Archives de catégorie : Patch

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle, Sauvegarde

Pour une meilleure défense contre les attaques avancées

Kill Chain 3.0 : mettre à jour la Cyber Kill Chain pour une meilleure défense contre les attaques avancées.

Tous les responsables de la sécurité des réseaux ont déjà entendu parler de la Kill chain – une méthode de défense conçue pour combattre efficacement les cyber attaques avancées ou APT. Cette méthode comporte sept étapes pour l’attaquant, et propose un mode spécifique de défense pour chacune d’elles. Les étapes de la kill chain comprennent :

·         Reconnaissance – S’informer sur la cible en utilisant de nombreuses techniques.
·         Armement – Combiner le vecteur d’attaque avec un contenu malicieux.
·         Livraison – Transmettre le contenu malicieux avec un vecteur de communications
·         Exploitation – Profiter d’une faiblesse logicielle ou humaine pour activer le contenu malicieux
·         Installation – Installer durablement le contenu malicieux sur un ordinateur hôte individuel
·         Commande & Contrôle (C2) – Le malware appelle l’attaquant, qui en prend la contrôle
·         Actions prévues – L’attaquant vole ou fait ce qu’il avait prévu de faire.

Les professionnels de la sécurité réseau ont des opinions diverses quant à l’efficacité de la kill chain en tant que méthode de défense. Certains l’adorent, décrivant comment leurs équipes de sécurité l’utilisent, tandis que d’autres indiquent qu’il lui manque certains détails cruciaux, et qu’elle n’est adaptée qu’à certains types d’attaques. Les deux interprétations ont chacun leur part de vérité, mais il existe trois étapes simples pour rendre la kill chain encore plus efficace, appelons la Kill Chain 3.0.

Tout d’abord, il convient de modifier les étapes de la kill chain telle que décrite plus haut. Si l’on utilise la kill chain en tant qu’outil de défense, alors chacune des mailles de la chaîne doit donner lieu à une ou des actions de défense. Par exemple, l’étape Armement de la kill chain n’est pas réellement exploitable par les défenseurs. Dès lors pourquoi faire apparaître une étape qui n’a pas grand-chose à voir avec la défense ? Par ailleurs, comme beaucoup l’ont déjà fait remarquer, la kill chain actuelle se concentre avant tout sur l’intrusion initiale, et pas assez sur la façon dont les auteurs des attaques avancées exploitent leur premier point d’entrée pour se répandre dans l’ensemble du réseau de leur victime. La kill chain doit inclure une étape pour les mouvements latéraux et la modification des droits d’accès en local. De ce fait, la chaîne devrait être modifiée de la façon suivante :

·         Reconnaissance
·         Armement Livraison
·         Exploitation
·         Installation Infection
·         Commande & Contrôle

Ø  Mouvement Latéral & Pivotement

·         Objectifs/Exfiltration

Après cette simple modification, à chaque étape de la kill chain correspondent des moyens de défense adaptés. Par exemple, la détection des ports et des adresses IP et la traduction d’adresses NAT seront efficaces à l’étape Reconnaissance ; le blocage des ports firewall, l’IPS et le contrôle applicatif le seront à l’étape Livraison ; .le Patching et l’IPS le seront à l’étape Exploitation ; La segmentation du réseau le sera à l’étape Mouvement Latéral, et ainsi de suite.

Ensuite, il convient de retenir qu’il est important d’avoir des défenses pour chacune des étapes de la kill chain, et que chacune des étapes à la même importance. Un des concepts à la base de la kill chain est que plus tôt dans le cycle vous prévenez une attaque, meilleur c’est. Bien que cela soit techniquement vrai, ceci explique également pourquoi beaucoup se concentrent sur des mesures de protection lors des premières étapes de la kill chain, et consacrent moins de temps et d’efforts à protéger les étapes suivantes, même si ces défenses ont le pouvoir de contenir ou de limiter significativement les conséquences d’une intrusion réussie. En vérité, les attaques les plus sophistiquées contourneront ou éluderont souvent les défenses mises en place sur les premières étapes. Si l’entreprise ne s’est pas suffisamment concentrée sur les défenses adaptées aux étapes suivantes, telles que la détection des botnets, la prévention des pertes de données et la segmentation du réseau interne, elle n’exploite pas toutes ses chances de prévenir une attaque majeure. En bref, la bataille n’est pas perdue après une infection initiale si l’on a consacré toute son attention aux défenses lors des étapes suivantes de la Kill Chain 3.0.

