Archives de catégorie : Patch

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Logiciels, Microsoft, Mise à jour, Patch, Piratage, Propriété Industrielle, Sauvegarde

Microsoft ne veut pas corriger une faille

Un commentaire

Le géant de l’informatique, Microsoft, ne corrigera pas une faille visant Internte Explorer. Les chercheurs, derrière la découverte de la vulnérabilité, annonce diffuser le problème pour s’en protéger, seul.

En Février 2015, l’équipe de sécurité informatique de HP mettait à jour un 0day, une faille non publique, visant Internet Explorer. Présenté à Microsoft lors du Zero Day Initiative, l’équipe HP avait gagné 125.000 dollars de la Microsoft Mitigation Bypass Bounty.

Lors de la conférence RECon de Montréal, l’équipe a divulgué les détails de leur recherche. Ils ont expliqué cette divulgation par le fait que Microsoft a annoncé ne pas avoir l’intention de corriger la faille et de laisser Internet Explorer en danger face à l’utilisation de la vulnérabilité par des pirates. DataSecurityBreach.fr pense tout simplement que Microsoft faisant disparaitre son navigateur dans la prochaine monture de Windows, cette non correction peut inciter « consommateurs » à migrer vers Microsoft Edge.

Bilan, le problème découvert dans l’Address Space Layout Randomization (ASLR) restera problème. « Libérer des informations sur une faille non corrigée est une première pour nous, confirme l’équipe HP, nous ne faisons pas cela par dépit ou par malveillance. Nous préférerions expliquer le problème une fois corrigé. Cependant, depuis que Microsoft a confirmé nos contacts, ils ont indiqué ne pas prévoir de mesures à partir de nos recherches ». A noter que cela ne doit pas être si compliqué à protéger, HP en profite pour annoncer que ses outils de sécurité bloquent l’attaque !

Les informations techniques se trouvent sur GitHub. Une non correction, qui ressemble bizarrement aux inquiétudes autours du non « patchage », par certains opérateurs, des smartphones Samsung s4, s5, s6 en danger face à un piratage possible de masse.

backdoor, BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle, Sauvegarde

Une nouvelle menace nommée Equation Group

En février dernier, la sphère de la cyber-sécurité a pris conscience des efforts déployés par Equation Group, organisation de cyber-espionnage de haut niveau qui exploite les firmwares HDD et SSD.

McAfee Labs a évalué les modules de reprogrammation exposés et a observé qu’ils pouvaient reprogrammés les firmwares des HDD et des SSD. Ainsi, les logiciels malveillants peuvent être rechargés et infecter l’ordinateur à chaque redémarrage du système : ils ne disparaissent pas, même en cas de reformatage du disque ou de réinstallation du système d’exploitation. Une fois infecté, le logiciel de sécurité ne peut plus détecter le malware qui est caché au sein du système. « Chez Intel Security, explique David Grout, nous avons suivi de près ces types de menaces hybrides software/hardware. En effet, bien que ces logiciels malveillants aient historiquement été déployés pour des attaques ciblées, les entreprises doivent se préparer à l’inévitable volet commercial que pourraient représenter de telles menaces à l’avenir ».

Il est nécessaire pour une entreprise de prendre des mesures pour renforcer la détection des menaces existantes telles que l’hameçonnage intégrant des liens frauduleux et les malwares infestant les périphériques USB, et d’envisager des solutions qui pourraient prévaloir l’exfiltration des données.

Android, backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Particuliers, Patch, Sécurité, Smartphone, Téléphonie, Vie privée, VPN

600 millions d’utilisateurs d’un téléphone Samsung en danger ?

Un commentaire

Plus de 600 millions d’utilisateurs de téléphones portables Samsung ont été touchés par un risque de sécurité important. Samsung S3, S4, S5 et S6 touchés par une vulnérabilité dans un clavier pré-installé qui permet à un pirate d’exécuter du code à distance.

Intéressant ! Après la diffusion de faille et bug visant le téléphone portable d’Apple, l’iPhone, voici venir la faille pour le concurrent direct de la grosse pomme, la famille des Samsung S. Cette faille a été découverte par le chercheur Ryan Welton de la société américaine de NowSecure. Samsung a été alerté en décembre 2014.

