Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Le bitcoin dans la ligne de mire des pirates

La monnaie virtuelle bitcoin traverse depuis ce début d’année 2014 une crise sans précédents. Après la faillite de la plateforme d’échange MtGOX et la fermeture de Flexcoins, intermédiaire spécialisé dans l’échange et le stockage de bitcoins, Poloniex, autre plateforme d’échange de crypto-monnaies, a annoncé le détournement de 12,3% des fonds qu’elle stockait. En un mois à peine, les principales bourses d’échange pour détenteurs de bitcoins ont été la cible de pirates informatiques, provoquant un véritable marasme au sein de l’écosystème de cette monnaie dématérialisée.

Pour comprendre ce phénomène de vaste piratage informatique, le laboratoire de recherche de LogRhythm s’est intéressé aux failles de sécurité existantes de bitcoin. L’équipe de chercheurs a ainsi récemment analysé un type de malware relativement nouveau qui cible plus particulièrement les utilisateurs sur les plateformes d’échange et de stockage de bitcoins.

Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, explique que ce malware arrive sous forme d’un fichier exécutable sous Windows (driveprice.exe) prétendant que l’exécution de ce logiciel augmentera le prix des bitcoins sur le marché, et entrainera ainsi une hausse de la valeur des bitcoins déjà détenus. Comme le dit l’adage, « Si cela semble trop beau pour être vrai, cela l’est probablement ». Ce logiciel n’est pas une exception et les créateurs du malware se servent de l’attrait pour l’argent et ciblent systématiquement les utilisateurs de plateforme d’échanges de bitcoins en misant sur le fait qu’ils téléchargeront et exécuteront ce logiciel dans le but de faire grimper la valeur globale des bitcoins.

Une fois que le logiciel s’exécute, il entraine de nombreux et importants changements au sein du système, tentant à la fois de rester invisible et d’établir une connexion permanente avec le serveur de contrôle et de commande. Le malware s’installe tout seul de manière à se lancer automatiquement lors de l’utilisation de Windows Registry, processus légitime de Windows déguisé, utilise un code injecté pour masquer l’activité du réseau, et finit par détourner tous les navigateurs disponibles sur le système. Une fois que ce dernier est infecté, le malware envoie un signal au serveur de contrôle et de commande et attend les directives du hacker. Tout en étant à l’intérieur du navigateur, le malware attend que les utilisateurs se connectent à la plateforme d’échange de bitcoins et procède ensuite au vol de leurs identifiants qui seront utilisés plus tard pour extraire la totalité des bitcoins stockés sur leur compte en ligne.

Le bitcoin, monnaie virtuelle au succès grandissant, attire l’attention de plus en plus de cybercriminels. La chute successive de deux acteurs principaux, MtGOX et Flexcoins, ainsi que l’attaque de Poloniex montre aujourd’hui un besoin urgent de sécurisation des transactions et plus largement de tout l’écosystème bitcoin. En visite début mars dans les locaux de Tracfin (Traitement du Renseignement et Action contre les Circuits FINanciers clandestins), Pierre Moscovici, Ministre de l’Economie et des Finances, a appelé à une concertation européenne sur la régulation des monnaies virtuelles comme le bitcoin, un enjeu majeur pour définir un cadre légal et limiter les pertes financières qui pourraient avoir de lourdes conséquences au niveau international. Espérons que le projet Ethereum soit un de ces possibilités de sécurisation.

 

Nouvelle arnaque Candy Crush via Facebook

Une page Facebook, associée à un site de phishing aux couleurs du célèbre jeu mobile et Web, propose aux joueurs des lingots d’or gratuits et d’autres bonus. Les Laboratoires antivirus Bitdefender ont découvert une nouvelle arnaque via Facebook concernant le jeu mobile et Web, Candy Crush. Une page Facebook associée à un site Web, dont l’URL pousse le mimétisme jusqu’à comporter le nom du jeu, propose aux joueurs des lingots d’or gratuits et d’autres bonus comme des vies supplémentaires. L’objectif de l’arnaque est de dérober les identifiants Facebook du joueur ainsi que quelques euros via un numéro surtaxé.