Enfin, il est nécessaire de disposer d’un outil d’affichage qui permette de visualiser l’ensemble des sept étapes de la kill chain. Celle-ci est parfaite pour mettre en valeur chacune des zones où peut être stoppée une attaque sur le réseau, mais s’il n’est pas possible de contrôler le parcours d’une attaque au travers de chacune des étapes, l’entreprise se prive d’elle-même de données critiques qui pourraient l’aider à se protéger. Les outils d’affichage et d’analytiques doivent être des composants clés de la Kill Chain 3.0. Si l’entreprise ne dispose pas d’un outil de reporting capable de rassembler les logs de tous ses contrôles de sécurité, et de corréler différentes alertes en un seul et même incident, elle a de fortes chances de manquer les signes d’une attaque sophistiquée.

Pour récapituler : modifiez un peu les étapes de la kill chain, accordez la même importance à chacune des étapes – y compris les dernières, et dotez-vous d’un outil de reporting et d’affichage capable de contrôler l’ensemble du processus, et vous obtenez la Kill Chain 3.0, une méthode optimisée pour se protéger au mieux contre les attaques avancées. (Par Pierre Poggi, Country Manager France de WatchGuard)

Adobe, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Propriété Industrielle

Patch Tuesday de mars 2015

Tout comme le mois dernier, davantage de vulnérabilités sont encore traitées par rapport à un mois classique. À moins qu’il ne s’agisse d’un nouveau rythme concernant les correctifs des failles de Microsoft et Adobe, avec un ensemble d’autres failles de sécurité à résoudre.

Les correctifs de Microsoft sont au nombre de 14 pour mars, dont 5 critiques. La priorité absolue est le bulletin MS15-018 consacré à Internet Explorer (IE). Toutes les versions d’IE sont concernées, depuis IE6 (sur Windows Server 2003) jusqu’à IE11. La nouvelle version traite 12 vulnérabilités, dont 10 critiques et exploitables pour exécuter du code sur la machine ciblée. L’une des vulnérabilités a été publiquement révélée, mais elle n’est pas du type Exécution de code à distance, ce qui atténue un peu l’exposition. Scénario typique : un attaquant injecte du code HTML malveillant sur un site Web sous son contrôle puis il incite la machine cible à se rendre sur ce site. Il peut aussi pirater un site sur lequel la cible se rend habituellement et tout simplement attendre que cette dernière se rende sur ledit site. MS15-019 est le bulletin frère de MS15-018 et corrige le composant VBScript pour IE6 et IE7 qui est résolu dans MS15-018 pour les navigateurs plus récents. Commencez par installer ce bulletin.

MS15-022 est le second bulletin le plus important en termes de sévérité. Il corrige cinq vulnérabilités dans Microsoft Office, l’un d’elle étant critique dans l’analyseur RTF. En effet, ce dernier peut être exécuté automatiquement dans la zone d’aperçu lors de la réception d’un courriel si bien que Microsoft classe cette vulnérabilité comme critique. Cependant, comme deux des vulnérabilités restantes permettent à un attaquant d’exécuter du code à distance, nous positionnons ce bulletin en tête du classement d’aujourd’hui.

MS15-021 résout huit vulnérabilités liées aux polices sous Windows. En effet, un attaquant qui incite un utilisateur à visualiser une police altérée peut lancer une exécution de code à distance sur la machine ciblée. Les attaques peuvent être lancées via des pages Web ou des documents, au format PDF ou Office.

