Archives de catégorie : Microsoft

Faille de taille pour Internet Explorer 11

Une faille vise le navigateur de Microsoft, Internet Explorer 11. Un XSS qui permet d’injecter des cochonneries numériques lors de votre visite d’un site piégé.

Les Cross-sites scripting, le site zataz.com vous en parle malheureusement très souvent. Cette vulnérabilité, baptisée XSS, permet de modifier une page d’un site web lors de la visite de ce dernier via un url particulièrement formulé, d’injecter un code malveillant dans l’ordinateur d’un internaute et de nombreuses autres possibilités aussi malveillantes les unes que les autres.

Aujourd’hui, c’est au tour du navigateur de Microsoft, Internet Explorer 11, de souffrir du problème. Un pirate peut contourner le « same-origin » du navigateur. Bilan, comme l’explique sur SecList l’inventeur de la faille, David Leo, un pirate peut diffuser ce qu’il veut dans le navigateur d’un visiteur ainsi piégé. Une démonstration a été faite dans les pages du journal britannique Daily Mail. Microsoft a confirmé la faille.

Pour « corriger » ce problème, il suffit aux webmasteurs de modifier leurs pages web, et de passer l’en-tête X-Frame-Options avec la valeur ‘deny’ ou ‘same-origin’. Bilan, plus aucune possibilité de CSS. A noter que la firme de Redmond a été alertée en octobre 2014 et n’a toujours pas patché son navigateur.

Selon Cisco – 100% des réseaux analysés contiennent des malwares

Le principal enjeu des équipes en charge de la sécurité des systèmes d’information est de faire face à des attaques de plus en plus ciblées et de mieux comprendre la menace pour détecter les signaux faibles sur leurs réseaux. Selon Cisco – 100% des réseaux analysés contiennent des malwares. Vous avez dit inquiétant ?

Le Rapport Annuel sur la Sécurité 2015 de Cisco révèle que 40 % des failles de sécurité en entreprise ne sont pas corrigées. Les résultats du Rapport Cisco soulignent que, malgré une prise de conscience de la menace et un nombre croissant d’attaques ciblées médiatisées, les entreprises n’utilisent pas forcément l’ensemble des outils disponibles, simples à mettre en œuvre, pour contrer les cyberattaques. L’étude Cisco a été menée auprès de 1700 entreprises dans 9 pays.

Le Rapport permet de tirer plusieurs conclusions majeures :
La menace est réelle et permanente : 100 % des réseaux analysés contiennent des malwares. Ces résultats sont identiques au Rapport 2014. En 2014, 1 % des vulnérabilités connues (43 sur 6756) ont été exploitées par les cybercriminels. D’une part, cela signifie que les entreprises doivent prioriser 1 % des vulnérabilités exploitées dans le cadre de leur politique globale de correction. D’autre part, même si les technologies atteignent de hauts niveaux de performance, il est nécessaire de comprendre les menaces pour lutter contre les vulnérabilités. Les kits d’exploits largement utilisés sont rapidement détectés par les solutions de sécurité – ce qui signifie que les cybercriminels préfèrent disposer  du 4ème ou 5ème kit d’exploits le plus utilisé, pour ne pas trop attirer l’attention. Même si les kits d’exploits ont diminué de 88 % entre mai et novembre 2014, ils restent un outil utilisé à un rythme soutenu par les cybercriminels, aux conséquences sérieuses pour les entreprises. Les failles Java sont en baisse de 34 % et les attaques Flash de 3 % alors que les failles Silverlight ont augmenté de 228 % et les failles PDF de 7 %.

Les malwares Flash peuvent désormais interagir avec JavaScript pour cacher des vulnérabilités en partageant un exploit entre deux fichiers distincts : un Flash et un JavaScript. L’activité malveillante est alors plus difficile à détecter et à analyser et prouve la sophistication des attaques et la professionnalisation des hackers.

