Logiciels, Sécurité

Un mode auto destruction dans le nouveau Kali Linux

L’équipe de sécurité Offensive, créateur du célèbre outil de pénétration informatique « Backtrack », a publié une mise à jour de Kali Linux. L’équipe a ajouté une fonctionnalité intéressante dans sa version 1.0.6. Parmi les caractéristiques, une option d’auto-destruction. Kali Linux propose déjà le cryptage du disque afin de protéger les données. Pour plus de sécurité, une option « Nuke » a été implémentée. Bilan, via un simple code « nuke », les données contenues sur le disque dur deviennent illisibles.

Espionnae, Particuliers, Vie privée

SaveTheInternet.eu : Agissons pour la neutralité du Net !

À quelques semaines des étapes législatives cruciales pour le futur règlement sur le Marché unique des télécommunications, une coalition d’organisations européennes publie le communiqué ci-dessous et invitent les citoyens à faire entendre leur voix en appelant leurs eurodéputés à protéger la neutralité du Net. Une large coalition d’organisations de la société civile vient de lancer SaveTheInternet.eu [1], une campagne pour protéger la neutralité du Net dans la législation européenne à venir. À moins que nous n’agissions rapidement, une proposition de règlement de la Commission va réduire la liberté d’expression sur Internet, augmenter les prix et entraver l’innovation. Les citoyens doivent contacter les députés européens de la commission Industrie et les appeler à défendre un Internet ouvert.

Au terme de quatre ans d’inaction dans ce domaine, la nouvelle proposition de la Commission pourrait gravement nuire à un Internet ouvert. Ce règlement pourrait autoriser des entreprises de l’Internet à altérer arbitrairement le trafic du réseau pour prioriser les services des sociétés les plus riches, au détriment de l’innovation et de la liberté d’expression. Certaines des pires violations de la neutralité du Net auxquelles nous avons assisté en Europe ces dernières années deviendraient légales à cause de la faille des soi-disant « services spécialisés » contenue dans la proposition. De plus, le texte de la Commission pourrait autoriser des activités « volontaires » de surveillance et de filtrage ad hoc du réseau par les fournisseurs d’accès à Internet – en violation flagrante des obligations légales de l’Union européenne. Les ONG critiquent de manière unanime cette proposition de règlement. Les organisations de la société civile sont furieuses que cette proposition ne reflète pas les différents points de vues exprimés dans les réponses envoyées aux consultations que la Commission a tenues sur ce sujet. Ces organisations critiquent également l’examen précipité dont ces mesures font l’objet. Mais le plus préoccupant reste que les opérateurs télécom majeurs puissent remplacer l’actuel modèle économique de l’Internet – efficace et rentable – par celui de la téléphonie – inefficace, coûteux et obsolète.

Les citoyens doivent à présent se faire entendre dans ce débat crucial pour l’avenir d’Internet. Le règlement est maintenant entre les mains du Parlement européen, qui a l’opportunité unique d’en corriger les dangereuses failles et de mettre en place les garde-fous nécessaires à la protection d’un Internet neutre et ouvert. Le temps presse. La commission Industrie du Parlement européen amendera la proposition de règlement le 27 février. Au cours des six prochaines semaines, chaque citoyen européen soucieux de l’avenir d’Internet devra contacter les membres du Parlement européen et faire entendre sa voix.

Cette campagne est menée par :
– Access Now (Bruxelles)
– Digitale Gesellschaft e.V (Allemagne)
– European Digital Rights (EDRI) (Bruxelles)
– Initiative für Netzfreiheit (Autriche)
– La Quadrature du Net (France)

