utilisés par les pirates, signalant simplement que cela mobilisait « des ressources assez pointues, des experts de très haut niveau ».
Pas seulement un cheval de Troie
Interrogé par ailleurs sur les similitudes entre le mode opératoire de l'attaque et celui qui a récemment visé le SI du ministère des finances canadien (dont on a dit qu'elle provenait de Chine), Patrick Pailloux n'a pas souhaité faire de commentaires, tout en admettant les ressemblances. Les attaquants du SI de Bercy ont ciblé un certain nombre de personnes auxquelles ils ont adressé des messages, accompagnés d'une pièce jointe, en se faisant passer pour certains de leurs collaborateurs ou partenaires internationaux. Le document joint était en rapport avec les centres d'intérêt des personnes qui ont donc cliqué sur le fichier piégé. Un cheval de Troie s'est installé sur l'ordinateur dont il a pris le contrôle. « A partir de là, le pirate peut à distance faire ce qu'il veut ». Néanmoins, a précisé Patrick Pailloux, « il n'y avait pas seulement un cheval de Troie, c'était une attaque organisée avec plusieurs moyens techniques, divers, et qui ont évolué dans le temps ».
Pour lancer ce type d'actions, il faut des moyens, certes, mais qui ne sont pas insurmontables, souligne Patrick Pailloux. « Il n'y a pas besoin d'être un Etat extraordinairement doté pour mener ce genre d'attaque ». D'ailleurs, tous les scénarios sont possibles, estime-t-il. Il peut s'agir de personnes manipulées ou dont on loue les services. « Des affaires d'espionnage, on en trouve beaucoup. Là, nous parlons d'une affaire qui a touché l'Etat de façon assez sérieuse, mais il y a parfois dans les administrations des attaques qui peuvent être quasiment individuelles pour espionner des individus. Et les motivations peuvent être extrêmement variées ».
150 postes touchés sur 170 000
L'ANSSI a mené plusieurs opérations « en liens directs et étroits, à la fois avec les services de Bercy et avec les services de police », a expliqué ce lundi soir Patrick Pailloux. La première a consisté à comprendre ce qui se passait techniquement. « Quand des pirates mènent ce genre d'attaques, il le font de façon extrêmement discrète. Il y a eu jusqu'à la semaine dernière un travail très important pour essayer de comprendre dans le détail quelle était cette attaque, comment elle marchait et quels outils techniques étaient utilisés, quels virus, quels vers, quels chevaux de Troie », a relaté le directeur. En parallèle, il a fallu cerner l'étendue de l'attaque. « C'est une opération de grande ampleur que nous avons mené sur l'ensemble de Bercy, ce qui représente 170 000 ordinateurs. Nous avons fait bien sûr des vérifications dans d'autres administrations qui étaient potentiellement concernées et sur lesquelles on voyait par ailleurs des tentatives d'attaques. » Au final, 150 ordinateurs étaient touchés. D'après ce qu'il a été observé, l'attaque n'a pas réussie ailleurs, notamment, cela n'a pas atteint à Bercy les dossiers personnels et fiscaux.
Ce week-end, pour sécuriser les contenus, une très importante reconfiguration de l'informatique du ministère des Finances a été conduite. « Nous avons complètement coupé Bercy d'Internet et un certain nombre de travaux ont été menés jusqu'à la reconnexion lundi matin. Cela a mobilisé 150 personnes ce week-end. »
Illustration : Patrick Pailloux, directeur général de l'ANSSI, lors du point presse du lundi 7 mars 2011 (crédit : MG).[[page]]
Questionné sur le profil des personnes ciblées par l'attaque, le directeur de l'ANSSI a indiqué que, comme l'expérience l'avait montré dans les affaires d'intelligence économique, les gens étaient visés tout azimuts. « Parfois, une attaque sur une secrétaire peut être plus efficace que sur un patron ». Quant aux documents volés, ils vont de l'information banale au document sensible. En revanche, « les documents classifiés ne sont pas concernés », a affirmé Patrick Pailloux. Il y a à Bercy un intranet interministériel nommé Isis, utilisé pour traiter les informations classifiées Défense et totalement isolé, sur lequel ont été placés des dispositifs de sécurité considérables. « Mais vous imaginez bien que l'on ne peut pas déployer ce genre de systèmes partout. Cela coûterait des fortunes. On le limite donc aux informations les plus sensibles ».