Stuxnet
MS15-020 est le dernier bulletin critique de la série pour le mois de mars. Il concerne un attaquant qui peut inciter un utilisateur à parcourir un répertoire d’un site Web ou à ouvrir un fichier. Le système Windows Text Services contient une vulnérabilité qui permet à l’attaquant de lancer une exécution de code à distance sur la machine cible. Ce bulletin comprend aussi un correctif pour CVE-2015-0096, une vulnérabilité associée à la vulnérabilité Stuxnet d’origine CVE-2010-2568. HP ZDI a rapporté cette vulnérabilité à Microsoft et fournit une bonne description technique sur son blog.

Test Fuzzing
Tous les bulletins restants sont moins critiques, c’est-à-dire seulement importants, dans la mesure où les vulnérabilités concernées ne permettent typiquement pas à un attaquant d’exécuter du code à distance. Ces dernières sont plutôt des fuites d’information ou n’autorisent qu’une élévation locale de privilèges. Les bulletins MS15-024 et MS15-029 traitent des bugs découverts via l’outil afl-fuzz de lcamtuf et que ce dernier améliore sans cesse et rend toujours plus intelligent. Jetez un coup d’œil sur son blog pour lire une série de posts sur afl-fuzz.

Serveurs
MS15-026 est un bulletin pour Microsoft Exchange qui résout plusieurs élévations de privilèges et problèmes de fuites d’information. Consultez ce bulletin si vous utilisez Outlook Web Access. FREAK cible aussi les serveurs, même si de manière différente. Côté serveur, si vous désactivez le chiffrement de type Configuration d’exportation, vos utilisateurs ne pourront pas être victimes de la vulnérabilité FREAK, même si leurs clients ne sont pas patchés.

Adobe
Adobe diffuse aussi une mise à jour (APSB15-05) pour Flash que Microsoft intègre à Internet Explorer, qui sera publiée ce jeudi. Explication de Microsoft dans le correctif KB2755801 : « Le 10 mars 2015, Microsoft a publié une mise à jour (3044132) pour Internet Explorer 10 sur Windows 8, Windows Server 2012, Windows RT ainsi que pour Internet Explorer 11 sur Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows Technical Preview et Windows Server Technical Preview. Cette mise à jour concerne les vulnérabilités décrites dans le bulletin de sécurité Adobe APSB15-05 (disponible le 12 mars 2015). Pour plus d’informations sur cette mise à jour, y compris les liens de téléchargement, voir l’article 3044132 dans la base de connaissances Microsoft. »

Appliquez les correctifs aussi vite que possible mais vérifiez aussi votre exposition à Superfish et sachez que certaines applications modifient votre magasin de certificats racine pour espionner vos communications. (Par Wolfgang Kandek, CTO, Qualys Inc.)

Adobe, Apple, Cyber-attaque, Cybersécurité, ios, iOS, Linux, Linux, Logiciels, Microsoft, Mise à jour, OS X, Patch, Piratage, Smartphone

Windows, moins dangereux qu’iOS et OS X d’Apple

Le National Vulnerability Database, qui recense les failles dans les logiciels et autres applications web indique que l’année 2014 aura été l’année des vulnérabilités pour iOS, OS X Apple et Linux. Windows se classe 4ème.

Voilà qui a fait pas mal parler chez les « trolleurs » en tout genre. Mais il faut bien l’admettre, la firme de Redmond a mis les bouchées double pour protéger son OS, Windows. Bilan, la National Vulnerability Database, qui recense les failles (19 par jour en 2014) a classé l’OS de Microsoft plus sécurisé qu’iOS, OS X Apple. Même Linux, classé 3ème, dans ce top 4, devance Microsoft du point de vu des failles découvertes l’année dernière. Les problèmes dans les systèmes d’exploitation (OS) ne représentent que 13% des failles recensées en 2014. 1.705 failles recensées. 182 failles de moins que l’année record, en 2010. Les navigateurs sont toujours montrés du doigt. Internet Explorer, en 2014, a souffert de 242 brèches dangereuses. Chrome (124) et Firefox (117) ont dépassé la centaine de failles. (gfi)

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle

Pourquoi de bonnes résolutions ne suffisent pas à se protéger en 2015 ?

