Archives de catégorie : Logiciels

Actualités liées logiciels de sécurité informatique et protections numériques des entreprises et particuliers.

Cloud, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Linux, Logiciels, Mise à jour, Piratage

Faille sévère pour les systèmes Linux

Qualys publie un bulletin de sécurité pour la vulnérabilité « GHOST » découverte sur les systèmes Linux Cette vulnérabilité sévère détectée dans la bibliothèque C de GNU/Linux donne le contrôle aux attaquants sans nécessiter d’identifiants système. – Patchs disponibles dès aujourd’hui –

Qualys, Inc., le principal fournisseur de solutions de sécurité et de conformité dans le Cloud, annonce que son équipe chargée de la recherche en sécurité a découvert dans la bibliothèque C de GNU/Linux (glibc) une vulnérabilité critique qui permet aux pirates de prendre le contrôle à distance de tout un système, en se passant totalement des identifiants système. Qualys a travaillé de manière étroite et coordonnée avec les fournisseurs de distributions Linux pour proposer un patch pour toutes les distributions de systèmes Linux touchés. Ce patch est disponible dès aujourd’hui auprès des fournisseurs correspondants.

Baptisée GHOST (CVE-2015-0235) parce qu’elle peut être déclenchée par les fonctions gethostbyname et gethostbyaddr, cette vulnérabilité touche de nombreux systèmes sous Linux à partir de la version glibc-2.2 publiée le 10 novembre 2000. Les chercheurs de Qualys ont par ailleurs détecté plusieurs facteurs qui atténuent l’impact de cette vulnérabilité, parmi lesquels un correctif publié le 21 mai 2013 entre les versions glibc-2.17 et glibc-2.18. Malheureusement, ce correctif n’ayant pas été classé comme bulletin de sécurité, la plupart des distributions stables et bénéficiant d’un support à long terme ont été exposées, dont Debian 7 (« Wheezy »), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7 et Ubuntu 12.04.

Les clients Qualys peuvent détecter GHOST à l’aide de la signature QID 123191 fournie par le service Cloud Qualys Vulnerability Management (VM). Lorsqu’ils lanceront le prochain cycle de scan, ils obtiendront des rapports détaillés sur l’exposition de leur entreprise à cette vulnérabilité sévère. Ils pourront ainsi estimer son impact sur leur activité et suivre efficacement la vitesse de résolution du problème.

« GHOST expose à un risque d’exécution de code à distance qui rend l’exploitation d’une machine par un pirate terriblement enfantine. Il suffit par exemple qu’un pirate envoie un mail sur un système sous Linux pour obtenir automatiquement un accès complet à cette machine », explique à dataSecuritybreach.fr Wolfgang Kandek, Directeur technique de Qualys, Inc. « Compte tenu du nombre de systèmes basés sur glibc, nous considérons qu’il s’agit d’une vulnérabilité sévère qui doit être corrigée immédiatement. La meilleure marche à suivre pour atténuer le risque est d’appliquer un patch fourni par votre fournisseur de distributions Linux. »

Mise à jour RedHat publiée ce 27 janvier. Explication technique sur open wall.

Mise à jour : 

L’éditeur Ve-hotech vient de diffuser une mise à jour 5.1.1 de son système d’exploitation en vue de prévenir la vulnérabilité CVE-2015-0235 dans la bibliothèque libc6. libc6 étant la principale bibliothèque utilisée par l’ensemble des programmes fonctionnant sous Linux, Ve-hotech a pris des mesures immédiates pour régler le problème.

  • Si le serveur est paramétré pour se mettre automatiquement à jour, il est probablement déjà à jour. Il suffit de vérifier que le numéro de version est bien 5.1.1 dans l’interface utilisateur.
  • Si le serveur est paramétré pour être mis à jour manuellement, l’utilisateur doit effectuer la mise à jour à partir de l’onglet maintenance de l’application de configuration avancée.
  • Si la version du serveur est inférieure à la 4.0, il est fortement conseillé de mettre à niveau le serveur vers la génération 4 du micro-logiciel.
  • Les versions 1.x du micro-logiciel ne sont pas concernées.
Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Piratage, Wordpress, Wordpress

Plusieurs média français piratés

France 3, Le Monde, RCF… plusieurs médias français dans la ligne de mire des pirates informatiques de l’opération Anti #CharlieHebdo. Étonnant, des frères ennemis s’allient pour une même cause.

L’Armée Électronique Syrienne ressort de sa cachette 2.0 en s’attaquant au journal Le Monde. Les pirates, pro Bachar-Al-Assad, via une technique qu’ils exploitent avec, malheureusement, efficacité. Parmi les victimes, la sécurité du journal Le Monde. Le CMS de la rédaction, mais aussi le Twitter ont été manipulés. Un courriel piégé aurait permis à la SEA de prendre la main sur le quotidien français. La SEA a indiqué, dans plusieurs Tweets «Je ne suis pas Charlie» ainsi qu’un rappel sur les bombardements en Syrie. Étonnant, les pirates de l’opération anti #charliehebdo ne sont pourtant pas des pro Bachar-Al-Assad. La SEA a déjà piraté Forbes, eBay, le FC Barcelone, Reuters ou encore The Sun.

Du côté des pirates ayant lancé une opération contre le web français, trois nouveaux groupes viennent d’apparaitre. ZATAZ.COM en a recensé plus d’une trentaine. Les nouveaux se sont attaqués à plusieurs sites appartenant aux groupes France Télévision avec des espaces basés en Outre-mer ou encore  les sites Internet régionaux de France 3. Une attaque qui a du obliger France Télévision a fermer les possibilités de diffuser le moindre article sur ses sites.

Pendant ce temps…
… La Fédération de Tennis vient de déposer plainte après le piratage d’un millier de site de club que la FFT hébergeait. : « Un large éventail de sites des comités et clubs a fait l’objet d’usurpation par des individus qui les utilisent comme vitrine de leurs revendications. Il n’échappera à personne le lien avec les événements tragiques de ces derniers jours. » indique un courriel diffusé aux présidents de club. Étonnant, le groupe montré du doigt, les Fellaga Anonymous n’ont pas revendiqué cette attaque.

Apple, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, OS X, Patch

Utilisateur de Firefox et Thunderbird, un keylogger activé dans le nouvel OS d’Apple, Yosemite

Voilà qui n’est pas amusant, mais alors pas du tout. Le chercheur en sécurité Kent Howard a rapporté à Apple un problème présent dans OS X 10,10 (Yosemite). Une fonctionne sauvegarde les informations tapées dans les produits Mozilla !

Des fichiers journaux sont créés par le CoreGraphics d’OS X dans le répertoire local /tmp. Ces fichiers journaux contiennent un enregistrement de toutes les entrées dans les programmes Mozilla (Firefox, Thunderbird) pendant leur fonctionnement. Dans les versions de Mac OS X (à partir des versions 10.6, 10,9, ndlr datasecuritybreach.fr) les CoreGraphics avaient cette capacité d’enregistrement mais le « keylogger » avait été désactivé par défaut. Dans OS X 10,10, cette journalisation a été activée de nouveau, par défaut, pour certaines applications qui utilisent une mémoire personnalisée, comme jemalloc.

Sur les systèmes vulnérables, la faille peut entraîner l’interception des données privées telles que noms d’utilisateur, mots de passe et autres données sauvegardées par ce fichier journal mal venu. Ce problème n’affecte pas les utilisateurs d’OS X avant la version 10.10. Les utilisateurs de l’OS X 10.10 doivent aller dans le dossier /tmp, supprimer les fichiers avec des noms commençant par « CGLog_ » suivie du nom d’un produit Mozilla, tels que « CGLog_firefox ». (Alerte Mozilla/Metabaron)

 

Android, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, Identité numérique, Leak, Logiciels, Microsoft, Particuliers, Piratage, Propriété Industrielle, Smartphone, Virus

Detekt, le logiciel anti espion

3 commentaires

Amnesty International a diffusé, ce 20 novembre, un outil permettant aux victimes d’espionnage de détecter les manœuvres de surveillance gouvernementales. L’utilisation et le commerce de technologies de surveillance des télécommunications se sont développés de manière exponentielle ces dernières années.

La Coalition contre l’exportation illégale de technologies de surveillance, dont Amnesty International est membre, estime que le commerce mondial des technologies de surveillance représente 4 milliards d’euros par an, et qu’il est en expansion. Detekt propose donc de voir si votre ordinateur, votre smartphone ou votre tablette sont surveillés. Le fonctionnement est assez simple. Plusieurs versions sont téléchargeables sur le site officiel de l’opération resistsurveillance.org. La version PC, par exemple, demande d’être exécutée en mode Administrateur, connexion web coupée. Attention, nous avons remarqué que les PC sous Windows 8.1 se retrouvaient avec un message d’alerte leur indiquant l’impossibilité d’utiliser Detekt.

1 – Télécharger Detekt
2 – Exécuter le logiciel en mode « Administrateur ».
3 – Choisissez la langue (le Français n’est pas présent).
4 – Cliquez sur le bouton « Scan ».
5 – Attendre entre 30 et 45 minutes.
6 – Découvrez si vous avez un espion dans votre machine.