Prendre conscience de la réalité de la menace
Alors, l'Etat français est-il suffisamment protégé ? « C'est ce que nous essayons de faire à l'ANSSI. C'est la raison d'être de la création de l'agence de déployer de nouveaux dispositifs de sécurité et de renforcer la protection. » Patrick Pailloux considère néanmoins qu'un effort considérable est consenti en matière de moyens financiers. « Cette année, nous allons recruter, turnover compris, probablement autour de 70 personnes. Il y a 40 créations de postes au sein de mon agence. Pour les avoir vues à l'oeuvre, je peux vous dire que les équipes de mon agence sont à un niveau exceptionnel. » Même si les moyens ne sont jamais suffisants, on ne pourrait pas aller beaucoup plus vite, estime le directeur. En 2012, le budget annuel de l'ANSSI devrait atteindre 90 millions d'euros (salaires compris).
Mais en dehors de l'administration, ce qui est arrivé à l'Etat pourrait aussi susciter une prise de conscience du côté des entreprises. « C'est une des raisons pour lesquelles nous avons voulu communiquer, a affirmé Patrick Pailloux. Certaines entreprises sont souvent très peu conscientes du niveau de risque qu'elles prennent. C'est pourquoi nous souhaitons dire que ce sont des sujets dont il faut parler parce qu'il s'agit d'une menace qui est totalement réelle. Nous espérons ardemment que cela va participer à la sensibilisation. »
(...)(07/03/2011 17:06:24)Google améliore la sécurité des applications sur Android Market
« Nous avons identifié et supprimé les applications malveillantes. Elles ont profité de vulnérabilités connues mais n'affectent pas les versions 2.2.2 ou supérieur d'Android », a déclaré Rich Cannings, spécialiste la sécurité sur l'OS mobile de Google, sur le blog de l'éditeur.
« Un certain nombre de mesures ont été prises pour protéger ceux qui ont téléchargé une application malveillante. Nous les avons retiré de la plateforme Android Market, suspendu les comptes développeurs associés et communiqué les informations à la Justice. Par ailleurs, nous avons éliminé à distance les applications malveillantes qui ont touché les terminaux », a ajouté Google confirmant ainsi l'existence d'un« coupe-circuit » pour les applications.
Un coupe-circuit via une mise à jour
L'éditeur a déclaré que ce procédé est intégré dans une mise à jour de sécurité de l'application Android Market, poussée sur les équipements infectés. « La mise à jour inverse le processus mis en place par les logiciels malveillants pour empêcher le ou les pirates d'accéder à plus d'informations depuis le mobile. » La firme de Moutain View a dit que ceux touchés par les applications malveillantes recevront un email de android-market-support@google.com au cours des prochaines 72 heures et qui leur indiquera « Android Market Security Tool Mars 2011» a été installé.
« Des mesures supplémentaires ont été apportées pour aider à prévenir ce type d'attaques utilisant des failles sur des applications distribuées via Android Market. Un travail avec les partenaires a été réalisé pour fournir des correctifs sur des problèmes de sécurité sous-jacents », a ajouté Rich Cannings.
En complément, le filtrage des applications pourrait être aussi renforcé. La plupart des spécialistes de sécurité avaient alerté les utilisateurs sur des risques plus élevés d'attaques sur une plateforme ouverte comme Android.
(...)
| < Les 10 documents précédents | Les 10 documents suivants > |