Étape 1 : connexion à Facebook
Bien que l’utilisateur soit déjà connecté, le site aux couleurs de Candy Crush demande aux joueurs de saisir de nouveau ses identifiants pour se connecter à son compte Facebook afin de bénéficier des lingots d’or gratuits.

Étape 2 : l’appel « gratuit »
Une fois les identifiants saisis, l’utilisateur doit appeler un numéro « gratuit » pour obtenir le code de confirmation. Bien que le mot « gratuit » et l’indication du prix (0,00€) soient précisés, il s’agit bien sûr d’un numéro surtaxé. Au lieu de lingots d’or et de vies supplémentaires pour son jeu favori, le joueur risque fort de se faire dérober ses identifiants Facebook et potentiellement l’accès à d’autres sites, s’il utilise un seul mot de passe pour plusieurs comptes, ainsi que quelques euros via le numéro surtaxé.

Comment se prémunir contre cette arnaque ?
Quelques indices peuvent permettre aux internautes d’identifier ces escroqueries :
·         Le protocole d’identification Facebook : Facebook dispose du protocole OAuth qui permet de s’identifier sur n’importe quel site en tant qu’utilisateur Facebook, lorsque ce dernier est connecté à son compte. Il n’y a donc aucune raison d’entrer à nouveau ses identifiants si l’utilisateur est déjà connecté ;
·         Le numéro surtaxé : une rapide recherche du numéro dans un moteur de recherche permet d’avoir une idée de qui est « réellement » au bout du fil.

Data Security Breach conseille aux utilisateurs de rester vigilants face à des offres un peu trop alléchantes pour être honnêtes, et de vérifier par deux fois avant de saisir leurs identifiants sur un site Internet ou d’appeler un numéro inconnu.

Inquiétude pour des clients de LaPoste.net

Le site Internet de LaPoste.net propose un service webmail efficace. Sauf que les identifiants de connexions ne sont pas sécurisés. Plusieurs lecteurs de Data Security Breach nous ont annoncé être inquiets du système d’identification du site LaPoste.net. Les connexions « chiffrées » au webmail Laposte.net n’existent pas. Sur la page d’accueil du site http://www.laposte.net, il est possible de se connecter à « Ma boîte aux lettres » LaPoste.net. « Je suis extrêmement surpris que l’on puisse saisir son identifiant et son mot de passe alors que la connexion n’est pas chiffrée et sécurisée en https avec un certificat SSL » indique à la rédaction Vincent. Effectivement, cela signifie tout simplement que les identifiants et les mots de passe transitent en clair sur le réseau Internet entre l’ordinateur de l’utilisateur et les serveurs de La Poste. Une personne mal intentionnée pourrait aisément, et avec quelques outils spécialisés, comme en sniffant les trames Ethernet avec Wireshark, récupérer les informations privées au moment de la connexion. Autant dire qu’un utilisateur passant par une connexion wifi gratuite dans un aéroport, un restaurant (MacDo…), un café (Starbucks…) met tout simplement son webmail en danger. Plusieurs lecteurs ont envoyé un courriel à La Poste. Des services tels que Google ou encore Outlook (live.com) proposent des connexions en https et un certificat SSL.

Alors sécurisé ou pas ?

Ce qui compte est la sécurisation https de l’url qui se trouve dans le formulaire de login. Si celle ci est en https, aucun souci, même si la page qui héberge ce formulaire n’est pas https. Donc, pas d’inquiétude le login de la poste est sécurisé, et les identifiants ne sont pas transmis en clair. « Une fois de plus le petit logo vert partout n’est pas un garant de la sécurité d’un site » rajoute Seb, un lecteur. Il faut admettre, cependant, qu’un peu plus de visibilité ne nuirait pas à la bonne compréhension, et à rassurer les utilisateurs. La dynamique équipe sécurité de La Poste nous a répondu à ce sujet. Il faut tout d’abord différencier le portail laposte.net sur lequel est disponible le webmail et l’authentification au webmail qui ne fonctionnent pas avec les mêmes restrictions d’accès et de sécurité. « Pour accéder à leurs mails XXXX@laposte.net,  nos clients doivent impérativement passer par une phase d’authentification (échange des login/mot de passe) qui est biensur  cryptée en Https » confirme à Data Security Breach l’équipe sécurité de La Poste. Voilà qui devrait définitivement rassurer les utilisateurs.