Compte tenu de l’ampleur du problème, NowSecure a aussi notifié le CERT américain afin de faire corriger le problème rapidement (CVE-2015-2865). L’équipe de sécurité de Google Android a elle aussi été mise dans la boucle. L’attaque permet de récupérer la connexion GPS, brancher caméra et micro, installer en cachette des applications malveillantes, lire les messages (SMS, MMS, Mails, …). Bref, une petite cochonnerie.

Samsung n’a rien dit, mais propose depuis début de 2015 un correctif. Impossible de savoir si les opérateurs ont suivi la même mouvance sécuritaire… mais particulièrement pratique pour espionner une cible précise. A la lecture de la liste ci-dessous, qui ne concerne que des opérateurs américains, il y a de forte chance que votre téléphone soit toujours un espion en puissance dans votre poche.

Malheureusement, l’application du clavier défectueux ne peut pas être désinstallé. Côté solution : ne pas utiliser de wifi non sécurisé (utilisez un VPN, INDISPENSABLE NDLR)… ou changez de téléphone.

Galaxy S6      Verizon  Non corrigée
Galaxy S6       AT & T   Inconnu
Galaxy S6       Sprint   Non corrigée
Galaxy S6       T Mobile Inconnu
Galaxy S5       Verizon  Inc9nnu
Galaxy S5       AT & T   Inconnu
Galaxy S5       Sprint   Inconnu
Galaxy S5       T Mobile N8n c2rrigée
Galaxie S4       Verizon  Inconnu
Galaxie S4       AT & T   Inconnu
Galaxie S4       Sprint   Inconnu
Galaxie S4       T Mobile Inc8nnu
Galaxy S4 Mini  Verizon  Inconnu
Galaxy S4 Mini  AT & T   Non corrigée
Galaxy S4 Mini  Sprint   Inconnu
Galaxy S4 Mini  T Mobile Inc9nnu

Merci à @dodutils pour l’alerte.

Cybersécurité, Entreprise, Logiciels, Microsoft, Mise à jour, Patch, Propriété Industrielle, Sauvegarde

Windows Server 2003 : la fin des mises à jour le 14 juillet

Microsoft Windows Server 2003 ne sera plus mis à jour à partir du 14 juillet 2015. Changer ou subir de potentielles futures failles ? Faîtes vos jeux !

Les utilisateurs de Windows Server 2003 sont encore très nombreux. Microsoft parle même de 23,8 millions de WS 2003 en fonction dans le monde. Le cabinet  Enterprise Strategy Group a révélé dernièrement que 25% des sociétés interrogées déclaraient vouloir continuer à utiliser WS 2003 après le 14 juillet.  Difficile de passer à autre chose. Le coût, premier frein.

Sans service de support, ni de maintenance

Utiliser Windows Server 2003 peut être perçu comme une vulnérabilité d’exploitation dès la mis juillet. Un danger potentiel, comme les utilisateurs, et ils sont encore nombreux, de Windows XP.  Pour une question de budget, de temps ou tout simplement par manque d’information, vous ne changerez pas avant le 15 juillet. Ou parce que certaines de vos applications critiques exigent cet OS. Selon Distributique l’opération couterait 60 000 dollars par migration. Si vous êtes dans une situation qui vous oblige à garder Windows Server 2003 au-delà du 15 juillet, vous devriez vous pencher sur la gestion des vulnérabilités sans patch, grâce aux fonctionnalités de Deep Security comme le préconise Trend Micro.

Attention, l’outil ne va pas combattre une éventuelle vulnérabilité qui affecte le système, mais elle fournira une protection contre les attaques susceptibles d’utiliser cette vulnérabilité indique Sophie Saulet sur le blog de l’éditeur japonais. Trend Micro a diffusé un livre blanc sur le sujet. A consulter pour ce faire une idée. La meilleure des options est de mettre au rebut Windows Server 2003 avant la date butoir.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, VPN

Attaque LogJam : les clés Diffie-Hellman visées

Des milliers de messagerie, Web, SSH, et les serveurs VPN sont vulnérables à une nouvelle attaque. Appelée Logjam, elle affecte l’échange de clés Diffie-Hellman. Le protocole d’échange de clé Internet (IKE) qui utilise l’algorithme de Diffie-Hellman est largement mis en œuvre dans le cryptage des données (par exemple, par SSL / TLS).

