lundi 28 décembre 2009

Un antispam pour smartphones Androïd


Baptisé Hinky, ce programme permet de signaler et de bloquer des courriers indésirables reçus sur des smartphones.

Appelés SPIT (« SPam over Internet Telephony »), ces SMS frauduleux sont apparus en 2005. C'est l'équivalent du spam qui envahit les emails. Les SPIT incitent notamment les abonnés à appeler un numéro surtaxé.

Hinky tourne en tâche de fond et scanne en temps réel tous les SMS reçus. Dès qu'un message arrive, et qu'il est enregistré sur une black-list, il est rejeté automatiquement. Si une personne reçoit pour la première fois un SMS frauduleux, elle le signale à Hinky qui actualise en temps réel cette banque de données. Ce logiciel s'appuie donc sur une black-list collaborative.

Ce programme gratuit (et en open-source) n'est compatible qu'avec les téléphones mobiles fonctionnant sous Androïd, un système d'exploitation pour smartphones lancé par Google.
« Nous avons développé cette application sur cette plate-forme car c'est le seul système d'exploitation qui est ouvert », explique Abdelkader Lahmadi. Avec les systèmes d'exploitation comme Symbian ou Windows Mobile entre autres, les anti-SPIT reposent sur des solutions propriétaires ou qui ne sont pas open-source.

Bien qu'elle ne soit pas encore définitive, cette application intéresse les utilisateurs. Quelque 3000 téléchargements d'Hinky ont été enregistrés sur Android Market, la plate-forme de Google.

Ce programme restera gratuit. Mais pour bénéficier d'une black-list actualisée et synchronisée entre les différents usagers, les développeurs envisagent un abonnement.

Un pare-feu surveillant la VoIP



Les connexions Internet font partie du quotidien des entreprises et des particuliers. Mais ces liaisons quasi permanentes avec le monde extérieur multiplient les risques d'attaques de pirates. Parmi les nouveaux supports visés il y a les réseaux téléphoniques connectés au web et notamment la VoIP (ou en français «voix sur un réseau IP») et le mobile (à lire dans le prochain billet).

Dans le premier cas, la voix est diffusée via un mode point à point. L'établissement des connexions utilise au moins deux protocoles : un pour la signalisation, un autre pour la transmission de la voix. Le SIP (Session Initiation Protocol), se charge de la signalisation.

Mais ce protocole, qui est un standard de fait, est victime de nombreuses attaques. L'un des objectifs des attaquants est d'usurper l'identité de l'interlocuteur en profitant d'une faille de sécurité pour lui voler son identifiant et mot de passe.

Pour contrer ce genre d'attaques, l'équipe Madynes de LORIA, à Nancy, développe un pare-feu (ou « firewall ») appelé SECSIP (« Sécurité pour SIP »). Installé derrière un pare-feu classique d'une entreprise, ce programme surveille les connexions empruntant le SIP.

« L'objectif à terme est d'avoir un firewall autonome c'est-à-dire capable de repérer des vulnérabilités avec différents outils et ensuite de générer de façon automatique des règles de protection afin de configurer les accès», précise Abdelkader Lahmadi, maitre de conférence à Nancy et membre de l'équipe Madynes.

Pour l'instant, ce programme open-source est encore en version bêta. La version définitive sera disponible d'ici fin 2010.

mercredi 16 décembre 2009

Alerte aux faux antivirus






Tout le monde doit installer un antivirus. Mais pas n'importe lequel et surtout pas un faux antivirus. Or, ces faux logiciels de sécurité se multiplient sur le web.

En un an, Symantec a ainsi détecté 43 millions de tentatives d'installation de faux antivirus.

Selon l'éditeur russe de sécurité Doctor Web, " les faux antivirus sont devenus la source principale de profit des créateurs de virus".

Selon cet éditeur, "la plupart des faux antivirus se propagent dans des fichiers install.exe, compressés en ZIP. Cette archive est présentée comme une mise à jour du système de messagerie utilisé (le message est envoyé de la part de l’administrateur du serveur de messagerie utilisé) ou comme une mise à jour du client de messagerie Microsoft Outlook.
L’utilisateur est alors informé de l’augmentation de menaces et est invité à télécharger cette soi-disant mise à jour pour mieux se protéger. En réalité, il télécharge le faux antivirus qui, au redémarrage de l’ordinateur, fera croire à une attaque et entraînera l’utilisateur à acheter un (faux) outil de protection".

Selon le FBI, qui vient de lancer une campagne aux Etats-Unis pour sensibiliser les internautes, ces faux antivirus sont vendus entre 30 et 100 € !

En clair, ne cliquez jamais sur une pièce jointe envoyée par un quelconque service de sécurité ou un éditeur d'antivirus.

Installez un antivirus depuis le site offciel de l'éditeur ou achetez-le en magasin.

Faille dans Adobe

Symantec a découvert qu'un cheval de Troie circule actuellement caché dans des fichiers PDF attachés à des emails.

"Le programme malveillant libère un fichier identifié sous le nom Trojan.Pidief.H qui permet une prise de contrôle à distance de l'ordinateur infecté", explique le site Zdnet.

Problème : cette faille ne sera corrigée que le 12 janvier 2010 !

En attendant, les utilisateurs sont invités à désactiver JavaScript en allant dans les préférences d'Acrobat et de Reader. Les plus aguerris peuvent utiliser l'application JavaScript Blacklist Framework qui permet de sélectionner les fonctions JavaScript à désactiver.

Mais les pirates profitent déjà de cette brèche pour balancer leurs codes malveillants.

Cet exemple confirme que l'arrêt de la Cour de cassation concernant la publication de failles de sécurité aura des répercussions négatives.

Aux yeux de nombreux experts, le "full disclosure" apparait en effet comme un moyen efficace pour inciter les éditeurs à corriger rapidement des failles de sécurité.

"Le jour où il y aura un problème de sécurité avec des conséquences graves, on pourra incriminer le chercheur pour mise en danger informatique d’autrui en ne révélant pas publiquement un problème de sécurité. N’y a-t-il finalement pas une obligation civique d’en informer le public ?», se demande Eric Filiol, Directeur de la recherche de l’ESIEA (École Supérieure d’Informatique Electronique Automatique) et du laboratoire de cryptologie et virologie opérationnelles.

Rien ne sert, en effet, de convaincre le grand public et les entreprises à s'équiper en logiciels de sécurité et à mettre à jour tous leurs logiciels, si les éditeurs ne font pas correctement leur travail !

Téléphones mobiles et jeux en ligne : nouvelles cibles des pirates






C'est la rançon du succès. Les smartphones et les jeux en ligne séduisant de plus en plus de personnes, il est logique que les pirates préparent des attaques visant ces deux domaines en pleine expansion.

L'éditeur de sécurité russe Doctor Web nous apprend ainsi que "plusieurs lettres d’information en russe traitant de logiciels destinés à surveiller les utilisateurs de téléphones mobiles" ont été repérées en novembre. Le but de ces lettres était la diffusion de programmes nocifs pour le vol de mots de passe.

Les pirates commencent d'ailleurs à passer de la théorie à la pratique.

"Au début du mois de novembre, un message électronique a été diffusé, prétendant fournir un logiciel permettant de trouver l'emplacement exact du propriétaire de n'importe quel téléphone portable. Des victimes potentielles ont été attirées par l’opportunité d’essayer ce programme gratuitement", précise Doctor Web. En réalité, un fichier exécutable (Trojan.PWS.AccHunt.11) cherchait des mots de passe.

Autre cible : les jeux en ligne.

En Russie, le jeu en ligne « Dance City » est très populaire. "Les pirates, connaissant toutes les particularités du jeu, proposaient aux joueurs des logiciels sensés leur permettre d’augmenter chaque jour la somme sur leur compte virtuel, et obtenir ainsi des privilèges d’administrateur du jeu, ainsi que d’autres possibilités qui auraient pu leur être utiles dans cette ville", indique Doctor Web.

Outre le vol de l'argent des utilisateurs, les pirates propagent des programmes prétendus gratuits, qui en fait leur permettent de s’introduire dans le système du jeu. De plus, ils diffusent avec cela divers logiciels malicieux, citons par exemple le cas de la diffusion du BackDoor.Dax.47.

Enfin, les réseaux sociaux sont devenus le nouveau terrain de chasse des escrocs. "En novembre les utilisateurs de MySpace sont devenus une nouvelle cible des pirates. Tout comme les utilisateurs de Facebook, ils reçoivent des messages leur signalant que le mot de passe pour l’accès au réseau social a été modifié pour des raisons de sécurité et qu’il s peuvent le trouver dans le fichier archivé attaché.
Dans d’autres messages, il leur est proposé de télécharger un utilitaire capable d’apporter lesmodifications nécessaires pour que l’utilisateur puisse réussir à ouvrir sa session sur le site du réseau social. En réalité, le lien de téléchargement conduit à un site Web créé par des cybercriminels", précise Doctor Web.

lundi 14 décembre 2009

Failles de sécurité et "exploits"

PRECISIONS :
Contrairement à ce que j'ai écrit dans la première version de ce billet, le site en question n'a pas été condamné pour avoir rendu public une faille de sécurité mais pour avoir diffusé ce que les experts en sécurité appellent un "exploit", c’est-à-dire un programme permettant d’exploiter une ou des failles de sécurité.

Comme le précise Eric Freyssinet, officier de gendarmerie, sur son blog : " On notera que ni Microsoft, ni le CERTA n’ont été poursuivis pour avoir diffusé les informations sur les dites failles, c’est une reconnaissance implicite de la légitimité de l’information sur les failles de sécurité".


Voici donc ci-dessous, une version corrigée et actualisée :

Internautes, dormez tranquille, vos logiciels présentent des failles de sécurité mais personne (ou presque) n'est au courant !

