18 décembre 2007
Une faille importante dans Windows Vista
Microsoft a confirmé la semaine dernière la présence d'une importante
faille de sécurité
dans
le noyau de Vista, aussi bien celui de la version 32-bits que celui de
la version 64-bits. Cette vulnérabilité affecte le système d'appel de
procédures ALPC (Advanced Local Procedure Call). Elle permettrait à un
hacker
mal
intentionné de modifier les droits d'accès d'un processus et de prendre
le contrôle de la machine. Il pourrait, par exemple, installer des
programmes, effacer ou créer des données, voire créer de nouveaux
comptes d'accès avec des privilèges d'administrateur.
Un patch est disponible
La
faille a été découverte par l'éditeur spécialisé dans la sécurité,
SkyRecon. Il est recommandé de protéger immédiatement ses machines
Vista en installant le patch que Microsoft met à disposition. La
rustine peut être téléchargée automatiquement par Windows Update ou
directement sur
le site de Microsoft.
L'éditeur
précise qu'aucune information publique sur cette faille n'a circulé
avant la disponibilité du patch. Par ailleurs, il n'a pour l'instant
enregistré aucune attaque réelle exploitant cette faille chez ses
clients.
Une brèche dans le noyau du système d'exploitation de Microsoft permet de prendre le contrôle total de la machine.
News Spam
Le spam Zero-Day dans le collimateur de Microsoft
Vinny Gullotto, ex-Symantec, ex-McAfee et responsable de la lutte anti-malware chez Microsoft, utilise le terme "Zero-Day Spam" pour décrire ce qu'il estime être l'approche antispam nécessaire à Microsoft.
C'est en tentant de répondre à une question au sujet du manque de bon antispam au catalogue de Microsoft que Vinny Gullotto a lâché le terme de "Zero-Day spam", déjà rapidement utilisé par Trend Micro auparavant et auquel nous prédisons un bel avenir marketing.
Gullotto estime que l'approche payante en terme de R&D antispam serait de considérer l'email comme la toute première étape d'une chaîne d'événements ayant pour finalité de dérober des informations ou d'exploiter une vulnérabilité. De fait, chaque email pourrait servir de point de départ à une investigation qui pourrait mettre à jour, à l'une ou l'autre de ses étapes, un lien vers une activité malicieuse connue.
Partant des informations contenues dans l'email, il est alors possible de remonter vers, par exemple, des serveurs distribuant des codes malicieux, ou vendant des médicaments sans ordonnance ou de fausses Rolex. Peu importe que le courrier soit un spam connu ou non, la présence de ces "traces malicieuses" dans le chemin dont il est l'initiateur suffit à l'identifier.
Bien entendu, ce n'est pas très différent de ce que pratique déjà Websense / Surfcontrol, et cela ne prend pas en compte le spam boursier de type Pump & Dump par exemple. Mais le terme est accrocheur !
Les spams
95% des courriels sont des spams
En 2007, entre 90 et 95 % des courriels étaient des spams. C'est que vient de révéler le baromètre annuel de Barracuda Networks, qui a analysé les messages électroniques quotidiens (environ 1 milliard par jour) de quelque 50 000 entreprises clientes. Un pourcentage d'autant plus alarmant qu'il marque un phénomène en croissance continue. Les pourriels représentaient entre 85 et 90% des courriels en 2006, 70% en 2005 et seulement 20% en 2001.
Autant dire que Barracuda, dont le métier est de fournir des solutions de sécurité adaptées aux messageries, se frotte les mains. Et son PDG d'ajouter que « la guerre contre le spam est une bataille continue entre spammers et éditeurs de sécurité », ces derniers devant continuellement mettre au point des solutions de surveillance de réseau afin de recenser les nouvelles tendances en matière de spams et de proposer une solution pour les contrer immédiatement.
Contenu du pollupostage
- Le pourriel contient généralement de la publicité. Les produits les plus vantés sont les services pornographiques, les médicaments (le plus fréquemment les produits de « dopage sexuel » ou, des hormones utilisées dans la lutte contre le vieillissement), le crédit financier, les casinos en ligne, les montres de contrefaçon, les diplômes falsifiés et les logiciels craqués.
- Des escrocs envoient également des propositions prétendant pouvoir vous enrichir rapidement : travail à domicile, conseil d'achat de petites actions (penny stock).
- Les lettres en chaînes peuvent aussi être qualifiées de pourriel.
- Parfois aussi, mais de plus en plus rarement, il s'agit de messages d'entreprises ignorantes de la Netiquette qui y voient un moyen peu coûteux d'assurer leur promotion.
- Enfin la dernière forme de pourriel, l'hameçonnage (phishing en anglais, terme dérivé de fishing, la pêche à la ligne), consiste à tromper le destinataire en faisant passer un courriel pour un message de sa banque ou d'un quelconque service protégé par mot de passe. Le but est de récupérer les données personnelles des destinataires (notamment des mots de passe, un numéro de carte bancaire) en les attirant sur un site factice enregistrant toutes leurs actions.
10 décembre 2007
Les antivirus, ça ne marche pas....
Une étude publiée par l'éditeur d'antivirus Panda révèle que la plupart des entreprises et particuliers utilisant un antivirus correctement mis à jour, sont tout de même infectés.
1,5 million de PC de particuliers et 1200 réseaux d'entreprises. C'est le panel utilisé par Panda Software pour une étude sur l'état d'infection d'ordinateurs protégés par un antivirus. Les résultats ne sont pas glorieux.
37% des PC personnels seulement sont protégés par un antivirus correctement mis à jour. Mais néanmoins, parmi ces derniers, 23% sont toutefois infectés par des virus qui auraient dus être détectés. L'infection est ici caractérisée par la présence d'un processus malin chargé en mémoire.
Les entreprises ne sont pas mieux loties puisque 72% des réseaux testés (parmi ceux de plus de 100 postes de travail) étaient infectés. Il s'agit cette fois-ci de malwares actifs tentant de se propager dans le LAN.
Certes, la situation n'est pas nouvelle. Des ordinateurs protégés par un antivirus et néanmoins infectés sont une constante observée par les professionnels de la sécurité depuis des années. Les raisons sont diverses: erreurs humaines ou antivirus défaillant, que ce soit à cause de son moteur ou d'un fichier de signatures passé à travers les mailles du filet du contrôle qualité. Nous avons d'ailleurs pu constater, par le passé lors de nos comparatifs, que des antivirus, tels que ceux de Symantec ou de Panda, pouvaient laisser un virus connu infecter l'ordinateur qu'ils étaient censés protéger.
Cependant, la tendance tend à montrer que les virus récents sont bien plus aggressifs. Rarement plus sophistiqués, ils sont en revanche plus véloces: des virus nichés dans des sites web sont renouvellés méthodiquement en quelques heures afin d'échapper à toute détection.
Si cette étude n'apprend rien de bien nouveau, elle a le mérite de cerner le phénomène. Il reste cependant nécessaire d'interpréter avec prudence les résultats: derrière cette étude perce l'intention (légitime) de Panda de mettre en avant ses solutions TruePrevent HIPS et Collective Intelligence. Lesquelles ne sont pas déficientes en soit, mais la volonté marketing reste présente. En outre, il n'est pas exclu que des faux positifs parsèment les résultats de cette étude.
Allez sur ce lien pour en savoir plus !
L'étude de Panda Software (en anglais)
Combien ça coute ? ? ?
Voici une petite liste des couts moyens de logiciels de protection ...(Cette liste n'est pas exhaustive ...)
Classement par constructeur..
04 décembre 2007
Cheval de troie (Trojan)
Un cheval de Troie n'est pas un virus informatique dans le sens où il ne se duplique pas par lui-même, fonction essentielle pour qu'un logiciel puisse être considéré comme un virus. Un cheval de Troie est conçu pour être dupliqué par des utilisateurs naïfs, attirés par les fonctionnalités vantées.
Les chevaux de Troie servent très fréquemment à introduire une porte dérobée sur un ordinateur. L'action nuisible à l'utilisateur est alors le fait qu'un pirate informatique peut à tout moment prendre à distance (par Internet) le contrôle de l'ordinateur.
Il est difficile, voire impossible de définir exactement ce qu'est un cheval de Troie, car la légitimité d'un logiciel dépend aussi du contexte dans lequel il est employé. Les portes dérobées par exemple peuvent s'avérer utiles pour un administrateur réseau ; en revanche, dans les mains d'un pirate elles sont clairement illégitimes.