Hack



Faille de sécurité sur Internet Explorer : oui, c’est grave. Et si vous lâchiez enfin IE ?

[Jean-Philippe Louis – Nouvel Observateur – 29/04/2014]

En novembre 2013, Windows en avait plus qu’assez qu’on se moque de son navigateur Internet avec cette célèbre vanne :  – À quoi sert Internet Explorer ?  – À télécharger Mozilla Firefox ! Hu hu…

Lourd.

Du coup, la firme de Redmond allait mettre une torgnole aux haterz en tentant de reconstruire la marque Internet Explorer et montrer que, non, le navigateur n’est pas si fragile.

Le bouclier d’Explorer est une passoire

Ainsi, une publicité lancée par la marque sous forme de manga – parce qu’on parle aux geeks quand même hein – symbolisait cette volonté. On y voyait une fille poursuivie par des robots, s’enfuir puis se rebeller, avant de défoncer les méchants grâce à un bouclier magique. Je pense qu’ici, la symbolique est assez claire. Méchant = hackers. Fille = Internet Explorer. Subtil.

Certes, c’était assez bien dessiné et ça nous rappelait les glorieuses heures de « Sailor Moon ». Mais dans la réalité, le bouclier de cette fille ressemblerait plus à une passoire. Le week-end dernier, on apprenait en effet qu’Internet Explorer était victime d’une énorme faille de sécurité. Encore.

 Grâce à cette faille, un hacker peut prendre le contrôle de votre système et installer des virus, effacer des données etc. Le site The Wire explique :

« C’est en fait comme si vous laissiez la porte de votre maison ouverte, vous ne savez pas qui entre, ce qu’il veut, ce qu’il a pris ».

En clair, cette faille est dangereuse, d’autant que la version d’Internet Explorer 6, fonctionnant sous Windows XP, n’est plus mise à jour depuis le 8 avril dernier. Du coup, il n’y a aucune chance de voir un patch de sécurité être développé.  

(suite…)


LA PREMIÈRE LECON A RETENIR DE HEARTBLEED C’EST LA FAIBLESSE DU OPEN SOURCE  : Si la saga Heartbleed est loin de se refermer, ses premiers développements sont déjà riches d’enseignements. Sur certaines faiblesses du développement open source d’abord. « On prend ainsi conscience qu’une large part du chiffrement dans le monde dépend de quelques développeurs à temps partiel, remarque Arnaud Bidou. Le code incriminé a été validé et enregistré le 31 décembre 2011… à 23 heures ! Et les équipes de OpenSSL se sont affranchies des vérifications de conditions d’allocation mémoire (la source du bogue, NDLR). La fondation OpenSSL a expliqué avoir besoin de 6 personnes à plein temps pour travailler plus sereinement. Aujourd’hui, leur équipe est bien plus restreinte. Il serait peut-être temps de se pencher sur le financement d’une des principales infrastructures de sécurité du Web ».

[Reynald Fléchaux – SILICON – 18/04/2014]

Résolue la faille Heartbleed ? Loin de là. La librairie OpenSSL à l’origine de la vulnérabilité est embarquée dans de multiples équipements logiciels et matériels employés par quasiment toutes les DSI. Equipements qui devront être mis à jour. Et la seule application des patches est insuffisante.

Depuis le 7 avril, un nom et un logo, jusqu’alors inconnus, ont fait le tour du Web : Heartbleed, un cœur qui saigne. L’importance de cette faille de sécurité affectant la librairie de chiffrement SSL/TLS OpenSSL explique cet embrasement sur le sujet. Si les acteurs du Web ont très rapidement mis à jour leur librairie (vers la version 1.0.1g expurgée de Heartbleed), le problème est loin – très loin même – d’avoir été réglé. Et il ne se limite pas aux seuls acteurs du Web : toutes les DSI sont, de près ou de loin, concernées par Heartbleed en raison de l’emploi très courant de la librairie OpenSSL dans des logiciels et matériels du marché.

En 5 points, Silicon.fr vous livre une première check-list pour évaluer les risques et prendre les premières contre-mesures.

Un outil de test gratuit pour mesurer la vulnérabilité de vos serveurs et domaines est proposé par Qualys –  disponible sur : https://www.ssllabs.com/ssltest/index.html

1) Mesurer les risques

C’est évidemment la première question qui se pose aux DSI : quelles sont les informations que Heartbleed a pu permettre de dérober ? La réponse est simple : on n’en sait rien. Et c’est bien tout le problème. « A ce jour, on n’a aucune idée des dommages réels que va causer Heartbleed. Il est impossible de savoir quelles sont les données qui ont été exposées, surtout à posteriori, et qui les a récupérées. D’où les questions qui se posent sur son éventuelle utilisation par la NSA», remarque Renaud Bidou, le directeur technique de l’éditeur DenyAll. Concrètement, Heartbleed est un bogue (un classique problème d’allocation de mémoire) dans l’implémentation d’un protocole appelé Heartbeat, ajouté à OpenSSL en février 2012 afin d’améliorer les performances. La faille permet de récupérer 64 000 octets de mémoire. « Et cela concerne toutes les implémentations des versions infectées de OpenSSL : serveurs Web, VPN, reverse proxy… Dans ces 64 000 octets peuvent figurer des login et mots de passe mais aussi la clef privée du serveur, présente notamment lors d’un redémarrage de la machine », ajoute Renaud Bidou.

Bref, beaucoup d’informations extrêmement intéressantes pour des cybercriminels. Les couples login/mots de passe leur permettent d’effectuer des opérations illégitimes. La récupération de la clef privée ouvre encore davantage le champ des possibles. « C’est extrêmement sérieux : car, une fois en possession de ce sésame, un assaillant peut se faire passer pour le serveur légitime, via une attaque de type Man-in-the-middle », note Arnaud Soullié, auditeur sénior chez Solucom. « Nous sommes dans une phase de gestion de crise, après ce qu’il faut bien qualifier de dysfonctionnement majeur », résume Marc Cierpisz, manager du centre d’excellence Team Risk & Security de Devoteam. Gourou de la cybersécurité, Bruce Schneier avait d’ailleurs réagi en assurant que, sur une échelle de 1 à 10, Heartbleed valait un 11. (suite…)


[Le Monde – 09/04/2014]

Des spécialistes informatiques ont mis en garde, mardi 8 avril, contre une importante faille dans un logiciel d’encodage utilisé par la moitié des sites internet, qui permet aux pirates de pénétrer dans les ordinateurs pour y récupérer codes et mots de passe.

  • Où se situe cette faille ?

La faille, découverte par un informaticien de Google, a été baptisée « Heartbleed » (« cœur qui saigne ») parce qu’elle touche au cœur du logiciel OpenSSL, installé sur le serveur du site auquel l’internaute se connecte et qui permet de protéger ses mots de passe, ses numéros de carte bancaire ou d’autres données sur Internet.

Il est utilisé par un très grand nombre de sites Web – qui affichent une icône en forme de cadenas dans la barre de navigation sur leurs pages sécurisées – (voire deux serveurs sur trois, selon le site américain The Verge), mais la faille ne touche pas toutes les versions du logiciel. Selon Fox-IT, elle existe depuis deux ans environ. La gravité du problème a cependant été renforcée par des évolutions récentes dans le fonctionnement d’OpenSSL.

  • Que permet-elle ?

Via cette faille, des pirates peuvent récupérer des informations en passant par la mémoire des serveurs de l’ordinateur, selon des spécialistes de la société de sécurité informatique Fox-IT. « Le nombre d’attaques qu’ils peuvent effectuer est sans limite », indique-t-elle dans un billet recensant les procédures à suivre pour repousser les incursions. (suite…)


[Panopti.net – 23/03/2014]

Vous avez reçu un mail Google, proposant un lien sécurisé (HTTPS) renvoyant vers une page du domaine google.com ? Et bien il peut tout de même s’agir d’un mail frauduleux ! Comment ne pas se faire piéger par cette tentative d’hameçonnage dernier cri ?

Des courriels de phishing, on en reçoit preque tous les jours (YahooCollisimoEDF,OrangeSFRFreeLa Banque PostalePayPalCAFVisa Mastercard, etc.), ce n’est pas à un vieux singe qu’on apprend à faire la grimace ! Pourtant, certaines de ces tentatives de vol d’informations personnelles ou bancaires sont de plus en plus sophistiquées, à la fois sur la forme (moins de fautes d’orthographe), mais aussi sur le fond : en cas de doute, on glisse généralement sa souris sur le lien proposé pour détecter l’arnaque (l’URL censée renvoyer vers le site de EDF ou Orange est en réalité une adresse web étrange… et frauduleuse). Et bien cette astuce pourrait bien être de l’histoire ancienne !

En effet, Symantec a détecté une nouvelle forme d’hameçonnage particulièrement trompeuse : (suite…)


[Direction Informatique – Jean-François Ferland – 25/03/2014]

Une vulnérabilité dans le logiciel de traitement de texte de Microsoft, découverte par Google, pourrait entraîner l’exécution de code à distance. Le fournisseur technologique Microsoft a émis un avis de sécurité afin de mettre en garde les utilisateurs du logiciel de traitement de texte Word à propos d’une vulnérabilité qui met en cause des fichiers en format RTF (Rich Text Format anglais).

« Ce problème survient lorsque Microsoft Word traite des données RTF spécialement conçues [qui sont] susceptibles de corrompre la mémoire système et de permettre ainsi à un attaquant d’exécuter du code arbitraire », indique Microsoft dans son avis de sécurité.

Un utilisateur risque d’être affecté s’il ouvre un fichier RTF malveillant à l’aide de Word. Également, une infection de système peut survenir si un utilisateur prévisualise ou ouvre un message électronique malveillant en format RTF dans le gestionnaire de messagerie Outlook si Word est utilisé à titre d’éditeur de messages électroniques. Word est l’éditeur par défaut sous Outlook 2007, 2010 et 2013.

« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d’administrateur », indique Microsoft.

« Dans le cas d’une attaque Web, l’attaquant pourrait héberger un site Web contenant une page Web intégrant un fichier RTF spécialement conçu pour exploiter cette vulnérabilité […] », ajoute l’éditeur.

Versions touchées et solutions temporaires

Bien que seuls des cas d’attaques ciblées envers Word 2010 lui aient été rapportés, Microsoft émet son avis de sécurité pour toutes les versions client et serveur de Word qu’elle soutient présentement. Ces versions incluent Word 2003, 2007, 2010, 2013 et 2013 RT, Office pour Mac 2011, Office Web Apps 2010 et Web Apps Server 2013, Word Automation Services sur SharePoint Server 2010 et 2013 et Word Viewer.

Microsoft indique qu’elle prendra les mesures appropriées pour remédier à la situation. La résolution de la vulnérabilité pourrait éventuellement être offert par le biais d’un cycle mensuel de mises à jour de sécurité ou par la publication « exceptionnelle » d’une rustine.

Entre-temps, Microsoft recommande l’application d’une solution automatisée de résolution du problème qui empêchera la lecture des fichiers en format RTF jusqu’à ce qu’une solution permanente soit trouvée. Également, Microsoft suggère aux utilisateurs de lire leurs courriels en format texte brut dans Outlook. L’avis de sécurité de Microsoft contient d’autres solutions de contournement du problème qui sont destinées aux administrateurs de systèmes.

Dans son avis de sécurité, Microsoft remercie Drew Hintz, Shane Huntley et Matty Pellegrino de l’équipe de sécurité de l’éditeur technologique Google. Rappelons qu’il y a quelques jours, un chercheur de Microsoft et des chercheurs d’une université américaine ont fait état d’une vulnérabilité de sécurité dans le système d’exploitation mobile Android de Google.

http://www.directioninformatique.com/une-mise-en-garde-de-microsoft-contre-une-vulnerabilite-dans-word/25552


DOCUMENTS TÉLÉCHARGÉS SUR « EXTRANET » : INTERNAUTE CONDAMNÉ
[Arrêts Sur Images – David Medioni –  06/02/2014]

Condamné pour avoir trouvé des documents en accès libre sur Google.  C’est la décision que vient de prendre la Cour d’appel de Paris à l’encontre d’Olivier Laurelli, alias Bluetouf, co-fondateur de Reflets.info. Sa faute : être tombé au hasard du surf sur des documents de l’Anses (Agence nationale de sécurité sanitaire, de l’alimentation, de l’environnement et du travail) en accès libre. En première instance, Laurelli a été relaxé. C’était sans compter sur le parquet qui a décidé de poursuivre « coûte que coûte » ce qu’il considére comme un piratage et sur la Cour d’appel qui considère que Laurelli est de « mauvaise foi ».

Chercher des documents sur Google peut s’avérer dangereux. Le blogueur, journaliste, hacktiviste Olivier Laurelli, alias Bluetouff, co-fondateur de Reflets.info, vient d’en faire les frais. Laurelli a été condamné, mercredi 5 février, par la Cour d’appel de Paris à payer 3 000 euros d’amende pour avoir téléchargé des documents de l’Agence nationale de sécurité sanitaire, de l’alimentation, de l’environnement et du travail (Anses). La Cour d’appel a ainsi considéré que mettre en accès libre des données jugées « confidentielles » par leur propriétaire (mais non sécurisées) relevait du piratage. En langage juridique, cela donne « accès frauduleux dans un système de traitement automatisé de données« , et « vol » de documents.

L’histoire démarre les 27 et 28 août 2012, lorsque Laurelli lors d’un long surf sur internet pour trouver des documents sur la Syrie, tombe sur des documents de travail de l’Anses. Il poursuit sa recherche dans ce sens, étonné de les trouver en accès libre. Il les télécharge et les conserve. Quelque mois plus tard, l’un de ses collègues utilise l’un des fichiers pour illustrer un article sur les nanos-argents. C’est alors que l’Anses se rend compte du problème et contacte la police. L’enquête tombe entre les mains de la DCRI qui remonte très vite à Laurelli puisque ce dernier ne s’était pas masqué, ne considérant pas cette recherche comme du piratage.

Il passe 30 heures en garde à vue et est finalement mis en examen. En première instance, le tribunal de Créteil considère qu’il n’y a pas lieu à le condamner. Motif: il n’est pas possible de sanctionner le fait d’accéder librement à des données non sécurisées. Le tribunal relaxe donc Bluetouff au motif que c’est l’Anses qui a, sur ce dossier, manqué de vigilance. En clair, si les données étaient archivées sur Google, elles n’étaient pas sécurisées et donc l’Anses ne pouvait pas se prévaloir d’un piratage. (@si vous en parlait ici).

RELAXÉ EN PREMIÈRE INSTANCE, LE PARQUET A POURSUIVI « COÛTE QUE COÛTE »

De fait, Bluetouff a trouvé ces données sur l’extranet de l’Anses. Un extranet n’est ni l’internet, ni l’intranet, c’est une extension du système d’information d’une entreprise ou d’une institution accessible pour des partenaires déterminés sur mots de passe et login. Exemple : lorsque l’on se connecte à son espace personnel de banque grâce à un login et un mot de passe, on est sur l’extranet de la banque. Problème: le jour du surf de Laurelli, l’extranet de l’Anses est disponible sur Google, sans sécurité.

D’ailleurs, l’Anses, elle-même avait choisi de ne pas se porter partie civile, penaude qu’elle était de cette faille de sécurité. C’est le parquet qui a décidé de « poursuivre coûte que coûte », ainsi que le note Numérama. Et nos confrères d’ajouter: « le parquet, dont le représentant a confirmé à l’audience qu’il n’a « pas compris la moitié des termes que j’ai entendus aujourd’hui », avait choisi de poursuivre coûte que coûte. Au nom de la mauvaise foi : « Vous saviez que cet extranet était normalement protégé. »

Ainsi, si l’on en croit les attendus de la Cour d’appel, Laurelli – fin connaisseur du net – aurait dû s’abstenir de télécharger des documents laissés en accès libre car il savait pertinemment que ceux-ci auraient dû être protégés. Raisonnement pour le moins étrange, mais qui dénote, comme le soulève Mediapart dans un papier détaillé, une réelle déconnexion de la justice avec les choses de l’internet.

Plus largement, cette décision interroge sur ses conséquences. Est-ce à dire que toute personne qui trouvera des documents -non sécurisés – en ligne devra présumer qu’ils auraient pu ou du être protégés et qu’il ne doit, pour le coup, pas les utiliser ? C’est ce que craint l’avocat de Laurelli, Maître Olivier Itéanu, cité par PCINpact« C’est un avertissement à tous ceux qui sont dans l’investigation, dans la recherche d’informations sur Internet. C’est quelque part un appel à l’auto-censure. Si on est poursuivi parce qu’on a trouvé une information et qu’on est condamné, je trouve que c’est grave », alerte ainsi Itéanu dans PCINpact.

http://www.arretsurimages.net/breves/2014-02-06/Documents-telecharges-sur-extranet-internaute-condamne-id16871


[L’Expansion.com – publié le 20/01/2014]

Quel est le mot de passe le plus commun en 2013? Selon le classement de Slashdata, la combinaison qui revient le plus souvent est « 123456 ». Elle détrône le traditionnel « password » (« motdepasse » en anglais) qui arrive en deuxième position.

S’en suivent « 12345678 », « qwerty » (début de la première ligne des claviers américains) ou encore « abc123 » et « iloveyou » qui arrive en neuvième position.

Autant de mots de passe vulnérables et faciles à deviner.

>> Retrouvez le classement complet sur le site de Splashdata

http://lexpansion.lexpress.fr/high-tech/les-pires-mots-de-passe-de-2013_424556.html

 

 

« Page précédentePage suivante »

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 166 autres abonnés