27 février 2008
Iphone : 1er virus
Disponible en France depuis fin novembre 2007, l'outil trois en un
d'Apple à la fois téléphone mobile, baladeur multimédia et appareil de
communication sur Internet, devrait recevoir très prochainement une
mise à jour estampillée 1.1.3. Des pirates n'ont pas tardé à tirer
parti de ce qui reste encore du domaine de la rumeur pour mettre en
ligne le premier cheval de Troie ciblant l'iPhone.
Les éditeurs de solutions anti-virus F-Secure et Symantec ont ainsi émis des alertes au sujet d'un malware dissimulé sous l'identité d'un package iPhone firmware 1.1.3 prep,
à télécharger sur certains sites Web heureusement désormais fermés pour
la plupart. Afin de mieux leurrer les utilisateurs, ce package est présenté comme un préambule important à la mise à jour 1.1.3 évoquée précédemment.
Pour le commun des possesseurs d'iPhone piégés par cette astucieuse
technique de social engineering, le cheval de Troie ne présente aucun
danger. Par contre, les utilisateurs qui ont débloqué leur iPhone pour pouvoir y installer des applications tierces,
seront un peu plus ennuyés et non pas tant à l'installation, mais
plutôt lors d'une tentative de désinstallation du programme incriminé.
Symantec avertit ainsi qu'ils encourent le risque de supprimer des
applications également tierces comme des utilitaires développés par Erica Sadun et OpenSSH (un moindre mal cependant).
" Techniquement,
il s'agit du premier cheval de Troie identifié pour l'iPhone.
Toutefois, il faut plus parler de plaisanterie que de menace réelle et
les conséquences liées à sa désinstallation sembleraient être un effet
secondaire non prémédité ", commente Symantec tout en recommandant
la prudence des utilisateurs d'iPhone qui ont fait le nécessaire pour y
pouvoir installer des applications optionnelles.
Attention cependant, en février l'iPhone s'ouvrira officiellement aux
applications tierces avec fourniture d'un SDK ( Software Development
Kit ). La menace malware devrait alors monter d'un cran même s'il est
évident qu'Apple aura tout mis en oeuvre pour proposer une plate-forme
sécurisée.
Microsoft Forefront
Microsoft Forefront
|
La ligne complète des produits de sécurité Microsoft Forefront apporte
un meilleur contrôle et une plus grande protection grâce à son
intégration dans votre infrastructure informatique existante et en
raison d’un déploiement, d’une administration et d’une analyse
simplifiés.
Les produits Microsoft Forefront continuent à mieux satisfaire les
nouveaux besoins des clients et à répondre aux menaces émergentes d’un
environnement évoluant de manière permanente. Nous avons annoncé
récemment la dernière nouveauté de notre plan de développement,
Microsoft Forefront "Stirling."
Produits Microsoft Forefront
La feuille de route des produits de sécurité Microsoft est illustrée ci-dessous :
Actuellement, la famille Forefront se compose des produits suivants :
| • | Microsoft Forefront Client Security (précédemment nommé Microsoft Client Protection) |
| • | Microsoft Forefront Security for Exchange Server (actuellement nommé Microsoft Antigen for Exchange) |
| • | Microsoft Forefront Security for SharePoint (actuellement nommé Antigen for SharePoint) |
| • | Microsoft Forefront Security for Office Communications Server (actuellement nommé Antigen for Instant Messaging) |
| • | Microsoft Internet Security and Acceleration (ISA) Server 2006 |
Présentation de Forefront
Microsoft Forefront représente une gamme complète de produits de sécurité. Le diagramme ci-dessous montre le positionnement des produits Microsoft Forefront dans la gamme Microsoft :
Aujourd’hui, le marché de la sécurité est complexe et fragmenté. Une interopérabilité limitée, des consoles d’administration distinctes pour chaque produit et une absence d’unification dans les rapports et les analyses, tout cela pose de nombreux problèmes à l’administrateur système. En résumé, la protection du réseau est encore trop difficile à déployer, à utiliser, à gérer, et bien sûr trop chère. Ces problèmes sont d’autant plus graves que la sécurité devient un élément crucial pour les solutions métier.
