Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 61 à 70.
| < Les 10 documents précédents | Les 10 documents suivants > |
(23/02/2012 11:23:05)
Une faille critique de pcAnywhere publiée par un chercheur
Un code malveillant capable d'exploiter une vulnérabilité identifiée récemment dans le logiciel de contrôle de PC à distance pcAnywhere a été publié sur Internet. L'exploit expose les utilisateurs du produit de Symantec à d'éventuelles attaques susceptibles de perturber le fonctionnement du logiciel.
C'est Johnathan Norman, directeur de recherche en sécurité chez Alert Logic, lequel vend des solutions de sécurité pour les réseaux, qui a publié ce code sur Pastebin vendredi. Manifestement, le code peut être utilisé pour faire planter une fonction importante de pcAnywhere appelée awhost32. Selon le chercheur, « la mise en déni de service (DoS) n'est pas persistante, parce que le processus awhost32 est redémarré automatiquement. » Cela signifie que les attaquants éventuels doivent exécuter l'exploit en boucle pour créer des perturbations durables.
Jonathan Norman affirme avoir identifié un certain nombre d'autres vulnérabilités dans pcAnywhere quand il a été amené à enquêter sur un problème plus grave d'exécution de code à distance, une faille que Symantec a corrigé le mois dernier. « Je ne sais pas encore ce que je vais faire de toutes ces vulnérabilités, » a déclaré Jonathan Norman dans un blog, vendredi.
Même les versions mises à jour sont concernées
Selon le chercheur, l'exploit rendu public est actif, y compris contre les versions entièrement mises à jour de pcAnywhere. « Symantec a été informé de la publication de ce code et examine le problème, » a déclaré un porte-parole de Symantec par mail. Mais l'entreprise de sécurité ne peut pour l'instant fournir plus d'information sur la question.
La divulgation de ces vulnérabilités intervient après que des pirates liés au groupe d'hacktivistes Anonymous ont livré le code source de pcAnywhere sur Internet au début du mois. Début janvier, suite au vol du code source de pcAnywhere, Symantec avait recommandé aux utilisateurs de ne plus utiliser l'application, jusqu'à la disponibilité de correctifs destinés à résoudre des problèmes liés à plusieurs vulnérabilités présentes dans le produit. Un peu plus tard, l'entreprise avait livré, après avoir publié plusieurs correctifs successifs, une version propre et entièrement restaurée de pcAnywhere.
Cependant, la divulgation du code source expose davantage le produit et peut, en théorie, permettre la découverte d'autres vulnérabilités. Déjà, un chercheur anonyme a analysé les fichiers et les documents rendus publics par la fuite. Selon ses conclusions publiées par l'Institut InfoSec, l'application n'aurait pas beaucoup évolué au fil des années. Selon lui, la version actuelle a été probablement développée sur la base de l'ancien code, au lieu d'être réécrite.
(...)(22/02/2012 12:50:04)Des attaques DDoS contre les webcams des élections russes
Des pirates ont commencé à attaquer l'immense réseau de webcams installées à la demande du premier ministre russe Vladimir Poutine. Celles-ci doivent lui permettre de suivre en direct le vote des prochaines élections présidentielles de mars 2012. Ilya Massukh, vice-ministre des Communications, a reconnu que les deux premières caméras installées dans la ville de Novosibirsk, en Sibérie, et testées pour le jour du vote, avaient déjà été touchées par des attaques DDoS. « Nous avons lancé ce site en avance afin de comprendre la nature des menaces, » a-t-il déclaré à Reuters.
« À ce jour, l'entreprise de télécommunications Rostelecom a posé 54 000 caméras sur les 182 000 prévues pour surveiller les élections dans plus de 91 000 bureaux de vote, » a déclaré le vice-ministre. Le gouvernement a déjà investi 13 milliards de roubles (292 millions d'euros) pour installer ce réseau destiné à convaincre une population méfiante que ces élections se dérouleront de façon équitable. Le vote qui doit avoir lieu le 4 mars prochain opposera Vladimir Poutine à quatre autres candidats. Mais le réseau de caméras pourrait bien être la cible d'attaques DDoS répétitives organisées par des militants anti-Poutine à l'intérieur du pays.