Face aux cyber-menaces, les entreprises doivent s’ouvrir à de nouvelles approches en termes de cyber-sécurité.

Le paysage des cyber-menaces est en évolution permanente. Les attaques ciblées se multiplient tandis que les modes opératoires deviennent de plus en plus complexes et uniques, rendant ces menaces extrêmement difficiles à identifier. Pour ces raisons, la cyber-sécurité est devenue, aujourd’hui, une problématique prioritaire pour la plupart des entreprises.

Dans ce contexte, il existe quelques recommandations qui permettent de limiter les risques de cyber-attaques. Il est par exemple conseillé de vérifier les antécédents des employés, de limiter l’accès des salariés aux données par lesquelles ils sont concernés dans le cadre de leurs fonctions, de s’assurer du cryptage des données confidentielles, etc. Cependant, bien qu’ils méritent d’être pris au sérieux, ces prérequis de base ne sont pas suffisants pour faire face à la réalité des menaces actuelles les plus sophistiquées.

En effet, aujourd’hui, nous ne pouvons plus considérer, uniquement, les menaces externes. Dans un contexte où l’information est de plus en plus difficile à canaliser, notamment à cause de la pluralité des lieux et des supports d’utilisation, la menace interne est plus que jamais présente, et concerne chaque organisation.

D’un point de vue technologique, une société baptisée Darktrace a connu d’importantes mutations au court des dix dernières années. Le modèle traditionnel, que nous pourrions qualifier d’ancestral, consistait à construire un mur autour du réseau de l’entreprise afin de se protéger d’éventuelles menaces provenant de l’extérieur. Cette approche nécessitait une connaissance parfaite de son réseau ainsi que la capacité à délimiter ses frontières. Aussi, elle impliquait une confiance totale en tous les collaborateurs internes à l’entreprise, et une méfiance constante envers les acteurs externes. Cette vision un peu simpliste apparaît clairement obsolète dans la société contemporaine. Ainsi, pour aider les entreprises à anticiper les cyber-attaques, Darktrace a développé une nouvelle approche. Celle-ci prend comme point d’ancrage l’acceptation de la présence de menaces, sur tous les systèmes d’information.

En effet, étant donné que le risque zéro n’existe pas, et que la réalité des entreprises nous démontre, chaque jour, qu’il est de plus en plus difficile de délimiter les frontières du réseau, il n’est pas pertinent de faire la distinction entre l’interne et l’externe. C’est pourquoi, Darktrace a développé une nouvelle approche appelée « Système Immunitaire pour Entreprises ». Basée sur des avancées académiques fondamentales, elle a pour vocation de se prémunir contre les menaces les plus sophistiquées, qu’elles émanent de l’interne ou de l’externe.

La technologie repose sur l’analyse et l’apprentissage automatisé de l’environnement de l’organisation. Concrètement, il s’agit d’observer les comportements de chaque utilisateur, de chaque machine et de la structure dans sa globalité, afin d’identifier un modèle de comportement normal. La connaissance de ce modèle de référence permet, par déduction, d’identifier les activités « anormales », pouvant révéler d’éventuelles menaces.

Cette solution repose, d’une part sur une technologie auto-apprenante et, d’autre part, sur des mathématiques probabilistes bayésiennes développées à l’université de Cambridge. La combinaison de ces intelligences permet une évolution constante du modèle « de référence », en fonction de l’activité de chaque utilisateur, de chaque machine dans le réseau, et des mutations au sein de l’organisation.