Quand l’escroc informatique se prend pour un mentaliste

Le CERT-FR, cellule gouvernementale en charge de la sécurité informatique des infrastructures étatiques, a constaté une recrudescence de techniques d’ingénierie sociale (Social Engineering) où un escroc se fait passer pour un agent appartenant à un service de support technique.

Comme le rappel le CERT France, deux méthodes principales sont employées pour contacter une victime potentielle. D’abord l’appel à froid « cold call ». L’escroc appelle directement sa victime en prétendant être le technicien d’un service de support informatique. Il utilise alors des techniques d’ingénierie sociale en expliquant à la victime que son ordinateur est sujet à des comportements suspects. Une technique vieille comme le monde. Kevin Mitnick, hacker mythique, s’en était fait une spécialité dans les années 80. En janvier dernier, une société du sud de la France se voyait « détourner » pas moins de 17 millions d’euros via l’ingénierie sociale.

Autre possibilité, la publicité en ligne. Certains pirates utilisent les moteurs de recherche pour référencer de fausses entreprises de support informatique. Un utilisateur à la recherche d’une solution à un problème technique pourra être tenté de rentrer en contact avec ces fausses sociétés. La victime mise en confiance est incitée à payer pour une assistance ou un produit. Dans certains cas, le prétendu technicien peut faire installer à l’utilisateur ciblé des logiciels de prise de contrôle à distance (tel que LogMeIn) sur ses équipements.

Depuis peu, le même type d’escroquerie a été constaté pour les terminaux mobiles. Le manque de connaissances, de formations, d’informations et la naïveté des victimes permet aux voleurs de prendre le contrôle de l’ordinateur, de la connexion ou d’un terminal. Nous vous parlions, l’année dernière, de faux antivirus commercialisés en Belgique. « Un technicien de support informatique légitime, explique le CERT France, n’est pas censé amener l’utilisateur à installer un quelconque outil supplémentaire sur un poste de travail, ni à lui demander d’identifiants et de mots de passe d’authentification« .

Pour s’en protéger, il suffit de faire preuve de la plus grande prudence vis-à-vis des appels téléphoniques provenant de services de support alors que ceux-ci n’ont pas été sollicités. Ne pas hésiter à être « paranoïaque et solliciter, dans un cadre professionnel, uniquement les services de supports internes à l’entreprise ou à l’organisation.

 

 

Failles pour Internet Explorer et Chrome

Microsoft confronté à une faille dans ses navigateurs 9 et 10. Google en profite pour corriger 29 « bugs » pour Chrome. Les dernières attaques ayant visé des entreprises françaises et étrangères ont mis Microsoft en alerte. Les intrus ont exploité une faille 0Day pour lancer des codes malveillants à partir d’une vulnérabilité visant Internet Explorer 9 et 10. Comme l’indique le CERT FR, la faille permet l’exécution de code arbitraire à distance. Dans l’attente de la publication du correctif, il est recommandé d’appliquer le patch provisoire mis en ligne par Microsoft sur les navigateurs Internet Explorer à jour de leurs derniers correctifs de sécurité. Mission, bloquer la majorité des attaques connues ; de mettre à jour, lorsque cela est possible vers Internet Explorer version 11 (Sous Windows 8, seule la version pro 8.1 accepte IE 11) ; d’installer et de configurer l’outil de sécurité EMET sur les applications sensibles (dont Microsoft Internet Explorer) afin de limiter les risques connus d’exploitation.

Pour Chrome, Google a corrigé 29 possibilités pirates allant de l’exécution de code arbitraire à distance, de déni de service, de contournement de la politique de sécurité ou encore d’atteinte à la confidentialité des données. Bref, des failles très sérieuses qui touchent Google Chrome versions antérieures à 33.0.1750.117.