Les produits de sécurité de la suite Microsoft Forefront assurent une plus grande protection et renforcent la sécurité de votre infrastructure réseau. Tous les produits de la gamme s'intègrent facilement les uns aux autres, ainsi qu'à l'infrastructure informatique de votre entreprise. Ils peuvent être complétés par les services de solutions tierces pour assurer, de bout en bout, une défense en profondeur. L'administration, les analyses et le déploiement étant simplifiés, vous pouvez protéger efficacement toutes les informations de votre entreprise, et sécuriser les accès aux applications et aux serveurs. En assurant une protection très réactive avec le soutien de l'équipe technique de Microsoft, Forefront vous aide à contrecarrer aisément les menaces les plus changeantes et à répondre à la demande du marché.
Forefront est un élément clé de la stratégie de Microsoft pour fournir à ses clients professionnels une sécurité de bout en bout. Cette vision commence dès le système d’exploitation. Avec la diffusion de Windows XP SP2 et de Windows Server 2003 SP1, les vulnérabilités ont été fortement réduites et les prochaines versions de Windows Vista et de Windows Longhorn Server seront centrées sur la sécurité. Les produits Forefront augmentent la sécurité de ces systèmes d’exploitation en ajoutant des couches supplémentaires qui protègent les informations et surveillent le contrôle d’accès aux ressources métier importantes. La sécurité est aussi renforcée par une gestion robuste des droits numériques. Ainsi la sécurité des documents et l’application des stratégies est assurée même si ces documents tombent dans des mains indésirables.
Les produits de sécurité Microsoft sont liés entre eux via une puissante infrastructure de gestion de l'identité, avec un contrôle et une granularité très fins. Ce contrôle est d’ailleurs facilité par un ensemble de fonctions d’administration et de rapport qui offrent une collection d’événements et d’analyses ainsi que des outils pour créer et appliquer les meilleures pratiques. De plus, Microsoft offre un large ensemble de conseils techniques pour aider les entreprises à configurer correctement et efficacement leurs produits de sécurité.
Détails supplémentaires
19 février 2008
Le SP3 dotera XP de fonctionnalités orientées sécurité empreintes à Vista
Le
futur Service Pack 3 dévolu à Windows XP, lui apportera outre un nombre
conséquent de correctifs, plusieurs fonctionnalités de sécurité déjà
présentes chez son successeur Windows Vista. 
Le système d'exploitation Windows XP va recevoir au premier semestre 2008,
le renfort d'un ultime Service Pack estampillé 3. Plusieurs testeurs
triés sur le volet ont récemment eu la primeur d'une version bêta de ce SP3
et comme bien souvent, ils n'ont pu se résoudre à tenir leur langue en
divulguant plusieurs informations à son sujet, sans compter que cette
version préliminaire du SP3 pesant près de 350 Mo se retrouve également
en libre circulation sur la Toile. Une fuite que Microsoft appréciera. Source : vulnerabilite.com
Ce SP3 qui laisse augurer de la teneur du contenu de la version finale,
comptabilise pour l'heure plus de 1 000 mises à jour dont près de 115
orientées sécurité et destinées à combler des vulnérabilités déjà
prises en charge bien évidemment, le reste portant essentiellement sur
l'amélioration des performances et de la fiabilité du système
d'exploitation. Du grand classique en somme, répondant à la vocation
première d'un Service Pack des plus conventionnels.
La petite surprise vient du fait que ce SP3 apporte à Windows XP des fonctionnalités introduites avec Vista. Outre le nouveau modèle Windows Product Activation pour des activations de masse très utiles en entreprise, sont présents les modules Network Access Protection (NAP), Kernel Mode Cryptographic et la détection Black Hole Router.