Pendant ce temps, chez l’Oncle Sam, Un tribunal local vient de notifier que des portions de règles relatives à la neutralité du net ne s’appliqueraient plus aux Fourniseurs d’Accès à Internet. L’affaire a débuté quand Verizon et la Federal Communications Commission (FCC), le régulateur télécom américain ont décidé de se confronter à grands coups d’avocats. La justice US a annoncé que la FCC n’avait plus le droit de contraindre les FAI à traiter de manière équivalente l’ensemble du trafic. Depuis 2010, les ISP doivent accorder la priorité à du trafic spécifique (site web, …). Sauf qu’avec la décision de la justice américaine, c’est celui qui mettra le plus de dollars sur la table qui pourra se targer d’avoir un plus gros tuyaux. Bref, Youtube (Google) pourra écraser ses concurrents. Une manipultation du trafic qui devra donné lieu à communication auprès des internautes touchés par ce « péage ». La FCC a expliqué à The Verge qu’elle va continuer à lutter pour la neutralité du net. Bref, couper certains services et sites web risque d’être une nouvelle mode, d’ici quelques semaines.

 

 

Banque, Chiffrement, Cyber-attaque, Leak, Piratage

Le pirate de Target et Neiman Marcus aurait 17 ans

Un commentaire

L’entreprise de sécurité Intel Crawler a analysé les récentes violations de données massives ayant visé les sociétés Target et Neiman Marcus. Les enquêteurs de IC ont déclaré avoir identifié le créateur du malware utilisé dans les attaques informatiques ayant touché les deux enseignes américaines.

Selon le rapport, un adolescent russe de 17 ans (Nous ne donnerons pas son identité : il est présumé innocent jusqu’à preuve du contraire, Ndr) aurait créé le malware, contributeur des fuites de données. L’outil, baptisé BlackPos (Kaptoxa, patate en russe, Ndr), est apparu en Mars 2013.

BlackPOS, ZATAZ.COM vous en parlait il y a quelques mois, est un malware écrit en VBScript. Il est conçu pour être installé dans les périphériques bancaires des points de vente. Il vole toutes les données des cartes glissées dans le systèmes infectés.

Une technique qui ne date pas d’hier. En 2010, plusieurs grands hôtels américains avaient été visés par ce type d’attaque. La première victime du malware n’était pas américaine, mais une boutique basée au Canada. Le code malveillant a été retrouvé, aussi, en Australie. BlackPos est commercialisé dans le blackmarket 2.000 $. Les clients du jeune russe, les pirates de Target et Neiman Marcus, ne sont toujours pas connus… publiquement !

Drupal, Logiciels, Mise à jour, Patch, Wordpress

Faille dans Drupal et le théme OptimizePress de WordPress

Une vulnérabilité « hautement » critique a été identifiée dans le module OpenID utilisé par Drupal. La faille affecte les versions 6.x et 7.x de cet outil web. La vulnérabilité permet à un internaute malveillant de compromettre des comptes, y compris le compte de l’administrateur (Admin). Une autre faille de sécurité, «bypass acces » a été révélée. Elle est codifée comme étant modérément critique. Un pirate peut cependant accéder à certains contenus. Ces vulnérabilités ont été corrigées dans la dernière version de Drupal 6.30 et 7.26.

Pendant ce temps, du côté de chez WordPress, une vulnérabilité a été reperé dans OptimizePress. Un pirates pourrait s’en servir pour piéger des milliers de sites Web utilisateurs du CMS WordPress. C’est Sucuri qui a mis la main sur le problème. La vulnérabilité en question est cachée dans le code php situé à l’adresse lib/admin/media-upload.php. Un internaute malveillant peut télécharger n’importe quel type de documents dabs le dossier wp-content/uploads/optpress/images_comingsoon ». Autant dire qu’une fausse page, un logiciel malveillant pourraient permettre une attaque, par rebond, via le site ainsi exploité. Sucuri a détecté plus de 2000 sites Web sous OptimizePress. Des espaces qui ont été compromis par un iframe pirate qui téléchargé sur le poste informatique des visiteurs un logiciel espion. Près de 75% des sites infectés ont déjà été mis à l’index par Google. Le moteur de recherche les considérant, dorénavant, comme dangereux. Bref, une mise à jour s’impose.

BYOD, Cloud, Entreprise, Fuite de données

En 2014, le besoin de sécurité va bouleverser le marché de la sauvegarde Cloud

Le cloud, qui était il y a quelques mois encore vu comme un moyen simple et inoffensif de sauvegarder des données, va devoir se renouveler en 2014 pour continuer de séduire les professionnels. (Par Sergey Kandaurov, directeur de la gestion produit chez Acronis, pour Data Security Breach).