Si un espion est découvert dans votre PC, dites vous qu’il est malheureusement trop tard. Nous ne pouvons que vous conseiller de changer d’ordinateur très rapidement. Ensuite, réfléchissez à comment le piège s’est installé dans votre machine (mail, liens, Facebook, Twitter clé USB, smartphone, baladeur mp3, …). Ne reconnectez plus cette machine au web. Bloquez son wifi/Bluetooth. Analysez les documents contenus dans la machine en question. Qu’est ce que le pirate/espion a pu intercepter, lire, copier, modifier. Alertez vos contacts. Il est préférable à ce niveau de crier au feu que d’attendre que tout le monde soit bruler pour s’inquiéter. N’hésitez surtout jamais à déposer plainte et alerter les autorités compétentes, surtout si vous êtes dans une entreprise.

Android, Chiffrement, cryptage, Cybersécurité, Facebook, Identité numérique, Logiciels, Particuliers, Smartphone, Vie privée

Facebook sécurise WhatsApp à coup de chiffrement

Un commentaire

L’outil de conversation WhatsApp chiffre dorénavant les messages diffusés par ses utilisateurs. Voilà une nouvelle qui a de quoi étonner. Non pas que Facebook soit considéré comme un pirate, mais plutôt comme un aspirateur de données.

WhatsApp, la messagerie rachetée par Facebook se lance dans la grande aventure du chiffrement qui transitent par ses bits. Facebook vient d’annoncer un chiffrement de bout-en-bout, comprenez que même Facebook ne possède pas les clés de lecture. Whisper Systems, développeur de TextSecure, considéré comme étant l’application de messagerie la plus sécurisée du moment, a aidé à la mise en place de cette protection qui doit permettre aux internautes de chiffrer leurs messages. Bilan, la derniére mise à jour de WhatsApp pour Android transporte cette sécurité. Les 600 millions d’utilisateurs de WhatsApp vont donc apprécier cette attention. Attention, elle ne chiffre que les messages textes.

TextSecure est une application de messagerie qui vous permet de vous réapproprier votre vie privée tout en communiquant facilement avec vos amis. Avec TextSecure, vous pouvez communiquer instantanément tout en évitant les frais de SMS, créer des groupes pour discuter en temps réel avec tous vos amis à la fois, et partager des pièces jointes, photos ou autres en toute confidentialité. Le serveur n’a jamais accès à vos communications et n’enregistre aucune donnée vous concernant. (The Verge)

 

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Logiciels, Wordpress

Protéger votre wp-config.php de votre WordPress

Adrien Thierry, Gérant-Fondateur de la société française SERAUM vient d’éditer une petite option intéressante pour les utilisateurs de WordPress.

L’idée de l’application wp-obfuscator est de permettre de cacher un fichier sensible, le wp-config.php. L’application obfusque le contenu du document dédié à votre WordPress. Un fichier, malheureusement en texte clair. Dans les mains d’un malveillant, ce fichier pourrait permettre au pirate de récupérer suffisamment d’informations pour atteindre votre base de données. « Avec ce plugin, souligne à DataSecurityBreach.fr Adrien Thierry, en un clic, le wp-config.php est illisible, et le site toujours fonctionnel ». Ce nouveau plugin est hébergé sur le site de wordpress. Vous pouvez aussi installer directement cette option en vous rendant dans l’ongle Extension et chercheur dans le moteur de recherche dédié obfuscator d’Adrien Thierry.

Cybersécurité, Microsoft, Mise à jour, Patch, Smartphone, Téléphonie, Windows phone

Faille Windows Phone 8.1

Une faille considérée comme sérieuse découverte dans le plus jeune des OS de Microsoft, Windows Phone 8.1. Bilan, les données d’un téléphone portable sous cet OS pourraient finir entre de mauvaises mains.

Un internaute, du nom de DJAmol, vient d’annoncer sur le forum XSA Developers la découverte d’une faille dans le plus récent des OS de Microsoft. D’après ce chercheur, une vulnérabilité sérieuse a été mise à jour dans Windows Phone 8.1. Bilan, le système d’exploitation de la firme de Redmond serait très facile à pirater. La vulnérabilité pourrait permettre à un malveillant d’exécuter l’application avec les privilèges d’un autre utilisateur et modifier à souhait le registre de l’appareil.

DJAmol s’est rendu compte qu’en changeant simplement le contenu d’une application OEM, application de confiance transférée vers la carte SD du téléphone, l’application hérite des privilèges de l’application d’origine. Une fois la copie effectuée, un pirate pourrait alors supprimer le répertoire existant et créer un nouveau répertoire avec le même nom original de l’App de base. La vulnérabilité a été annoncée à Microsoft. (XDAD)

Cybersécurité, Drupal, Entreprise, Fuite de données, iOS, Logiciels, Microsoft, Mise à jour, Patch, Propriété Industrielle

Une faille corrigée dans Windows, problème pour Drupal et Yosemite

Depuis 19 ans, une faille présente dans Windows n’avait jamais été corrigée. Voilà qui est dorénavant de l’histoire ancienne.

Imaginez, un bug informatique connu et présent dans Windows depuis 19 ans. Depuis Windows 95, cette « faille » permettait dans certaines mesures difficiles (mais pas impossibles, ndlr zataz.com) de prendre la main sur un ordinateur. Une attaque possible à distance. Baptisée par les ingénieurs sécurité de chez IBM, inventeurs de la faille, WinShock, l’exploit permettait d’infiltrer un ordinateur sous Windows (95, 98, 2003, 2008, Vista, 7, 8) à distance. Il suffisait de mettre en place un site Internet particulièrement fabriqué (XSS, …) pour déclencher l’attaque via Internet Explorer. Microsoft a corrigé la faille… sauf pour Windows XP dont le support n’existe plus. « Les utilisateurs qui ont paramétré leur Windows de telle manière à recevoir automatiquement les mises à jour, ne doivent rien faire de particulier. Ils seront protégés » explique le service presse de Microsoft.

Pour novembre, Microsoft a publié un Patch Tuesday conséquent, avec 17 bulletins dont 5 concernent l’exécution de codes à distance (RCE), un type de vulnérabilité dont les pirates sont particulièrement friands. À ce jour, avec ces 17 bulletins, Microsoft en aura diffusé 79 en tout pour 2014. Nous finirons donc l’année sous la barre des 100 bulletins de sécurité, soit un peu moins qu’en 2013 et 2011 et à peu près autant qu’en 2012.

Pendant ce temps…
Une grave et importante faille a été découverte dans Drupal. La communauté Drupal, et son logiciel Open Source gratuit pour créer et administrer des sites Web, annonçait l’existence d’une vulnérabilité dans la couche d’API d’abstraction de base de données de Drupal 7. Cette vulnérabilité (CVE associé : CVE-2014-3704) permet à un pirate d’envoyer des requêtes personnalisées qui rendent arbitraire l’exécution de SQL. Selon le contenu des requêtes, ceci peut entraîner une élévation des privilèges, une exécution arbitraire de PHP ou d’autres attaques. Ce que nous savons La vulnérabilité affecte toutes les principales versions 7.x de Drupal antérieures à la 7.32. Survenue au moment de l’annonce de POODLE, cette vulnérabilité a été un peu occultée, même si elle est directement exploitable et similaire à Heartbleed.

Depuis le 15 octobre 2014, les exploits automatisés ciblant cette vulnérabilité spécifique ont semé le chaos sur Internet. L’équipe chargée de la sécurité Drupal conseille aux administrateurs de sites Web fonctionnant sous Drupal 7.x de considérer comme compromis les sites qui n’ont pas été mis à jour ou patchés avant le 15 octobre 2014, ou bien 7 heures après la première annonce de la vulnérabilité. Corriger ou mettre à niveau un site Web compromis ne suffira pas pour supprimer les portes dérobées et autres chevaux de Troie qui auraient pu être installés.

La société Qualys propose une vérification de cette vulnérabilité via son logiciel Qualys Freescan, accessible depuis son site Internet dédié.

Du côté d’Apple, une faille a été détectée dans la dernière version de l’OS de la grosse pomme, Mac OS X Yosemite. Le problème a été révélée par la société suédoise Truesec. Baptisée ‘RootPipe’, la faille pourrait permettre à un pirate, en local, de prendre la main sur l’ordinateur en mode administrateur. Un mode qui permet de faire tout et n’importe quoi dans la machine. Emil Kvarnhammar, l’inventeur de la probable faille n’a pas donné plus d’information. Il attend qu’Apple corrige. Un mot de passe sudo, il permet d’avoir des privilèges temporaires de super utilisateur, est demandé afin q’un administrateur puisse agir sur une machine sans pour autant être le Kalif à la place du Kalif. La faille RootPipe contournerait cette restriction sous  Mac OS X Yosemite, mais aussi sous Mountain Lion et Mavericks.