La révélation publique de la découverte d'une vulnérabilté non corrigée concernant un logiciel s'appelle le "full disclosure".

Lors d'une audience publique du 27 octobre, un arrêt de la chambre criminelle de la Cour de Cassation a précisé que la diffusion d'une faille n'est pas illégale.

C'est la diffusion d'un "exploit" qui est interdit.

Cette décision est l'aboutissement d'une affaire remontant à 2005. A cette époque, une société de Montpellier est condamnée à 1000 euros d'amende pour avoir mis en ligne une vulnérabilité visant les logiciels Microsoft, la fumeuse vulnérabilité dite Windows Metafile (WMF), un format d'image.

Cette société avait publié sur son site la découverte de cette faille mais SURTOUT un "exploit" quelques jours avant la publication des patchs de correction par Microsoft, en janvier 2006.

Les juges de la plus haute instance juridique francaise s'appuient sur l’article 323-3-1 du code pénal. Cet article « réprime le mise à disposition d’équipement, d’instrument ou de programme informatique conçus ou adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données »

Une carte pour des achats sans risque sur le net







Acheter sur internet est pour encore de nombreux internautes synonyme de risques : "on va me voler mon numéro de carte bancaire".

Le risque est pourtant minime mais il existe.

Des pirates disposent de nombreuses techniques pour récupérer des données personnelles. Ils n'ont d'ailleurs pas besoin que vous soyez connecté à un site marchand pour "emprunter" votre carte bancaire.

Parmi les techniques mises à disposition des pirates, il y a le "phishing". Derrière ce nom bizzare se cache une technique d'usurpation qui peut être très sophistiquée.
Mais le procédé le plus connu consiste à vous envoyer un faux email de votre banque. Ce courrier, imitant plus ou moins correctement le logo et des informations légales de votre établissement bancaire, vous demande de redonner votre numéro de carte bancaire, sa date d'expiration, vos coordonnées personnelles sous prétexte d'un problème technique ou d'une mise à jour de sécurité de leur système...

Ces raisons sont fausses, seul le piège est vrai !

Pour éviter de tomber dans le panneau, il ne faut pas répondre à ce genre d'email.

Mais d'autres pirates peuvent aussi récupérer des données personnelles stockées sur votre PC en utilisant des codes malveillants développés de façon à traquer ces données dans les moindres recoins de votre ordinateur.

Pour ne pas avoir de données personnelles sur votre PC, vous pouvez utiliser une carte prépayée. Ce n'est pas la panacée, car tout système présente des failles mais cette piste réduit les risques.

Pour rassurer le grand public, Central Telecom a donc la bonne idée de commercialiser Tonéo. C'est une carte de paiement (montants de 5€, 12€, 45€ et 90€) valable sur Internet. Il est possible d’effectuer des achats sur les sites marchands comme Mister Good Deal, PriceMinister, Amazon, 3 Suisses... et bien d’autres encore, sans carte bancaire !

Aucune information personnelle n’est demandée.

C'est une bonne idée.

Il ne reste plus à Toneo qu'à traduire sa page en francais. En cliquant sur "francais", on arrive en effet sur une page en anglais. Pas l'idéal pour aider le grand public !

jeudi 10 décembre 2009

Bien choisir son pare-feu










Un ordinateur c’est comme une maison : il y a plusieurs façons d’y accéder. Par la porte ou par les fenêtres. Pour réduire les risques d’être cambriolé, il est important de fermer les issues.

Même précaution avec votre ordinateur. Il faut même être plus vigilant car il a encore plus de fenêtres et de portes que votre habitation. D’où la nécessité d’installer un programme spécialisé dans la protection de tous ces points d’accès qui présentent autant de moyens d’infiltration.

Appelé firewall (pare-feu en français), il surveille ce qu’on appelle les ports de votre machine. Aucune application (traitement de texte, courrier électronique, mise à jour d’un programme…) ne peut sortir ou entrer sans son feu vert.

Pourquoi filtrer ces accès ? Lorsqu’un pirate a installé un virus sur votre ordinateur, il cherche à récupérer son butin, en l’occurrence vos données personnelles (numéro de carte de crédit, mot de passe…). Pour cela, son code malveillant va lui renvoyer un petit fichier contenant ces précieux Sésames. Il doit donc établir une connexion sortante. Or, beaucoup de pare-feux filtrent peu ou mal les sorties.

Un firewall digne de ce nom doit donc vous avertir (en affichant une petite fenêtre sur l’écran) dès qu’il constate une connexion. Mais pas de précipitation. Il peut s’agir de votre traitement de texte ou de l’antivirus qui essaie de se connecter au web pour une mise à jour.

Comme pour d’autres logiciels de sécurité il faut passer par une période plus ou moins longue d’apprentissage. Vous devez lui apprendre (en cochant des cases d’autorisation automatique par exemple) à reconnaître les bonnes et les mauvaises entrées et sorties. Au bout de quelques jours il affichera moins d’alertes.

Quel pare-feu choisir ?

Voici mes suggestions :

1-Outpost Firewall pro 2010

A chacun son métier ! Créée en Russie en 1999, Agnitum a sorti la première version de son firewall en 2002. Aussitôt, ses qualités ont été saluées par les spécialistes. La version 2010 est toujours à la hauteur de sa réputation.
Ce pare-feu (40 €) bidirectionnel empêche tout accès inapproprié ou malveillant à votre ordinateur à partir de sources internes (réseau local) et externes (Internet). Il a réussi tous les tests de fuite (les fameux « leak tester ») afin d'empêcher la transmission d'informations à partir de votre ordinateur.
Ce logiciel est donc très performant et très complet (il dispose aussi d’un programme anti logiciels espion et d’un contrôle des emails). Son réglage reste abordable par tout le monde grâce à une interface claire et détaillée. Autant dire que vous êtes à l’abri.

2-ZoneAlarm Security Suite

Plus connu qu’Outpost, ce logiciel offre une protection équivalente. Il surveille et bloque le trafic dangereux dans les deux sens et désactive instantanément les programmes malveillants. Il dispose aussi d’un module anti espions et d’un filtrage des pièces jointes aux emails. Particularité intéressante : il détecte automatiquement les réseaux sans fil et protège votre PC des pirates, que vous soyez connecté chez vous ou depuis une borne wi-fi. Son interface est toujours aussi pratique avec un aperçu simple, des boutons de réparation en un clic et des commandes de personnalisation pour les utilisateurs plus expérimentés.
Les joueurs sur PC apprécieront son « Mode Jeux » qui supprime temporairement les alertes de sécurité afin de pouvoir affronter ses adversaires sans être dérangé mais en restant néanmoins protégé.
A noter que ce pare-feu est inclu dans la suite (30 €) de sécurité (antivirus, antispam...)

3-COMODO Internet Security

A la différence des trois autres firewalls, cette version de Comodo est gratuite. On peut très vite régler ce pare-feu et constater immédiatement son niveau de protection. Il permet d’ajouter des règles pour les applications ou le réseau. Petit plus : ce pare-feu intègre aussi un antivirus. C’est une bonne chose mais ses performances n’égalent pas des produits comme Kaspersky ou DrWeb. Enfin, sachez que vous devez vous enregistrer auprès de cet éditeur pour que la licence (bien que gratuite) ne soit pas périmée au bout de 30 jours.

4-Pare-feux Microsoft
L'éditeur a décidé d'inclure un firewall dans Vista et Seven. Même s'ils ne sont pas aussi efficaces qu'Outpost, ces deux logiciels ne déméritent pas et en plus ils sont gratuits.

mercredi 9 décembre 2009

2009, année critique pour la sécurité






Symantec est connu pour son antivirus Norton qui n'a pas que des qualités !

Par contre, les rapports de cet éditeur (n°1 mondial de la sécurité informatique) sont toujours riches d'informations.

Son dernier rapport sur la sécurité MessageLabs Intelligence Report rappelle les principales tendances en 2009 :

- Sécurité Web
En 2009, les statistiques montrent une recrudescence des sites Web malveillants, avec 2 465 sites Web interrompus en moyenne chaque jour contre 2 290 en 2008, soit une hausse de 7,6 %. MessageLabs Intelligence a bloqué les sites Web malveillants de 30 000 domaines distincts. 80 % des noms de domaine bloqués comme malveillants étaient des sites Web légitimes ayant été corrompus, les 20 % restants étant de nouveaux domaines créés délibérément avec du contenu malveillant.

Spam
En 2009, la proportion des e-mails s’avérant être des spams était de 87,7 % (81,2 % en 2008), en augmentation de 6,5 % par rapport à l’année précédente. Les spams images ont culminé en avril, représentant 56,4 % de tous les spams le 5 avril, alors que la moyenne annuelle était de 28,2 %.

- Virus
En 2009, la proportion des e-mails comportant un virus était de 1 pour 286,4 e-mails (0,35 %), soit une baisse de 0,35 % par rapport à 2008 où le chiffre était de 1 pour 143,8 e-mails (0,70 %). Ce recul s’explique par la tendance à développer davantage de variantes (augmentation de 23 % en 2009 par rapport à 2008) mais moins d’e-mails malveillants par souche (environ 5 827 e-mails malveillants par souche en 2009 contre 10 436 e-mails par souche en 2008).

- Phishing
Le nombre d’attaques de phishing était de 1 pour 325,2 e-mails (0,31 %) contre 1 pour 244,9 (0,41 %) en 2008. En 2009, il y a eu plus de 161 milliards d’attaques de phishing en circulation.

A lire attentivement... avant de débrancher son PC et de reprendre sa machine à écrire !

dimanche 6 décembre 2009

Comment bien gérer ses mots de passe











Avoir des mots de passe "forts" est une obligation. C'est ce que montre mon précédent billet relatant une étude de Microsoft.

