mercredi 9 juillet 2008
Les antivirus sont de plus en plus affectés par les failles de sécurité
Les systèmes sont-ils moins protégés parce que les antivirus recèlent de plus en plus de vulnérabilités ? Non, assurent les éditeurs, arguant que la hausse inquiétante du nombre de failles est une évolution naturelle, liée à la complexité de leurs solutions.
Alors qu'il sont censés protéger le système, les logiciels antivirus sont de plus en plus affectés par des vulnérabilités de sécurité, que pourraient exploiter des personnes malintentionnées pour prendre le contrôle à distance des systèmes.
Plusieurs études récentes rapportent cette tendance. La société allemande n.runs AG vient ainsi de relever quelques 800 failles de toute sorte dans les antivirus les plus courants du marché depuis le début de l'année (voir image ci-dessous).
Un moyen, bien entendu, de faire de la promotion pour son propre produit (aps-AV), qui serait selon elle, pour l'instant, exempt de failles.
Toutefois, d'autres études vont dans le même sens, confirmant cette tendance. D'après des recherches présentés à la dernière conférence dédiée à la sécurité, Black Hat Europe, tenue fin mars, ce sont quelque 1165 vulnérabilités qui ont été détectées dans les antivirus ces 4 dernières années.
La société danoise de recherche en sécurité Secunia et l'Université de Michigan, rapportent également des statistiques inquiétantes : il n'y avait par exemple que 50 alertes relatives à des antivirus entre 2002 et 2005. Entre 2005 et 2007, on en a comptabilisé 170.
Une augmentation « mécanique » pour McAfee
Parmi les antivirus les plus sujets aux vulnérabilités, selon n.runs AG, figure l'éditeur McAfee qui commercialise notamment VirusScan. Contacté par ZDNet.fr, l'éditeur apporte une explication à cette hausse du nombre de vulnérabilités. « Les antivirus sont des applications de plus en plus sophistiquées et qui communiquent de plus en plus avec le réseau, pour le reporting des incidents et le téléchargement des nouvelles signatures. Mécaniquement, les scénarios de vulnérabilités sont donc plus nombreux », indique François Paget, chercheur de menaces chez McAfee Avert Labs.
Il temporise cependant l'interprétation alarmiste qui peut être faite de la situation. « Les antivirus ne sont pas pour autant moins efficaces qu'auparavant. Les internautes sont toujours autant protégés », conclut-il.
Les intéressés ne semblent en tout cas pas inquiets. Selon la dernière étude du Clusif (*), 94% des internautes français se sentent « plutôt ou totalement » en sécurité lorsqu'ils utilisent leur ordinateur. Ils sont 95% à utiliser un antivirus, 91% un pare-feu, 84% un anti-spam et 71% un anti-spyware. Et 90% à utiliser les mises à jour automatiques des logiciels sensibles (dont l'antivirus), ainsi que de l'OS et du navigateur.
(*) Club de la sécurité des systèmes d'information français (Clusif)
Par Christophe Guillemin, ZDNet France
samedi 24 mai 2008
Euro 2008 : premières tentatives de piratage
L'Euro 2008 donne des idées aux pirates. Deux semaines avant le coup d'envoi de la compétition, des tentatives d'attaques ont déjà été repérées, pour piéger les fans de football.
Selon l'éditeur d'antivirus G DATA, des messages arrivent dans les boites mails, proposant des places pour les matches, des vidéos censées être exclusives, ou encore des informations telles que les horaires des différentes rencontres. Des offres alléchantes également proposées sur des sites.
Les pages contenant ces éléments dissimulent du code malveillant. Si l'utilisateur clique, il l'installe sur son système à son insu. Le but, pour les pirates est double : récupérer les données personnelles et confidentielles stockées sur la machine, et intégrer cette dernière à un réseau de PC zombies (botnet), utilisé pour l'envoi de campagnes massives de spam.
G Data s'attend à comptabiliser de nombreuses victimes étant donné l'envergure de l'événement. L'éditeur recommande de mettre à jour les antivirus, de désactiver JavaScript dans le navigateur et de supprimer les courriers électroniques non sollicités sans cliquer sur les liens intégrés.
Par la rédaction, ZDNet France
jeudi 22 mai 2008
L'Otan se dote de deux centres européens de cyberdéfense
L'Otan (1) fourbit ses armes pour lutter contre les délits perpétrés sur l'internet, frappant jusqu'au coeur même de ses états membres. L'Organisation du traité de l'Atlantique Nord va se doter d'un centre de recherche dédié à la cyberdéfense, où des formations techniques seront assurées pour combattre les délits sur la Toile.
Implantée en Estonie, à Tallinn, cette structure fonctionnera de pair avec l'autorité de gestion de la cyberdéfense CDMA (2), dont la création a été validée lors du sommet de l'Otan à Bucarest le mois dernier.
Basée à Bruxelles, la CDMA sera chargée de coordonner les moyens de défense dans et entre les différents pays membres, qui veulent se protéger des attaques semblables à celles qui ont frappé l'Estonie l'an passé.
Les systèmes informatiques bancaires et du gouvernement ont été littéralement paralysés par des attaques avec refus de service qui les ont visés. Une situation qui a poussé les membres de l'Otan à prendre des mesures, et à ne plus se focaliser sur la seule défense du système interne de l'organisation via son centre NRIC (Nato Computer Incident Response Capability). Ce dernier continuera toutefois de fonctionner en parallèle.
(*) L'Otan est composé de 26 pays d'Amérique du Nord et d'Europe
(**) Cyber Defence Management Authority
Par Nick Heath, Silicon.com
vendredi 16 mai 2008
Le piratage de logiciels en recul dans les entreprises françaises
Dans son rapport annuel, l'association BSA montre que le taux de piratage en France a baissé de 3 points en 2007. Une baisse attribuée à ses campagnes de sensibilisation et à une sévérité accrue des sanctions contre les entreprises contrevenantes.
Le taux de piratage en France est descendu à 42 % en 2007, soit 3 points de moins que l'année précédente, selon la dernière étude de l'association BSA (Business Software Alliance). Cet organisme international est chargé par les éditeurs de logiciels d'organiser la lutte contre le piratage de leurs produits, tant en terme de sensibilisation que de répression.
Son étude annuelle porte sur le piratage de produits professionnels et couvre donc quasiment exclusivement les infractions aux licences en entreprise. En 2005, le taux de piratage en France était de 47 %, puis 45 % en 2006.
« C'est une excellente nouvelle. Cela signifie que les entreprises françaises piratent moins de logiciels. L'étude démontre que nous faisons des progrès dans la lutte contre le piratage, mais il reste beaucoup à faire », commente pour ZDNet.fr, Natacha Jollet-David, porte-parole de BSA en France.
93 000 euros de dommages et intérêts en moyenne
En règle générale, les actions de sensibilisation de l'association prennent la forme d'envois d'e-mails ou de lettres aux chefs d'entreprise, afin de les sensibiliser sur les bonnes pratiques en matière de gestion des logiciels et des risques encourus en cas de piratage. BSA organise aussi des tables rondes auprès des chambres de commerce et d'industrie.
Au chapitre répressif, BSA France organise des contrôles au sein des entreprises suspectées de piratage. Elle ne communique pas sur le volume exact de procédures engagées. Seul indice : en 2007, le nombre de jugements ou d'accords à l'amiable rendu a augmenté de 50 % par rapport à l'exercice précédent. Le montant des dommages et intérêts est également en augmentation : plus 36 %.
« En 2007 la moyenne atteint désormais 93 000 euros pour une entreprise contrevenante », souligne Natacha Jollet-David. « La justice française appréhende désormais mieux le piratage de logiciels et la tendance est à une plus grande sévérité des jugements. » Ces sommes sont versées aux éditeurs au titre du préjudice matériel (manque à gagner pour les éditeurs de logiciel) et du préjudice d'image.
Parmi les entreprises contrôlées l'an dernier, la plus grosse irrégularité constatée correspondait à 850 copies illicites de logiciels sur les 291 postes audités, soit 100 % de taux de piratage.
Augmentation du piratage au niveau mondial
BSA estime que le piratage est en majorité intentionnel ; les entreprises choisissent sciemment d'abuser des licences, ou au moins de ne pas les gérer. Les cas de pure négligence seraient plus rares.
En Europe, la France se situe au-dessus de la moyenne du taux de piratage (36 %) ; les plus mauvais élèves sont la Grèce (58 %), Chypre (50 %) et l'Italie (49 %). À l'inverse, parmi les pays où le piratage est le plus faible, figurent le Luxembourg (21 %), suivi de l'Autriche, de la Belgique, du Danemark, de la Finlande, de la Suède et de la Suisse (25 %).
Enfin à l'échelle mondiale, sur les 108 pays étudiés, le piratage de logiciels a baissé dans 67 pays et augmenté seulement dans 8. Mais comme le marché mondial de la micro-informatique s'est développé plus vite dans les pays où le piratage est élevé, le taux mondial a augmenté de trois points, atteignant 38 % en 2007.
L'étude a été menée pour le compte de BSA par IDC et porte sur le piratage des progiciels fonctionnant sur des micro-ordinateurs, qu'il s'agisse d'ordinateurs de bureau, de portables ou d'ultra-portables. Elle ne couvre pas les autres types de logiciels comme ceux destinés aux serveurs ou aux grands systèmes. Pour confirmer les évolutions du piratage de logiciels, IDC a exploité des statistiques exclusives sur les livraisons de logiciels et de matériels et a fait appel à ses analystes dans plus de soixante pays.
Par Christophe Guillemin, ZDNet France
mardi 6 mai 2008
Coup d'envoi pour le passeport biométrique en France
Tous les textes validant le lancement en France du passeport biométrique sont désormais parus. Dès cet automne, les premières pièces seront produites. Elles intègrent une image du visage et les empreintes digitales stockées dans une puce RFID.
Le dernier décret permettant la généralisation du passeport biométrique dans l'Hexagone a été publié au Journal officiel le dimanche 4 mai. Des premiers exemplaires seront disponibles à l'automne, mais ce n'est qu'en juin 2009 que cette nouvelle pièce d'identité sera largement proposée dans 2 000 mairies, soit une vingtaine par département.
Sa principale nouveauté est l'intégration d'une puce électronique de type RFID, capable de transférer les données par ondes radio à quelques centimètres. Elle héberge, sous forme numérique, des données biométriques permettant d'identifier le porteur : l'image du visage et les empreintes digitales de huit doigts.
« Les empreintes digitales des enfants de moins de six ans ne sont pas recueillies », précise le décret.
Cinq départements en pointe
Pour recueillir l'image du visage et les empreintes digitales, le ministère de l'Intérieur va choisir dans les semaines à venir le consortium qui fabriquera les 2 000 machines qui produiront et enregistreront ces données numérisées pour la puce des passeports biométriques.
Cinq départements tests (Nord, Oise, Aube, Gironde, Loire-Atlantique) accueilleront les premières machines cet automne, pour lancer les fabrications de passeports biométriques avec des normes conformes à celles de l'aviation civile internationale, indique l'AFP.
Ces passeports seront confectionnés à l'Imprimerie nationale avec une durée de validité maintenue à dix ans.
Ce nouveau format est exigé depuis le 26 octobre 2005 pour entrer aux États-Unis sans visa. La France avait mis à la disposition de ses ressortissants les premiers passeports électroniques dès avril 2006.
