Accéder au contenu principal

Articles

Affichage des articles du juillet, 2014

Alerte Cisco : faille de sécurité sur certains modems et routeurs

La fonction d’accès à distance de certains appareils Cisco, plutôt destinés aux particuliers, souffre d’une vulnérabilité permettant la prise de contrôle par Internet. Quels sont les modèles concernés ? Comment réparer cette faille ? Comme de nombreux routeurs, les équipements Cisco proposent une fonction de gestion à distance, via un accès web en HTTPS (HTTP sécurisé). Mais malheureusement, cet accès chiffré ne suffit pas à sécuriser complètement une connexion distante : l’exploitation d’un bug par dépassement de tampon ( buffer overflow ) peut permettre à un pirate d’accéder au routeur, sans saisir d’identifiant ou de mot de passe, et d’en prendre le contrôle. Concrètement, il suffit d’injecter du code malveillant dans les champs d’identification, au delà du nombre de caractères normalement accepté. Cette vulnérabilité a été  dévoilée par l’entreprise Cisco  elle-même, le 16 juillet dernier. Quels sont les modems et routeurs concernés ? Les matériels impactés correspondent

Les backdoors d'iOS pointés par un chercheur en sécurité

A l'occasion de la conférence Hackers On Planet Earth (HOPE/X), Jonathan Zdziarski, expert en sécurité, a pointé les backdoors présents dans iOS qui pourrait faciliter le travail de la NSA. Le système d'exploitation d'Apple n'est pas épargné par les failles de sécurité exploitables par les hackers et les agences gouvernementales. Jonathan Zdziarski, un expert en sécurité et hacker à ses heures, explique ainsi sur son blog qu'IOS était une véritable passoire avec de nombreux backdoors exploitables par n'importe qui. Le chercheur n'accuse pas Apple de faciliter le travail de la NSA, mais la présence de failles non corrigées l'inquiète au plus haut point. « Je n'ai pas accusé Apple de travailler avec la NSA, mais je soupçonne (sur la base de documents publiés) que certains de ces services peuvent avoir été utilisés par la NSA pour recueillir des données sur les cibles potentielles. Je ne dis pas qu'il y a un grand complot mais il y a cependant

Projet Zero : Google ouvre la chasse aux failles zero day avec une unité d’élite

Google part en guerre contre les failles qui nuisent à la sécurité des logiciels utilisés sur le Web. Et pour y réussir le géant américain monte une équipe de rêve, composée de hackers d’élite et baptisée Projet Zero… endant longtemps, la sécurité informatique a surtout été une affaire de silence et de secret. Les failles devaient être cachées. Malheur alors aux hackers assez habiles pour les trouver et assez honnêtes pour les déclarer aux éditeurs. Bien que son expérience soit un peu différente, George Hotz en sait long sur le sujet. Sous son pseudo GeoHot, il a été le premier à cracker l’iPhone simlocké d’AT&T puis a réussi à hacker la PlayStation 3, jusque-là inviolable, s’attirant les foudres de Sony. La chasse est ouverte Après ce fait d’arme et la promesse qu’il ne hackerait plus jamais un produit du géant japonais, GeoHot a mis son nez dans Chrome OS lors d’un concours de découverte de failles organisé par Google en mars 2014. Après avoir gagné, le jeune hacker a

Comprendre la faille WiFi Android (PNO)

Depuis quelques jours, le web regorge d’articles sur une vulnérabilité dans la fonction WiFi des appareils Android : cette faille permettrait de dévoiler nos données personnelles et de nous suivre à la trace. Sans être faux, c’est tout de même un peu exagéré ! Dans tous les cas, voici comment ne pas être victime de cette faille. La faille de sécurité liée au fonctionnement du WiFi des équipements Android (smartphones, tablettes) a été découverte par l’EFF (Electronic Frontier Foundation). Elle est directement liée à la fonction Preferred Network Offload (PNO), et sa composante Open Source wpa_supplicant. A l’origine, cette fonction permet au smartphone de mémoriser le nom (SSID) des 15 derniers réseaux WiFi auquel l’appareil a été connecté. Mais lorsqu’il est déconnecté et en veille, le smartphone émet régulièrement et en clair (c’est à dire sans aucun chiffrement) le nom de ces réseaux mémorisés, afin de s’y reconnecter automatiquement s’ils sont à portée. Il est donc théoriquement

Plan de réaction aux incidents de sécurité : à faire et à ne pas faire

Tim Holman, président de l’association britannique de la sécurité des systèmes d’information, l’ISSA UK, voit passer de nombreuses organisations dépourvues d’un plan de réaction aux incidents de sécurité. Et de dresser la liste de ce qui est susceptible de leur arriver lorsque survient finalement un incident. De mauvaises retombées médiatiques Les mauvais interlocuteurs dans l’organisation adressent le mauvais message aux médias. Il est fréquent, selon Tim Holman, que des PDG pensant mieux savoir que les autres formulent des réponses mal pensées, ou émettent des déclarations telles que « les attaquants ont utilisés des techniques avancées et se sont simplement montrés trop intelligents pour nous. » Ce qui peut avoir des implications légales immédiates, sans compter le risque d’une reconnaissance publique de responsabilité. Et ce type de déclaration ne contribue pas à la construction de l’image d’une entreprise sérieuse. Des délais de récupération trop lents Sans plan de ré

Windows 7 se dirige lentement vers la sortie

La fin de support principal est fixée pour le 14 janvier 2015. A partir de cette date, le système se figera d’un point de vue fonctionnel, mais bénéficiera toujours de mises à jour de sécurité pendant cinq ans. icrosoft vient de faire une piqûre de rappel aux utilisateurs de Windows 7 : la date de fin de support principal de l'OS arrivera le 13 janvier 2015. A partir de ce moment, Microsoft ne fera plus de mises à jour fonctionnelles de son système d’exploitation, quelle que soit la version (Enterprise, Familiale, Professionnel, Starter, Intégrale). En revanche, les utilisateurs continueront de recevoir des mises à jour de sécurité. Les entreprises pourront, par ailleurs, obtenir des correctifs logiciels pour éliminer les bogues, à condition de mettre la main au porte-monnaie. Tout ne va donc pas s’écrouler du jour au lendemain. Le système va simplement se figer d’un point de vue fonctionnel pour entrer dans la phase dite de « support étendu ». Celle va durer cinq ans avant

Windows 9 : une nouvelle procédure d'activation pour lutter contre le piratage ?

L'information est à prendre au conditionnel, car elle émane du leaker russe Wzor. Il est toutefois indéniable que Wzor est en général très bien informé. Avec Windows 9, Microsoft changerait la procédure d'activation de l'OS, afin de lutter contre le piratage. Si nous comprenons bien la publication de Wzor, nous ne devrons plus saisir une clé à 16 caractères pour activer un Windows 9. Au lieu de cela, après l'achat d'une licence, il faudra ouvrir un compte sur le Microsoft Store lors de la procédure d'installation. Ce compte ouvert, la procédure d'installation enverra au store des informations spécifiques à la machine -à  priori issues de la carte-mère - après quoi le store retournera une empreinte au format ESD-RETAIL qui sera incrustée et que l'OS testera au démarrage. Il ne sera donc plus, dans le cas d'une licence monoposte, possible d'installer Windows 9 sur une autre machine sans l'avoir désinstallé ou désactivé au préalable

72 % des sites Web sont vulnérables

eBay ou Orange figurent parmi les principales victimes des cyber pirates ces derniers mois, soulignant l’exposition grandissante des entreprises détentrices de données personnelles aux cyber attaques. La société éditrice de HTTPCS, scanner automatisé de détection des failles informatiques, fait le point en infographie sur la sécurisation, satisfaisante ou non, des sites Web en 2014. 7 2 % DES SITES WEB VULNÉRABLES AU PIRATAGE Le Web a connu un développement exponentiel et ce sous des formes de plus en plus diversifiées : explosion du nombre de sites, notamment de sites marchands, déjà 6 milliards d’objets connectés dans le monde, développement des applications mobiles, etc. Le Web a tissé sa toile dans notre quotidien, multipliant les opportunités d’exploitation des failles de sécurité. Aujourd’hui, le constat est là: 72% des sites Web sont exposés à un piratage informatique, 1 sur 5 comporte des vulnérabilités critiques et 15% sont même victimes d’expropriation des donnée

L’importance des mises à jour logicielles

Tous les logiciels installés sur un ordinateur ont besoin, tôt ou tard, de mises à jour. Ne pas les faire, ou les remettre à plus tard, représente un risque pour la sécurité du PC, des données personnelles (documents, mots de passe, etc.), voire bancaires. La question de l’importance des mises à jour logicielles peut paraître évidente ou superflue. Pourtant, toutes les semaines, je tombe sur des ordinateurs avec des icônes de mises à jour qui attendent désespérément d’être cliquées dans la zone de notification : Effectuez les mises à jour Windows (et autres) dès qu'elles sont disponibles Un logiciel sans mise à jour, ça n’existe pas Même avec la meilleure volonté du monde, un logiciel ne peut pas être définitif, il doit évoluer, non seulement pour proposer des corrections de bugs ou des nouvelles fonctionnalités, mais aussi parce que l’environnement sur lequel il est installé bouge : Les autres logiciels peuvent causer des problèmes de compatibilité. De nouvelles faill

Un cheval de Troie «gouvernemental» pour Android et iOS repéré dans 42 pays

Kaspersky et Citizen Lab ont mis la main sur des malwares de Hacking Team, un éditeur italien qui fournit aux forces de l’ordre des outils d’espionnage. Ces derniers se révèlent particulièrement polyvalents et sophistiqués. ur faire de la surveillance étatique, pas besoin d’avoir le formidable arsenal de la NSA. Un certain nombre de sociétés ayant pignon sur rue sont là pour fournir des outils plutôt efficaces aux forces de l’ordre. C’est notamment le cas de l’éditeur italien Hacking Team, qui vient de se faire épingler par Kaspersky et Citizen Lab. Les deux laboratoires d’analyse ont mis la main, pour la première fois, sur des chevaux de Troie conçus par cette entreprise pour infecter les smartphones Android et iOS. Par le passé, les experts avaient déjà découvert des malwares pour postes fixes de la part de cet éditeur. Là où le bât blesse, c’est que cette solution de surveillance n’est pas seulement utilisée dans des pays démocratiques (comme la France par exemple), mais ég

RECORD DE LONGÉVITÉ POUR UNE FAILLE

Une vulnérabilité vieille de 20 ans vient d’être corrigée dans la bibliothèque de compression LZO, exploitée par Android, OpenVPN, MPlayer2, Libav ou encore le kernel Linux. La dernière mise à jour de l’algorithme de Lempel-Ziv-Oberhumer (LZO) n’est pas passée inaperçue et pour cause : elle colmate une faille de sécurité qui touchait ce système de compression de flux depuis sa création… en 1994. Exploité à l’origine par la NASA pour ses modules envoyés en mission sur Mars, l’algorithme a depuis lors trouvé sa place dans bon nombre de projets IT : Android, OpenVPN, MPlayer2, Libav, le kernel Linux, Junos de Juniper, etc. Les multiples transformations et adaptations qu’il a subies ont compliqué la correction de la vulnérabilité. Enfin patché avec la version 2.0.7 de LZO, ce « vieux problème » pouvait occasionner une saturation de la mémoire tampon par injection de données malveillantes via certaines variantes dites « sécurisées » du système de décompression. Dans une contributio

Les 10 technologies que les responsables de sécurité IT doivent connaître

La sécurité informatique de nouvelle génération passe par le Big Data, l’internet des objets, la virtualisation,  le confinement, les passerelles Cloud, … Au total dix technologies qui ont de quoi donner des maux de tête à tout responsable de la sécurité IT. Mais ils n’auront pas le choix selon le cabinet Gartner. La sécurité informatique a toujours été complexe et c’est une nouvelle étape qui est en train d’être franchie avec le Cloud, les réseaux sociaux, les mobiles et l’internet des objets. Dix technologies à maîtriser Le cabinet Gartner liste les dix technologies que les responsables sécurité vont devoir maîtriser cette année. Elles font appel à du Big Data, de la simulation, du confinement, une connaissance pointue des flux de données et des outils capables de les analyser. Les responsables sécurité vont maîtriser ces dernières technologies, s’ils veulent assurer un niveau de sécurité satisfaisant préconise Gartner. En tête de liste, dans ces dix techniques on

UNE CARTE PRÉSENTE LE HACKING MONDIAL EN TEMPS RÉEL

La  cybercriminalité  est aujourd’hui considérée comme une  menace maximale, autant pour les sociétés que pour les états. Les attaques des pirates informatiques sont constantes, à tel point qu’elles font aujourd’hui l’objet d’une  cartographie en temps réel. Norse, une entreprise américaine (pays ou les pirates informatiques sont considérés comme des terroristes) a développé un système permettant de cartographier les cyberattaques dans le monde. Le modèle est basé sur l’utilisation d’un honeypot, méthode de défense informatique consistant à présenter des leurres afin d’attirer les attaques en ligne et finalement, d’identifier les assaillants. La carte du hacking présentée par Norse modélise ces attaques particulières et présente finalement une illustration de l’activité incessante des pirates informatiques dans le monde. Ici, les résultats sont néanmoins biaisés par le fait que le honeypot qui sert de base soit situé aux Etats-Unis. La réalité de la cybercriminalité mondiale reste diff

Dragonfly : un nouveau virus qui cible le secteur de l’énergie

La société de sécurité informatique Symantec fait état d’un nouveau piratage visant les systèmes Scada des entreprises du secteur de l’énergie. Baptisé Dragonfly, le groupe de hackers en question serait parvenu en effet à corrompre ces systèmes de contrôle utilisés par les opérateurs d’énergie dans plusieurs pays comme l’Espagne, La France les Etats-Unis ou l’Allemagne. Si cette attaque semble avoir été menée exclusivement à des fins d’espionnage, les pirates auraient néanmoins eu la possibilité d’altérer le bon fonctionnement des réseaux et de la distribution d’énergie dans les pays  Ainsi, un groupe de pirates informatiques se serait introduit avec succès dans les systèmes de contrôle d’entreprises de la filière énergétique. En corrompant le système Scada, système considéré dorénavant comme prioritaire en terme de sécurité par les gouvernements, le virus de Dragonfly aurait permis de récolter un certains nombres d’informations comme les carnets d’adresse ou autres listes de données.

Le Cloud "Oui", mais sans les failles de sécurité!

L’avion est le moyen le plus rapide et le plus efficace pour se déplacer, mais beaucoup d'entre nous ont des craintes quand il s’agit de monter dedans. De même, si le Cloud Computing peut augmenter considérablement l'efficacité d’une entreprise, toutes sont loin d’avoir fait le saut vers ce type de service. Dans une étude récente de F-Secure au sein d’entreprises comptant jusqu'à 500 employés*, la préoccupation de la sécurité des données est apparue comme l’une des principales raisons qui expliquent ces réticences. En effet, 45% des entreprises qui n'utilisent pas de solution dans le Cloud évoquent le manque de contrôle et de sécurité comme principale raison de leur choix. Au sein des plus grandes entreprises interrogées, ce chiffre est plus important : 67% pour les entreprises de 50 à 249 employés, et 70% pour celles entre 250 et 500. Enfin, 21% des entreprises citent les coûts, 13% les problèmes de performances et 12% des obligations légales comme a

Apple corrige des vulnérabilités critiques dans iOS et OS X

La firme à la pomme a annoncé plusieurs mises à jour pour iOS et Mac OS X corrigeant 44 vulnérabilités dont 30 critiques pour le premier, et 19 vulnérabilités dont 11 critiques pour le second. Des patchs de sécurité pour Safari sont également au programme. Ce lundi, Apple a mis à jour à la fois OS X et iOS, corrigeant 19 vulnérabilités de sécurité pour le premier et 44 pour le second. OS X 10.9.3, dénommé Mavericks et IOS 7.1.2 résolvent également d'autres problèmes, non liés à la sécurité. Concernant OS X, sur les 19 correctifs proposés par Apple, 11 sont qualifiés de critiques dans la mesure où une faille permet à un individu mal-intentionné d'exécuter du code arbitraire. La mise à jour de sécurité 2014-003 résout quant à elle trois bugs dans Lion et 8 dans Mountain Lion, les précédentes versions du système d'exploitation d'Apple pour Mac lancées respectivement en 2011 et 2012. A noter que 9 des 19 vulnérabilités corrigées par Apple ont été identifiées par