Cette vision de l’activité réseau de l’entreprise, en temps réel, ne permet pas d’éliminer les cyber-menaces, elle a pour vocation de les identifier, afin d’être à même de prendre des mesures correctives avant qu’il ne soit trop tard. Le risque zéro n’existe pas, la menace est là, partout au sein de notre réseau, et elle est impossible à éradiquer. La vraie force est la capacité à l’identifier afin d’anticiper d’éventuelles attaques.

Argent, Arnaque, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Leak, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Social engineering

Faille de taille pour Internet Explorer 11

3 commentaires

Une faille vise le navigateur de Microsoft, Internet Explorer 11. Un XSS qui permet d’injecter des cochonneries numériques lors de votre visite d’un site piégé.

Les Cross-sites scripting, le site zataz.com vous en parle malheureusement très souvent. Cette vulnérabilité, baptisée XSS, permet de modifier une page d’un site web lors de la visite de ce dernier via un url particulièrement formulé, d’injecter un code malveillant dans l’ordinateur d’un internaute et de nombreuses autres possibilités aussi malveillantes les unes que les autres.

Aujourd’hui, c’est au tour du navigateur de Microsoft, Internet Explorer 11, de souffrir du problème. Un pirate peut contourner le « same-origin » du navigateur. Bilan, comme l’explique sur SecList l’inventeur de la faille, David Leo, un pirate peut diffuser ce qu’il veut dans le navigateur d’un visiteur ainsi piégé. Une démonstration a été faite dans les pages du journal britannique Daily Mail. Microsoft a confirmé la faille.

Pour « corriger » ce problème, il suffit aux webmasteurs de modifier leurs pages web, et de passer l’en-tête X-Frame-Options avec la valeur ‘deny’ ou ‘same-origin’. Bilan, plus aucune possibilité de CSS. A noter que la firme de Redmond a été alertée en octobre 2014 et n’a toujours pas patché son navigateur.

Adobe, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Patch, Piratage, Propriété Industrielle

Nouvelle vulnérabilité zero-day dans Adobe Flash

Un commentaire

Trend Micro, éditeur de logiciel et solutions de sécurité, a identifié le week-end dernier une nouvelle vulnérabilité 0day affectant Adobe Flash Player, la troisième depuis le début de l’année ! Confirmée par Adobe mais pas encore patchée, cette faille expose plus d’un milliard d’ordinateurs utilisant la dernière version d’Adobe Flash.

Dans un post publié hier sur leur blog, les chercheurs de Trend Micro expliquent que cette vulnérabilité est semblable à celle de la semaine dernière, qui affectait les produits Flash pour Windows. Les attaques sont en effet menées via des publicités en ligne malveillantes, une technique appelée « malvertising ».

L’attaque révélée hier est en cours depuis le 14 janvier et s’est intensifiée à partir du 27 janvier. 3 294 compromissions ont déjà été détectées par les chercheurs sur l’un des sites concernés. Dailymotion.com est l’un des premiers sites où ces attaques ont été détectées.

« Il s’agit de la troisième vulnérabilité découverte depuis le début de l’année dans ce logiciel très répandu chez les particuliers et au sein des entreprises ! Un incident qui rappelle l’importance du Virtual Patching », commente à DataSecurityBreach.fr Loïc Guézo, de chez Trend Micro. « Cette démarche est essentielle pour compenser le temps nécessaire à l’éditeur concerné pour publier son patch correctif. Des délais parfois très longs ! De plus, certains patches sont incorrects, comme c’est arrivé avec Heartbleed, ou n’arrivent tout simplement jamais si les systèmes ne disposent plus de support, comme c’est le cas pour les anciennes versions de Windows. »

Il est recommandé aux entreprises ne disposant pas d’un système de sécurité adéquat de désactiver Adobe Flash Player en attendant qu’un patch de sécurité soit disponible. Data Security Breach en profite pour vous rappeler de vous méfier des fausses mises à jour [lire].

Adobe, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Joomla, Leak, Logiciels, Microsoft, Mise à jour, Oracle, Patch, Piratage, Red Hat, Social engineering, Wordpress

Selon Cisco – 100% des réseaux analysés contiennent des malwares

Le principal enjeu des équipes en charge de la sécurité des systèmes d’information est de faire face à des attaques de plus en plus ciblées et de mieux comprendre la menace pour détecter les signaux faibles sur leurs réseaux. Selon Cisco – 100% des réseaux analysés contiennent des malwares. Vous avez dit inquiétant ?

Le Rapport Annuel sur la Sécurité 2015 de Cisco révèle que 40 % des failles de sécurité en entreprise ne sont pas corrigées. Les résultats du Rapport Cisco soulignent que, malgré une prise de conscience de la menace et un nombre croissant d’attaques ciblées médiatisées, les entreprises n’utilisent pas forcément l’ensemble des outils disponibles, simples à mettre en œuvre, pour contrer les cyberattaques. L’étude Cisco a été menée auprès de 1700 entreprises dans 9 pays.

Le Rapport permet de tirer plusieurs conclusions majeures :
La menace est réelle et permanente : 100 % des réseaux analysés contiennent des malwares. Ces résultats sont identiques au Rapport 2014. En 2014, 1 % des vulnérabilités connues (43 sur 6756) ont été exploitées par les cybercriminels. D’une part, cela signifie que les entreprises doivent prioriser 1 % des vulnérabilités exploitées dans le cadre de leur politique globale de correction. D’autre part, même si les technologies atteignent de hauts niveaux de performance, il est nécessaire de comprendre les menaces pour lutter contre les vulnérabilités. Les kits d’exploits largement utilisés sont rapidement détectés par les solutions de sécurité – ce qui signifie que les cybercriminels préfèrent disposer  du 4ème ou 5ème kit d’exploits le plus utilisé, pour ne pas trop attirer l’attention. Même si les kits d’exploits ont diminué de 88 % entre mai et novembre 2014, ils restent un outil utilisé à un rythme soutenu par les cybercriminels, aux conséquences sérieuses pour les entreprises. Les failles Java sont en baisse de 34 % et les attaques Flash de 3 % alors que les failles Silverlight ont augmenté de 228 % et les failles PDF de 7 %.

Les malwares Flash peuvent désormais interagir avec JavaScript pour cacher des vulnérabilités en partageant un exploit entre deux fichiers distincts : un Flash et un JavaScript. L’activité malveillante est alors plus difficile à détecter et à analyser et prouve la sophistication des attaques et la professionnalisation des hackers.

L’industrie pharmaceutique et la chimie sont les secteurs les plus touchés par la cybercriminalité. Les médias, l’industrie, le transport et la logistique et l’aviation complètent le top 5 des secteurs les plus touchés. L’an dernier, seuls l’industrie pharmaceutique et la chimie et l’aviation figuraient parmi les secteurs les plus concernés par les attaques. Le volume de spam a augmenté de 250 % en 2014. Plus ciblé et plus dangereux, envoyé à plus faible volume à partir d’un grand nombre d’adresses IP pour échapper aux outils de détection, un nouveau type de spam est en train d’émerger (Snowshoe). Les spammeurs adaptent les messages à leur cible (phishing), de façon à contourner les filtres anti-spam pour mieux tromper leurs victimes. Le malvertising (publicités malicieuses) est une nouvelle technique utilisée par les cybercriminels en 2014 qui permet de diffuser des malwares au travers des navigateurs, tout en ne nécessitant pas de moyens importants mais permettant aux cybercriminels de gagner beaucoup d’argent. Adobe et Internet Explorer sont les éditeurs les plus vulnérables avec respectivement 19 % et 31 % des attaques observées.

Grâce à l’évolution des technologies de sécurité, les attaques directes et massives sont de plus en plus difficiles à mettre en œuvre. Les cybercriminels font désormais preuve de plus de créativité pour tromper l’utilisateur afin que celui-ci installe lui-même le logiciel malveillant. Ils profitent également de la faiblesse des entreprises en matière de mise à jour des vulnérabilités connues sur leurs systèmes : Alors que la faille Heartbleed a été découverte il y a plus de 6 mois, et qu’elle a permis de révéler une faille dans OpenSSL, 56 % des versions OpenSSL ont plus de 4 ans et sont toujours vulnérables car elles n’ont pas été mises à jour depuis la sortie du patch. Internet Explorer est le navigateur le moins mis à jour avec seulement 10 % des versions installées mises à jour avec la dernière version connue, la version la plus courante datant de 31 mois par rapport à la version la plus récente. Au contraire, 64 % des versions de Chrome sont à jour.

« La sécurité du système d’information est une affaire d’équipe : elle ne pourra être optimale que si le RSSI et l’équipe informatique, les dirigeants de l’entreprise, les directeurs métier, etc. travaillent ensemble pour mieux comprendre la menace et faire face aux cyberattaques. Les cybercriminels travaillent de mieux en mieux pour dissimuler leurs traces. L’ensemble des parties prenantes doit donc répondre à des questions majeures : est-ce que l’entreprise dispose des outils qui lui permettront non seulement d’identifier les attaques avérées, mais également de déterminer où se situent les vrais vulnérabilités de son informatique ? Comment l’entreprise peut être certaine que ses utilisateurs sont en sécurité, et cela même lorsqu’ils travaillent en dehors du périmètre du réseau de l’entreprise ? » explique à DataSecurityBreach.fr Christophe Jolly, Directeur Sécurité Cisco France. « Face à l’évolution de la menace, les entreprises doivent mettre en œuvre un ensemble de mesures de sécurité pour leur permettre de répondre aux défis liés à la cybercriminalité et au cyberespionnage industriel et pour mieux comprendre la cybersécurité du monde d’aujourd’hui ».

Retrouvez le Rapport Annuel sur la Sécurité 2015 de Cisco en intégralité ici : www.cisco.com/go/asr2015

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch

Protéger son site face aux cyber attaques

Un commentaire

L’actualité récente a suscité une recrudescence des tentatives de piratage des sites internet. L’hébergeur Oceanet Technology vient de communiquer auprès de ses clients afin de sensibiliser ces derniers aux bonnes pratiques du web.

« Lorsque nous assurons l’administration système de votre serveur, nous mettons en œuvre les bonnes pratiques d’hébergement permettant de limiter les risques d’intrusion au niveau du système d’exploitation, explique l’entreprise Nantais. Toutefois, ces mesures ne sont pas suffisantes pour protéger l’application ou le site web hébergé.« 

Beaucoup de webmasters pensent que l’hébergeur est le rempart, la protection. C’est oublié les outils installés par les administrateurs des sites. Sont particulièrement visés les sites internet qui s’appuient sur des gestionnaires de contenu (CMS) tels que Joomla, WordPress, Drupal ou l’un des nombreux autres outils de ce type. En effet, lorsque ces outils ne sont pas maintenus à jour, les pirates peuvent profiter de failles connues pour déposer un contenu indésirable sur le site.

Comment le protéger

– En appliquant l’ensemble des mises à jour disponibles pour votre CMS
Cette opération est la plus simple et la plus pérenne. Elle vous immunise contre les failles connues et corrigées et vous permet de continuer à utiliser votre site dans les meilleures conditions. Si vous ne maîtrisez pas ces questions, n’hésitez pas à vous rapprocher du prestataire qui a réalisé votre site et pourra réaliser pour vous cette vérification.

– Par placement en lecture seule
Cette opération interdira toute modification du contenu de votre site, que ce soit par vous ou par un pirate éventuel. Naturellement, cette solution est peu souhaitable puisque vous ne pourrez plus modifier le contenu de votre site. Toutefois, s’il s’agit d’un site ancien dont le contenu n’évolue plus, cette solution vous permet de garantir que votre site demeurera en l’état. Si Oceanet Technology administre votre système, nous pouvons réaliser cette opération sur simple demande au support.