On ne connait pas très bien la nature des dégâts occasionnés par ces attaques DDoS sur le réseau de webcams déjà installées à travers la Russie, mais la probabilité qu'elles subissent des perturbations est importante.
(...)(21/02/2012 12:29:11)
Google juge dépassée la politique de confidentialité de Microsoft sur IE
« Nous avons constaté que Google contourne la fonction protection de la confidentialité P3P (Platform for Privacy Preferences) dans le navigateur Internet Explorer » a expliqué dans un blog, Dean Hachamovitch, vice-président en charge de l'activité Internet Explorer chez Microsoft. Il ajoute que « le mécanisme de contournement utilisé par Google est différent de celui de Safari, mais le résultat est similaire ».
IE bloque par défaut les cookies de sites tiers, sauf si ces bouts de code sont conformes avec le protocole P3P. Le site doit indiquer quelles informations seront récoltées et doit s'engager à ne pas tracer l'utilisateur. « Techniquement, la méthode de Google utilise une nuance dans la spécification de P3P avec une chaîne de caractères qui lui permet d'éviter les politiques de sécurité installées par Microsoft », souligne Dean Hachamovitch.
Google considère P3P comme dépassé et dangereux pour le web moderne
Rachel Whetstone, vice-présidente, responsable de la communication de Google, a rétorqué dans un communiqué envoyé par courriel à nos confrères d'IDG NS que la politique de Microsoft est « largement non-opérationnelle ». Les fonctionnalités les plus récentes sur les cookies sont cassées lors de leur mise en oeuvre dans Internet Explorer. La dirigeante fait référence au bouton « like » de Facebook, mais aussi à la possibilité de se connecter sur des sites web en utilisant un compte Google. « Il est bien connu qu'il est impossible de se conformer à la demande de Microsoft si l'on veut offrir ces fonctionnalités », précise Rachel Whetstone. Elle ajoute que « le protocole P3P n'a pas été conçu pour des situations nouvelles. En conséquence, nous avons inséré un lien dans nos cookies qui dirige les utilisateurs vers une page où ils peuvent en apprendre davantage sur les pratiques de confidentialité associés à ces cookies ».
Rachel Whetstone enfonce le clou en citant Facebook qui a estimé que cette norme était désuète et ne prenait pas en compte les technologies actuelles du web. La responsable rappelle également que « l'organisation qui a établi P3P, le World Wide Web Consortium, a suspendu ses travaux depuis plusieurs années sur ce standard, car les navigateurs web récents ne le supportent pas complètement ».
RSA dément la présence d'une faille dans son algorithme de cryptage
La réaction de RSA n'a pas tardé à la suite de l'annonce d'une faille dans les systèmes de cryptage RSA découverte par des chercheurs basés à l'EPFL et aux Etats-Unis. Alors que l'étude estimait que le système de cryptage RSA était défectueux dans 0,2% des cas, RSA riposte en estimant avoir effectué une analyse confirmant que l'algorithme lui-même ne représente aucune vulnérabilité. RSA pointe en revanche du doigt de possibles erreurs d'implémentation, notamment dans le cadre de systèmes embarqués connectés au web.
Ari Juels, chief scientist chez RSA, a souligné «l'utilité de l'étude», qui démontre «les failles relatives aux protocoles de cryptage durant le processus de génération de nombres aléatoires». «A mon sens, explique-t-il, toute cryptographie nécessite de générer des nombres réellement aléatoires. S'il y a un problème à ce niveau-là, l'ensemble du protocole échoue». Selon lui, la faille ne serait ainsi pas liée à l'algorithme de RSA, mais à la manière dont les clés de cryptage sont générées.
RSA demande donc de veiller à une implémentation respectant les meilleures pratiques en la matière pour éviter des vulnérabilités, en particulier en relation avec des systèmes embarqués.
ICTjournal.ch (...)(20/02/2012 11:53:16)Les Anonymous veulent bloquer les serveurs racines DNS le 31 mars
Dans un avertissement publié sur Pastebin la semaine dernière, les Anonymous veulent lancer le 31 mars prochain des attaques qui viseraient les serveurs racines DNS. Cette action fait partie de l'opération « Global Blackout » menée en représailles des projets américains de loi pour lutter contre le piratage (SOPA et PIPA) ou la fermeture de Megaupload par le FBI. Dans leur revendication, le groupe de pirates explique que « l'attaque a été planifiée comme une protestation contre nos dirigeants irresponsables et nos banquiers adorés qui ont affamé le monde pour leurs propres besoins égoïstes et pour un simple plaisir sadique ».
Le DNS convertit un nom de site web, tels que www.lemondeinformatique.fr, en une adresse IP numérique (97.160.10.15), qui est utilisé par les ordinateurs pour trouver le site. Il existe 13 serveurs racines DNS qui répondent aux requêtes dites de premier niveau et les redirigent ensuite vers des serveurs qui gèrent les .com, .org ou .fr. Anonymous a précisé dans son avertissement qu'il avait « construit un outil baptisé RAMP « Reflective DNS Amplification DDOS » (attaques par saturation en mode distribué) qui utilise une faille dans le protocole UDP pour modifier l'adresse IP de la requête. En augmentant considérablement le nombre de requêtes, les pirates veulent faire tomber les serveurs racines.
Des raisons de ne pas s'inquiéter
Robert Graham, PDG de Errata Security, reste prudent sur la portée d'une telle attaque « ils pourraient affecter quelques-uns des serveurs racines DNS, mais il est peu probable qu'il puisse tout faire tomber dans une courte période » et d'ajouter, « le fait de donner le jour de l'attaque en relativise la portée ». Le spécialiste en sécurité précise aussi que s'il existe 13 serveurs racines, une attaque sur l'un n'affectera pas les 12 autres. Cela s'explique par la technologie de routage « anycasting » permettant de déléguer des requêtes à un autre serveur qui intègre une réplique des données des serveurs racines. Il existe aujourd'hui des centaines de serveurs de ce type à travers le monde pour augmenter la résilience des DNS, confirme Robert Graham.
Les fournisseurs d'accès à Internet ont également tendance à mettre en cache les données DNS pendant un certain temps souligne Mr Graham. Quelques jours avant l'attaque, il leur suffit de mettre en cache suffisamment de données sur des serveurs nommés « time to live ». Ainsi, si un serveur racine a une baisse d'activité, il n'y aura pas d'incidence immédiate sur les clients des FAI.
Enfin, les serveurs DNS racines sont étroitement surveillés. Dès que des problèmes seront visibles, le trafic malveillant vers les serveurs racine sera certainement bloqué, avec des perturbations qui ne dureront que quelques minutes. Robert Graham conclut en disant que « dans ce court laps de temps, des centaines d'experts en sécurité travailleront pour résoudre le problème ».
Découverte d'une faille dans le cryptage RSA
Selon une étude d'une équipe dirigée par le Professeur Arjen Lenstra de l'EPFL, il existe une faille dans le système de cryptage RSA. Ce dernier est celui utilisé pour garantir la sécurité des transactions sur Internet. Les chercheurs suisses et américains, Dan Auerbach et Peter Eckersley, ont testé plusieurs millions de clés RSA publiques. Si le système fonctionne correctement dans la grande majorité des cas, il n'offre aucune sécurité dans 0,2% des cas.
Même si l'exploitation de cette vulnérabilité semble difficile dans la mesure où elle nécessite de trouver la clé publique avec laquelle sont cryptées les informations, deux membres de l'Electronic Frontier Foundation (EFF), Dan Auerbach et Peter Eckersley ont estimé sur un blog que «les conséquences de ces failles [étaient] extrêmement sérieuses. Dans tous les cas, une clé faible pourrait permettre à un espion présent sur Internet d'apprendre des informations confidentielles, comme des mots de passe ou le contenu de messages échangés avec un serveur vulnérable.» L'EFF a précisé qu'elle travaillait actuellement avec l'EPFL pour alerter les opérateurs de serveurs utilisant des systèmes de cryptage vulnérables.