La technologie NAP permet aux administrateurs de définir la
configuration minimale des ordinateurs qui ont le droit de se connecter
au réseau; ils peuvent restreindre l'accès aux systèmes qui ne
répondent pas aux critères établis. Avec NAP, ce sont les stratégies
définies par l'administrateur qui sont mises en application
(installation des mises à jour, update des logiciels antivirus, ...).
De son côté, Kernel Mode Cryptographic
contient plusieurs algorithmes de chiffrement fournis en mode noyau
(niveau de privilège le plus élevé pris en charge par le processeur)
auxquels peuvent avoir accès des développeurs tiers. La détection Black Hole Router
quant à elle, peut détecter et protéger le réseau contre les routeurs
défectueux qui mettent en péril l'acheminement des données avec des
risques de perte liés.
Avec ce SP3, l'exercice semble
des plus délicats pour Microsoft car il ne s'agirait pas de freiner les
ardeurs de clients ayant décidé d'attendre début 2008 et la sortie d'un
SP1 pour Vista, avant de migrer vers ce dernier.
Les cybercriminels s'intéressent aux utilisateurs Mac
La
vigilance doit désormais être également de rigueur pour les
utilisateurs Mac qui à l'instar de leurs homologues sous Windows, sont
devenus des cibles pour cybercriminels motivés par l'argent.
L'éditeur britannique
Sophos vient de publier son rapport 2008 sur la sécurité. Il y dresse
le paysage des menaces informatiques qui ont émaillé les 12 derniers
mois, et s'en sert afin de prédire les tendances du cybercrime pour
l'année qui débute.
Selon ce rapport, en 2007, les cybercriminels ont pour la première fois
usé de techniques de social engineering à l'encontre d'utilisateurs Mac dans le but de leurs soutirer de l'argent.
Pour Sophos, c'est tout simplement la preuve que les pirates étendent
leurs efforts au-delà de Windows et la popularité croissante de Mac OS
X les attirent inévitablement.
Pour étayer ses dires, Sophos évoque le cas du cheval de Troie de type DNSChanger, OSX.RSPlug.A.
Ce troyen a fait son apparition en novembre 2007 et se retrouve depuis
sur plusieurs sites Web que les utilisateurs Mac sont conviés à
visiter, via des messages publiés sur des forums qui leurs sont
réservés. Les malwares pour Mac OS X ne sont pas une nouveauté mais la
finalité de OSX.RSPlug.A, oui, étant mis à contribution pour des
tentatives de phishing, de vols de données personnelles. La quête de
notoriété suite à la découverte d'une vulnérabilité affectant Mac OS X
a semble-t-il laissé sa place à un intérêt plus lucratif.
" L'arrivée
en 2007 de ces malwares pour ordinateurs Mac avec une motivation
financière sous-jacente n'est pas à sous-estimée. (...) Le problème est
encore limité comparé à celui qui concerne Windows. Les utilisateurs
doivent donc résister à la tentation de cliquer sur
des liens non sollicités ou télécharger du code inconnu depuis le Web,
et ainsi ils pourront envoyer un message clair aux cybercriminels, à
savoir qu'ils ne sont pas une cible rentable pour eux. Dans le cas
contraire, il est à craindre que le nombre de malwares pour Mac OS X se
multiplient en 2008 ", commente Graham Cluley, consultant chez Sophos.
Chaque jour, Sophos indique découvrir 6 000 pages Web infectées (une
toutes les 14 secondes) dont l'immense majorité à leur insu car
hébergées sur des sites légitimes de tout ordre. Avec une campagne de
spam à l'appui, les sollicitations malveillantes ne manquent donc pas
sur la Toile et les utilisateurs Mac doivent aussi en tenir compte.