L’année 2013 a été marquée par de nombreux scandales en termes de sécurité et d’espionnage dans ce secteur. La demande des clients en 2014 va être impactée par ces affaires puisque la sécurité devient maintenant la priorité absolue. Les entreprises vont tout d’abord réfléchir d’avantage à ce qu’elles sauvegardent et où elles sauvegardent. La sécurité, la flexibilité et la confiance vont devenir des caractéristiques indispensables, favorisant ainsi l’apparition de solutions et de produits spécifiques à la sécurisation des données. Parallèlement les fournisseurs de solutions dans le Cloud de petites envergures vont mettre en avant une certaine proximité avec leurs clients et la qualité du service adjacente pour se différencier des fournisseurs leaders. Voici les 3 prédictions pour ce secteur pour 2014 :

1. Une sécurité accrue.
Après avoir passé un an à entendre les mots « PRISM » ou encore « Snowden », les consommateurs sont beaucoup plus conscients du type d’information qu’ils peuvent sauvegarder ou non sur des serveurs distants. Par conséquent, les entreprises vont multiplier leurs outils de sécurité afin de protéger les données sensibles. Nombreuses seront celles qui quitteront les services de Cloud public, comme Dropbox par exemple, pour se tourner vers un Cloud privé, plus sécurisé, leur permettant ainsi de garder le contrôle sur leurs propres fichiers.

2. Des nouveaux outils et services pour protéger les données dans le Cloud.
Avec la généralisation du Cloud, de plus en plus d’entreprises stockent leurs données dans le « nuage » informatique. La question de la continuité des activités en cas de problème va donc être un problème central dans les mois à venir. Avec un nombre de data stockées de plus en plus important, le risque d’un dysfonctionnement et d’une indisponibilité temporaire augmente. Les entreprises seront donc en demande de solutions innovantes pour parer à l’éventualité d’une perte ou d’une impossibilité d’accès aux données. Les professionnels chercheront plusieurs solutions alternatives pour stocker localement les fichiers basés dans le Cloud d’un côté, et pour sauvegarder rapidement et simplement les serveurs dans d’autres Cloud de l’autre.

3. Un focus sur la location physique de serveurs Cloud
Les clients vont commencer à opter pour des fournisseurs de solutions dans le Cloud stockant les informations dans une zone géographique proche, si possible dans le même pays. Ce constat est valable mondialement mais le sera encore plus en Europe. Ce « data nationalisme » protégera les données des gouvernements extérieurs. Par conséquent, cela permettra aux fournisseurs locaux de se développer face aux géants du secteur.

Ces fournisseurs pourront souvent fournir un service plus personnalisé et un meilleur suivi… 2014 sera donc l’année des « petits » fournisseurs.

Android, Espionnae, ios, Sécurité, Smartphone, Vie privée

Obama restreint les méthodes de la NSA

Un commentaire

Le président Obama a ordonné la fin de la collecte « en vrac » des messages téléphoniques des Américains. Vendredi, il est revenu sur la vaste restructuration des programmes de surveillance qui ont « ponctionné » les données de millions de citoyens américains. Une cybersurveillance exposée, l’an dernier, par l’ancien analyste du renseignement Edward Snowden.

Obama a appelé la National Security Agency (NSA) à renoncer au contrôle de son énorme base de données de relevés téléphoniques, à la mise en place d’un tribunal des programmes de surveillance, et l’arrêt des écoutes de dirigeants étrangers, alliés des États-Unis. Mais n’applaudissons pas trop vite, la surveillance continuera, mais avec des contrôles plus stricts.