Snort prend du poil de la bête avec une annonce de Cisco

Cisco, lors du rachat de Snort en 2012, avait annoncé continuer à soutenir les projets Open Source. Le géant américain va annoncer, ce mardi, qu’il mettait les petits plats dans les grands avec la détection et le contrôle d’accès applicatif Open Source via le langage OpenAppID. Une annonce qui va permettre un développement rapide des contrôles applicatifs grâce à la communauté. « OpenAppID permet de donner aux utilisateurs de Sourcefire toute la flexibilité attendue pour gérer la détection d’application, la corrélation temps réel et le contrôle d’accès applicatif (NGFW) sur des applications spécifiques ou sensibles. » explique à Data Security Breach Cyrille Badeau, Directeur Europe du Sud de Sourcefire. En s’appuyant sur la puissance de l’open source et de sa communauté, Cisco annoncera demain mardi qu’elle offrira désormais la possibilité de créer et d’intégrer de nouvelles fonctionnalités d’accès applicatif open source dans son moteur Snort grâce à OpenAppID. »Un message fort pour la communauté OpenSource et c’est dans la ligne tracée par Marty Roesch (créateur de Snort, ndr) depuis 12 ans. » confirme Cyrille Badeau à DataSecurityBreach.fr.

La détection et le contrôle d’accès applicatif open source est activé par le nouveau langage OpenAppID de Cisco centré sur la couche applicative. OpenAppID fournit une visibilité sur les applications, accélère le développement de systèmes de détection des applications, contrôle et offre à la communauté la possibilité de partager les systèmes de détection pour une meilleure protection. Comme de nouvelles applications sont développées et introduites dans les systèmes d’information des entreprises à un rythme sans précédent, ce nouveau langage permet aux utilisateurs, grâce à une flexibilité accrue, de contrôler les nouvelles applications sur le réseau. OpenAppID est particulièrement intéressant pour les entreprises qui utilisent des applications propres ou personnalisées et pour celles qui évoluent dans des secteurs réglementés qui exigent les plus hauts niveaux de contrôle et d’accès. « L’ouverture de l’OpenAppID va donner au NGFW de CISCO ce que SNORT a donné et donne au NGIPS historique de Sourcefire, indique Cyrille Badeau à Data Security Breach France. Pour ce dernier, le succès de la solution est très liée au caractère OpenSource du moteur de détection. Les clients sensibles vont pouvoir utiliser le NGFW SF-CISCO en gardant le contrôle et la confidentialité nécessaire sur leurs applications maisons et sensibles. »

Snort est le système de détection et de prévention d’intrusions open source et gratuit, créé par Martin Roesch en 1998. La détection et le contrôle applicatif open source permet aux utilisateurs de créer, partager et mettre en place une détection des applications personnalisée pour répondre aux nouvelles menaces qui visent les applications, aussi rapidement que possible.

Martin Roesch, créateur de Snort, Vice-Président et Directeur technique de Cisco Security Business Group précise que « l’open source est très important car il permet de créer une véritable collaboration et une confiance entre les éditeurs et les experts chargés de lutter contre les menaces persistantes et avancées. En plaçant le contrôle applicatif et la visibilité en mode open source, Cisco offre à la communauté une autonomie pour lui permettre de créer des solutions techniquement supérieures afin de répondre aux enjeux de sécurité les plus complexes« .

Dans le cadre de cette annonce, Cisco livre également une nouvelle version du moteur Snort qui inclut les nouveaux préprocesseurs OpenAppID. La communauté Snort a ainsi la possibilité de commencer à utiliser le langage OpenAppID pour créer des systèmes de détection d’applications. En outre, une bibliothèque de plus de 1000 règles OpenAppID sera disponible gratuitement avec la communauté Snort sur http://www.snort.org. Chaque membre de la communauté pourra ajouter des règles, y compris les entreprises qui disposent d’applications propres et qui ne sont pas commercialement disponibles. « Utiliser le NGFW de CSICO – SF sur des applications non connues et spécifiques, termine Cyrille Badeau. Dans beaucoup de cas, ces applications ne peuvent être partagées avec l’éditeur par le client (trop sensible, ndr). Avec OpenAppID, ce partage n est plus nécessaire car l’écriture du détecteur d’application se fait chez le client. (tout comme les règles spécifiques snort, ndr) »

 

 

Méfiez-vous de l’ingénierie sociale, l’outil préféré des escrocs

L’ingénierie sociale est sournoise car elle exploite notre tendance naturelle à vouloir nous rendre utile. Les escrocs peuvent également jouer sur les émotions humaines, telles que la peur et la compassion. Voici quelques astuces employées par les escrocs pour soutirer des informations confidentielles, et comment vous en protéger. Vous êtes au bureau et un électricien vient résoudre un problème, ou votre téléphone sonne et c’est votre FAI qui vous informe d’un problème avec votre compte.