14 février 2008
Une vulnérabilité de type directory transversal dans Firefox
Une démonstration de la vulnérabilité sur le blog hiredhacker.com
a fini par alerter Mozilla et sa responsable de la sécurité, Window
Snyder, qui même si elle a qualifié le risque lié de faible, a
toutefois publié un billet au sujet de cette vulnérabilité tout en annonçant que des investigations sont en cours. Source : vulnerabilité.com
La démonstration, quant à elle, montre comment via l'ouverture avec Firefox
d'une page Web piégée, il est possible de lire le fichier de
configuration globale sous Windows du client mail Thunderbird (un autre
programme aurait pu être choisi). Néanmoins, l'exploit nécessite que soit installée une extension
(ou module complémentaire) qui n'est pas présente sous la forme d'une
archive JAR (fichier à l'extension .jar), ce qui est le cas pour nombre
d'entre elles.
Une page Web pourrait ainsi accéder à une URL chrome://,
chrome étant le moteur de Firefox dédié à l'interface utilisateur, pour
par exemple exécuter une commande afin de charger des images, scripts
ou feuilles de style. Si cette URL est encodée avec des caractères du
type %2e%2e%2f (cas de la démonstration), Firefox ne parvient pas à les
convertir en ../ et à les éliminer, avec pour conséquence qu'ils
peuvent être utilisés pour lire des fichiers arbitraires situés dans un
répertoire tiers (vis-à-vis de celui qui héberge l'extension).
Avec cette méthode, des attaquants peuvent également vérifier si des
programmes spécifiques ou des extensions sont installés et le cas
échéant, détecter la présence de vulnérabilités additionnelles.
Parmi les extensions qui permettent l'exploitation de cette
vulnérabilité, Mozilla mentionne Donwload Statusbar et sans doute plus
connue, Greasemonkey.
Suite à sa divulgation, un patch pour Download Statusbar a d'ailleurs
été mis en ligne afin d'installer l'extension sous la forme d'une
archive JAR.
Le problème de sécurité a été identifié dans
le moteur de rendu version 1.8.1.11, utilisé par la dernière version en
date de Firefox.
13 février 2008
Sécurité : les menaces qui nous guettent en 2008
Les
hackers
et
cybercriminels de tout poil n'ont pas chômé en 2007. C'est ce que
confirment plusieurs grands éditeurs d'outils de sécurité, dans leurs
traditionnels bilans de fin d'année. F-Secure, McAfee, Symantec,
Websense, tous ont constaté une forte augmentation du nombre de nouveaux
malwares
(codes
malveillants en tout genre) détectés sur le réseau mondial, mais
surtout une évolution logique de leurs cibles et de leurs modes
d'infection. Fini le piratage destructif de « grand-papa », les
cybercriminels en veulent avant tout à nos données personnelles, que
nous leur livrons presque sur un plateau grâce au développement des
blogs et du « Web 2.0 ».
Selon
Symantec, l'éditeur des célèbres Norton, les informations personnelles
sont devenues une vraie monnaie d'échange pour les cybercriminels :
« deux tiers des
malwares
détectés cette
année avaient pour but de voler ce genre d'informations. Ces données
[nom, e-mail, âge, mots de passe, profil, NDLR]
sont
ensuite directement revendues ou réutilisées à des fins malveillantes,
pour mieux piéger les internautes. Les spams sont par exemple de plus
en plus personnalisés, traduits dans la langue des victimes et souvent
en rapport avec leurs centres d'intérêt »,
détaille Laurent Heslault, directeur des technologies de sécurité de
Symantec en Europe du Sud.
Blogs et téléphones mobiles pollués par le spam
Cette
année plus que jamais, le spam classique par e-mail a été une des armes
les plus utilisées. Mais de nouvelles formes se sont confirmées en 2007
et s'amplifieront en 2008 : le spam sous forme de commentaires postés
automatiquement dans les blogs (
splog),
dans les messageries instantanées, par SMS sur les téléphones mobiles et dans les index des moteurs de recherche.
Nombre
de ces spams permettent de récupérer des données personnelles, en
intégrant des codes malicieux ou des liens vers de faux sites.