Dans son discours donné ce vendredi au ministère de la Justice, M. Obama a appelé à une « nouvelle approche« . Un plan de transition doit être élaboré d’ici le 28 mars, autant dire un travail d’Hercule qui risque d’accoucher d’une souris. Le 28 mars étant la date butoir de la fin de la collecte de « métadonnées » par la NSA. Collecte qui a débuté après les attentats du 11 septembre 2001. « Dans notre empressement à répondre à des menaces très réelles et nouvelles (…) nous avons une eu réelle possibilité de perdre certaines de nos libertés fondamentales dans cette poursuite de la sécurité. Cela est particulièrement vrai lorsque la technologie de surveillance et de notre dépendance sur l’information numérique évolue beaucoup plus vite que nos lois. » Le Président Américain a indiqué que dorénavant, le programme de surveillance fonctionnera en deux étapes « À compter de maintenant, nous allons seulement suivre des appels téléphoniques qui sont associés à une organisation terroriste (…) J’ai demandé au procureur général de travailler avec le Foreign Intelligence Surveillance Court de sorte que pendant cette période de transition, la base de données (des métadonnées, Ndr) pourra être interrogée qu’après une décision judiciaire, ou dans une véritable situation d’urgence. » Obama a également demandé au Congrès à créer un groupe de « défenseurs publics » qui pourra représenter les intérêts de la vie privée. Pour rappel, les données collectées par la NSA comporteraient uniquement le numéro de téléphone de l’émetteur, la durée de l’appel et le numéro qu’il a composé.

Surveillance des alliés
Le président Obama a également abordé un autre programme de surveillance de la NSA, celui qui implique la collecte des courriers électroniques et des appels téléphoniques de cibles basées à l’étranger, y compris quand ils sont en contact avec des citoyens ou des résidents américains. Obama a déclaré que la nouvelle directive « indiquera clairement ce que nous pouvons et ne pouvons pas faire. »

Dorénavant, les Etats-Unis vont utiliser le renseignement que « pour des raisons de sécurité nationale légitimes (…) et non plus pour donner aux entreprises américaines un avantage concurrentiel. » En ce qui concerne les alliés, Barack Obama a expliqué qu’il allait préférer prendre son téléphone pour poser la question directement aux chefs d’Etat que de lancer une opération d’espionnage.

La directive d’Obama s’applique à la collecte de la NSA et précise que cette « moisson » ne doit être utilisée que pour la lutte contre le terrorisme, la prolifération des armes de destruction massive et les cybermenaces, pour la lutte contre la criminalité transnationale et à la protection de l’armée américaine et les forces alliées.

Obama a taclé la Russie et la Chine qui ont ouvertement et bruyamment critiqué les actions de la NSA, en indiquant qu’il ne voyait pas ses deux pays avoir une discussion ouverte sur « leurs programmes de surveillance et la gestion de la vie privée de leurs citoyens« .

Pendant ce temps, en Europe
À quelques semaines des étapes législatives cruciales pour le futur règlement sur le Marché unique des télécommunications, une coalition d’organisations européennes publie le communiqué ci-dessous et invitent les citoyens à faire entendre leur voix en appelant leurs eurodéputés à protéger la neutralité du Net. Une large coalition d’organisations de la société civile vient de lancer SaveTheInternet.eu [1], une campagne pour protéger la neutralité du Net dans la législation européenne à venir. À moins que nous n’agissions rapidement, une proposition de règlement de la Commission va réduire la liberté d’expression sur Internet, augmenter les prix et entraver l’innovation. Les citoyens doivent contacter les députés européens de la commission Industrie et les appeler à défendre un Internet ouvert.

Au terme de quatre ans d’inaction dans ce domaine, la nouvelle proposition de la Commission pourrait gravement nuire à un Internet ouvert. Ce règlement pourrait autoriser des entreprises de l’Internet à altérer arbitrairement le trafic du réseau pour prioriser les services des sociétés les plus riches, au détriment de l’innovation et de la liberté d’expression. Certaines des pires violations de la neutralité du Net auxquelles nous avons assisté en Europe ces dernières années deviendraient légales à cause de la faille des soi-disant « services spécialisés » contenue dans la proposition. De plus, le texte de la Commission pourrait autoriser des activités « volontaires » de surveillance et de filtrage ad hoc du réseau par les fournisseurs d’accès à Internet – en violation flagrante des obligations légales de l’Union européenne. Les ONG critiquent de manière unanime cette proposition de règlement. Les organisations de la société civile sont furieuses que cette proposition ne reflète pas les différents points de vues exprimés dans les réponses envoyées aux consultations que la Commission a tenues sur ce sujet. Ces organisations critiquent également l’examen précipité dont ces mesures font l’objet. Mais le plus préoccupant reste que les opérateurs télécom majeurs puissent remplacer l’actuel modèle économique de l’Internet – efficace et rentable – par celui de la téléphonie – inefficace, coûteux et obsolète.

Les citoyens doivent à présent se faire entendre dans ce débat crucial pour l’avenir d’Internet. Le règlement est maintenant entre les mains du Parlement européen, qui a l’opportunité unique d’en corriger les dangereuses failles et de mettre en place les garde-fous nécessaires à la protection d’un Internet neutre et ouvert. Le temps presse. La commission Industrie du Parlement européen amendera la proposition de règlement le 27 février. Au cours des six prochaines semaines, chaque citoyen européen soucieux de l’avenir d’Internet devra contacter les membres du Parlement européen et faire entendre sa voix. Cette campagne est menée par : Access Now (Bruxelles) ; Digitale Gesellschaft e.V (Allemagne) ; European Digital Rights (EDRI) (Bruxelles) ; Initiative für Netzfreiheit (Autriche) et La Quadrature du Net (France). (WP)

 

Android, Cyber-attaque, ios, Leak, Piratage, Sécurité

Un espace EuroSport piraté, données utilisateurs envolées

Un pirate informatique met la main sur des données clients ayant téléchargé des applications Football et Tennis d’Eurosport. Difficile de savoir ou, précisément, le pirate Hocine a pu intercepter plus de 6.000 adresses électroniques, codes de promotion, IP appartenant à des clients et utilisateurs d’applications pour smartphone diffusés par Eurosport.

D’après les informations que Data Security Breach a pu collecter, les 20.001 données ne visent que des téléchargements réalisés entre le 09 et le 26 septembre 2013. A noter qu’à côté de chaque mail, une adresse IP. Bref, suffisamment d’information pour qu’un pirate puisse lancer d’autres attaques plus ciblées. ;Dans la liste, des Britanniques, des Allemands et 3.107 adresses appartenant à des Français.

Il semble que les internautes ayant téléchargés, par l’entremise d’Eurosport, Fluid Football et Virtua Tennis, soient touchés par cette fuite de données. Comment être certains que les données proviennent de la chaîne de télévision dédiée aux sports ? Assez simplement ! Le premier compte de ce « Leak », de cette fuite, appartient au Marketing Manager d’Eurosport.

Le pirate n’a pas souhaité nous indiquer s’il avait en sa possession d’autres informations, et encore moins, indiquer le point de départ de cette fuite.

Cyber-attaque, DDoS, Leak, Piratage, Sécurité

L’opérateur Mobil COM piraté

L’opérateur téléphonique tchèque Mobil COM a été piraté. D’après les informations que la rédaction de DataSecurityBreach.fr a pu collecter, une base de données clients a été copiée par des pirates informatiques qui agissent sous le nom d’un groupe baptisé Pay load Crew. Des emails, des mots de passe (MD5), des numéros de téléphones… ont été pris en main par les jeunes visiteurs qui signent sous les pseudonymes de Phen0, Englos et Azr.

Nous avons pu joindre ces pirates afin de comprendre leurs motivations. « Nos motivations sont diverses, expliquent-ils à la rédaction de Data Security Breach. Cela peut allez de simplement montrer au site – victime – qu’ils ne sont pas si sécurisés que ça. Il peut aussi y avoir l’argent. C’est plus rare car habituellement nous jetons à la « poubelle » les cartes bancaires. Ou nous piratons tout simplement pour des raisons personnelles« .