(...)(17/02/2012 12:17:47)TinKode, le pirate de la NASA et du Pentagone, arrêté en Roumanie
De son vrai nom Razvan Manole Cernaianu, le pirate TinKode est accusé d'avoir révélé les failles de sécurité des systèmes informatiques du Pentagone et de la NASA et d'avoir publié des informations sur la manière de mener des attaques par injection de code SQL contre ces agences. La Direction roumaine de la lutte contre le Crime organisé et le Terrorisme a déclaré que le pirate avait également proposé sur son blog un logiciel pouvant servir à pirater des sites web et avait publié une vidéo dans laquelle il décrivait les attaques Internet qu'il avait menées contre le gouvernement américain.
Le FBI et la NASA ont collaboré à l'enquête. Selon l'ambassade des États-Unis à Bucarest, Razva Cernaianu a utilisé « des outils de piratage sophistiqués pour avoir un accès non autorisé à des systèmes gouvernementaux et commerciaux. » En avril dernier, le hacker aurait ainsi réussi à s'introduire dans un serveur informatique du Goddard Space Flight Center appartenant à la NASA, et avait publié une capture d'écran sur laquelle on pouvait voir des fichiers contenant des données satellitaires confidentielles. D'après Anthony M. Freed, rédacteur en chef d'Infosec Island, TinKode a profité de plusieurs vulnérabilités bien connues et les agences ciblées auraient pu les résoudre avant que le pirate n'exploite ces failles en livrant des attaques par injection de code SQL. La plupart des experts en sécurité connaissent bien cette technique et la désignent - un peu par dérision - sous le nom de « Hacking 101 », pour dire que la méthode est simple.
Des failles de sécurité dans tous les systèmes complexes
« Le pirate a ciblé de grosses entités qui ont sans aucun doute des réseaux complexes et de multiples interfaces pour permettre l'accès à des tiers, avec des bases de données d'entreprises avec lesquelles elles travaillent ou des bases clients, » a indiqué Anthony Freed. « Ces différents accès augmentent la probabilité de trouver des points d'entrée non protégés. » a ajouté le rédacteur en chef d'Infosec Island. Selon lui, dans des réseaux de cette ampleur, l'intrusion d'un pirate déterminé est presque assurée. « Dans ce type d'infrastructure, il faudrait se concentrer davantage sur la détection et la protection des données au sein des réseaux et moins travailler avec l'hypothèse qu'il ne sera pas possible d'empêcher toutes les tentatives d'intrusion, » a-t-il déclaré. Il est notamment essentiel de mettre en place des systèmes de surveillance avancée, d'établir une classification appropriée des données, et d'utiliser des protocoles d'authentification de second niveau pour contrôler l'accès aux informations les plus sensibles afin de détecter les intrusions éventuelles et contrer l'action des pirates éventuels. « Ces précautions pour verrouiller un système compromis et éviter le vol de données valent bien le temps que l'on peut y consacrer, » a ajouté Anthony Freed.
Pour Gary McGraw, directeur technique de Cigital, TinKode n'aurait pas été repéré s'il ne s'était pas vanté publiquement de ses exploits. « Si vous cherchez à vous faire remarquer que vous allez sûrement réussir,» a-t-il déclaré. Le directeur technique affirme aussi que le dommage causé est probablement mineur. « Pour éviter ces problèmes stupides, des agences comme celles-ci devraient plutôt construire des systèmes où la sécurité est une priorité principale. Pour l'instant, elles essaient juste de remédier au coup par coup aux défauts d'un système qui ne fonctionne pas correctement. »
(...)(17/02/2012 10:53:01)Cybercriminalité : Paris, 4ème ville la plus exposée
Une étude de Sperling's BestPlaces pour Norton by Symantec, désigne Manchester comme la ville européenne la plus vulnérable face à la cybercriminalité. Cette ville détient conjointement le plus grand nombre de points d'accès WiFi et d'attaques de logiciels malveillants. Paris, seule ville française de ce classement, prend la quatrième place.
Classement 2012 des villes européennes à risque dans l'utilisation d'Internet :
1. Manchester (Angleterre)
2. Amsterdam (Pays‐Bas)
3. Stockholm (Suède)
4. Paris (France)
5. Londres (Angleterre)
6. Dublin (république d'Irlande)
7. Milan (Italie)
8. Rome (Italie)
9. Barcelone (Espagne)
10. Berlin (Allemagne)
Ce classement est basé sur l'étude d'une sélection de dix villes européennes et sur deux types de données : la sécurité en ligne (ordinateurs infectés, tentatives d'infections par des programmes malveillants, adresses IP corrompues...) et le comportement des internautes (nombre de hotspots, fréquence des comportements à risque comme les achats en ligne, l'accès aux comptes bancaires en ligne ou aux réseaux sociaux, etc.).