« Jusqu'ici,
le phishing frappait surtout les grands sites, en particulier les
banques en ligne. Mais celles-ci se protègent de mieux en mieux. On
s'attend donc pour 2008 à un élargissement du phishing à des sites plus
petits, pour récupérer des informations personnelles tout aussi
exploitables »,
estime
François Paget, chercheur antivirus chez McAfee. Websense alerte
d'ailleurs les internautes sur le fort risque de spam en 2008 autour du
thème des Jeux olympiques de Pékin.
Des pages infectées dans les sites de partage
Plus insidieux que le
phishing,
qui
renvoie vers des sites contrefaits, la nouvelle tendance est aux
leurres placés sur des sites légitimes. Les réseaux sociaux et autres
sites de partage d'informations entre internautes constituent une cible
de choix, puisque que les internautes y dévoilent eux-mêmes leurs
informations personnelles et que n'importe qui peut y publier du
contenu :
« les pirates n'ont plus besoin d'aller
chercher leurs victimes en leur envoyant des codes infectés. Avec le Web 2.0, elles viennent directement à eux »,
explique Laurent Heslault de Symantec.
Le
site MySpace, notamment, a subi de nombreuses attaques cette année, des
petits malins ayant intégré dans des pages perso des liens menant vers
des sites malveillants : les fans de la chanteuse Alicia Keys en ont
récemment
fait les frais.
De lourdes menaces planeront donc sur le Web 2.0 en 2008, s'accordent à dire les experts en sécurité.
Mais
comment s'en prémunir ? En mettant régulièrement à jour son système
d'exploitation, son navigateur, son pare-feu et son antivirus, sachant
que ces derniers ne suffisent plus pour lutter contre les nouveaux
types d'attaques. Il est préférable d'y ajouter des fonctions
antiphishing
voire
antibot,
censées
détecter les fonctions de robots permettant à des pirates de se servir
de votre PC à votre insu. Largement utilisés en 2007, notamment par le
ver
Storm,
les
bots
devraient aussi se développer en 2008. Mais selon Symantec, il faut avant tout
faire attention à ce que l'on publie sur les forums ou les sites de partage :
« c'est comme si vous affichiez vos informations personnelles sur un arrêt de bus... Il faut penser aux
conséquences »,
prévient Laurent Heslault.
Plusieurs
éditeurs de sécurité dressent le bilan du « cybercrime » en 2007 et
font part de leurs prévisions pour 2008. Le piratage des réseaux
sociaux devrait particulièrement augmenter.
07 février 2008
Un labo français pour évaluer l'efficacité des logiciels antivirus
Le
2 novembre 1988, le ver Morris contamine quelque 6 000 ordinateurs,
soit 10 % des PC connectés à l'époque au Web. C'était la première
grande infection informatique. Aujourd'hui, les virus font partie du
quotidien des internautes. Et la menace est toujours réelle.
« Un code malveillant correctement programmé pourrait paralyser Internet en une poignée de secondes »,
rappellent Olivier Festor,
chercheur à l'Inria, et Jean-Yves Marion, professeur à l'Ecole nationale supérieure des Mines de Nancy.
Une première en France
C'est
pour étudier de façon scientifique et indépendante les virus et les
différentes techniques employées par les pirates que ces chercheurs
mettent sur pied un laboratoire dédié. Une première française dans le
domaine civil, car les autres unités de ce genre dépendent du ministère
de la Défense, comme le Laboratoire de virologie et de cryptologie créé
en 2001.
N'ayant
pas encore de statut officiel, ni de budget complet, cette nouvelle
unité s'appelle pour l'instant Laboratoire de haute sécurité civile.
Elle dépend du ministère de l'Enseignement supérieur et de la Recherche
via trois entités officielles que sont le CNRS (Centre national de la
recherche scientifique), l'Inria (Institut national de recherche en
informatique et en automatique) et Nancy-Université.