Problème : s'il facile de créer des mots de passe plus difficiles à découvrir, il est par contre difficile de s'en souvenir ! Il y a bien les fameux Post It mais ce n'est pas l'idéal en matière de protection des données (quoique...).

Il existe une solution gratuite, en francais et simple à utiliser : KeePass Password Safe dont la dernière version en date est disponible depuis le 5 décembre. Ce logiciel permet de gérer (et donc de protéger) tous vos mots de passe. Ils sont protégés avec une passphrase. En un mot : un seul mot de passe bloque l'accès à tous les autres enregistrés par ce programme.

Il ne reste plus qu'à entrer dans KeePass ses différents mots de passe pour Facebook, Twitter, site de banque, votre compte email...

Lorsqu'un site ou une application vous demandera le mot de passe, vous devrez lancer KeePass et double cliquer sur votre mot de passe puis le coller dans votre application. Vous pouvez même programmer la fonction Auto Type. Cette fonction permet d’automatiser la procédure d'identification.

Les bons mots de passe pour être protégé

Petite piqûre de rappel très utile donnée par le centre de sécurité de Microsoft, le Malware Protection Center : pour réduire les risques dêtre la victime d'un pirate il faut utiliser un mot de passe "fort".

Pour rappel donc, un mot de passe "fort" comporte OBLIGATOIREMENT des lettres en majuscule et minuscule, des chiffres et des symboles.

Exemple : MtZ87!+j45.

Pour savoir si le vôtre pourrait résister à la "curiosité" des pirates, vous pouvez aller sur le site Password Checker de Microsoft.

Pourquoi cette piqûre de rappel ? Parce que bon nombre d'internautes continuent à employer des mots de passe basiques. La preuve, le centre de sécurité du géant américain a fait travailler ses ordinateurs en analysant les statistiques des attaques exécutées contre son serveur FTP factice (un "honeypot", un pot de miel qui attire tous les codes malveillants trainant et les pirates).

L'éditeur s'est concentré sur les attaques automatisées par dictionnaires dont la finalité est de trouver un mot de passe ou une clé d'accès à un service.

Comme le précise ZDnet, "Les mots de passe et identifiants les plus souvent utilisés dans ces attaques sont tous très communs et ne doivent en aucun cas être adoptés. En fait, dans la plupart des cas, ce ceux sont paramétrés par défaut et qui n'ont jamais été changés par les utilisateurs comme par exemple "password","123456" ou "Administrator" et "Administrateur".

A vous de changer vos mots de passe...

vendredi 4 décembre 2009

Un cadeau piégé sur Facebook

Les escrocs ont de la suite dans les idées. Comme Facebook attire de plus en plus de monde, ils ont eu l'idée de monter un piège grossier mais qui va certainement marcher.
Le site Zataz révèle en effet qu'un "pirate informatique exploite le site Les Chalets fleuris pour inciter les internautes, et les utilisateurs de Facebook, à fournir leurs données bancaires en raison d'un pseudo achat."

Evidemment, il ne faut pas répondre à cette proposition !

mercredi 2 décembre 2009

Téléchargez Avast et partez à Prague

Avast! est un antivirus gratuit de qualité. autre atout : il peut vous permettre de visiter gratuitement Prague, capitale thèque et ville où se trouve cet éditeur.

Pour être l'heureux élu (il pourra être accompagné d'une personne de son choix), il faudra être le 100 millionième utilisateur d'Avast !

Bug Windows : le virus est chez les experts

Bravo à la société Prevx pour son professionnalisme ;-)

Cette société avait annoncé hier qu'un bug dans la mise à jour de sécurité de Microsoft entrainait l'apparition d'un écran noir chez certains utilisateurs.

En réalité, il n'y a pas de bug... juste un virus qui trainait justement chez Prevx et qui a "perturbé" son appréciation du bug.

C'est ce qu'on découvre en lisant cet article de PCInpact

Conclusion : à trop vouloir faire parler d'eux, des cabinets d'experts en sécurité oublient de balayer devant leur porte. La chasse aux nouveaux bugs dans Windows est devenue le sport favori de nombreux spécialistes qui cherchent à faire parler d'eux. A tord !

HADOPI : un plug-in Firefox pour Windows

Comme prévu, les développeurs de ce plug-in appelé Perseus viennent de sortir une version compatible avec Windows.

Pour rappel, ce petit programme permet de se connecter sans être "écouté". Une solution très efficace contre l'activité d'espionnage de codes malveillants à grande échelle (menés par ceux qui utilisent des botnets) et les écoutes des officines chargées de traquer les "mauvais" internautes.

A noter que ce module ne permet qu'une protection du flux HTTP en direct download (un serveur doit être installé sur l'une des machines.

La librairie open source (langage C) sera disponible début janvier. Elle permettra à quiconque le souhaite d'intégrer la technologie pour le flux de son choix (FTP, Torrent, Mail...).

mardi 1 décembre 2009

Avast prépare une suite de sécurité

Les suites de sécurité sont à la mode. L'éditeur tchèque Alwil Software va donc faire comme ses concurrents. D'ici quelques semaines, il sortira Avast! Internet Security. Outre l'antivirus, elle comprendra un pare-feu, un antispam et sandbox (un bac à sable permettant d'isoler une application).

Elle sera disponible pour Windows 2000, XP SP2, Vista et 7, cette version payante peut être testée gratuitement en ce moment.

Mais attention, comme il ne s'agit pas de la version définitive, l'éditeur précise que vous n'êtes pas entièrement protégé. De toute facon, même avec les versions définitives des antivirus, l'utilisateur ne bénéficie pas d'une protection à 100 % !

D'autres éditeurs, qui n'ont pas encore de suite, en préparent une également.

samedi 28 novembre 2009

Concours antivirus : édition 2010

La deuxième édition du concours iAWACS aura lieu à Paris, à l'ESIEA, du 12 au 14 mai 2010.
Cette fois, les antivirus devront être désactivés sur un ordinateur fonctionnant sous Windows 7 et en mode utilisateur.

La liste des antivirus participant à ce concours n'a pas encore été révélée par les organisateurs.

En utilisant Windows 7 en mode utilisateur, les organisateurs veulent faire taire les critiques formulées (et infondées) à l'encontre de la première édition en octobre 2009 durant laquelle Windows XP avait été utilisé en mode administrateur.

jeudi 26 novembre 2009

Un ordinateur est plus sécurisé sous Windows ou sous Linux ?
















En matière de sécurité informatique, c'est le sujet le plus polémique. Dès qu'on évoque la multiplication des codes malveillants qui attaquent les différents systèmes d'exploitation de Windows (dont XP et Vista), il y a une réaction automatique qui apparaît dans les forums : « passez sous Linux et vous n'aurez plus de soucis avec ces virus ».
La lecture du hors-série n°32 de Linux Magazine (sept-oct 2007) démontre que les virus, vers et rootkits existent sous GNU/Linux. On y apprend notamment que le premier virus « officiel » a été écrit sous Unix en 1983 par Fred Cohen (de l'Université de Californie), considéré comme l'un des pères-fondateurs de la virologie informatique. Depuis 1995, « avec les virus de documents (les plus connus étant les fameux macro-virus), le risque viral concerne la couche applicative liée au traitement de documents bureautiques... A ce titre, tous les systèmes d'exploitation sont concernés », écrit Eric Filiol (Directeur du laboratoire de virologie et de cryptologie opérationnelles - ESIEA  Ouest) dans ce hors-série, page 5.

Un code malveillant exploitant une faille d'OpenOffice peut donc contaminer une distribution GNU/Linux. C'est une première raison montrant que Windows n'est pas le seul système vulnérable.

« Dans l'absolu, GNU/Linux est plus sûr mais si on l'utilise correctement c'est-à-dire pas en mode « administrateur » (Root) et si on met à jour régulièrement son système. Ce n'est pas toujours évident pour les personnes découvrant Linux. Mais sous Windows, la situation est identique car de nombreuses personnes utilisent le compte administrateur et ne téléchargent pas toujours les mises à jour recommandées », constate Eric Filiol.

De là à penser qu'il faille installer un antivirus sur un ordinateur fonctionnant sous Ubuntu, Mandriva ou Fedora et c'est le flot d'injures ou de commentaires mettant en doute les compétences de certains experts reconnus et ne travaillant pas pour des éditeurs d'antivirus.

La publication de ce billet devrait d'ailleurs donner lieu à pas mal de réactions plus ou moins constructives. Mais le but est d'informer le grand public, pas de prôner la bonne parole pour une chapelle en particulier.

Voici donc un exemple concret tendant à démontrer l'intérêt d'installer un antivirus sous Ubuntu ou une autre distribution GNU/Linux.

Le postulat est le suivant et ne peut pas être remis en cause : Windows étant le système d'exploitation le plus répandu, il est logique que la majorité des codes malveillants visent cette solution.

Alors pourquoi utiliser un antivirus sous Linux ?

Il y a un cas précis et qui commence à se multiplier au fur et à mesure de l'hétérogénéité des systèmes d'exploitation présents dans un foyer grand public :

Si un PC sous Linux reçoit un code malveillant écrit pour Windows (par exemple via une pièce jointe), il ne sera pas infecté. Mais si la personne sous Linux renvoie cette pièce jointe infectée vers un correspondant qui est, lui, sous Windows, ce dernier sera infecté. Installer un antivirus sous Linux peut donc être utile pour limiter la propagation d'un code malveillant.

Pour éviter des risques de propagation, il peut donc être utile d'installer un antivirus sur son ordinateur fonctionnant sous Ubuntu ou une autre distribution GNU/Linux.