Lorsqu’un site est piraté, il arrive que celui-ci serve de pont pour porter atteinte à d’autres utilisateurs que ce soit au travers de campagnes de mails indésirables ou d’opérations de dénis de service. « Dans de telles circonstances, indique Oceanet Technology, nous n’avons d’autre choix que de suspendre l’activité du site compromis. » Bref, les mesures de prévention proposées ci-dessus sont donc importantes pour garantir la disponibilité de votre site.

Apple, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, OS X, Patch

Utilisateur de Firefox et Thunderbird, un keylogger activé dans le nouvel OS d’Apple, Yosemite

Voilà qui n’est pas amusant, mais alors pas du tout. Le chercheur en sécurité Kent Howard a rapporté à Apple un problème présent dans OS X 10,10 (Yosemite). Une fonctionne sauvegarde les informations tapées dans les produits Mozilla !

Des fichiers journaux sont créés par le CoreGraphics d’OS X dans le répertoire local /tmp. Ces fichiers journaux contiennent un enregistrement de toutes les entrées dans les programmes Mozilla (Firefox, Thunderbird) pendant leur fonctionnement. Dans les versions de Mac OS X (à partir des versions 10.6, 10,9, ndlr datasecuritybreach.fr) les CoreGraphics avaient cette capacité d’enregistrement mais le « keylogger » avait été désactivé par défaut. Dans OS X 10,10, cette journalisation a été activée de nouveau, par défaut, pour certaines applications qui utilisent une mémoire personnalisée, comme jemalloc.

Sur les systèmes vulnérables, la faille peut entraîner l’interception des données privées telles que noms d’utilisateur, mots de passe et autres données sauvegardées par ce fichier journal mal venu. Ce problème n’affecte pas les utilisateurs d’OS X avant la version 10.10. Les utilisateurs de l’OS X 10.10 doivent aller dans le dossier /tmp, supprimer les fichiers avec des noms commençant par « CGLog_ » suivie du nom d’un produit Mozilla, tels que « CGLog_firefox ». (Alerte Mozilla/Metabaron)

 

Android, backdoor, Cybersécurité, Espionnae, Fuite de données, Mise à jour, Particuliers, Patch, Sécurité, Smartphone, Vie privée

Logiciels espions dans la derniere mise à jour Galaxy Note de Samsung

Un commentaire

Mais que viennent donc faire là Cookie Jam, Drippler et RetailMeNot dans la nouvelle mise à jour de T-Mobile concernant les Galaxy Note 4 de chez Samsung. Les applications sont avides d’informations… sans que les propriétaires des smartphones soient alertés.

Voilà qui commence à faire beaucoup. Après la disparation de musique non acquise sur iTunes dans des iPod, Apple ayant décidé de faire le ménage sans que les utilisateurs ne puissent rien dire, voici le débarquement de logiciels « sniffeurs » d’informations dans les Galaxy Note 4 Samsung commercialisés par T-Mobile.

Une mise à jour, imposée par l’opérateur, en a profité pour installer sans que personne ne puisse dire « non », trois applications avec des autorisations incroyables… sans que le propriétaire du téléphone ne le sache. Cookie Jam, Drippler et RetailMeNot se sont retrouvés dans les smartphones. Les utilisateurs peuvent pas les effacer, ils se réinstallent dans la foulée.

Les logiciels malveillants ont été installés automatiquement après la mise à jour de T-Mobile. Parmi les autorisations autorisées, mais non validées par les clients : lire l’état du téléphone, l’identité, modifier, lire et supprimer le contenu de votre périphérique de stockage USB, modifier les paramètres de sécurité du système, télécharger des fichiers sans notification, voir toutes sortes de connexions et avoir accès complet au réseau… (Rick Farrow)