Le 20 mai 2015, une équipe de plusieurs chercheurs en sécurité de US a annoncé une faiblesse dans l’échange de clés Diffie-Hellman exploitée par l’«attaque Logjam » (Logjam attack). La faiblesse est causée par un défaut dans le protocole TLS qui est utilisé pour HTTP, SSH, et le cryptage de la connexion VPN. Elle peut être exploitée par la technique de l’homme du milieu (Man-in-the-Middle – MITM). Les cybercriminels peuvent surveiller ou même manipuler le trafic de données entre deux ou plusieurs parties de communication. La faiblesse est en fait dans la procédure de prise de contact TLS, au cours de laquelle l’attaquant fragilise l’exportation et l’échange de clés au lieu de l’échange de clés Diffie-Hellman normale. En réponse, le serveur continue échanger la clé de 512 bits, mais sans résultat.

Généralement, l’attaque de Logjam met en péril toutes les méthodes de chiffrement qui utilisent l’algorithme de Diffie-Hellman et l’échange de clés sur Internet (IKE). Comme déjà mentionné, ils comprennent le protocole TLS et SSL son prédécesseur qui sont largement utilisés pour SSH, courrier, web, et le cryptage de la connexion VPN.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Piratage, Propriété Industrielle

Sésame ouvre-toi : un jouet Mattel ouvre les portes des garages

Le jouet Mattel IM-ME permet, avec une petite modification, d’ouvrir les portes des garages. Vive le sans-fil !

Les garages des Américains, nouvel espace de jeu pour les pirates ? Samy Kamkar, un informaticien curieux, a découvert qu’avec le jouet IM-ME de Mattel, et un code de son invention, il devenait possible d’ouvrir les portes des garages. Un outil qui ne coûte que quelques dollars.

Le problème est que certains garages ne sont protégés que par un code dont la sécurité est équivalente à un mot de passe à deux caractères. Samy Kamkar a réussi à cracker (pirater) la chose, avec son tool OpenSesame, en quelques secondes. « Une sécurité qui est une vaste blague, dit Kamkar. Un pirate peut entrer dans votre garage, en utilisant un appareil que vous ne remarquerez même pas dans sa poche, et en quelques secondes, votre porte de garage est ouverte.« 

OpenSesame ne fonctionne qu’avec les portes de garage dont l’ouverture se fait par un code unique, transmis en sans-fil via une télécommande. Bref, les portes ne tiennent pas longtemps, en ce moment, face aux pirates. Comme le cas du piratage des portières de voitures que ZATAZ vous révélait dernièrement. (Wired)

Android, Apple, Cybersécurité, Entreprise, ios, Logiciels, Microsoft, Mise à jour, Patch, Sécurité, Smartphone, Téléphonie, Windows phone

Planter Skype à coup de http://:

Planter le Skype d’un correspondant et l’empêcher de redémarrer la machine, simple comme un message de 8 signes.

Nous avions vu, la semaine dernière, comment une commande mal interprétée dans certains iPhone, utilisant une version iMessage boguée (L’ensemble des iPhone n’était pas sensible à ce bug comme on a pu le lire un peu partout, NDLR).

Cette fois, prenons Skype avec une vulnérabilité bien plus gênante. Que vous soyez sous iOS, Android, Windows (sauf Windows 8.1) ou Mac, le fait d’envoyer le message  » http://:  » à un correspondant fait planter son outil de communication en ligne. Plus gênant encore, le chercheur russe qui est tombé sur ce bug, s’est rendu compte que le « code » continué le blocage de Skype si le message n’était pas effacé par l’émetteur. La solution, réinstaller l’outil de Microsoft dans sa nouvelle version. La rédaction s’est amusée à bloquer ses propres Skype sous MAC (OS X 10.10.3) ou Windows (Skype 7.3.0.101). Ca fonctionne malheureusement que trop bien. Imaginez les entreprises, utilisatrices de ce moyen de conversation. Lors d’un rendez-vous important, plus possible de communiquer. Bref, mise à jour obligatoire !

Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Mise à jour, Particuliers, Patch, Piratage, Vie privée

Les Risques Cachés de l’Explosion du Trafic HTTPS

Si vous n’êtes pas préparé à une forte augmentation du trafic HTTPS, votre réseau est menacé !

Paradoxal, non ? HTTPS, après tout, est une bonne chose. Comme tout le monde le sait, HTTPS est la version sécurisée du Hypertext Transfer Protocol (HTTP), qui utilise le protocole SSL/TLS pour crypter et protéger le trafic web. Si vous souhaitez privatiser n’importe quelle action en ligne — qu’il s’agisse de l’achat de nouvelles chaussures ou du paiement d’une facture— HTTPS est ce qui protège vos communications des regards mal intentionnés.

Les professionnels de la sécurité ont toujours encouragé l’utilisation d’HTTPS par les applications web. Il semble que leurs vœux aient été exhaussés. Comme le confirme l’ouvrage The Cost of “S” in HTTPS, 50% des flux sur le web sont aujourd’hui sécurisés. En fait, beaucoup des plus grands sites web ont adopté HTTPS comme leur protocole par défaut, dont Google, Facebook et YouTube. Mieux encore, les fournisseurs de navigateurs tels que Google ont même commencé à considérer toutes les pages non HTTPS comme non sécurisées, un nouveau pas vers la standardisation par défaut d’HTTPS.

De nombreux facteurs contribuent à cette ruée vers HTTPS, dont le principal est probablement « l’effet Snowden. » Certes, les spécialistes ont toujours compris la facilité avec laquelle nos conversations sur Internet peuvent être interceptées, mais les documents secrets dévoilés par Edward Snowden n’ont pas seulement permis au grand public d’identifier le risque du ‘man-in-the-middle’ (MitM), mais ont prouvé que les gouvernements y ont participé activement depuis des années. Maintenant que nous savons que quelqu’un nous regarde, nous prenons la protection de nos conversations beaucoup plus sérieusement.

Au sens large, cet accroissement du trafic HTTPS est une bonne chose. Toutefois, sous la surface il dissimule deux écueils qui peuvent sérieusement affecter votre sécurité, si vous n’y êtes pas préparé. Spécifiquement,

1.      Les méchants utilisent aussi HTTPS,
2.      La sécurisation de ce trafic entraîne de nouvelles contraintes en matière de performances.

Les avantages que vous retirez d’HTTPS profitent également aux hackers. Les pirates veulent dissimuler leurs communications, qu’il s’agisse de leurs téléchargements de malware ou des canaux de commande et de contrôle (C&C) que leur malware utilise pour communiquer avec eux. HTTPS fournit un mécanisme très efficace pour faire précisément cela. Les méchants ont compris que HTTPS est typiquement un « trou noir » pour vos outils de sécurité réseau, et ont donc commencé à l’utiliser pour leurs activités malveillantes, afin de les masquer.

C’est la raison pour laquelle il est plus important que jamais de commencer à sécuriser HTTPS. Vous avez besoin de solutions de sécurité capables de “voir” à l’intérieur des communications HTTPS, et d’y appliquer les scans traditionnels de sécurité (IPS, antivirus, etc.).

Heureusement, il existe une solution à ce problème. De nombreuses solutions de sécurité réseau actuelles, telles que de nouvelles versions de boîtiers UTM, des firewalls de nouvelle génération (NGFW), et d’autres proxies de sécurité, disposent de passerelles sur la couche applicative ou de capacités d’inspection DPI pour HTTPS. En gros, ils effectuent une attaque MitM « amicale » sur HTTPS afin de le décrypter de façon temporaire et de mettre en œuvre les scans de sécurité. Le boîtier ré encrypte ensuite le trafic pour le délivrer au réseau. Ces outils nécessitent que vos clients acceptent un certificat numérique, afin de maintenir la confidentialité de la connexion HTTPS. En bref, ils vous permettent de potentiellement détecter des activités malicieuses dans un trafic normalement indéchiffrable, sans remettre en cause la vie privée de vos utilisateurs.

Toutefois, sécuriser le trafic HTTPS met en lumière et exacerbe le second problème – les contraintes d’HTTPS en matière de performances. En termes simples, encrypter quelque chose consomme des ressources de traitement et accroît le volume du trafic. Si vous désirez savoir dans quelle proportion, il vous suffit de consulter l’ouvrage que j’ai cité précédemment. En gros, les conséquences ne sont pas négligeables, mais nous disposons généralement des ressources processeur et réseau pour les gérer… Ceci, avant d’y ajouter les solutions de sécurité dont j’ai parlé plus haut.

Comme je l’ai mentionné précédemment, des solutions de sécurité peuvent maintenant décrypter le trafic HTTPS. Toutefois, ce décryptage double le temps de traitement d’HTTPS, le boîtier de sécurité devant décrypter puis ré encrypter avant de délivrer le trafic. De plus, dans l’environnement actuel riche de menaces, vous souhaiterez que plusieurs couches de sécurité (par exemple IPS, antivirus, détection C&C) contrôlent votre trafic HTTPS. Si vous avez mis en place un contrôle de sécurité séparé pour chaque couche, chacune d’entre elles nécessite un traitement, ce qui ralentit singulièrement le trafic. Si 50% du trafic Internet est en protocole HTTPS, cela représente un vrai goulet d’étranglement.

La solution ? Utiliser des contrôles de sécurité tout en un conçus pour traiter la charge HTTPS. Un des avantages des nouveaux boîtiers UTM et des firewalls de nouvelle génération est que leurs couches de sécurité sont toutes appliquées en un seul point. Ceci veut dire qu’ils n’ont à décrypter HTTPS qu’une seule fois. Cependant, si votre sécurité dépend à ce point d’un seul boîtier, mieux vaut être sûr qu’il sera capable de supporter la charge. Beaucoup de boîtiers UTM ou Next Generation Firewalls mettent en avant leurs performances firewall, qui ne tiennent pas compte des autres contrôles de sécurité et de l’inspection des paquets HTTPS. Il est donc très important d’examiner la performance du boîtier lorsque tous les contrôles de sécurité sont activés, et spécialement l’inspection des paquets HTTPS. Ce n’est qu’une fois cette vérification faite que vous saurez si votre boîtier sera capable ou non de traiter, et de sécuriser, l’explosion des flux HTTPS.

Pour résumer, l’usage accru du protocole HTTPS est une très bonne chose pour la sécurité du web. Toutefois, vous devez vous assurer que vos solutions de sécurité en place sont capables réellement d’identifier les menaces à l’intérieur d’HTTPS, et qu’elles peuvent supporter l’accroissement de la charge HTTPS induit par l’effet Snowden. (Par Pierre Poggy, Country Manager Watchguard France / TechDirt)

backdoor, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Piratage, Social engineering, Virus

Stegosploit : l’outil qui cache un code malveillant dans une image

Lors de la conférence Hack In The Box d’Amsterdam, un chercheur en sécurité informatique présente Stegosploit, un outil qui permet de cacher un code malveillant dans une image.

Imaginez, vous êtes en train de surfer quand soudain votre machine devient folle ! Un code malveillant vient d’être installé alors que vous avez un antivirus et vos logiciels à jour. Une image, affichait par un site que vous veniez de visiter vient de lancer l’attaque. De la science-fiction ? Pas avec les preuves de Saumil Shah, un chercheur en sécurité informatique.

L’ingénieur a expliqué lors de la conférence (HiP) Hack In The Box que des pirates étaient très certainement en train d’exploiter sa découverte. L’idée, cacher un code malveillant dans une image en utilisant la stéganographie (cacher une information dans un autre document, NDR). Des recherches de Shah est sorti Stegosploit, un logiciel qui code en Javascript un logiciel malveillant dans les pixels d’une image au format JPEG ou PNG.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, pourriel, Social engineering

Signatures numériques

Peut-on se passer de l’e-mail dans le cadre de ses activités professionnelles ? Pratique et instantanée, la communication par e-mail s’est imposée au quotidien dans l’entreprise. Certaines études évaluent à plus de 100 milliards le nombre d’e-mails professionnels qui sont échangés chaque jour.