Mais quel antivirus ? Il en existe quelques uns comme ClamAV et Avast. Deux logiciels gratuits que l'on peut installer facilement. A noter que ClamAV permet une analyse en temps réel. Ce n'est pas le cas d'Avast. Résultat, en cas d'infection via une pièce jointe ou une faille dans OpenOffice, cet antivirus ne sonnerait pas l'alarme. Ce n'est que lorsque vous lancerez manuellement une analyse du PC qu'Avast pourra repérer l'infection.
La solution pourrait venir de Doctor Web. Cet éditeur russe s'apprête à sortir un antivirus pour poste de travail permettant une analyse en temps réel.

Mais ce sera un plus mais pas la panacée.

«Un scan en temps réel ne sera pas efficace, que l'on soit d'ailleurs sous Windows ou sous GNU/Linux, face à des attaques véritablement inconnues », prévient Eric Filiol.

Quel que soit le système d'exploitation installé sur un ordinateur, l'une des meilleures protections reste le comportement de l'utilisateur : ne pas cliquer sur n'importe quelle pièce jointe ou lien internet. Il doit aussi utiliser différents mots de passe "forts" (composés de lettres en majuscule, minuscule, de chiffres et de symboles) et mettre à jour en permanence son système d'exploitation et ses différents logiciels… et ne pas utiliser de versions piratées de logiciels.

Pour certains, cela peut paraître comme des évidences. Hélas, cela n'est pas partagé par tous les nouveaux utilisateurs d'Ubuntu ou d'une autre distribution.

A suivre...

mercredi 25 novembre 2009

HADOPI, le satellite m'a tué !




















Les failles concernant HADOPI se multiplient. Le site PCInpact publie un très bon article sur l'internet par satellite. Cet article parait au moment où SFR vient d'annoncer une offre permettant de se connecter au web depuis une parabole.

Dans cet article très documenté (grâce notamment aux informations du site Internet par satellite), on apprend que la surveillance des adresses IP (l'immatriculation en quelque sorte de l'ordinateur connecté au web) sera plus difficile avec une connexion par satellite.

Pourquoi ? En deux mots, un PC qui se connecte au web par satellite ne dispose pas d'une adresse IP personnelle mis d'une adresse IP partagée entre les PC connectés de l'opérateur par satellite.

Or, la filiale d'Eutelsat, Skylogic, se trouve en Italie. Quant à son concurrent direct, ASTRA2Connect, elle est géré par la Société Européenne des satellites (SES) basée au.. Luxembourg (en photo, les paraboles émettrices installées au chateau de Betzdorf).

Vérifiez gratuitement le niveau de sécurité de votre PC














Bonne idée de l'éditeur d'antivirus F-Secure. Il propose de télécharger gratuitement une application appelée F-Secure Health Check. Elle va scanner votre ordinateur et vérifier le bon fonctionnement des logiciels de sécurité que vous avez installés (antivirus, firewall, antispyware...). Le principal intérêt de cet outil (en anglais) est de vous indiquer si votre navigateur web (Internet Explorer, Firefox...) et votre système d’exploitation Windows (XP, Vista ou même Seven) sont à jour.

C'est important car des logiciels qui ne sont pas mis à jour régulièrement (pour être tranquille, choisissez l'option "mise à jour automatique" de vos logiciels) sont vulnérables à des failles repérées. Et qui dit "failles", dit possibilité d'être infecté.

C'est évidence en matière de sécurité. Mais apparemment pas pour tout le monde. Dans un communiqué de l'éditeur, Olivier Quiniou, Country manager France de F-Secure, indique que "nos données démontrent qu’un tiers des utilisateurs n’a pas installé d’antivirus, de firewall ou d’antispyware, ou procédé aux mises à jour".

Une fois, l'analyse de votre ordinateur réalisée, F-Secure propose bien sûr d'acheter ses solutions. C'est de bonne guerre... commerciale. Mais rien ne vous oblige à acheter les produits F-Secure.

Vous pouvez aussi installer, sans risques, sur votre PC l'outil développé par la cabinet spécialisé dans la sécurité Secunia. Son outil appelé "Secunia Personal Software Inspector (PSI)" fait la même chose mais peut-être en plus objectif et de façon plus pratique : quand le scan est terminé, PSI vous affiche une liste de liens internet permettant de récupérer la dernière mise à jour du ou des logiciels qui ne sont pas à jour.... En anglais mais facile à utiliser.
A télécharger et à tester sans modération !

mardi 24 novembre 2009

Facebook, la bimbo et le ver














C'est la rançon du succès. Les pirates et les petits malins vont se jeter sur Facebook car son audience ne cesse d'augmenter.

Comme toujours, les pièges les plus simples sont les plus efficaces. Le dernier en date met en scène une bimbo en petite tenue. Elle apparait dans un encart de pub qui invite les internautes à cliquer dessus.

Le risque n'est pas élevé car il s'agit d'attirer des visiteurs vers des sites adultes. Mais si demain cette bimbo cache un code malveillant l'infection se développera très vite. Résultat : des PC infectés avec des risques de vol de données ou d'exploitation de l'ordinateur par un réseau de botnets.

Encore une fois, les logiciels de sécurité ne sont pas toujours utiles (même si certains antivirus sont meilleurs que d'autres. Voir à ce sujet le concours iAwacs...) dans ce cas-là. La vigilance des internautes est la meilleure des protections.

Ne cliquez pas sur n'importe quoi, surtout sur une bimbo.

lundi 23 novembre 2009

iPhones craqués : nouveau virus !

Et de deux ! Après le ver repéré aux Pays-Bas notamment, voici une nouvelle méthode d'infection. Elle vise toujours la même cible : les iPhones jailbreakés.

La technique est plus perfectionnée et s'appuie sur du phishing. En deux mots, l'utilisateur du smartphone d'Apple recoit un soi-disant email de la banque ING Direct. Ce message lui demande de se connecter pour effectuer une mise à jour.

En réalité, c'est un faux site de la banque. Le but est de récupérer des informations personnelles sur l'utilisateur.

Windows 7 plus sûr grâce à la NSA !
















La patte des services secrets américains dans Windows 7 ? C'est ce qu'on apprend en lisant le billet paru sur Gizmodo.fr

La NSA (National Security Agency) aurait donc conseillé Microsoft pendant le développement de Windows 7. Objectif officiel : réduire le danger lié aux “menaces grandissantes de cyber-attaques”.

Cette information est surprenante car certaines clés de registre de Windows 7 sont chiffrées avec des solutions un peu "légères" et notamment avec un chiffrement "Vigenere" connu depuis le XIVe siècle. Quant à la version alpha, certaines clés étaient chiffrées avec une solution datant de Jules Cesar !

Ce n'est pas la première fois que le géant américain bénéficie des services de la NSA. Je crois que Vista a eu droit aux mêmes attentions.

Le site d'un éditeur d'antivirus infecté par un virus !

C'est l'arroseur arrosé. Le site russe de l'éditeur ESET (qui propose l'antivirus NOD32) a infecté les internautes. En se connectant sur ce site, les visiteurs étaient touchés par le cheval de Troie "Downloader.Java.Agent.ab".

Aujourd'hui, la menace n'existe plus : le trojan a été supprimé du site.

Ce n'est pas la première fois que des sites d'éditeurs d'antivirus sont victimes de codes malveillants. Cette année, par exemple, les sites de Kaspersky (comme le montre ce site) et de BitDefender ont été concernés par ces attaques.

Des kits pour pirates amateurs ?

Devenez pirate pour quelques euros. Il suffirait d'acheter sur des sites des kits "prêt à l'emploi" pour lancer des spams ou créer un site chargé de piéger les internautes. Selon l'éditeur Kaspersky, ces kits sont apparus il y a moins d'un an.

Une offre bon marché : des kits seraient disponibles à partir de 50 euros. Une information reprise par le site NumeriMatch.

En réalité, ces kits existent depuis beaucoup plus longtemps que ca. "Les kits pour les amateurs existent depuis très longtemps. Des logiciels peuvent créer n'importe quel code malveillant en quelque secondes. D'ou le nombre très élevé de virus, chevaux de Troie et vers ces derniers temps".

Interrogés, des experts connaissant bien la situation dans les pays de l'ex-URSS contredisent la conclusion du site qui affirme que "des informaticiens jeunes et d’un très haut niveau (...), souvent endettés pour poursuivre leurs études, sont des proies faciles pour les organisations criminelles."
En fait, selon ces experts que j'ai interrogés, "dans ces pays, les sociétés spécialisées dans l'informatique ont du mal à embaucher de jeunes programmeurs car ils sont tous déjà embauchés par les grosses entreprises du secteur. L'argument de la crise ne tient pas vraiment".

Le cloud computing : un rapport trop rassurant ?

C'est le concept du moment : le Cloud Computing. On peut le traduire par "l'informatique dans les nuages". Pas très clair ? Voici un exemple très connu : le webmail. Quand vous vous connectez à Gmail, Yahoo! Mail ou Windows Live, vous utilisez un service basé sur le Cloud Computing.

Ce service est de plus en plus utilisé et il le sera encore plus demain. Le cabinet IDC annonce une croissance de ces services de 971 millions d'euros en 2008 à 6 005 millions en 2013.

Seul problème : de nombreux experts mettent en doute la sécurité de ce concept et avertissent les entreprises qui veulent trop vite tout mettre dans les nuages.

Il n'y aurait pourtant pas trop de risques si l'on en croit un rapport publié le 20 novembre par l'agence européenne de la sécurité informatique (ENISA). Cette étude de 124 pages traite aussi bien des questions de sécurité que du respect de la vie privée.

L'ENISA et son groupe d'experts ont commencé par une enquête demandant aux entreprises quelles étaient leurs principales préoccupations quant au passage à l'informatique au cloud computing. "Le tableau que nous en avons tiré est clair, déclare Giles Hogben, expert à l'ENISA et éditeur du rapport : l'étude de cas sur l'informatique cloud computing est transparente - c'est l'informatique à volonté, instantanément disponible, sans engagement et à la demande.

Mais le problème numéro 1 qui retient de nombreuses personnes, est la sécurité - comment puis-je être sûr de la fiabilité de ce service et faire confiance au fournisseur de services informatiques via l'Internet en lui confiant mes données et même, dans certains cas, la totalité de l'infrastructure de mon entreprise ?"

Le rapport répond à cette question par une liste de critères détaillés que chacun peut utiliser pour déterminer si un fournisseur de services informatiques via l'Internet prend la question de la sécurité au sérieux.

" Il s'agit du résultat le plus important de notre rapport : notre liste de points à vérifier n'est pas sortie du chapeau, déclare Daniele Catteddu, coéditrice du rapport de l'ENISA, nous l'avons basée sur une analyse de risques de plusieurs scénarios de Cloud Computing, en mettant l'accent sur les besoins des clients de l'entreprise. Les risques les plus importants abordés dans la liste des points à vérifier incluent le verrouillage, les erreurs mécaniques dans la séparation des données clients et des applications, et les risques juridiques comme le non-respect de la conformité à la législation sur la protection des données".

Grâce à cette liste de points à vérifier sur la sécurité, les clients savent maintenant quelles sont les questions à poser et les prestataires de services peuvent répondre à ces questions une fois pour toutes au lieu d'être dépassés par les demandes de garantie sur leurs pratiques en matière de sécurité.

Mais comme le rapport le souligne, le Cloud Computing est également un facilitateur de sécurité. Udo Helmbrecht, Directeur Exécutif de l'ENISA, souligne : "La capacité et la flexibilité de l'informatique cloud computing donnent aux fournisseurs un plus à la sécurité. Par exemple, les fournisseurs peuvent instantanément faire appel à des ressources supplémentaires défensives comme le filtrage ou le re-routage. Ils peuvent également déployer de nouveaux patches de sécurité de manière plus efficace et conserver plus de preuves de diagnostics".

Un rapport étonnant car il ne repose sur aucune expérience technique (tests réalisés par des indépendants) mais sur l'avis d'experts venant par exemple de HP, Kaspersky, Symantec...

Néanmoins, ce rapport pointe du doigt deux risques majeurs : la fuite de données et la trop grande dépendance vis-à-vis des opérateurs de Cloud Computing...

Il faut donc réfléchir à deux fois avant de mettre tous ses oeufs dans le même panier !

vendredi 20 novembre 2009

Google met Chrome dans les nuages

















Annoncé depuis quelques mois, le système d'exploitation de Google commence à pointer le bout de son nez. Destiné uniquement aux ultra-portables compatibles (netbooks), ce système d'exploitation sera léger et rapide.


Comme pour de nombreuses applications de Google, ChromeOS ne s'empare pas de fonctionnalités inutiles. Il ira à l'essentiel : surfer sur le web, écrire, chatter, échanger des emails, jouer...

Mais attention, ce système d'exploitation (reposant sur une base GNU/Linux) n'est pas un système "classique" comme Windows, Mac OS ou même une distribution GNU/Linux : vous n'installez rien ! En fait, ChromeOS est un navigateur. Tout est donc sur le net. Online comme on dit. Avec cette solution, vous ne pourrez aller que sur des sites évolués comme... Google Docs par exemple.

Parmi les nombreux arguments mis en avant par le géant américain il y a la rapidité, l'ubiquité (vous pourrez utiliser ChromeOS depuis n'importe quel netbook, quelle que soit sa localisation) et enfin la sécurité.

Et là, ca pose problème. Depuis quelques mois, des services de Google sont inaccessibles plus ou moins longtemps. Résultat : vous ne pouvez pas accéder à vos fichiers. Même limite en matière de sécurité : que fait Google de tous les documents créés par ses applications ? Même interrogation sur l'apparition de failles de sécurité.

Il est encore trop tôt pour apporter des réponses à ces premières questions. Mais la multiplication des applications uniquement online rend l'utilisateur très dépendant de l'éditeur...

Plus de détails sur le fonctionnement de ChromeOS sur le site de Korben.

mercredi 18 novembre 2009

Tout peut être piraté




















GPS, passeport électronique, téléphone sans fil : la volonté de profiter gratuitement d'un objet ou d'obtenir des infos personnelles n'a pas de limites...

Les virus informatiques peuvent s'immiscer n'importe où. Voici une liste non exhaustive !



Votre réseau personnel
Le Wi-Fi c'est pratique. Cette connexion sans fil utilise des ondes radio pour transférer des données entre deux ordinateurs dans une maison par exemple. Mais cette facilité attire aussi les pirates qui peuvent facilement intercepter ces ondes pour s'infiltrer dans un ordinateur connecté à une borne wi-fi.

Avec deux risques. Le moins important est l'utilisation de votre connexion internet pour surfer gratuitement. Dans le pire des cas, le pirate peut récupérer vos données personnelles stockées dans votre disque dur.
Des parades ? Oui. On ne le répètera jamais assez mais il faut installer un antivirus (mis à jour automatiquement) et un pare-feu. Le premier repère les virus et le second filtre les connexions. Il faut aussi mettre des mots de passe plus difficile à deviner (par exemple : mDr54!) sur sa connexion wi-fi.

Votre GPS
Doit-on toujours faire confiance à son GPS ? Pas sûr. Des chercheurs italiens ont démontré qu’il était possible d’envoyer de fausses informations sur le trafic. Leur démonstration ne remet pas en cause les flux GPS mais la technologie RDS-TMC (Radio Data System-Traffic Message Channel). Ce standard est employé par les radios FM pour inclure dans leurs transmissions des données trafic.
Or, ce procédé présente deux failles exploitées justement par les deux Italiens. Premièrement, la diffusion étant analogique, elle est plus facile à intercepter qu’une diffusion numérique. Deuxièmement, le RDS ne requiert pas de système d’authentification des données. Il est donc possible d’intercepter le flux officiel en balayant la bande FM pour le modifier et ensuite le réémettre dans un rayon de 16 kilomètres. « Un procédé à la portée de presque tout le monde car nous avons utilisé des appareils et des logiciels disponibles dans le commerce et notamment un encodeur RDS qui coûte 40 euros », m'a indiqué un des deux experts italiens.
Résultat, une personne mal intentionnée et située prés de différents axes routiers pourrait semer la panique en émettant de fausses alertes : fermeture d’un tunnel ou d’une bretelle de sortie, accident, embouteillage…
Des parades ? Oui.
La sécurité du RDS devrait être renforcée par un cryptage. Mais ce n'est pas encore le cas.

Votre passeport électronique
10 secondes ! C'est le temps qu'on mis trois spécialistes en cryptographie de l’Université catholique de Louvain (Belgique) pour lire des données confidentielles. Ces précieuses informations étaient stockées dans la puce électronique située dans la couverture arrière des passeports électroniques de leur pays. Belle progression : en 2005, des experts en sécurité avaient mis 48 heures pour parvenir au même résultat avec des passeports anglais, allemands et suisses.
Le piratage est simple: « nous avons utilisé un petit lecteur de puce acheté dans le commerce que nous avons raccordé à un ordinateur. En utilisant ensuite un petit programme que nous avons écrit et qui s’appuie sur le standard de ces passeports élaboré par l’Organisation de l'aviation civile internationale (OACI), nous avons pu afficher toutes les données », explique Gildas Avoine, l'un des experts belges.
Une telle situation pourrait-elle se produire en France avec la mise en œuvre des passeports biométriques ? Le ministère de l’Intérieur se veut rassurant...
Des parades ? Oui
Pour réduire les risques il faudrait modifier les deux fameuses lignes mais c’est lourd à mettre en place au niveau international.

Mais celui qui pourrait attirer le plus de pirates dans les prochaines mois sera certainement le téléphone portable. Appelé aussi smartphone, ce mobile est de plus en plus connecté à un réseau internet. Autant de failles dans lesquelles vont s'engouffrer des pirates.
L'étape ultime sera quand ce téléphone fera aussi office de carte de paiement...

Comment les antivirus traquent les virus
















Une vingtaine d’années après leur apparition, les virus font partie du quotidien des internautes. D’où la nécessité d’être protégé par un ange gardien : l’antivirus.

Les antivirus ne chôment pas. Les virus, appelés aussi par les experts codes malveillants, pullulent sur la toile. Des milliers sont découverts chaque année ! En permanence et en temps réel, un antivirus doit analyser la signature d’un programme. C’est en quelque sorte son ADN, son empreinte génétique version informatique.



L’analyse des signatures
C’est la première méthode. Pour déterminer si un fichier est dangereux, l’antivirus compare la signature aux dizaines de milliers contenues dans une base de signatures. Cette banque de données est alimentée en permanence par les différents éditeurs de logiciels de sécurité et des experts indépendants.

L’analyse du comportement
Déchiffrer l’ADN des codes malveillants (terme générique pour parler des virus, vers et logiciels espions) n’est plus suffisant aujourd’hui. Une vingtaine d’années après l’apparition des vers et virus qui paralysaient la toile mondiale, les pirates ont fait beaucoup de progrès.

Leur objectif : développer des codes malveillants capables de passer à travers les mailles du filet mis par l’antivirus. L’une des techniques employées consiste à se faire passer pour un programme anodin ayant une signature connue et donc qui ne sera pas dans la base de données des éditeurs.
Pour le repérer, l’antivirus doit dans ce cas analyser les comportements. Un virus cherche des informations précises. L’époque où un pirate cherchait à mettre le bazar dans un PC est révolue depuis belle lurette.
Aujourd’hui, un pirate cherche des données précises qu’il peut ensuite revendre sur le marché noir du net : mots de passe, numéro de carte bancaire et autre données personnelles. Le comportement n’est donc plus le même.