L’industrie pharmaceutique et la chimie sont les secteurs les plus touchés par la cybercriminalité. Les médias, l’industrie, le transport et la logistique et l’aviation complètent le top 5 des secteurs les plus touchés. L’an dernier, seuls l’industrie pharmaceutique et la chimie et l’aviation figuraient parmi les secteurs les plus concernés par les attaques. Le volume de spam a augmenté de 250 % en 2014. Plus ciblé et plus dangereux, envoyé à plus faible volume à partir d’un grand nombre d’adresses IP pour échapper aux outils de détection, un nouveau type de spam est en train d’émerger (Snowshoe). Les spammeurs adaptent les messages à leur cible (phishing), de façon à contourner les filtres anti-spam pour mieux tromper leurs victimes. Le malvertising (publicités malicieuses) est une nouvelle technique utilisée par les cybercriminels en 2014 qui permet de diffuser des malwares au travers des navigateurs, tout en ne nécessitant pas de moyens importants mais permettant aux cybercriminels de gagner beaucoup d’argent. Adobe et Internet Explorer sont les éditeurs les plus vulnérables avec respectivement 19 % et 31 % des attaques observées.

Grâce à l’évolution des technologies de sécurité, les attaques directes et massives sont de plus en plus difficiles à mettre en œuvre. Les cybercriminels font désormais preuve de plus de créativité pour tromper l’utilisateur afin que celui-ci installe lui-même le logiciel malveillant. Ils profitent également de la faiblesse des entreprises en matière de mise à jour des vulnérabilités connues sur leurs systèmes : Alors que la faille Heartbleed a été découverte il y a plus de 6 mois, et qu’elle a permis de révéler une faille dans OpenSSL, 56 % des versions OpenSSL ont plus de 4 ans et sont toujours vulnérables car elles n’ont pas été mises à jour depuis la sortie du patch. Internet Explorer est le navigateur le moins mis à jour avec seulement 10 % des versions installées mises à jour avec la dernière version connue, la version la plus courante datant de 31 mois par rapport à la version la plus récente. Au contraire, 64 % des versions de Chrome sont à jour.

« La sécurité du système d’information est une affaire d’équipe : elle ne pourra être optimale que si le RSSI et l’équipe informatique, les dirigeants de l’entreprise, les directeurs métier, etc. travaillent ensemble pour mieux comprendre la menace et faire face aux cyberattaques. Les cybercriminels travaillent de mieux en mieux pour dissimuler leurs traces. L’ensemble des parties prenantes doit donc répondre à des questions majeures : est-ce que l’entreprise dispose des outils qui lui permettront non seulement d’identifier les attaques avérées, mais également de déterminer où se situent les vrais vulnérabilités de son informatique ? Comment l’entreprise peut être certaine que ses utilisateurs sont en sécurité, et cela même lorsqu’ils travaillent en dehors du périmètre du réseau de l’entreprise ? » explique à DataSecurityBreach.fr Christophe Jolly, Directeur Sécurité Cisco France. « Face à l’évolution de la menace, les entreprises doivent mettre en œuvre un ensemble de mesures de sécurité pour leur permettre de répondre aux défis liés à la cybercriminalité et au cyberespionnage industriel et pour mieux comprendre la cybersécurité du monde d’aujourd’hui ».

Retrouvez le Rapport Annuel sur la Sécurité 2015 de Cisco en intégralité ici : www.cisco.com/go/asr2015

Detekt, le logiciel anti espion

Amnesty International a diffusé, ce 20 novembre, un outil permettant aux victimes d’espionnage de détecter les manœuvres de surveillance gouvernementales. L’utilisation et le commerce de technologies de surveillance des télécommunications se sont développés de manière exponentielle ces dernières années.

La Coalition contre l’exportation illégale de technologies de surveillance, dont Amnesty International est membre, estime que le commerce mondial des technologies de surveillance représente 4 milliards d’euros par an, et qu’il est en expansion. Detekt propose donc de voir si votre ordinateur, votre smartphone ou votre tablette sont surveillés. Le fonctionnement est assez simple. Plusieurs versions sont téléchargeables sur le site officiel de l’opération resistsurveillance.org. La version PC, par exemple, demande d’être exécutée en mode Administrateur, connexion web coupée. Attention, nous avons remarqué que les PC sous Windows 8.1 se retrouvaient avec un message d’alerte leur indiquant l’impossibilité d’utiliser Detekt.