Par Christophe Guillemin, ZDNet France
samedi 9 février 2008
Correctifs critiques pour Firefox, Thunderbird et Seamonkey
RESUME DE L'ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Plusieurs nouveaux défauts de sécurité ont été identifiés dans le
navigateur
Firefox, la messagerie Thunderbird et SeaMonkey. L'exploitation des failles
les plus sévères autorise l'exécution de code malicieux à distance via
une
page web, une image ou un courrier électronique piégé. La faille chrome:
précédemment annoncée (voir alerte du 24/01/08) est également
corrigée.
http://www.secuser.com/vulnerabilite/2008/080208-firefox-thunderbird.htm
SOLUTION DISPONIBLE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Si au moins un des logiciels concernés est installé sur votre ordinateur,
vous devez appliquer le correctif disponible pour prévenir toute attaque :
http://www.secuser.com/vulnerabilite/2008/080208-firefox-thunderbird.htm
AIDE ET DISCUSSION
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Qu'est-ce qu'une faille de sécurité?
http://www.secus
er.com/faq/securite/#faille_securite
Comment savoir si ce logiciel est installé sur mon ordinateur?
http://www.s
ecuser.com/faq/securite/#logiciels_installes
Comment déterminer le numéro de version d'un logiciel?
http://www.secuse
r.com/faq/securite/#numero_version
Précédents défauts de sécurité Windows et Mac :
http://www.secuser.com/vulnera
bilites/
Contacter Secuser.com :
http://www.secuser.com/contact/
FAIRE CONNAITRE SECUSER SECURITE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Vous pensez que cette lettre peut rendre service à un proche :
http://www.secuser.com/se
rvices/invitation/
mercredi 23 janvier 2008
Microsoft recrute un spécialiste linuxien de la sécurité
Crispin Cowan, expert Linux à l'origine de logiciels de sécurité réputés, a rejoint les rangs de la firme de Redmond. Il travaillera sur la sécurité des produits Windows, au sein de l'équipe dédiée à cette question.
Ce spécialiste a contribué au développement des logiciels StackGard et AppArmor, et est également le cofondateur de la société Immunix, qui propose une distribution Linux du même nom. Immunix a été rachetée en 2005 par Novell, intéressé par le potentiel de ses technologies.
Ces dernières années, peut-on lire sur son blog personnel, il s'est attaché à renforcer la sécurité des systèmes en cas d'attaques. Un travail qui a abouti à la création de l'Immunix OS, protégé par StackGuard contre les dépassements de la mémoire tampon (buffer overflow), conséquences de nombreuses attaques lancées de l'extérieur.
Son embauche a été saluée par la communauté, même si certains parlent d'une grande perte pour le monde Linux étant donné ses compétences.
Par la rédaction, ZDNet France
Source zdnet
mercredi 19 décembre 2007
Les arnaques par phishing ont coûté 3,2 milliards de dollars aux internautes américains en 2007
Les escroqueries par phishing, basées sur des détournements de données personnelles, ont connu une forte recrudescence cette année aux États-Unis, selon les informations publiées par Gartner (*). Entre août 2006 et août 2007, les internautes américains se sont fait voler plus de 3,2 milliards de dollars par ce biais.
Les tentatives des escrocs sont de plus en plus fructueuses : 3,3 % personnes ayant reçu un e-mail frauduleux, les incitant à livrer des informations personnelles, sont tombées dans le panneau, contre 2,3 % en 2006. La perte moyenne par victime se monte à 886 dollars.
Selon Gartner, PayPal et eBay sont les marques le plus souvent détournées pour véhiculer les arnaques par phishing. Elles deviennent par ailleurs de plus en plus intrusives, l'objectif pour leurs auteurs étant de parvenir à installer un logiciel malveillant sur l'ordinateur de la victime pour lui soutirer un maximum d'informations à son insu.
Le problème est accentué par le fait que les utilisateurs ne sécurisent pas correctement leur PC, souligne Gartner : 11 % des personnes interrogées ont reconnu ne pas utiliser de logiciel de sécurisation (antivirus ou filtre anti-spyware) sur leur machine.
(*) Les résultats se basent sur une étude menée en août 2007 auprès de 4 500 internautes américains.
Actualité mise à jour le 19 décembre, suite à une confusion entre millions et milliards de dollars
Source zdnet
mercredi 28 novembre 2007
Le gouvernement dévoile Isis, son intranet sécurisé
Créé il y a un an, le système de communication sécurisé du gouvernement vient d'être présenté officiellement. Conçu pour parer à d'éventuelles cyberattaques, il relie dix lieux du pouvoir par un réseau en fibre optique homologué "confidentiel défense".
Dans la mythologie égyptienne, Isis est la déesse protectrice de l'état. En France, le nom signifie avant tout "Intranet sécurisé interministériel pour la synergie gouvernementale". Autrement dit, entre les mots, et au-delà de la symbolique du nom égyptien, Isis est un réseau de communication réservé aux membres de l'État pour des activités hautement confidentielles.
Le dispositif, installé physiquement six mètres sous terre, derrière des portes blindées, sous l'Hôtel des Invalides, à Paris, existe en fait depuis le 8 novembre 2006. La conférence de presse organisée un an plus tard pour officialiser la naissance du système fait donc figure de baptême médiatique. Dans le rôle des parrains : Francis Delon, secrétaire général de la défense nationale, Laurent Wauquiez, secrétaire d'Etat et porte-parole du gouvernement et Didier Lombard, président de France Telecom.
FT, maître d'oeuvre du projet
France Telecom qui fait figure de maître d'oeuvre dans ce projet. L'intranet Isis a été monté par le département Orange Business Services de l'opérateur téléphonique. De l'Élysée à Matignon, en passant par les ministères de l'Intérieur et de la Défense, dix sites parisiens sont reliés entre eux par un réseau en fibre optique homologué "confidentiel défense".
Après un an d'existence, 400 abonnés sont autorisés aujourd'hui à utiliser Isis. Fin 2008 ils devraient être 800. D'ici à trois ans, ils seront plusieurs milliers. Le réseau sera même étendu à des sites de province.
En se basant bien sûr sur le discours officiel, et sur ce que le gouvernement veut bien révéler de son nouveau réseau, l'utilisateur assermenté doit disposer d'une carte à puce et d'un code secret pour bénéficier des services d'Isis. Les informations transmises d'une personne à une autre sont, quant à elles, chiffrées à trois niveaux.
Transférer les données en temps de crise
Outre l'échange de messages, Isis offre les fonctionnalités que l'on peut retrouver sur la plateforme de travail d'une entreprise. Le service permet de transmettre des documents confidentiels, de partager ces mêmes documents, de participer à des discussions sur un forum ou encore de consulter un annuaire interministériel de crise.
Car c'est là le principal objectif d'Isis : donner la possibilité au gouvernement de continuer à travailler en situation de crise ou d'urgence, en particulier en cas de piratage informatique. « Le temps des hackers ludiques est révolu », soulignait devant la presse Laurent Wauquier. « Ils ont laissé la place aux prédateurs et aux réseaux organisés. (...) Il ne s'agit pas de subir, mais d'assurer le transfert et la confidentialité des données. »
Des propos qui font écho aux attaques dont a été victime le ministère de la Défense il y a quelques mois, au même titre que d'autres pays comme les États-Unis, l'Allemagne, et l'Estonie. Pour Isis, les précautions élémentaires semblent avoir été prises. Le réseau est protégé du monde extérieur par une totale déconnexion avec Internet.
Source zdnet
vendredi 16 novembre 2007
Correctifs de sécurité Microsoft de novembre 2007
Une vulnérabilité dans Windows pourrait permettre l'exécution de code à distance. Un problème de sécurité a été identifié. Ce problème pourrait permettre à une personne malveillante de prendre le contrôle de ce système d'exploitation.
Dans son bulletin de sécurité de novembre 2007, Microsoft publie un correctif critique pour Windows XP afin de résoudre une vulnérabilité existante dans la manière dont le shell (programme qui interprète les commandes tapées au clavier) gère certaines informations. Si le shell windows ne valide pas suffisamment ces URI, un attaquant pourrait exploiter cette vulnérabilité et exécuter du code arbitrairement.
Microsoft a identifié les manières d'exploiter cette vulnérabilité sur les systèmes exécutant Internet Explorer 7. Cependant, la vulnérabilité existe dans le fichier windows Shell32.dl qui est inclus dans toutes les versions de Windows XP et Windows Server 2003.
Bulletin de sécurité Microsoft MS07-061
Une vulnérabilité dans Windows URI Handling pourrait permettre l'exécution de code à distance
Télécharger
Source zdnet