L’antidote
Lorsqu’un code malveillant a été repéré, il est analysé. Le but est de comprendre son développement et son comportement. Comme les laboratoires pharmaceutiques, les éditeurs vont ensuite élaborer un vaccin, en l’occurrence une parade informatique destinée à stopper son fonctionnement et à l’éradiquer de la mémoire de l’ordinateur. 
Une course de vitesse démarre : l’antidote doit être mis au point le plus vite possible et être proposé à la communautaire de la sécurité informatique.

Plus il se passe de temps entre la découverte du virus et la conception du vaccin et plus l’épidémie a un impact important. Généralement, il faut entre 24 et 48 heures pour mettre au point l’antidote. « Il y a quelques années, il fallait parfois un an. Apparu en octobre 2000, le virus Nimda n’a été bloqué que 336 jours après ! », indique Eric Filiol, directeur à l'ESIEA et auteur du livre « Cybercriminalité : enquête sur les mafias qui envahissent le web » (Dunod, 2006).

Lorsqu’un antivirus surveille en permanence un ordinateur, il doit repérer les signatures. Dès qu’il tombe sur un ADN suspect il le bloque et vous le signale. C’est à vous ensuite de prendre la décision : le supprimer ou le mettre en quarantaine.

Des trous dans les mailles du filet

Malheureusement, cette version des choses est idyllique. La réalité est plus inquiétante. Contrairement à ce que prétend la publicité de nombreux antivirus, ce genre de logiciel de protège pas « à 100% votre ordinateur ». Un antivirus ne peut en effet repérer que ce qu’il connaît c’est-à-dire qui est présent dans sa base de signatures virales.

Or, de plus en plus de pirates développent des virus très sophistiqués et qui restent donc inconnus des antivirus.

Différentes études indépendantes et sérieuses ont montré que la plupart des antivirus ne décelaient que 10 % de tous les codes malveillants.
Si une signature ou un comportement suspect n’a pas été repéré et enregistré dans la base de signature, le virus passe inaperçu et il peut donc infecter sans peine un ordinateur !

mardi 17 novembre 2009

Module anti HADOPI : les explications du développeur

Cinq questions à Eric Filiol, Directeur de la recherche de l’ESIEA (Ecole Supérieure d’Informatique Electronique Automatique) et du laboratoire de cryptologie et virologie
opérationnelles :

1-Est-ce que ce plug-in est compatible avec Windows et Mac ? Quand on arrive sur la page de téléchargement de Mozilla c'est indiqué « pour Linux ».

Pour le moment, l'extension Perseus est uniquement disponible pour les distributions GNU/Linux, le portage vers les systèmes d'exploitation Windows et Mac est prévu pour bientôt dès que la version Linux sera complètement stable. Perseus étant programmé en langage C++, celle-ci doit-être compilée pour chaque OS différents, contrairement à beaucoup d'autres extensions qui sont écrites en Javascript et qui marchent nativement sur toutes les plateformes. Le choix du C++ à été motivé par le fait que Firefox est lui-même écrit en C++, et que notre extension pourra, peut-être, être intégrée nativement dans ce navigateur.

2-Des internautes ont constaté des bugs, même sous Linux. Il ne s'agit pas encore de la version définitive mais d'une version bêta ?

L'écriture de programmes n'empêche en aucun cas les bugs. Il s'agit d'une première version bêta, qui permet de tester l'extension. D'ailleurs, il est précisé sur le site de Mozilla que celle-ci comporte surement des bugs et que toute personne peut nous les signaler. Plusieurs personnes ont déjà rapporté différents bugs et une nouvelle version les corrigeant est sortie ces derniers jours. Les développeurs intéressés par cette extension peuvent bien sûr rejoindre le projet, celui-ci étant entièrement Open-source. Créer une communauté autour de cette extension permettra sans aucun doute de faire progresser le projet encore plus vite. L'avantage de l'Open source est de permettre à quiconque de lire, corriger le programme ou d'apporter de nouvelles idées. La priorité était de valider la technologie.

3-Une autre version devrait sortir d'ici quelques mois afin de coder les connexions FTP et les emails ? Il s'agira alors d'un module pour Thunderbird et d'un autre pour les logiciels FTP ?


Le principe peut-être appliqué à différents protocoles (Ftp, Pop/Smtp pour les emails, torrent…). Nous somme en train de développer une libraire qui reprend le principe de codage de Perseus et ajoute encore plus de puissance au concept (et donc encore plus de sécurité). Elle pourra être intégrée dans différents logiciels au gré de la communauté des développeurs. Le but, en étant Open Source est que la technologie soit accessible à tous et que tout le monde puisse se l’approprier. Le plus difficile était de valider la technologie. Le reste sera simplement du développement.

4-Des internautes reprochent un peu la lenteur de l'application à faire le codage. D'ailleurs, quelle est la différence entre codage et cryptage ?

Quelques problèmes de vitesse ont été repérés, ceux-ci vont être corrigés très rapidement. Il ne faut pas oublier que, pour l'instant, le module est en version bêta. La librairie, dont la sortie est prévue pour bientôt, a d’ores et déjà corrigé ce problème. Le cryptage aurait lui aussi été lent. Chiffrer consiste à transformer le texte clair en bruit aléatoire et c’est hyper visible parmi d’autres échanges de données. Le codage consiste à ajouter de la redondance et, dans notre cas, du bruit de manière dosée. Conclusion : le trafic Perseus ressemble à une communication normale.


5-Les organisations professionnelles défendant les ayant-droits – et celles en faveur d'HADOPI - vous ont-elles contacté pour vous reprocher le développement de ce module ?

Le développement de ce module n'a pas été motivé pour la protection des personnes téléchargeant des contenus illégaux. Le but de Perseus est la protection des données privées contre l'écoute automatique par des botnets ou malwares qui se servent de ces données pour le spam, le vol de compte, etc. Mais aussi contre les écoutes sauvages, illégales ou faites par des officines privées qui se multiplient. Sauf pour l'État, qui dispose de capacité de calcul suffisante, tout autre acteur ne pourra pas accéder aux données. Et les capacités de l'État étant limitées, il les consacre en priorité aux cas les plus graves (atteinte à la sécurité nationale). A ce titre, la réaction récente des services britanniques contre les effets d’Hadopi montre tout l’intérêt de la technologie Perseus

vendredi 13 novembre 2009

Firefox serait une passoire


Le célèbre navigateur aurait plein de failles de sécurité. C'est ce qui ressort d'un rapport publié par Cenzic. Selon cette société californienne spécialisée dans la sécurité des applications web, le navigateur de Mozilla aurait mis en cause dans 44% des cas. Le deuxième mauvais élève serait Safari avec 35% des cas, puis Internet Explorer avec 15% des cas. Le bon élève serait Opera avec seulement 6% des cas.
Cette étude s'appuie sur des statistiques effectuées pendant le premier et le deuxième trimestre 2009.



L'analyse faite par une autre société très connue, Secunia, confirme que Firefox 3 présente de nombreuses failles.
Secunia en a repéré 113 depuis le début de l'année. 85% serait importantes. Mais heureusement, elles ont toutes été corrigées.

Si l'on regarde du coté d'Internet Explorer 7, la situation est différentes. Secunia a compté, sur la même période, 92 failles, dont 83% sont graves.

C'est un peu mieux. Oui mais voilà : à la différence de Mozilla, Microsoft n'a pas corrigé 17% de ces failles !

En fait, ce n'est Firefox en lui-même qui serait en cause mais les multiples extensions (modules) que les internautes installent et qui présentent par contre des vulnérabilités.

Il ne faut donc pas installer des extensions (appelées aussi plug-in) depuis n'importe quel site. Il faut les installer depuis le site officiel de Mozilla. La solution la plus simple consiste à lancer Firefox et à cliquer sur Outils, Modules complémentaires. Ensuite, il faut cliquer sur catalogue et taper soit le nom précis d'une extension, soit un thème comme par exemple « sécurité ».

Conclusion :
1- Firefox a peut-être plus de failles mais elles sont toutes corrigées rapidement. Ce n'est pas le cas d'Internet Explorer.

2- Il ne faut pas télécharger n'importe quelle extension. Pour réduire les risques d'infection via des modules « exotiques », Mozilla a mis en ligne la page Plugin Check. Elle permet à tout utilisateur du navigateur de vérifier instantanément l'état de mise à jour d'une quinzaine de plug-in.

mardi 10 novembre 2009

ZoneAlarm gratuit : la suite


Une bonne nouvelle ! Après mon billet indiquant que l'offre de ZoneAlarm était à prendre avec des pincettes, j'ai contacté le service de presse de l'éditeur, Check Point.

Voici sa réponse :

"En effet, il est nécessaire de laisser son numéro de carte bancaire. Cela permet d'identifier les nouveaux clients et de s'assurer qu'un utilisateur utilise bien une seule licence (une licence unique par utilisateur). Le compte de l'utilisateur est débité d'un euro de frais qui sont ensuite recrédité sur votre compte dans les 48h/72h maximum selon les banques. Cette opération est courante notamment aux Etats-Unis lors de
téléchargement gratuit."

Objectif : empêcher des petits malins de profiter de cette offre pour revendre ce parefeu.

Rassuré, j'ai donc rempli le formulaire et donné le numéro de ma carte bancaire. J'ai ensuite pu télécharger le parefeu que je vais tester sur Windows Seven dès ce soir.

A suivre donc...

ZoneAlarm gratuit : faites attention !


Mais à qui profite ce coup de pub ? Depuis ce matin, et pendant 24 h, Check Point (éditeur de ZoneAlarm) offre gratuitement la version française de son pare-feu.

Une offre intéressante car ZoneAlarm Pro 2010 est un produit de qualité.

Dés que j'ai appris cette nouvelle, je me suis branché sur le site pour télécharger cette version.

Mais j'ai vite déchanté ! Pour deux raisons.

1-L'éditeur a coché deux cases supplémentaires pour des options payantes : ZoneAlarm Extended Download Service (5,97 €) et ZoneAlarm Backup CD (6,64 €). Résultat, si vous ne faites pas attention, l'offre devient payante à 12,61 € ! Vous pouvez heureusement décocher ces deux cases pour n'avoir que ZoneAlarm gratuit.

Génial ! Sauf qu'il y a une deuxième chose qui me fait tiquer... :

2- Lorsqu'on a décoché les deux fameuses cases, on peut ensuite télécharger le pare-feu. Mais avant, il faut remplir un formulaire très précis (nom, adresse, pays...) et surtout il faut donner le numéro de sa carte bancaire...

Pourquoi Check Point a-t-il besoin de la CB des internautes pour un téléchargement gratuit ?

Résultat, je n'ai pas voulu télécharger ce produit.

Je vais quand même demander des précisions au service de presse.

A suivre...

samedi 7 novembre 2009

Concours antivirus : les secrets de DrWeb



Le monde de la sécurité a été secoué par les résultats désastreux de certains antivirus. Certains logiciels très connus comme McAfee et Norton ont été désactivés en quelques minutes. En clair, l'ordinateur n'était plus protégé contre les virus.

Seul l'antivirus russe DrWeb a tenu jusqu'à la fin impartie aux candidats (1 heure), même si ses défenses étaient amoindries.

Pour savoir pourquoi ce logiciel, qui protège d'ailleurs depuis plusieurs années les ordinateurs de l'armée russe, nous avons posé 5 questions au PDG de Doctor Web, Boris Sharov.

1-Sans dévoiler les secrets "industriels" de Doctor Web, pourquoi votre antivirus a-t-il mieux résisté que les autres lors du concours iAwacs ?

La protection de notre logiciel sur la machine a toujours été une des priorités 
de notre équipe de développement. Dès les premières versions de DrWeb, nous avons attribué une très grande importance à la protection de nos modules, anticipant ainsi les futures attaques.
Aujourd'hui, quand les tentatives de bloquer ou simplement effacer l'antivirus sont devenues quotidiennes dans les logiciels malicieux, nous ne faisons que récolter les résultats de nos efforts d'hier tout en améliorant la protection. Nous considérons que la protection doit être suffisamment puissante pour faire face aux attaques probables dont les origines peuvent être aperçues dans les codes viraux qu'on analyse.
Pour rendre la tâche de nous bloquer encore plus difficile, nous déployons nos modules de protection dans le noyau du système Windows, nos drivers de filtrage des opérations de fichiers et d'auto protection sont l'un des premiers à démarrer au lancement de l'ordinateur. On remarque, non sans satisfaction, que de nombreux experts considèrent l'auto protection de DrWeb comme l'une des meilleures dans l'industrie antivirale.

2-Certains experts ont émis des doutes quant à l'intérêt de ce concours car les candidats avaient un accès direct à Windows en mode Administrateur. N'y a-t-il pas des codes malveillants capables de désactiver des AV à distance ?


Nous considérons, par contre, que cette façon de faire ce genre de tests est la seule correcte et logique. Notre expérience dans le monde de la sécurité ne nous laisse aucune illusion: la grande majorité des utilisateurs ne travaille qu'en mode Administrateur.
Quant aux codes malveillants qui passent facilement de mode utilisateur au mode Administrateur, ils sont abondants, il suffit de se rappeler de trojan.botnetlog.11 qui est aujourd'hui largement présent dans le trafic du réseau mondial.

3-Malgré la résistance de DrWeb, quelques rootkits sont capables d'empêcher votre AV de bien protéger un PC. Est-ce que cela signifie que
les pirates seront toujours plus forts que les éditeurs
?
Les pirates disposent toujours d'un facteur important qui les favorise: ils jouent les premiers. Nous sommes toujours sur la défensive et cela explique que nous soyons toujours obligé de rattraper notre retard.
Mais justement le fait que les joueurs de notre côté aient un niveau supérieur à celui des attaquants nous permet de réduire considérablement ce retard. En même temps, nous ne considérons pas ce retard comme quelque chose de fatal. Maintes fois, nous avons été bien armés à l'arrivée de nouvelles menaces.

4-Quelles sont aujourd'hui les menaces les plus dangereuses : la presse parle beaucoup des faux antivirus, des réseaux sociaux, du phishing... Quels constats font vos chercheurs (photo du labo ci-dessus) en Russie ?



Malgré de nombreuses menaces très sophistiquées  de nos jours, nous n'avons aucune doute : les plus dangereuses sont les attaques très simples d'un point de vue technologique mais qui exploitent le maillon le plus faible de tout système de sécurité : l'individu assis devant son écran. La technologie antivirale la plus performante est très souvent impotente vis-à-vis à l'ingénierie sociale.


5-Que doit faire l'utilisateur pour limiter les risques. Il a le sentiment qu'un antivirus n'apporte, finalement, pas une protection très efficace.

Et il n'est pas loin de la vérité. La sécurité ne peut pas se baser sur un seul produit, même très reconnu par des professionnels. Nous considérons l'éducation des utilisateurs comme un aspect le plus important de la protection des ressources informatiques. Les armes de protection sont aujourd'hui en abondance, le choix est très souvent embarrassant. Reste à apprendre à s'en servir.

vendredi 6 novembre 2009

Les iPhones piratés cibles des pirates ?

Alerte aux iPhone craqués ! Les iPhones “jailbreakés” sont plus sensibles aux attaques de pirates. On pourrait le penser après la mauvaise blague qu'a fait un pirate à quelques clients de l’opérateur T-Mobile aux Pays-Bas.

Le plus inquiétant est que l'attaque est assez simple. Le pirate en question a scanné les adresses IP publiques des abonnés de T-Mobile. Il a ainsi repéré des iPhones jailbreakés.

Or, ces mobiles avaient le même mot de passe.

Des abonnés ont donc eu la mauvaise suprise de recevoir un SMS du pirate qui leur réclamait 5 € sur son compte Paypal pour apprendre comment le débloquer. Si on ne payait pas, il les menacait d'utiliser leur ligne iPhone pour téléphoner gratuitement ou récupérer des données personnelles.

Mais le maitre-chanteur en question a finalement renoncé à son... forfait.

En fait, le pirate n'a rien inventé. Il s'est juste inspiré de techniques révélées il y a quelques temps par des hackers.

Conclusions de cette mauvaise blague :
- la sécurité des iPhones craqués laisse à désirer et il est impératif de changer les mots de passe
- la connexion permanente à un réseau 3G va entrainer les mêmes risques que pour les PC
- installer un antivirus et un parefeu pourrait devenir une "obligation" d'ici quelques temps...

jeudi 5 novembre 2009

Commerce électronique : des connexions pas sécurisées ?

Pour le business, pour le gouvernement, pour les FAI... Pour tous ces acteurs de l'internet en France, il est portant de dire (ou de faire croire...? ) que les connexions sont sécurisées. Pas sûr justement !

Le fameux cadenas a des trous. Oui, ce fameux cadenas que vous voyez en bas de votre écran d'ordinateur lorsque vous vous connectez au site de votre banque ou d'un site de commerce électronique. Officiellement, la présence de ce cadenas et des fameuses lettres https (présentes dans l'adresse du site lorsqu'on passe en mode "sécurisé") signifient que la connexion est protégée.

C'est l'objectif du protocole SSL (Secure Sockets Layer). Or, la sécurité de ce protocole ressemble de plus en plus à "une passoire" comme me l'a confié un expert.

Il n'est pas le seul à le penser et à le démontrer.

Aujourd'hui, sur son blog, Marsh Ray, un développeur travaillant pour la société Phone Factor, indique que ce protocole est vulnérable à un certain type d'attaques de pirates.
Cet informaticien confirme qu'il est possible d'intercepter le trafic SSL effectué entre l'autorité délivrant le certificat numérique et un site.

Ensuite, le pirate peut créer un faux certificat capable de leurrer l'utilisateur qui ne sera pas du tout inquiété (cadenas et barre d'adresse verte visibles). Ce type d'attaque pourrait permettre à un pirate de voler des mots de passe, de contrôler un session bancaire en ligne ou d'installer une mise à jour pour Firefox contenant du code malveillant.

Mais une attaque de ce genre n'est pas simple à mettre en place. Il faut à la fois créer un certificat spécifique à chaque cible (le site dont on va usurper l'identité) et rediriger l'internaute vers l'adresse IP illicite (par exemple, un faux site de banque). Sa difficulté explique pourquoi ce genre d'attaque ne peut être déployée à grande échelle.

N'empêche. Il existe des outils qui pourraient aggraver la situation.

Cet été, lors du Black Hat de Las Vegas mais aussi lors du Hack.lu le 30 octobre au Luxembourg, un hacker dénommé « Moxie Marlinspike » a démontré qu'il existait des outils, dont SSLstrip qu'il a développé, permettant d'exploiter les vulnérabilités du SSL et de créer de faux certificats. Il avait montré l'exemple d'un faux Sésame de Paypal.

Mi-octobre, Microsoft avait publié deux correctifs concernant les failles X.509 révélées au Black Hat par Marlinspike. Les navigateurs web et les clients de messagerie avaient également fait des mises à jour.