1 – Télécharger Detekt
2 – Exécuter le logiciel en mode « Administrateur ».
3 – Choisissez la langue (le Français n’est pas présent).
4 – Cliquez sur le bouton « Scan ».
5 – Attendre entre 30 et 45 minutes.
6 – Découvrez si vous avez un espion dans votre machine.

Si un espion est découvert dans votre PC, dites vous qu’il est malheureusement trop tard. Nous ne pouvons que vous conseiller de changer d’ordinateur très rapidement. Ensuite, réfléchissez à comment le piège s’est installé dans votre machine (mail, liens, Facebook, Twitter clé USB, smartphone, baladeur mp3, …). Ne reconnectez plus cette machine au web. Bloquez son wifi/Bluetooth. Analysez les documents contenus dans la machine en question. Qu’est ce que le pirate/espion a pu intercepter, lire, copier, modifier. Alertez vos contacts. Il est préférable à ce niveau de crier au feu que d’attendre que tout le monde soit bruler pour s’inquiéter. N’hésitez surtout jamais à déposer plainte et alerter les autorités compétentes, surtout si vous êtes dans une entreprise.

Faille Windows Phone 8.1

Une faille considérée comme sérieuse découverte dans le plus jeune des OS de Microsoft, Windows Phone 8.1. Bilan, les données d’un téléphone portable sous cet OS pourraient finir entre de mauvaises mains.

Un internaute, du nom de DJAmol, vient d’annoncer sur le forum XSA Developers la découverte d’une faille dans le plus récent des OS de Microsoft. D’après ce chercheur, une vulnérabilité sérieuse a été mise à jour dans Windows Phone 8.1. Bilan, le système d’exploitation de la firme de Redmond serait très facile à pirater. La vulnérabilité pourrait permettre à un malveillant d’exécuter l’application avec les privilèges d’un autre utilisateur et modifier à souhait le registre de l’appareil.

DJAmol s’est rendu compte qu’en changeant simplement le contenu d’une application OEM, application de confiance transférée vers la carte SD du téléphone, l’application hérite des privilèges de l’application d’origine. Une fois la copie effectuée, un pirate pourrait alors supprimer le répertoire existant et créer un nouveau répertoire avec le même nom original de l’App de base. La vulnérabilité a été annoncée à Microsoft. (XDAD)

Une faille corrigée dans Windows, problème pour Drupal et Yosemite

Depuis 19 ans, une faille présente dans Windows n’avait jamais été corrigée. Voilà qui est dorénavant de l’histoire ancienne.

Imaginez, un bug informatique connu et présent dans Windows depuis 19 ans. Depuis Windows 95, cette « faille » permettait dans certaines mesures difficiles (mais pas impossibles, ndlr zataz.com) de prendre la main sur un ordinateur. Une attaque possible à distance. Baptisée par les ingénieurs sécurité de chez IBM, inventeurs de la faille, WinShock, l’exploit permettait d’infiltrer un ordinateur sous Windows (95, 98, 2003, 2008, Vista, 7, 8) à distance. Il suffisait de mettre en place un site Internet particulièrement fabriqué (XSS, …) pour déclencher l’attaque via Internet Explorer. Microsoft a corrigé la faille… sauf pour Windows XP dont le support n’existe plus. « Les utilisateurs qui ont paramétré leur Windows de telle manière à recevoir automatiquement les mises à jour, ne doivent rien faire de particulier. Ils seront protégés » explique le service presse de Microsoft.

Pour novembre, Microsoft a publié un Patch Tuesday conséquent, avec 17 bulletins dont 5 concernent l’exécution de codes à distance (RCE), un type de vulnérabilité dont les pirates sont particulièrement friands. À ce jour, avec ces 17 bulletins, Microsoft en aura diffusé 79 en tout pour 2014. Nous finirons donc l’année sous la barre des 100 bulletins de sécurité, soit un peu moins qu’en 2013 et 2011 et à peu près autant qu’en 2012.

Pendant ce temps…
Une grave et importante faille a été découverte dans Drupal. La communauté Drupal, et son logiciel Open Source gratuit pour créer et administrer des sites Web, annonçait l’existence d’une vulnérabilité dans la couche d’API d’abstraction de base de données de Drupal 7. Cette vulnérabilité (CVE associé : CVE-2014-3704) permet à un pirate d’envoyer des requêtes personnalisées qui rendent arbitraire l’exécution de SQL. Selon le contenu des requêtes, ceci peut entraîner une élévation des privilèges, une exécution arbitraire de PHP ou d’autres attaques. Ce que nous savons La vulnérabilité affecte toutes les principales versions 7.x de Drupal antérieures à la 7.32. Survenue au moment de l’annonce de POODLE, cette vulnérabilité a été un peu occultée, même si elle est directement exploitable et similaire à Heartbleed.

Depuis le 15 octobre 2014, les exploits automatisés ciblant cette vulnérabilité spécifique ont semé le chaos sur Internet. L’équipe chargée de la sécurité Drupal conseille aux administrateurs de sites Web fonctionnant sous Drupal 7.x de considérer comme compromis les sites qui n’ont pas été mis à jour ou patchés avant le 15 octobre 2014, ou bien 7 heures après la première annonce de la vulnérabilité. Corriger ou mettre à niveau un site Web compromis ne suffira pas pour supprimer les portes dérobées et autres chevaux de Troie qui auraient pu être installés.

La société Qualys propose une vérification de cette vulnérabilité via son logiciel Qualys Freescan, accessible depuis son site Internet dédié.

Du côté d’Apple, une faille a été détectée dans la dernière version de l’OS de la grosse pomme, Mac OS X Yosemite. Le problème a été révélée par la société suédoise Truesec. Baptisée ‘RootPipe’, la faille pourrait permettre à un pirate, en local, de prendre la main sur l’ordinateur en mode administrateur. Un mode qui permet de faire tout et n’importe quoi dans la machine. Emil Kvarnhammar, l’inventeur de la probable faille n’a pas donné plus d’information. Il attend qu’Apple corrige. Un mot de passe sudo, il permet d’avoir des privilèges temporaires de super utilisateur, est demandé afin q’un administrateur puisse agir sur une machine sans pour autant être le Kalif à la place du Kalif. La faille RootPipe contournerait cette restriction sous  Mac OS X Yosemite, mais aussi sous Mountain Lion et Mavericks.

La version Bêta de Windows 10 communique vos frappes clavier à Microsoft

Alors que vous testez la nouvelle version de Windows, sous forme de bêta, Microsoft intercepte vos frappes clavier… pour votre bien.

Les internautes qui ont téléchargé la version bêta de Windows 10, la technical preview, n’ont pas intérêt à taper trop d’informations personnelles et sensibles au risque d’avoir une mauvaise surprise. Comme l’explique le « Privacy Statements for Windows Technical Preview » de WIN10, bref la notice d’utilisation du nouveau bébé de Microsoft, la voix, mais aussi les frappes claviers sont communiqués à Microsoft.

Microsoft collects information about you, your devices, applications and networks, and your use of those devices, applications and networks. Examples of data we collect include your name, email address, preferences and interests; browsing, search and file history; phone call and SMS data; device configuration and sensor data; and application usage.

Un espionnage qui a pour mission d’enrichir le fonctionnement des futures options de Win10. Microsoft indique à WinBeta que cette « absorption » d’information ne sera activée que dans cette version de « démonstration », Windows 10 définitif n’aura pas cette big brother attitude.

Il ne faut cependant pas se voiler la face. Une commande clavier ou manipulation extérieure pourrait réactiver la « fonction » magique dans la condition ou cette dernière est implantée d’origine dans Windows 10. A moins que Microsoft le retire du code source, mais ça, personne ne pourra le vérifier.

Google et Doubleclic exploités dans une diffusion malveillante

La méthode est connue, utilisée depuis des années : des pirates exploitent les réseaux publicitaires pour diffuser des codes malveillants dans les ordinateurs des visiteurs de site Internet. Des cyber-criminels ont exploité la puissance de deux réseaux de publicité en ligne pour infecter et infiltrer des millions de potentielles victimes.

Lors de vos visites sur le site web, des publicités peuvent s’afficher. Des pirates informatiques ont rapidement compris le potentiel intérêt de ces supports pour diffuser leurs malveillances informatiques. Il y a quelques jours, les réseaux de DoubleClick et de l’agence de publicité Zedo, affiliée à Google, ont diffusé des publicités malveillantes qui avaient pour mission d’installer un logiciel espion dans les ordinateurs des visiteurs.

Un récent rapport publié par les chercheurs de la société Malwarebytes suggère que les cybercriminels ont pu profiter d’affiches piégés sur un certain nombre de sites web, y compris le Times d’Israël, le Jérusalem Post et encore le  site de streaming musical Last.fm.

L’attaque a été détectée à la fin du mois août dernier. Depuis, des millions d’ordinateurs ont probablement été exposés au code malveillant Zemot. Un microbe que les antivirus mis à jour détectent les yeux fermés. Google a confirmé l’attaque et a fermé l’ensemble des serveurs permettant la diffusion des publicités piégées. Ce qui est intéressant, dans ce cas, est la facilité déconcertante qu’ont eu les pirates à pirater les administrations de diffusion, à installer leurs publicités et à permettre la mise en ligne sans que personne ne puisse s’en inquiéter.

Les pirates ont exploité de nombreux sites supports, les publicités renvoyaient sur ces espaces. Des sites qui déclenchaient ensuite l’installation d’un kit pirate. Beaucoup de sites étaient basés au Pays-Bas (.nl), Suisse (.ch) et quelques pays de l’Est.

Zemot a été détecté, pour la première fois, en novembre 2013. Rien qu’en juin 2014, Microsoft annonçait 45.000 machines piégées ; plus de 35.000 en juillet, 27.000 en août. Zemot se concentre sur des ordinateurs exécutant Windows XP, mais il peut aussi infecter les systèmes d’exploitation plus modernes s’exécutant sur des machines tournant en x86 et 64 bits. Zemot est conçu pour contourner la sécurité d’un système avant d’infecter les ordinateurs avec des logiciels malveillants supplémentaires.

Vidéo surveillance sans fil pour la Xbox de Microsoft

Lors de l’IFA, plus grand salon d’appareils électroniques grand public au monde, la société Smartvue Corporation a présenté un matériel assez étonnant pour la console de salon de Microsoft, la XBOX.

L’objet se nomme Homevue, une solution de vidéo surveillance dans le cloud conçue pour la boite verte du géant américain. Un système de caméra sans fil plug and play. Il enregistre des vidéos HD dans le cloud qui peuvent être visionnées directement à partir de la Xbox, ou à distance depuis n’importe quel ordinateur, smartphone ou tablette sans frais mensuels supplémentaires – même lorsque la Xbox est éteinte. « Les joueurs peuvent effectuer une partie tout en gardant un œil sur leur bébé endormi, ou en vérifiant qui est à la porte d’entrée » indique l’entreprise. Homevue sera disponible à partir du mois de janvier 2015. Il est possible de pré-commander via Kickstarter pour 99 $.

Microsoft a décidé de faire la guerre aux applications malveillantes

Pour faire face à la concurrence d’iTunes et PlayStore, qui proposent des centaines de milliers d’applications, Microsoft a décidé de proposer du qualitatif dans sa propre boutique d’APP (400.000 logiciels) en contrôlant toutes les applications proposées à utilisateurs d’un Windows Phone/Tablette.

Parmi les obligations mises en place par le géant américain, imposer une explication claire et précise des actions du logiciel proposé dans le store de Microsoft. Les catégories utilisées devront être celles dédiées et l’icône ne devra plus reprendre une marque ou un logo d’une entreprise connue (Twitter, Facebook, …). La société de Redmond a déjà banni 1.500 applis. A noter que seule Microsoft propose une application Facebook pour ses téléphones, autant dire que les petits malins se sont empressés de viser le portail communautaire.

Cybercriminalité : 3 clés pour contrer les pirates

La cybercriminalité est souvent médiatisée lorsque d’énormes failles de sécurité sont révélées et que les dommages sont significatifs pour les entreprises touchées.

L’attaque massive organisée par des pirates informatiques russes il y a quelques semaines à une échelle mondiale en est un très bel et marquant exemple, avec plus d’ 1,2 milliards de mots de passe volés. Mais les pirates ne se limitent pas aux attaques massives, et des petites brèches de sécurité d’apparence anodines peuvent pourtant s’avérer avoir de lourdes conséquences, tant pour les grandes entreprises que pour les plus petites organisations possédant des données sensibles ou à forte valeur ajoutée.

Ne perdez pas votre temps à anticiper,  sachez surtout détecter les failles et limiter les dégâts.
La meilleure chose qu’un directeur informatique ou un responsable de la sécurité puisse faire pour protéger son entreprise est de comprendre et d’accepter l’impossibilité de maintenir les attaquants à l’écart. Tout le monde est tôt ou tard victime d’une faille de sécurité. Le plus important est de savoir dans quel délai vous la détecterez et dans quelle mesure vous pourrez limiter les dommages. Il convient de mettre l’accent sur la réduction du risque dans les domaines clés et la surveillance des événements au niveau du pare-feu pour détecter le plus rapidement possible l’intrusion d’un attaquant et la tentative de vol de données. Toute autre action ne reviendra qu’à reproduire des stratégies qui ont déjà montré leurs limites dans le passé, pour un coût encore plus élevé.

Axez votre stratégie de sécurité sur l’identité et les données, et non plus l’infrastructure
Le mode de pensée centré sur le réseau et les appareils est de plus en plus délaissé en faveur d’une sécurité axée sur l’identité et les données. Désormais, tenter de protéger l’infrastructure de l’entreprise n’apparaît plus comme une solution gagnante. Avec l’usage croissant de l’informatique mobile et du Cloud computing, cette tâche s’avère souvent trop complexe et n’est plus entièrement maîtrisée par le personnel informatique et de sécurité.

En revanche, le personnel chargé de la sécurité réfléchit de plus en plus à la protection des données transférées d’un endroit à un autre, y compris dans le cloud, et à l’acquisition d’une meilleure connaissance de l’identité des individus qui ont accès à ces données. Néanmoins, suis-je certain de savoir qui accède actuellement à notre base de données de patients ? Est-il normal que ce salarié ouvre ce fichier de données clients ? Ces décisions sont de plus en plus complétées par l’introduction d’un contexte du type : dois-je permettre à ce salarié d’accéder à ces données sensibles alors qu’il est en vacances dans le Sud et qu’il se connecte depuis sa tablette dans un cybercafé ? Il s’agit là d’une façon plus intelligente (et efficace) d’appréhender les risques du comportement surveillé, en répondant aux problèmes de sécurité fondamentaux liés aux utilisateurs privilégiés, aux attaques internes et aux menaces persistantes avancées.

Ne misez pas tout sur la technologie, sensibilisez vos collaborateurs car ils sont les véhicules de vos données !
Il est toujours possible d’améliorer l’éducation – bien que je sois convaincu qu’il faille en changer le ton pour passer du « ne faites pas ceci » au « comme vous le ferez de toute façon, voici comment procéder pour éviter de prendre des risques ». Le pouvoir dans le monde de l’informatique professionnelle a changé de mains : il n’est plus dévolu au service IT autoritaire et centralisé, avec le personnel qui lui est associé, mais relève désormais des dirigeants de l’entreprise et des responsables métiers. Aujourd’hui plus que jamais, l’utilisateur de l’entreprise décide lui-même de la technologie à employer et de la façon de procéder. Dans ce contexte, l’éducation doit être recentrée sur les conseils et le choix de solutions sûres pour cesser de s’apparenter à une liste d’actions à éviter, qui sera de toute façon rarement respectée. (Jean-Philippe Sanchez, Consultant Sécurité, NetIQ France)