Traquer les rétrovirus
Comprenant
actuellement cinq personnes (deux enseignants-chercheurs et trois
thésards et ingénieurs), ce laboratoire visera deux grands objectifs.
Le premier
« ne sera pas le plus intéressant scientifiquement
puisqu'il s'agira de récolter les codes malveillants qui traînent sur le Web ».
Les
captures se feront notamment sur un ensemble de réseaux de fournisseurs
d'accès (Orange, Free, Alice, Neuf, etc.). Dans ce cas, des microsondes
seront connectées chacune à un fournisseur sur la base d'un abonnement
ADSL de particulier. Le deuxième objectif risque de faire du bruit
puisqu'il s'agit de créer un audit des antivirus qui soit réellement
indépendant des éditeurs. Ces logiciels seront soumis à de multiples
codes malveillants.
« Les
antivirus actuels n'agissent que sur des codes malveillants dont on
connaît déjà la signature. Or, nous avons en tête les travaux du
lieutenant-colonel Eric Filiol, du Laboratoire de virologie, sur
notamment les rétrovirus, c'est-à-dire les codes malveillants qui se
servent des failles des antivirus pour attaquer,
indique Jean-Yves Marion.
En détectant de nouveaux virus, nous espérons mettre au point des méthodes
d'analyses heuristiques bien plus puissantes que celles utilisées par les antivirus actuels. »
S'il
obtient le feu vert de son ministère de tutelle, ce laboratoire
pourrait vendre les résultats de ses audits et de ses avancées en
matière de défense informatique.
Installé
à Nancy, ce laboratoire analysera les virus et le comportement des
antivirus. Il devrait être opérationnel au début de 2008.
Des centrales électriques victimes de pirates informatiques, selon la CIA
Un responsable américain a fait part, il y a quelques jours, de cas d'intrusion informatique et de tentatives d'extorsion de fonds.
C'est une information intrigante et inquiétante qu'un responsable de la CIA, l'agence de renseignement américaine, a délivrée par écrit il y a quelques jours aux participants d'une conférence internationale consacrée à la sécurité et organisée à la Nouvelle-Orléans par le SANS Institute (1).
Selon Tom Donahue, un analyste de la CIA, des attaques informatiques ont visé des centrales électriques. « Nous avons des informations en provenance de multiples régions en dehors des Etats-Unis, concernant des intrusions informatiques dans des unités, suivies de tentatives d'extorsion de fonds. »
Il a ajouté que ces mêmes informations indiquaient que les « cyberattaques visaient à perturber les équipements des centrales, dans plusieurs régions hors des Etats-Unis. Au moins dans un cas, la gêne a entraîné une panne électrique, affectant plusieurs villes » , sans préciser lesquelles. Tom Donahue a expliqué que la CIA ne connaissait pas les auteurs de ces attaques, ni leurs motivations, mais qu'ils avaient tous utilisé le réseau Internet.
Inquiétude grandissante des gouvernements
Il est rare que la CIA s'exprime publiquement sur ce genre de dossiers et l'agence fédérale n'a souhaité faire aucun commentaire supplémentaire sur le sujet. Le fait qu'elle ait rendu cette information publique traduit néanmoins l'inquiétude grandissante des gouvernements face aux nouveaux risques informatiques.
En juin 2007, le secrétaire de la Défense des
Etats-Unis, Robert Gates confirmait que le réseau de messagerie du
Pentagone dédié à l'échange d'informations non confidentielles avait
été piraté, ce qui avait entraîné - fait peu habituel - la déconnexion
de près de 1500 ordinateurs. En France, le secrétaire général de la
défense nationale (SGDN), Francis Delon confiait en septembre 2007 au
quotidien
Le Monde
que l'Administration
avait été la cible de pirates informatiques.
« On peut parler d'affaire sérieuse »,
avait-il alors souligné.
(1) Le SANS Institute rassemble des spécialistes en sécurité informatique, consultants, universitaires, etc.
Source : 01 Net