Pas sûr que cela soit suffisant. Il y a quelques mois, des experts en sécurité avaient créé de faux certificats qui avaient été tous acceptés par les navigateurs web !

mardi 3 novembre 2009

Module Frefox : l'arme anti HADOPI (suite et scoops)

Suite à mon billet sur ce module Firefox, beaucoup de sites ont repris cette info. Mais il y a eu quelques erreurs ou approximations.

Voici donc quelques précisions et encore quelques scoops.

Premièrement, ce projet n'en est qu'à ses débuts. Compatible avec tous les systèmes d'exploitation (et donc avec Windows contrairement à ce qui a été écrit ici ou là), cette version actuelle ne marche que si les deux (client et serveur) ont le module. Donc, pour fonctionner il faut que le module soit installé aux deux bouts de la ligne. En l'état actuel, ce plug-in ne permet donc que la protection des connexions http en direct download.

Mais d'autres versions vont arriver.

Une version est en cours de finalisation pour intégrer un serveur Apache (parution fin novembre). En clair, cela signifie que tous les sites de P2P et de Bittorent pourront l'utiliser pour protéger les connexions des internautes. Quand cette version sera disponible, ce plug-in sera donc une « arme anti HADOPI ».

Une librairie en « C open source » sera disponible afin que Perseus puisse être utilisée pour tous les flux et pour tous les systèmes. Cette librairie sera disponible au plus tard en mars 2010 mais, si tout va bien, une première version devrait être publiée en décembre. Ainsi, tout développeur pourra l'intégrer au client/serveur pour le protocole de son choix. Cela permettra donc d’appliquer Perseus à tous les autres protocoles de communication (email, FTP…).

Autre précision : contrairement à ce que prétendent certains sites, les éléments initiaux destinés à mettre en place la connexion codée ne sont PAS envoyés "en clair" mais en HTTPS.

Les infos techniques (slides, papier, vidéo) sont disponibles sur le site de l'ESIEA.

Mais, il faut une bonne connaissance technique pour en apprécier tout l'intérêt...

Enfin, il faut rappeler que cet outil a été développé pour éviter que les pirates, contrôlant des réseaux de botnets, ne puissent intercepter les connexions http des internautes.

mercredi 28 octobre 2009

EXCLUSIF : un module Firefox contre HADOPI et la surveillance

Scoop. Pour ne plus être surveillés, installez ce module (plug-in) pour Firefox !

Le gouvernement va détester ce module pour Firefox. Les fans de téléchargements et de peer-to-peer (P2P) vont adorer. Une première mondiale développée par des Français. Appelé Perseus, il a été développé par l'équipe d'Eric Filiol, Directeur de la recherche de l’ESIEA (École Supérieure d’Informatique Electronique Automatique) et du laboratoire de cryptologie et virologie opérationnelles.

Une fois installé sur le navigateur Firefox de deux internautes, il protège leurs connexions contre toute « écoute ». En clair, ces deux internautes peuvent s'échanger n'importe quelles données sans être inquiétés. La surveillance HADOPI ne pourrait rien faire. Les seuls qui pourraient « écouter » ces connexions sont les services officiels de l'État qui disposent de moyens techniques importants (capacité de calcul) pour mettre à mal ce plug-in.
Quel est le secret de Perseus qui sera présenté pour la première fois lors de Hack.lu (), une conférence sur la sécurité informatique organisée au Luxembourg du 28 au 30 octobre ? « Sans entrer dans le détails, nous pouvons dire que nous codons l'information avec un codeur qui change à chaque fois et nous ajoutons un bruit que ne connait pas l'attaquant. Ce bruit interdit la reconstruction du codeur et donc le décodage », nous explique Eric Filiol. Cette solution ne repose donc pas sur de la cryptologie.

Ce module permet de préserver la vie privée des internautes contre des écoutes plus ou moins légales et contre les pirates qui gèrent des botnets (réseaux d'ordinateurs contrôlés à distance et servant à lancer des attaques contre des sites par exemple). Ce plug-in peut aussi convaindre les entreprises qui peuvent communiquer discrètement sans être espionnées par des officines d'intelligence économique.

Intéressée, la Fondation Mozilla envisagerait d'installer ce plug-in dans les prochaines versions de Firefox.

Vous pouvez télécharger ce plug-in à cette adresse.

Concours d'antivirus : la prochaine édition sera encore plus dure !

La vérité fait toujours mal. Les résultats du concours organisé dans le cadre de la conférence iAwacs n'ont pas plus à certains éditeurs d'antivirus, en particulier à GData.

D'autres internautes ont prétendu que ce concours était facile à réaliser car les experts se sont attaqués aux antivirus en mode "administrateur"....

Laissons donc aux spécialistes le soin de répondre à ces attaques :

Eric Filiol, co-organisateur du concours, précise que "les conditions du concours contrairement à ce qui a pu être avancé par des internautes mais aussi GData - et qui semblent ignorer bien des aspects de la virologie informatique ne sont ni spécifiques ni décalées de la réalité opérationnelle.
En effet, agir en tant qu'administrateur correspond (malheureusement) à ce qui se passe en permanence: un code malveillant efficace travaille toujours avec des privilèges système (via une vulnérabilité connue notamment). Or, l'utilisateur "grand public"
travaille aussi en utilisateur avec pouvoir (Mode Administrateur) car c'est le seul moyen sous Windows de pouvoir travailler (en particulier sous Vista). Tout ce qui a été fait manuellement lors de concours peut donc être automatisé facilement par un code malveillant. Les éditeurs d'antivirus devraient le savoir.
Et pour couper court aux critiques, le prochain concours en mai 2010 visera le mode client seul en exploitant directement les vulnérabilités des AV et des techniques virales
dédiées.
"

En clair, ce sera pire en mai 2010... Est-ce que GData sera présent ?

Ces précisions d'Eric Filiol confirment aussi qu'il ne faut jamais utiliser Windows en mode administrateur. Il faut absolument créer un compte Utilisateur et n'utiliser Windows qu'avec ce compte. Cette précaution réduit les risques d'infection et de prises de contôle par un virus ou un pirate.

mardi 27 octobre 2009

Concours antivirus : les explications du gagnant

Quatre questions à Christophe Devine, gagnant du concours de déactivation des antivirus.

1-Comment avez-vous procédé pour détourner ces antivirus ?

J'ai cherché les faiblesses dans la cuirasse. En effet il existe de nombreuses fonctions dans Windows (dites "API"), et à l'heure actuelle aucun produit anti-virus n'assure un couverture parfaite de toute les fonctions utilisables par un code malveillant.

2- La résistance de DrWeb vous a-t-elle surpris ?

Il a bien résisté à nos tentatives de désactivation. Cela étant, le produit n'est pas forcément meilleur que les autres dans le domaine de la détection à base de signatures ou heuristique. En particulier, il ne protège pas contre l'insertion de drivers (ce qui est le cas de Kaspersky par exemple).

3-Quelles peuvent être les conséquences de ce détournement d'un antivirus ?

Nous voyons de nouveaux codes viraux apparaître toutes les semaines, voire tous les jours, et qui ne figurent pas dans les bases de signatures. Potentiellement, un virus bien conçu pourrait lancer une charge de désactivation visant les produits antivirus majeurs du marché. Le poste de l'utilisateur devient alors vulnérable à toutes sortes de menaces.

4-Quelles précautions doivent prendre les particuliers et les entreprises ?

Il est tout d'abord indispensable d'avoir un produit antivirus installé et mis à jour automatiquement. On se protège ainsi de la majeure partie des menaces connues. De même, il est fortement recommandé l'application régulière des correctifs Windows et tierce-partie (Acrobat Reader, Java, etc.).
Enfin, il faut rappeler aux utilisateurs de faire preuve de discernement et de ne pas ouvrir trop vite des fichiers suspects.


Pour plus de détails sur les résultats de ce concours, rendez-vous à cette adresse de l'ESIEA.

lundi 26 octobre 2009

Linux : moins sécurisé que Windows ?

Virus = Windows. Pour le grand public, les systèmes d'exploitation de Microsoft sont connus pour être la cible de codes malveillants.

C'est aussi l'opinion de nombreux défenseurs des distributions GNU/Linux comme Debian, Ubuntu, Mandriva...

Les résultats du concours organisé dans le cadre du colloque iAwacs (voir mon précédent billet) ont du les satisfaire : les antivirus peuvent être facilement désactivés en profitant de leurs failles et de leur analyse de Windows qui n'est pas complète.

C'est cette méthode utilisée par Christophe Devine, un expert en sécurité travaillant pour la société Sogeti/ESEC.

De la à penser que Linux est plus sûr !

Pourtant, ce même spécialiste tient à relativiser la situation : "Il existe vraiment très peu de produits anti-virus (ainsi que de malwares) pour Linux et Mac OSX. De plus, ces deux systèmes ne bénéficient pas toujours des avancées en matière de sécurité impulsées par
Microsoft. Quelques exemples concrets :

- Linux et Mac OS X ne disposent pas du niveau d'intégrité "faible" qui permet notamment à IE7/8 de faire tourner flash dans un bac à sable (Firefox et Safari ne disposent pas de cette protection).

- La "randomisation" de la mémoire ainsi que la prévention d'exécution est implémentée de façon incomplète sous Mac OS X. Pour rappel, ces deux mesures on permis à Vista/2008 d'être protégé contre la faille exploitée par Conficker.

- De nombreuses autres mesures de sécurité ne sont souvent pas implémentées par les développeurs Linux et OSX. Ainsi, la dernière version 32-bit de Debian (5.0) n'a pas la prévention d'exécution activée (ce qui est le cas par contre d'Ubuntu
)."

Conclusion : aucun système d'exploitation et aucun logiciel de sécurité ne peuvent garantir une sécurité absolue.

Nous en revenons toujours au même point : l'utilisateur doit être vigilant et multiplier les solutions de sécurité et de sauvegarde.