Malgré ses nombreux atouts, l’e-mail présente également certains risques. Des récits de fuites de données sensibles font régulièrement la une des médias. Un des derniers incidents en date : la récente divulgation des numéros de passeport de 31 leaders mondiaux. En cause ? La fonctionnalité de saisie automatique à partir du carnet d’adresses d’Outlook. Cette fonctionnalité – aussi pratique soit-elle – ne fait qu’accentuer le risque de diffuser, par erreur, des données confidentielles.

Malgré l’augmentation du nombre d’erreurs d’aiguillage d’e-mails et l’évolution du contexte législatif – comme en atteste la récente loi australienne sur l’obligation de conserver des métadonnées et d’autres textes réglementant la transmission de données confidentielles (HIPAA, FIPPA et PCI) –, on peut s’étonner que les entreprises ne soient pas plus nombreuses à choisir de sécuriser le contenu de leurs e-mails.

L’e-mail est sans doute un peu trop pratique à en juger par la facilité avec laquelle des informations sensibles peuvent être envoyées, au risque de tomber dans les mauvaises mains.

Quelques chiffres
53 % des employés ont déjà reçu des données sensibles d’entreprise non cryptées par e-mail ou en pièces jointes. (2)
21 % des employés déclarent envoyer des données sensibles sans les chiffrer2. Les coûts liés à la perte de données s’envolent, sans parler des conséquences sur la réputation des entreprises et des éventuelles répercussions sur le plan juridique en cas de violation de la réglementation sur la  transmission et le stockage de données confidentielles (notamment dans le cadre des lois HIPAA et FIPPA, et du standard PCI).
22 % des entreprises sont concernées chaque année par la perte de données via e-mail. (3)
3,5 millions de dollars : coût moyen d’une violation de données pour une entreprise. (4)

La solution ?
Il existe heureusement des solutions de sécurité des emails qui mettent les utilisateurs et leur entreprise à l’abri de ces menaces. La signature numérique et le chiffrement des courriels garantissent la confidentialité d’un message et évitent que des données sensibles ne tombent dans de mauvaises mains. Le destinataire a également l’assurance de l’identité réelle de l’expéditeur de l’e-mail et que le contenu du message n’a pas été modifié après son envoi.

Le chiffrement d’un e-mail revient à sceller son message puis à le déposer dans un dossier verrouillé dont seul le destinataire prévu possède la clé. Il est alors impossible pour une personne interceptant le message, pendant son transit ou à son emplacement de stockage sur le serveur, d’en voir le contenu. Sur le plan de la sécurité, le chiffrement des e-mails présente les avantages suivants :

Confidentialité : le processus de chiffrement requiert des informations de la part du destinataire prévu, qui est le seul à pouvoir consulter le contenu déchiffré.
Intégrité du message : une partie du processus de déchiffrement consiste à vérifier que le contenu du message d’origine chiffré correspond au nouvel mail déchiffré. Le moindre changement apporté au message d’origine ferait échouer le processus de déchiffrement.

Avant de choisir une solution, il est important d’avoir en tête plusieurs choses. L’utilisateur est le mieux placé, car il connaît son entreprise mieux que personne. Phishing, perte de données… quels sont ses principaux sujets de préoccupation ? Quelle est l’infrastructure de messagerie en place dans l’entreprise ? Quel est le cadre réglementaire ? Les réponses propres à chaque entreprise orienteront les choix vers la solution la plus appropriée.

Sources :
1 Email Statistics Report 2013-2017, The Radicati Group, Inc.
2 SilverSky Email Security Habits Survey Report, SilverSky, 2013
3 Best Practices in Email, Web, and Social Media Security, Osterman Research, Inc., January 2014
4 Global Cost of Data Breach St’sudy, Ponemon Institute