C’est dans la nature humaine de coopérer, non ? Vous laissez l’électricien entrer et le laissez faire ce qu’il doit faire. Vous répondez aux questions posées par le représentant du service clientèle afin de vérifier votre identité. Malheureusement, au lieu de vous rendre utile, vous êtes désormais victime de l’ingénierie sociale. L’électricien a installé un routeur pirate ou des caméras de surveillance dans votre bureau. Le faux représentant du service clientèle connaît vos données personnelles, les informations de votre compte ou encore votre numéro de carte bancaire.

L’ingénierie sociale désigne les techniques utilisées par des individus pour conduire d’autres individus à effectuer certaines tâches ou révéler certains types d’information. Les cybercriminels et les voleurs profitent du désir humain naturel de se rendre utile et de croire ce que les gens disent. Ces escrocs n’ont pas besoin d’employer de techniques de piratage sophistiquées ni de logiciels malveillants exploitant une vulnérabilité logicielle, quand il leur suffit simplement d’envoyer une pièce jointe malveillante par email et demander au destinataire d’ouvrir le fichier.

L’ingénierie sociale n’est pas quelque chose de nouveau ; les escrocs et leurs escroqueries élaborées ont existé de tout temps. Ce qui est nouveau, c’est la quantité d’information que les escrocs peuvent recueillir sur leurs victimes ciblées avant même d’attaquer. Grâce aux réseaux sociaux, ils peuvent trouver toutes sortes d’information, par exemple le lieu de travail de leurs victimes ciblées, les noms de leurs collègues, l’école où elles ont étudié, et même le dernier endroit où elles sont parties en vacances. Ils peuvent déterminer l’organigramme de l’entreprise ou les types de logiciels qu’elle utilise. Ils peuvent exploiter toutes ces informations pour convaincre une victime qu’ils disent la vérité.

Il est dans la nature humaine d’aider
Defcon, la plus grande conférence de pirates, organise tous les ans une compétition de type « capture du drapeau » en s’aidant de l’ingénierie sociale. Les participants ont quelques semaines pour étudier une société ciblée. De grandes entreprises telles qu’Apple, Johnson & Johnson et d’autres, ont été ciblées les années précédentes. Le jour de la compétition, les concurrents entrent dans une cabine, appellent une personne de la société, et tentent de lui faire révéler des « drapeaux », tels que la version du navigateur utilisé dans l’entreprise ou le type de logiciel installé sur son ordinateur. Les candidats prétendent généralement être des collègues d’un autre bureau essayant de recueillir des informations pour le PDG, et avoir vraiment besoin d’aide parce qu’ils sont complètement dépassés. La plupart du temps, les gens veulent aider et proposent librement des informations.

La peur est lucrative
Les escrocs sont passés maîtres de l’alarmisme. Une escroquerie courante consiste à appeler de la part d’un service d’assistance technique ou similaire en raison d’un problème sur l’ordinateur de l’utilisateur. L’appelant demande à l’utilisateur de taper quelques commandes standard sur l’ordinateur et explique que le résultat obtenu témoigne de la présence de programmes malveillants ou d’autres problèmes graves. À ce stade, l’utilisateur est convaincu que quelque chose ne va pas bien et communique son numéro de carte bancaire au « représentant » pour résoudre le problème.

Vérifiez vérifiez, et vérifiez encore
Si quelqu’un appelle en prétendant être d’une qualité officielle, demandez des preuves. Demandez un numéro de poste afin de pouvoir rappeler cette personne. Si la personne prétend être un employé d’un autre bureau ou d’un fournisseur, demandez une information vous permettant de confirmer son identité. S’il s’agit d’un policier, demandez son numéro de badge. Si ces personnes sont légitimes, elles vous fourniront les informations demandées sans hésitation. Ne cédez pas à la pression « vous avez quelques minutes pour agir ». Vous avez toujours le temps de réfléchir et de vérifier.

Méfiez-vous toujours des situations dans laquelle vous êtes activement contacté au sujet d’un problème. Aucune entreprise légitime ne vous demandera votre mot de passe, et le gouvernement enverra toujours une lettre pour les communications officielles. Et si vous recevez soudainement un appel d’un ami ou d’un parent prétendant être bloqué dans un pays étranger et ayant besoin que vous leur envoyez de l’argent au plus vite, ne leur faite pas simplement confiance parce qu’il ou elle connaît le nom de vos frères et sœurs ou le nom de votre chien.

Soyez conscient de ce que vous communiquez en ligne, et réglez les paramètres de contrôle de votre confidentialité. Il existe certaines informations que vous ne devriez jamais communiquer en ligne, telles que votre mot de passe, les réponses aux questions de sécurité (comme le nom de jeune fille de votre mère) ou votre numéro de sécurité sociale. Vous pouvez toujours vous rendre utile, mais prenez le temps de douter et de tout évaluer. Une petite dose de scepticisme n’a jamais fait de mal, et peut faire une énorme différence lorsqu’il s’agit de cybercriminalité. (Par Thierry Karsenti, Directeur Technique Europe – Check Point Software Technologies)

 

Le Groupement des Industries Françaises Aéronautiques et Spatiales attaqué

Depuis plus de trois semaines, des pirates informatiques louchent sur des données militaires appartenant à des sociétés américaines et Françaises. D’après la société WebSense, dans la liste des sites visés, celui du Groupement des Industries Françaises Aéronautiques et Spatiales (GIFAS). Les pirates, une nouvelle fois des Chinois sont montrés du doigt, auraient exploité un 0Day [CVE-2014-0322  – faille non publique, ndr] visant Internet Explorer 9 et 10.

Les pirates auraient diffusé des courriels ciblés à l’encontre d’employés membre de le GIFAS. Missives électroniques qui incitaient à visiter un site malveillant. Page web, comme le montre notre capture écran, qui  déclenche le téléchargement d’un outil d’espionnage à partir d’une « pixel » flash pirate.

L’url proposé dans le courriel usurpait l’adresse web de l’association : https://www.gifas.asso.fr. Les pirates ayant enregistré gifas.assso.net [assso.net, avec trois S, ndr datasecuritybreach.fr]. La page se fait passer, elle est toujours active, pour l’espace presse du GIFAS.

Finalité de l’attaque, intercepter mots de passe et permettre des accès à des documents sensibles. Les pirates (qui utilisent la même technique que les groupes Deputy Dog et Ephemeral Hydra) ont-ils cherché à connaitre les « contrats »/ »accords » signés entre les USA et le FRANCE lors de la visite du Président de la République Française sur le sol de l’Oncle Sam ? Il faut dire que de nombreux patrons de l’aéronautique française/US (Jean-Paul Herteman, PDG de Safran, David Joyce, PDG de GE Aviation, Jean-Paul Ebanga, PDG de CFM International, …) se sont retrouvés ces derniers jours à Washington.

A noter que Microsoft conseille de passer à Internet Explorer 11 pour éviter d’être piéger par de vieille faille. Voilà une bonne idée… comme celle de penser à stopper l’utilisation de Windows XP !

Patch tuesday de février

Le contenu du Patch Tuesday de février, publié mardi dernier ne propose que cinq bulletins d’alertes. Deux des quatre bulletins de février sont classés comme « critiques », les deux autres ayant le statut « importants ». Le bulletin #1 résout directement une faille dans le système d’exploitation Windows et s’applique à la fois aux clients et aux serveurs sous Windows 7, 2008, 8 et RT. Windows XP et Vista ne sont pas concernés. Le bulletin #2 s’intéresse uniquement à l’aspect serveur de Microsoft Forefront Security, un outil anti-spam et anti-malware pour Microsoft Exchange Server.

Les bulletins #3 et #4 corrigent des vulnérabilités locales pour toutes les versions de Windows. Respectivement, une élévation de privilège et une vulnérabilité entraînant une divulgation d’information. Quant au bulletin #5, il résout un déni de service dans Windows 8. En plus de Microsoft, Adobe et Mozilla ont diffusé de nouvelles versions cette semaine.

Adobe a résolu une vulnérabilité Zero-Day dans Adobe Flash avec une mise à jour en mode console (APSB14-04). Cette dernière permet de résoudre une vulnérabilité (CVE-2014-0497) exploitée de manière aveugle. Les versions 12 et 11 de Flash sont touchées à la fois sur Windows et Mac OS X tandis que la version 11 de Flash est affectée sur la plate-forme Linux. Les utilisateurs de Google Chrome et de Microsoft Internet Explorer 10 et 11 ont automatiquement bénéficié de ces mises à jour via leurs navigateurs Web. Quant à ceux qui utilisent d’autres navigateurs tels que Safari sur Mac OS X, Firefox ou des versions antérieures d’IE, ils doivent mettre Flash à jour sur le système d’exploitation lui-même. Adobe remercie Kaspersky d’avoir découvert le problème et publié une analyse technique détaillée sur son blog.

Nous vous invitons à installer cette mise à jour aussi vite que possible. Adobe Flash est massivement installé et utilisé sur la plupart des pages Web pour fournir du contenu actif pour les vidéos et les jeux. Il est difficile de restreindre son utilisation et inutile d’imaginer que les utilisateurs puissent empêcher une attaque intégrée à une page Web bien connue et de confiance.

Mozilla a publié la version 27 de Firefox, un navigateur Web très populaire qui représente environ 23% de parts de marché d’après les statistiques collectées par BrowserCheck, notre outil gratuit de sécurisation des navigateurs Web. Mozilla a corrigé treize vulnérabilités. Cinq d’entre elles étaient considérées comme « critiques », c’est-à-dire qu’un pirate pouvait les utiliser pour prendre le contrôle de la machine ciblée. En règle générale, ce type d’attaque se produit via un site Web contrôlé par le pirate. Le site en question est soit lui-même victime de l’attaquant qui a tendu un piège aux visiteurs lambda du site, soit spécifiquement configuré pour utiliser la technique de l’empoisonnement des moteurs de recherche (SEO) qui attire les internautes sur le site compromis. Le bulletin MFSA2014-08 qui corrige l’une des cinq vulnérabilités dont le statut est critique décrit le modus operandi. Pour exploiter la faille, le pirate doit envoyer des images au navigateur Web avec certaines violations de format pour générer une erreur de traitement et exécuter ainsi le code dans le navigateur. Ce patch a permis de corriger le traitement de l’image au sein de Firefox.

Là encore, si vous utilisez ce navigateur, nous vous recommandons d’installer la toute dernière version de Firefox aussi vite que possible. (Par Qualys)

Discrète décision de justice sur Google France

Voilà une décision judiciaire qui n’aura pas fait grand bruit. Le Conseil d’Etat a imposé à Google la décision de justice lui indiquant l’obligation d’afficher sa condamnation à 150.000 euros d’amende après une délibération de la CNIL. Un affichage qui aura profité d’un discret week-end. Le texte a été installé sous la barre de recherche durant le week-end du 8/9 février.

Pour voir l’information judiciaire, il fallait taper Google.fr dans son navigateur. Un texte qui n’apparaissait plus si vous utilisiez une application pour navigateurs, ou lanciez une recherche sans passer au préalable via la page blanche Google.fr.

Le 7 février, une ordonnance de référé a imposé cet affichage à Google. Par chance pour le géant américain, le communiqué a été diffusé le week-end, sans que personne ne puisse véritablement sans rendre compte : « La formation restreinte de la Commission nationale de l’informatique et des libertés a condamné Google Inc. à 150 000 € pour manquement à la loi « Informatique et libertés »… ». Comme le rappel Legalis, le Conseil d’Etat a estimé que la société américaine n’avait apporté « aucun élément de nature à établir qu’un tel préjudice irréparable pourrait résulter de l’atteinte qui, selon elle, serait portée à sa réputation ».

Le 3 janvier dernier, la Cnil avait condamné Google Inc. à 150 000 € d’amende en reprochant au géant américain  d’avoir fusionné en une seule politique les différentes règles de confidentialité applicables à Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Pendant ce temps, Google fait la chasse aux images que ses robots considèrent comme « pornographiques ».

Plusieurs exemples viennent de nous être rapportés, comme ce blog d’un photographe Lillois dont un champignon avait, aux yeux de Google, une forme un peu trop phallique. Bilan, Google a coupé les annonces publicitaires.

A noter, que le site de la CNIL est tombé en carafe, le temps de cet affichage. Trop de visiteurs ! Un DoS judiciaire légal. Malin ce Google !