Lors de leurs piratages, les membres du PLC copient des bases de données qu’ils diffusent sur la toile. Quid des iSQL copiées ? « Nous les regardons attentivement. Nous  regardons si les informations sont bien correctes à ceux du site. Nous retirons les informations bancaire, si il y’en a, et collons les dump dans des sites tels que zerobin, pastebin. Nous souhaitons communiquer à propos de nos attaques. Nous pourrions être plus méchant si nous le voulions« .

Dans l’attaque à l’encontre de Mobil COM, les trois pirates ont annoncé avoir été motivés après l’arrestation de l’un des membres de ce crew « emmener un des nôtres n’a fait que nous booster » indiquent-ils dans le fichier qu’ils ont diffusé sur la toile. Nous avons souhaité savoir s’ils ne craignaient pas de finir comme ce membre, AngryBird ? « Non, pour tout vous dire cela fait déjà un an qu’on avait prévu d’être stoppé par la police en charge de la cybercriminalité. Nous nous étions tous mis d’accord. Nous savons ce que nous risquons, donc autant continuer jusqu’à la fin. Personnellement [dixit Englos, Ndr], la cyberpolice m’a déjà retrouvé. Elle m’a contacté pour coopérer et livrer des noms, je n’ai jamais rappelé« .

 

Chiffrement, cryptage, Hacking, Rendez-Vous

Des inconnus diffusent une énigme XXL sur le web

Le 5 janvier dernier, le forum 4chan a servi de support à la 3ème édition d’une immense chasse au trésor sauce chiffrement. Depuis 2012, l’opération cigale est lancée par des inconnus. Impossible, sauf pour les vainqueurs des années passées, de savoir qui se cache derrière Cicada 3301. D’après le ou les auteurs, cette grande course doit permettre de recruter « des individus très intelligents. Pour les trouver, nous avons conçu un test. Un message se cache dans cette image. Trouvez-le, et il vous mènera sur la voie pour nous trouver. Nous sommes impatients de rencontrer les quelques personnes qui réussiront à faire le chemin jusqu’à nous. Bonne chance.« 

Prétentieux les « organisateurs » ? Les premières traces ont permis de remonter, d’abord, à un leurre, puis ensuite à décortiquer l’image (il fallait multiplier 3301 à la longue et hauteur de l’image d’origine. 3 nombres premiers qui donnaient l’ip d’un site web, et d’une image de cigale qui, exploitait avec le logiciel de sténographie OutGuess indiquait aux joueurs « Vous avez été suffisamment bons pour arriver jusqu’ici. La patience est une vertu. Revenez à 17:00 lundi 9 janvier 2012, UTC. » 14 points GPS sont apparus alors ce 9 janvier. Chaque point dirige vers une affiche et un QR Code, affiches collées dans les villes de Paris, Séoul, Varsovie, Miami. Chaque QR code dirige vers de nouveaux documents à décortiquer avec le même OutGuess.

En 2012, des commentaires liés aux images pointaient du doigt la NSA. Si en plus ils inventent des jeux sympas, ils vont finir par devenir vraiment sympathiques. En 2013, un PastBin annonçait que derrière cette organisation se cachait des gens dangereux. En attendant, Snowden n’a pas diffusé d’information sur ce concours. La CIA serait aussi dans les rangs des probables GO.

Des informations sont diffusées par des « joueurs » sur un wiki. Un Twitter a aussi été ouvert pour l’occasion.

Cybersécurité, Mise à jour, Patch

Patch Day : Java, Adobe Reader et Flash, Microsoft Word

Un commentaire

Microsoft vient de diffuser son premier Patch Tuesday de l’année. Et même si l’éditeur ne publie que quatre mises à jour, les administrateurs informatiques auront du pain sur la planche avec les nouveaux correctifs publiés par Adobe et Oracle.

En effet, comme le rappel Wolfgang Kandek, CTO de Qualys, Oracle résout 144 vulnérabilités avec sa dernière mise à jour de patchs critiques (CPU) de janvier 2014, soit un nouveau record pour Oracle. La plupart des vulnérabilités se trouvent dans la version de Java 7, sachant que Java v6 est déjà en fin de vie. La mise à jour 51 de la version de Java 7 fournit 34 correctifs pour des vulnérabilités exploitables à distance. La note « 10 », soit la plus élevée sur l’échelle du système d’évaluation des vulnérabilités CVSS (Common Vulnerability Scoring System), est attribuée aux plus critiques d’entre elles.