Cybersécurité, Entreprise, Fuite de données, Logiciels

Attaques à l’encontre de serveurs SMTP

Depuis plusieurs jours, des pirates s’attaquent à certains serveurs SMTP avec la faille de sécurité Shellshock. Le mystére le plus complet plane sur cette attaque informatique.

Le CERT Renater, en charge de la sécurité informatique des établissements scolaires et universitaires s’est inquiété, le 4 novembre dernier, d’une mystérieuse attaque numérique visant des serveurs SMTP vulnérables à la faille Shellshock (Bash). L’objectif serait d’intégrer les serveurs faillibles à un réseau de botnet.

Un bot IRC écrit en PERL serait installé dans les serveurs piégés. Le CERT Renater indique que la France serait visée par ces tentatives d’infiltrations. La charge d’attaque est dissimulée dans des champs d’entête de courriers électroniques spécialement formatés (To, From, CC, Subject, Date, Comments, Keywords, Resent-Date, Resent-From, Message-ID, …). Les méthodes curl, wget, fetch sont invoquées pour récupérer le bot IRC via l’ip 178.254.31.165. « On ne trouve pas d’information pour l’instant sur la porte d’entrée recherchée par les attaquants » souligne le CERT. Le serveur SMTP sur lequel ce type d’attaque pourrait fonctionner reste un mystère. (Binary Defense)

 

Cybersécurité, Drupal, Entreprise, Fuite de données, Joomla, Logiciels, Mise à jour, Patch, Propriété Industrielle, Sécurité, Wordpress, Wordpress

Les attaques visant les applications Web se multiplient

Applications de vente en ligne, sites hébergeant des données de consommateurs ainsi que WordPress sont aujourd’hui les principales cibles de ce type d’attaque.

Imperva, spécialiste en solutions de sécurité informatique, a publié les résultats de sa cinquième enquête annuelle consacrée aux attaques visant les applications Web (Webannuel Report Application Attack : WAAR). Réalisé par l’Application Defense Center(ADC), la cellule de recherche d’Imperva, ce rapport analyse un échantillon de 99 applications protégées par le pare-feu applicatif Web d’Imperva(WAF) sur une période de neuf mois (du 1er Août 2013 au 30 Avril 2014). Les principaux enseignements de cette édition font état d’une augmentation significative du trafic malveillant (dont on notait déjà l’explosion dans le précédent rapport), ils révèlent que les applications de vente en ligne sont les plus sensibles pour ce type d’attaque et que WordPress est l’application la plus attaquée. Enfin, les États-Unis se distinguent comme le pays d’origine de la majorité du trafic des attaques d’applications Web dans le monde.

Ce cinquième rapport témoigne d’une augmentation de 10% des attaques par SQL injection (SQLI), ainsi que d’une hausse de 24% des attaques par inclusion de fichier à distance (RFI). L’équipe de recherche de l’ADC a de plus constaté que la durée des attaques s’est considérablement prolongée ; Leur durée s’est en effet allongée de 44% par rapport au précédent rapport WAAR.

48,1% des campagnes d’attaque visent les applications de vente en ligne, suivie par les institutions financières qui représentent 10% des attaques.     Les sites conçus sous WordPress ont subit 24,1% d’attaques en plus que les sites Web qui utilisent d’autres systèmes de gestion de contenu (CMS), on observe également que WordPress souffre davantage (60% de plus) d’incidents de Cross Site Scripting (XSS) que les autres sites. Les applications PHP subissent trois fois plus d’attaques XSS que les applications .NET. Les sites Web qui ont une fonctionnalité « log-in », et qui contiennent par conséquent des données spécifiques aux consommateurs, représentent 59% de toutes les attaques, et 63% des injections SQL.

« Après des années à analyser les attaques de données ainsi que leurs origines, le rapport de cette année indique que les hackers quelque soient leur pays d’origine hébergent leurs attaques aux Etats-Unis afin d’être géographiquement plus proche de leurs cibles. Cela explique pourquoi les États-Unis génèrent la majorité du trafic mondial des attaques d’applications web », indique Amichai Shulman, Directeur de la technologie chez Imperva à Datasecuritybreach.fr. « En regardant de plus près d’autres sources d’attaques, nous nous sommes aperçus que les infrastructures-as-a-Service (IaaS) étaient de plus en plus utilisées par les hackers. Pour exemple, 20% des tentatives d’exploitation de vulnérabilités connues proviennent d’ Amazon Web Services. Mais ce n’est pas le seul; car le phénomène se développe et les autres fournisseurs de ce type d’infrastructures (IaaS) doivent être particulièrement vigilants quant à la compromission de leurs serveurs. Les hackers ne sont pas sélectifs quand il s’agit d’atteindre un Data Center ».