Apple va empêcher les apps d'accéder aux contacts
Apple a finalement réagi aux plaintes concernant les applications sur iPhone qui téléchargeraient les données du carnet d'adresses des utilisateurs sans leur consentement. La firme de Cupertino avait reçu beaucoup de critiques sur la trop grande latitude laissée aux développeurs pour piocher dans les données privées des utilisateurs. Le réseau social sur mobile, Path, a été la première société pointée du doigt par un bloggeur qui a vu son carnet d'adresses aspiré par les serveurs de l'éditeur sans son accord. Mais d'autres applications, y compris Facebook, Twitter, Foursquare et Yelp, ont le même comportement.
Une mise à jour d'iOS prévue
Path s'est excusé et d'autres services comme Instagram (photo) et Foursquare (géolocalisation) travaillent sur plus de transparence. Mais la question a été jugée suffisamment grave pour que des membres du Congrès américain écrivent une lettre à Tim Cook, pour avoir des explications sur ce que compte faire la firme sur iOS et sur sa politique vis-à-vis des développeurs pour protéger les données des utilisateurs. Apple a réaffirmé que les règles imposent aux développeurs d'avoir l'approbation des utilisateurs pour collecter et transmettre les contacts. Il semble que ces explications ne suffisent pas, puisque la firme de Cupertino va publier une mise à jour d'iOS. Tom Neumayr, porte-parole d'Apple, a expliqué à nos confrères de AllThingsD « nous travaillons pour rendre les meilleurs services à nos clients, comme nous l'avons fait avec les services de localisation. N'importe quelle application souhaitant accéder aux données privées sera obligée d'avoir l'autorisation explicite de l'utilisateur ». (...)
Adobe corrige des failles critiques dans Flash Player
Adobe a corrigé 7 vulnérabilités critiques dans Flash Player, y compris celle trouvée par les chercheurs de Google et que des pirates ont utilisée lors d'attaques ciblées. Ils sont passés par une faille XSS (cross site scripting) dans le plug-in du lecteur Flash pour IE de Microsoft.
« Cette mise à jour corrige une faille de type XSS qui pourrait être utilisée pour voler l'identité d'un internaute sur un site web ou sur un webmail » peut-on lire sur l'avis de sécurité émise par Adobe. « Il existe des preuves que cette vulnérabilité a été utilisée dans des attaques ciblées visant à tromper l'utilisateur en cliquant sur un lien malveillant transmis dans un message électronique. » L'éditeur note néanmoins que cette méthode ne fonctionne que sur IE. Cette faille a été notifiée par les chercheurs de Google, mais Adobe n'a pas indiqué la date du dépôt de cette découverte et donc depuis combien de temps les pirates y ont eu accès.
Une sandbox pour IE en préparation et en test pour Firefox
Les 6 autres failles corrigées sont considérées comme critiques par Adobe. Elles concernent des problèmes de corruption de mémoire ou des contournements d'éléments de sécurité. Les vulnérabilités pourraient « provoquer un plantage et potentiellement donner la possibilité à des pirates de prendre le contrôle du système affecté ». Les corrections s'adressent à Flash Player 10 et 11 sur Windows, Mac OS X, Linux et Solaris, et Flash Player sur Android. Elles sont téléchargeables depuis le site d'Adobe où elles se feront automatiquement. Les utilisateurs d'Android peuvent récupérer la mise à jour sur l'Android Market.
Google a également mis à jour le lecteur Flash pour Chrome. Depuis avril 2010, le lecteur est inclus dans le navigateur.
La semaine dernière, Adobe a confirmé qu'il travaillait sur la mise en place d'une «sandbox» pour le plug-in Flash Player dans Internet Explorer. Ce système de défense a déjà été intégré à d'autres navigateurs. Ainsi Chrome en bénéficie depuis 2010 et l'éditeur vient de lancer une version bêta pour Firefox sur Windows Vista et 7. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |