Accéder au contenu principal

Articles

Affichage des articles du avril, 2014

Alerte sécurité : faille critique sur Internet Explorer

Le laboratoire de recherche en sécurité FireEye a détecté une nouvelle faille de sécurité pour Internet Explorer. Classée critique et zero-day (déjà exploitée), cette vulnérabilité permet la prise de contrôle à distance d’une machine et touche toute les versions d’IE depuis la 6. La faille sera prochainement corrigée, mais les versions XP ne seront cependant pas supportées.
Immatriculée CVE-2014-1776 par l’éditeur, la faille réside dans une erreur de gestion de certains objets en mémoire (liée selon toute vraisemblance au fichier vgx.dll, chargé de définir un format compatible pour les objets vectoriels), permettant l’exécution de code à distance. Elle est déclenchée par l’ouverture d’une page web piégée. De type Zero-day, elle a d’ores et déjà été exploitée. FireEye mentionne une campagne d’attaques nommée « Clandestine Fox », sans en préciser les détails. 
Les hackers ont utilisé une technique d'exploitation de Flash bien connue. Le site compromis charge un fichier Flash SWF qu…

Faille informatique « Heartbleed » : les leçons à tirer

La faille informatique baptisée Heartbleed est maintenant réparée. Mais les entreprises ont beaucoup à apprendre de ce malheureux épisode. La confidentialité des données de leurs clients a été mise en danger.
L’hémorragie est arrêtée. Entre mars 2012 et le 7 avril 2014, la faille informatique Heartbleed (« coeur qui saigne », en anglais) a concerné un très grand nombre de sites Internet, des réseaux sociaux en passant par les banques en ligne et les plates-formes de e-commerce. Le comble est que le danger provient justement du système chargé de sécuriser l’accès aux services sensibles comme le paiement en ligne...
L’alerte n’intervient que dans les premiers jours d’avril 2014 . Jusqu’ici personne n’avaient constaté de péril. Le risque : des cyber-criminels pouvaient facilement retrouver les informations personnelles d’internautes utilisateurs de ces sites, dans la mémoire des serveurs informatiques. Noms et mots de passe en premier lieu. Quelques jours après la découverte du problème…

Les défis de la cybersécurité

La cyber-menace est en voie de prendre des dimensions systémiques pour l'économie mondiale. L'inquiétude des acteurs monte, au point que l'on peut craindre une réaction globale contre la numérisation, avec un énorme impact économique. Pourtant, les avancées en matière de cloud computing et de Big data pourraient, selon McKinsey, créer entre 9600 et 21600 milliards de dollars de valeur pour l'économie mondiale. Si la sophistication des attaques submerge les capacités défensives des États et des organisations, on peut redouter des règlementations et des politiques qui ralentiraient l'innovation et la croissance.
ParisTech Review – La cyber-menace est-elle différente pour les Etats et pour les entreprises ?
Hervé Guillou – Pas vraiment. Dans le cybermonde, les frontières entre administration et industrie ne se déterminent ni par les chaînes actionnariales ni par les organigrammes. Elles sont poreuses, par le truchement des services. Les individus reçoivent des servic…

Des failles dans les mises à jour d'Android affectent 1 milliard de terminaux

Le chiffre est percutant et il est le fruit d'une recherche de l'Université de l'Indiana et de Microsoft. Les chercheurs ont découvert des failles dans la mise à jour d'Android autorisant l'élévation des privilèges. Toutes les versions de l'OS sont touchées.
Plusieurs chercheurs de l'Université de l'Indiana, Luyi Xing, Xiaorui Pan, Kan Yuan et Wang Xiaofeng , ainsi que Rui Wang de Microsoft Research ont publié un document sur la découverte de vulnérabilités dans la mise à jour d'Android. En effet, l'OS mobile évolue régulièrement et a besoin de processus automatisés pour gérer la compatibilité des anciennes applications et des données. Ils doivent prendre notamment en considération les droits et autorisations d'une application à utiliser certaines fonctions du terminal.
Dans un de ces mécanismes nommé PMS (Packet Management System), les scientifiques ont trouvé des failles spécifiques, baptisées « Pileup flaws », susceptibles d'être uti…

Le MIT repense la sécurité de l'architecture des sites web

Un groupe de chercheurs du MIT a élaboré une plateforme, baptisée Mylar, pour développer des sites web sécurisés. L'idée est de chiffrer les données dans le navigateur avant de les envoyer au serveur pour éviter le vol et les fuites.

L'actualité regorge d'exemples de vols de données sur des sites web par des cybercriminels, mais aussi par des gouvernements comme dans l'affaire Prism. Le point faible est le serveur, selon Raluca Popa, spécialiste du chiffrement au MIT. « On ne peut pas avoir confiance dans le serveur », souligne-t-elle. La chercheuse n'est pas une inconnue, car elle a participé à l'élaboration de la solution de base de données chiffrée CryptoDB, utilisée par SAP et Google.
Raluca Popa a monté une équipe pour créer une plateforme, baptisée Mylar, conçue pour développer des sites web sécurisés. Concrètement, l'idée est de chiffrer les données dans le navigateur avant de les envoyer au serveur. De la même façon, le déchiffrement ne peut se fai…

Encore peu de prévention contre les attaques par injection SQL

Selon une étude du Ponemon Institute, les entreprises ne font pas grand-chose pour empêcher les attaques par injection de commandes SQL.
Dans une étude réalisée par le Ponemon Institute pour le compte de DB Networks, 65 % des entreprises interrogées reconnaissent avoir subi une ou plusieurs attaques par injection de commandes SQL au cours des 12 derniers mois. De plus, en moyenne, l'incident a été découvert au bout de 140 jours, et il a fallu 68 jours pour résoudre le problème. « On sait que les entreprises doivent lutter contre les failles par injection SQL, et près de la moitié de celles qui ont répondu à notre enquête ont déclaré que le risque était très important pour leur entreprise. Mais l'étude examine la question de manière beaucoup plus approfondie », a commenté le Dr Larry Ponemon.
Ainsi, quand l'étude pose la question de la prévention des attaques par injections SQL, les mêmes entreprises répondent que les mesures prises pour se protéger sont insuffisantes : 52…

Première arrestation d’un pirate exploitant Heartbleed

Cybercriminalité —
Un jeune hacker canadien a été interpellé pour avoir volé la semaine dernière des numéros d’assurance sociale grâce à la faille de sécurité Heartbleed. 
A 19 ans, Stephen Arturo Solis-Reyes devient la première personne arrêtée pour avoir dérobé des données grâce à Heartbleed. La faille informatique, dont l’existence n’est connue que depuis une dizaine de jours, est qualifiée par certains experts comme «le pire cauchemar du Net».
Une enquête avait été diligentée après la révélation de l’intrusion dans le système informatique de l’Agence du revenu du Canada (ARC). Celui-ci utilise comme de nombreux sites le protocole de sécurité OpenSSL, vulnérable à Heartbleed, et donc au vol de données.
Arrêté mardi
Le prévenu a été arrêté mardi à son domicile de London (Ontario), a indiqué la Gendarmerie royale du Canada dans un communiqué paru mercredi.
Ce jeune Canadien devait être formellement inculpé jeudi à Ottawa de deux chefs d’accusation pour «utilisation non autorisée d’u…

Comment les grandes entreprises peuvent-elles protéger leurs données ?

a sécurité des données est un enjeu de premier ordre pour toutes les entreprises qui dépendent fortement de l’outil informatique pour fonctionner. En effet, le piratage étant de plus en plus répandu, il devient indispensable de se prémunir.
Les solutions Pour assurer la sécurité informatique à l’échelle d’une entreprise tout entière, les conseils généraux comme la navigation « incognito », le choix d’un moteur de recherche respectant mieux les données de ses utilisateurs (comme DuckDuckGo ou Blekko), vérifier systématiquement que l’on navigue en https avant d’entrer des données importantes… sont tous parfaitement valides, comme vous l’explique L’Express, mais ils restent insuffisants.
Pour une sécurité renforcée, il est intéressant d’envisager une solution sur mesure. Tools4ever offre un bon exemple de solution sécuritaire pour les grandes entreprises. Ce type d’investissement peut paraître impressionnant et compliqué, voire quelque peu extrême, mais en pratique, le fonctionnement qu…

Une jolie faille XXE dans les serveurs de Google

Il n'y a pas que le Heartbleed bug dans la vie pour s'amuser ! Non, il y a aussi cette faille XXE qui permet d'exploiter certains parsers XML qui interprètent aveuglement n'importe quelle DTD fournie avec un document XML.

Résultat, il est alors possible d'accéder à des fichiers locaux, de forger des requêtes côté serveur, de réaliser un déni de service via un RFI,  voire même d'exécuter du code à distance.

Bref, c'est moche. Surtout quand on apprend que la team Detectify est tombé sur une faille de ce type sur les serveurs de Google. En effet, en fouillant un peu, ils sont tombé sur la galerie de boutons pour la Google Toolbar qui permet à chacun de personnaliser sa propre toolbar avec des nouveaux boutons simplement en uploadant son propre XML customisé.

L'équipe de Detectify a tout simplement lu les spécifications de cet outil et conçu spécialement pour l'occasion un fichier XML permettant de conduire une attaque XXE. Une fois fait, ils ont uploa…

Sécurité informatique : une faille dans un logiciel utilisé par un site internet sur deux

Des spécialistes informatiques mettent en garde contre une importante faille dans un logiciel d’encodage utilisé par la moitié des sites internet, qui permet aux pirates de pénétrer dans les ordinateurs pour y récupérer codes et mots de passe.

C’est la hantise de tous les internautes qui effectuent ponctuellement ou non des transactions sur Internet : voir leur mots de passe, leur coordonnées bancaires et autres données piratée et utilisées à des fins malveillantes. Ce cauchemar de l’internaute serait une réalité sur près de la moitié des sites internet selon les spécialistes informatiques de la société néerlandaise Fox-it.
Selon eux en effet, il existe une faille importante dans l’un des logiciels d’encodage les plus utilisés au monde : baptisée « heartbleed » ( »coeur qui saigne ») la faille a été découverte sur le logiciel OpenSSL qui est utilisé pour protéger ses mots de passe, ses numéros de carte bancaire ou d’autres données sur Internet. Un site dédié à cette faille, détaille p…

Accusé de failles de sécurité, Huawei veut rassurer

Le géant chinois des télécoms et de l'internet Huawei a promis lundi de faire de la sécurité informatique sa priorité, après des informations de presse sur des intrusions de l'agence américaine de sécurité NSA dans ses réseaux.

«Le protectionnisme et la cybersécurité font partie des défis et des menaces auxquels nous faisons face», a assuré Eric Xu, un haut responsable de la société, dans un rapport annuel.

«Dans tous les cas, assurer la stabilité et la sécurité des opérations de nos clients sur nos réseaux est pour nous le premier des engagements ainsi que notre principale stratégie», a-t-il ajouté.

Huawei a annoncé avoir enregistré l'an passé un bénéfice net de 21 milliards de yuans (3,7 milliards de dollars CAN). Cela représente une hausse notable par rapport aux 15,6 milliards de yuans (2,8 milliards CAN) de bénéfice net en 2012.

Le chiffre d'affaires de Huawei a lui grimpé de 8,5% de 2012 à 2013, pour atteindre 239 milliards de yuans (42,4 milliards CAN). Outre le…

Le piratage de sites pédophiles, coup de génie des Anonymous

Génie, avec un grand G !

Il y a quelques mois à peine, les gouvernements, les multinationales, les grands de ce monde, tentaient de faire passer cette bande hackers pour de terribles et dangereux pirates du net sans foi ni loi, et hop ! D'un coup de baguette magique (ou de clavier magique) ils viennent de renverser la situation.



Darknet. 
Le nom de l'opération reste bien dans le ton du piratage et on imagine aisément les voiles numériques d'un vaisseau fantôme croisant dans le triangle des Bermudes.
Mais voilà, l'action menée a une bien réelle incidence sur le monde, et c'est tout un réseau pédophile, qui se planquait tranquillement sur TOR, qui vient de tomber. Plus de 1.500 comptes détaillés, des milliers de fichiers pédopornographiques, un vrai carnage. Et qui applaudit ? Le peuple.
Mais...
Mais, alors que je salue le coup de génie de ces hackers une chose m'interpelle : Ces monstrueux pirates sont donc des gens plus intelligents que les gars de la Hadopi ? …

Les virus en temps réel

Tous les moyens sont bons pour faire la promotion de ses solutions de sécurité. L’éditeur d’antivirus Kaspersky Lab l’a bien compris et a mis en ligne une cartographie interactive et en 3D des cyber-menaces.

À la manière de Google Earth et de son globe virtuel, on pourra naviguer où bon nous semble sur notre bonne vieille Terre et observer les différentes infections en temps réel.

Un affichage planisphère est également proposé, lequel offrira toujours une perspective 3D.
La cyberguerre est déclarée !

Les données proviennent des produits de l’éditeur, lequel n’oublie pas de nous proposer son diagnostic pour voir si nous sommes infectés. Les décomptes que vous observerez sur le globe ont débuté à minuit. Des statistiques plus précises sont accessibles au bas de l’interface.

Pour information à la mi-journée, la France est le 9ème pays le plus infecté au monde. Dans notre notre trio de tête, on retrouvera la Russie, l’Inde et le Vietnam. Les États-Unis arrivent en 4ème place.

Sont réperto…

Ukraine : Un pirate informatique prétend (à tord ?) avoir voler 800 millions de CB

800 millions de cartes de crédit ou débit US compromises, voila une affirmation qui laisse pantois et ne passe pas inaperçu ! Mais voila, il semble y avoir un mais… Le groupe de pirate ukrainien revendiquant le piratage se présente comme « anti-américain ».
L e groupe Anonymous Ukraine (Op_Ukraine) affirme avoir dérobé les données bancaires de centaines de millions de cartes aux États-Unis (800 millions d’après eux). Parmi ces données, il y aurait même une carte appartenant au président américain Barack Obama et d’autres personnalités politiques. Le but d’Op_Ukraine est affiché clairement : nuire à l’économie américaine.
Leur déclaration (d’après le cache Google) a été accompagnée de quatre fichiers texte, contenant un ensemble de données bancaires s’élevant à sept millions de cartes de crédit/débit, toutes marques confondues : Visa, MasterCard, Discover et American Express. Les quatre sociétés de bancaires concernées n’ont pas commenté jusqu’à présent, comme l’indique le site Americ…

Google accuse la Turquie de l'avoir piraté

Google affirme que la Turquie a pénétré son système d'adresses internet afin de pouvoir rediriger les utilisateurs vers d'autres sites, dernier épisode des efforts controversés d'Ankara pour bloquer l'accès de ses concitoyens aux réseaux sociaux et géants du web. Google a reçu "plusieurs informations crédibles et a confirmé par (ses) proches recherches que le service DNS (Domain Name System) a été intercepté par la plupart des fournisseurs turcs d'accès à internet", a écrit ce week-end sur le blog de sécurité de Google l'un de ses ingénieurs, Steven Carstensen. Il explique que le serveur DNS "dit à votre ordinateur l'adresse d'un serveur qu'il recherche, de la même façon que si vous recherchiez un numéro de téléphone dans un annuaire". "Imaginez que quelqu'un remplace votre annuaire par un autre, qui ressemble de très près à l'original, à l'exception du fait que les informations données sur certaines personnes son…