En 2013, Java fut l’un des logiciels les plus attaqués et cela va continuer en raison d’une politique de mise à jour pas assez énergique. L’installation d’un logiciel malveillant sur la page d’accueil du site Yahoo via des publicités par des pirates qui ont profité d’une vulnérabilité Java sur des PC d’utilisateurs affectés a d’ailleurs récemment fait La Une. Commencez par résoudre cette vulnérabilité et si vous rencontrez de la résistance pour mettre à jour Java, demandez-vous pourquoi ces machines ne peuvent pas exécuter cette toute dernière version de Java.

Adobe diffuse deux mises à jour qui sont toutes les deux critiques car elles concernent l’exécution de codes à distance et une prise de contrôle total du système ciblé. APSB14-01 est une mise à jour pour Adobe Acrobat et Reader avec un vecteur d’attaque sous la forme d’un fichier PDF. Quant à la mise à jour APSB14-02 pour Adobe Flash, elle traite les vecteurs d’attaque typiques sur des pages Web et des documents malveillants via des objets Flash intégrés. Ces deux packages Adobe devraient figurer en tête de liste de vos mises à jour. Les utilisateurs de Google Chrome et d’Internet Explorer 10 et 11 n’ont pas à se préoccuper de la mise à jour de Flash. En effet, cette dernière sera installée via les mécanismes de mise à jour automatique de ces navigateurs.

Microsoft publie quatre bulletins qui sont tous classés comme « Importants » en termes de sévérité.MS14-001 résout une vulnérabilité dans le format de fichier Microsoft Word qui peut être exploitée pour exécuter des codes à distance sur le système affecté lors de l’ouverture d’un fichier malveillant. Il s’agit de la vulnérabilité la plus importante à résoudre. Elle concerne toutes les versions de Microsoft Word sous Windows 2003, 2007, 2010 et 2013, ainsi que les visionneuses de documents Word. Les utilisateurs de Mac OS X ne sont pas concernés.MS14-002 est un patch pour la vulnérabilité Zero Day signalée le mois dernier et présente dans Windows XP et 2003. S’agissant d’une escalade locale de privilèges, cette vulnérabilité ne peut être exploitée que par un pirate déjà présent sur la machine en tant qu’utilisateur standard et qui a besoin d’obtenir des droits administratifs.Microsoft a reconnu son existence pour la première fois le 27 novembre 2013 dans l’avis de sécurité KB2914486. L’éditeur a expliqué que cette vulnérabilité était utilisée pour un petit nombre d’attaques ciblées qui exploitent une vulnérabilité corrigée dans Adobe Reader (APSB13-15 depuis mai 2013) comme moyen de transmission. Les autres bulletins, à savoir MS14-003 et MS14-004, traitent une vulnérabilité au sein du noyau Windows ainsi qu’un état de Déni de Service dans le progiciel d’ERP Microsoft Dynamics AX.

En résumé, voici notre liste de priorités pour ce mois-ci : Java, Adobe Reader et Flash, Microsoft Word ainsi que la vulnérabilité Zero-Day.

À propos, d’autres vulnérabilités traitées dans la version CPU d’Oracle vous concernent si vous utilisez les logiciels Oracle suivants :

  • MySQL contient 18 vulnérabilités, dont trois exploitables à distance et auxquelles a été attribuée la note CVSS maximum de « 10 ».
  • Solaris fait l’objet de 11 correctifs, dont un lié à une attaque à distance. La note CVSS maximum est de « 7,2. »
  • Les solutions logicielles Oracle Virtualization, dont la célèbre VirtualBox, contiennent neuf vulnérabilités, dont quatre exploitables à distance et avec une note CVSS maximum de « 6,2 ».

  • Quant au SGBDR Oracle lui–même, il contient cinq vulnérabilités, dont une exploitable à distance. »

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile