mercredi 15 décembre 2010

Sécurité informatique : le pire est à venir

Les pirates ont l’embarras du choix.

Ils vont pouvoir s'attaquer à de nouvelles cibles et notamment aux processeurs installés sur les PC.
L’équipe du laboratoire de virologie d’Eric Filiol (ESIEA) a en effet identifie et testé des techniques permettant de cibler, via des attaques de malware, non plus des systèmes d’exploitation mais des processeurs. Pour schématiser, le virus est capable de déterminer et d'identifier le type de processeur (marque, série, type, voire s’il s’agit d’une version nationale ou export) et de décider d'attaquer ou non.

Cette technique pourrait être utilisée dans le cadre d’une cyber attaque. Scénario possible : attaquer l’Iran (ce qui n’est pas de la science-fiction comme le révèle Wikileaks). Si l’attaquant sait que ce pays a acheté des machines ayant toutes le même processeur et qu’elles vont être utilisées dans son programme nucléaire, il peut être facile de lancer une attaque efficace et sans être repéré.

Autre piste pour les pirates : les documents bureautiques. Il est en effet possible d’infecter un PC très simplement (en plaçant un cheval de Troie ou trojan) via Office 2010 ou OpenOffice. L’équipe d’Eric Filiol a, là aussi, démontré que les antivirus n’y voyaient que du feu !

Autre variante d’attaque : la création d’une clé de registre en utilisant les macros dites de confiance des suites bureautiques.

Les éditeurs d'antivirus ne sont pas prêts de chômer (encore que certains fassent plus de bruit qu'autres choses, c'est-à-dire améliorer leur logiciel...).

Les comparatifs d'antivirus : aucun intérêt

Dans la presse féminine, on a droit aux dossiers "Spécial régime" - avant l'été - et "Spécial repas de fêtes" au moment de Noel. C'est ce qu'on appelle dans le métier des "marronniers", c'est-à-dire des sujets qui reviennent à date fixe.

La presse informatique a aussi ses marronniers avec notamment le "Comparatif des antivirus". Tous les sites et journaux nous ont proposé leurs études. Dans tous les cas, il en ressort les mêmes constats :

1-Les gros éditeurs d’antivirus arrivent toujours en tête (les mêmes qui achètent de la pub…).
2-On compare toujours des suites alors qu’aucune suite n’est parfaite. Principal argument avancé : « une suite d’un éditeur est plus cohérente (moins de conflits) et plus facile à gérer ». Ah bon ? Sous Seven, je n’ai pas de suite et je n’ai pas pour autant de soucis !
3-On annonce des taux de détection élevés sans donner les moyens de reproduire le test fait par le média. Aucun intérêt « scientifique ». Et cette détection élevée est en contradiction avec différentes études et concours indépendants qui révèlent au contraire le très faible niveau de détection des antivirus et leurs faibles protections contre des attaques !

Bref, ce genre de comparatif trompe le consommateur qui se croit bien protégé.

jeudi 16 septembre 2010

Vive les hackers

Les hackers ne sont pas des pirates. Pour ce premier billet de la rentrée, voici un entretien sans langue de bois avec Eric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles - ESIEA Ouest.

1-Il y a de plus en plus de conférences sur la sécurité, que pensez-vous de cette multiplication ?
Eric Filiol : C'est la preuve que l'approche universitaire et académique a fait son temps. Elle ne produit rien, affirme beaucoup, ne prouve rien et a un impact opérationnel nul. Ce n'est pas un hasard si les grandes avancées en sécurité et en cryptographie de ces trois dernières années ont été présentées à Black Hat, CCC, PacSec, Hack.lu. Le hacker prouve ce qu'il avance, ça marche et il l'a code. Donc c'est opérationnel. L'universitaire lui se pose la question de savoir si cela marche sur le papier. Or, les Etats financent à fonds perdus une recherche qui ne sert à rien, c'est du gaspillage. Pire, ces universitaires nous ont entrainés dans ce que je n'hésite pas à appeler une bulle technologique/scientifique spéculative.
Il faut savoir que toute la sécurité informatique (banques, vote électronique, commerce électronique, sécurité des antivirus....) repose sur une cryptographie dont personne n'a jamais prouvé la validité et la solidité. Le jour où le seul RSA va tomber (parce qu'il tombera) ce sera un séisme mondial, à côté duquel la crise de 29 et celle de 2009 seront une promenade de santé.
Et j'accuse directement les universitaires de nous avoir entrainés au bord du gouffre. Les hackers eux prouvent, jour après jour, que tout ce que l'on nous vend peut être attaqué (on peut citer le cas du quantique; ça marche sur le papier mais les hackers le contournent). Je pense que le Grand emprunt ne devrait pas aller aux universités mais aux hackers organisés sous la tutelle de l'État à son profit et à celui des grandes entreprises.

2-Vous êtes intervenu dans différentes conférences sur la sécurité informatique. Quel bilan en tirez-vous ?
Je suis intervenu essentiellement dans le domaine de la cryptologie (et plus particulièrement la cryptanalyse) et la virologie. En fait, ces conférences sont un espace de stimulation extraordinaire et j'y retrouve ma culture opérationnelle militaire. Chaque conférence est une remise en question personnelle. Je descends dans l'arène, rien n'est acquis par avance, je dois faire mes preuves et je dois prouver ce que j'ai fait et codé les choses. Cela ne m'empêche pas de passer par une validation théorique préalable mais le but est l'opérationnel.
Pour ma part, les conférences académiques ne m'apportent plus rien (la veille technologique que je maintiens le prouve). Et pire, on commence à voir des articles et résultats qui sont soit faux soit "enjolivés". Dans les conférences de hacking, je peux publier des codes, organiser des tutoriaux pratiques (à Brucon et Hack.lu je vais animer une séance d'attaque en cryptologie façon travaux pratiques). Je peux organiser des challenges réels et puis on peut faire des choses comme à iAWACS qui n'avaient jamais été faites.


3-On parle de plus en plus d’embauche de hackers par des gouvernements et des organismes officiels comme la NSA. Quelle est la situation en France ?

Les entreprises et les gouvernementaux ont besoin de cette communauté. C'est la raison pour laquelle les conférences de hacking sont suivies par une forte majorité de gens venant de ces deux sphères. A la seule Black Hat Las Vegas, on voit le FBI, le NCIS, la CIA, la NSA.... en Allemagne le BSI et le BND sont toujours là. Le CTO du projet Honeynet (Sébastien Tricaud, un hacker inconnu en France) traite directement avec les représentants étatiques. Des pays comme l'Allemagne et les USA sont très en avance : depuis plus de 30 ans ils ont organisé et soutenu leurs hackers. En France, nous avons nous l'article 323 du CP. On a diabolisé les hackers. Monter iAWACS n'a pas été facile mais les instances nationales ont compris l'urgence de changer le fusil d'épaule. Cette prise de conscience sera-t-elle accompagnée du courage nécessaire pour remettre en cause et challenger l'hégémonie des universités et de quelques "sérails autorisés" (comme Normal Sup en crypto par exemple) et qui ont fait beaucoup de mal à la France ?

mercredi 28 juillet 2010

Testez DrWeb pour Androïd !

L'éditeur russe Doctor Web, reconnu pour la qualité de son antivirus, s'intéresse de plus en plus aux terminaux mobiles. la preuve, il s'apprête à sortir DrWeb pour Androïd.

Ce nouveau produit scanne tout le système de fichiers, ainsi que la mémoire du téléphone où sont sauvegardées les applications. Les objets malveillants dépistés seront mis en quarantaine par Dr.Web. Quand le moniteur de fichiers est activé, Dr.Web analyse chaque logiciel, installé dans la mémoire interne du portable et chaque fichier, enregistré sur la carte SD.

Pour l'instant, c'est une bêta test. Vous pouvez la tester.

Pour installer Dr.Web pour Android il est nécessaire de suivre les conseils de l'éditeur :

1. Connecter le portable à l’ordinateur à l’aide de la jonction USB.

2. Sélectionner l’option d’identification du portable comme disque.

3. Copier le fichier drweb-600-android-beta.apk sur la carte SD.

4. Déconnecter le portable de l’ordinateur.

. Faire exécuter sur le portable un gestionnaire de fichiers (par exemple, ASTRO de l’Android Market).

6. Ouvrir le dossier /sdcard et y trouver le fichier drweb-600-android-beta.apk.

7. Faire exécuter l’installation via le gestionnaire de logiciels standard.

Pour l’utilisation ultérieure de l’antivirus, vous aurez besoin d’un fichier clé que vous pouvez obtenir avec le fichier d’installation sur la page de téléchargement.

Dommage qu'Apple n'autorise pas ce genre d'antivirus sur son iPhone et iPad...

mardi 13 juillet 2010

Sécurité de Linux et de MacOS : halte aux mensonges !

Régulièrement, on peut lire dans la presse et dans des blogs, des commentaires affirmant qu'être sous Linux ou MacOS c'est être en sécurité.

Le discours est toujours le même : il n'y a pas de virus comme sous Windows ! Divers arguments sont avancés comme la structure du noyau et la part de marché des distributions GNU/Linux.

Sans entrer dans le détail car il faudrait plusieurs billets, la situation n'est pas aussi tranchée.

Le rapport semestriel de Secunia montre justement un rapport entre part de marché et vulnérabilités : Depuis 2005, Secunia note qu'Apple, Oracle et Microsoft sont responsables de 38 % du total des vulnérabilités, ce qui représente également 16 % des avis de sécurité annuels de Secunia. Pour Secunia, c'est aussi la preuve que des parts de marché importantes impliquent un nombre élevé de vulnérabilités

Le concours d'antivirus organisé par l'ESIEA montre que justement que les OS sont faillibles à cause d'applications tierces (un des participants a d'ailleurs utilisé une faille d'OpenOffice pour leurrer les AV).

D'ailleurs le rapport de Secunia confirme en effet que ce sont bien les appli tierces qui présentent le plus de risques pour les OS.


Secunia prend l'exemple du PC Windows typique d'un utilisateur final avec 50 programmes installés. Ce PC devra faire face à 3,5 fois plus de bugs de sécurité dans les 24 programmes tiers fonctionnant dessus le système d'exploitation que dans les 26 programmes Microsoft installés. Un ratio qui devrait augmenter de 4,4 en 2010.

En fait, la sécurité des distrib' linux vient surtout (principalement ?) de la gestion des paquets. A la différence de Windows où l'on peut télécharger un soft depuis n'importe quel site, avec les distrib' GNU/Linux, le plus recommandé est de passer par le gestionnaire ad hoc, même si on peut aussi installer depuis un autre site.
D'ailleurs, cette facilité d'installer et de télécharger des appli depuis n'importe quel site est une menace : la preuve avec Google qui a décidé de faire le ménage des extensions. Avec Apple c'est peut-être fermé (app store) mais les risques sont plus faibles. Mais pas nuls bien sûr.

Tout cela pour dire que la sécurité n'est pas une affaire de logiciels (contrairement au discours marketing des éditeurs d'AV) et d'OS; c'est une affaire humaine. L'utilisateur doit être vigilant.

Pour ceux qui veulent approfondir sur sujet (délicat et... sujet à polémiques), je les invite à lire les références suivantes
:

- HS n°32 de Linux magazine consacré aux virus sous GNU/Linux

- "Les virus informatiques : théorie, pratique et applications" d'Eric Filiol. Ed. Springer. Un excellent livre (même si certains passages sont hors de portée de mes connaissances...) qui est la référence ultime et objective.

mardi 22 juin 2010

Concours antivirus : les commentaires du PDG de DrWeb
















Un peu plus d'un mois après la seconde édition du concours d'antivirus, Boris Sharov, Pdg de l'éditeur russe Doctor Web (en photo, le laboratoire de Saint Petersbourg), répond aux questions de SecuriteOff :

Que pensez-vous de ce concours ?
Boris Sharov
: Il y a eu de nombreuses discussions sur la methodologie. Comme toujours, iAWACS est ouvert et il est transparent. On peut donc toujours discuter franchement et proposer ses arguments au cas où l'on n'est pas d'accord avec les conclusions des organisateurs.

Le plus étonnant - ou inquiétant - est qu'une attaque a reposé sur un code de 3 lignes vieux de 10 ans. Les antivirus n'avaient pas mis ce genre d'attaques dans leurs bases ?
B.S : Non, les antivirus ne sont pas sensés faire ca. Je pourrais comparer ces trois lignes de code à une ligne très éloquante - format c: très destructive, on le sait, mais aucun antivirus ne va jamais détecter ce code. On n'inclut pas des choses potentiellement dangeureuses de ce genre dans les bases; c'est pas le travail d'un antivirus.

On peut se demander si le grand public va continuer d'acheter des AV payants étant donné qu'ils ne sont pas meilleurs que le seul gratuit de ce challenge (Avast) ?
B.S
: Le grand public est très segmenté. En plus, ça dépend des régions du monde. En Chine, le grand public n'achète presque pas les antivirus payants. D'ailleurs, la Corée du Sud s'engouffre rapidement dans le gratuit. Mais le nombre de personnes préférant pourtant acheter ce genre de logiciel augmente, du moins, dans les pays où DoctorWeb opère.


Quelles mesures allez-vous prendre ?
B.S
: Je ne crois pas qu'on puisse prendre des mesures particulières. Nous essayerons de rendre plus clair notre point de vue aux organisateurs.

Est-ce qu'une suite de sécurité aurait été plus efficace ?
B.S
: Certainement pas !

Boris Sharov, merci.

mardi 8 juin 2010

Les virus se multiplient sur les smartphones

Bienvenue dans un monde sans fil ! Le nombre de codes malveillants repérés sur les smartphones a plus que doublé au cours des six derniers mois selon la société Belvédère.


Les spywares (logiciels espion) sont les principaux codes malveillants constatés sur les BlackBerry. Pourquoi ? Selon Veracode, c'est la présence très répandus des téléphones de RIM dans les entreprises qui expliquerait cette particularité. De nombreux Blackberry contiennent en effet de nombreuses données confidentielles d'entreprises, autant de cibles potentielles pour les pirates et offices de l'espionnage industriel.

De leur côté, les téléphones Windows Mobile sont plutôt confrontés à des programmes malveillants plus "classiques". Quant à l'OS Androïd, il soufre des deux maux.

jeudi 3 juin 2010

Les failles de sécurité sur l'iPhone se multiplient

C'est la rançon du succès. Il ne se passe pas une semaine sans qu'un expert en sécurité ne révèle une faille de sécurité plus ou moins grave (et plus ou moins facile à lancer) concernant le smartphone d'Apple.

Hier, un spécialiste de la sécurité informatique chez Linx (London Internet Exchange), indique qu'une vulnérabilité permet d’accéder à des données présentes sur l’iPhone même si ce dernier est protégé par un mot de passe.

Cette faille a été découverte un peu par hasard en utilisant le système d’exploitation Ubuntu 10.04.

Une fois connecté en USB, le téléphone peut être à la merci d'un pirate qui pourrait accéder au contenu et insérer un code malveillant.

Autre faille révélée par un autre expert : la possibilité de l'iPhone de se connecter de façon automatique à certains réseaux wi-fi est une opportunité pour les pirates d'accéder là ausi au contenu du smartphone.

Quelles conclusions en tirer ? La révélation de ces failles est une suite logique. Le succès et la part de marché des appareils d'Apple (iPhone et iPad) attirent le monde entier. En bien et en mal.

Pour les experts en sécurité et les pirates, c'est aussi un moyen de faire parler d'eux. Un coup de pub sur le dos d'Apple ! Car, dans la plupart des cas, les attaques sont possibles mais difficiles à organiser pour Madame Michu.

Les risques sont donc limités. N'empêche, ces informations confirment que l'OS d'Apple n'est pas aussi blindé que le laisse croire la marque. Le problème est qu'Apple n'a pas autorisé de logiciels de sécurité comme il en existe sur d'autres OS mobiles. Certes, ces logiciels de sécurité ne sont pas parfaits mais ils limitent les risques.

Les utilisateurs doivent donc se montrer vigilants : ne pas cliquer sur n'importe quel email et pièce jointe reçus, mettre à jour son iPhone, ne pas utiliser un iPhone craqué (c'est à vos risques et périls), mettre un mot de passe "fort" pour le chiffrement...

Failles de sécurité : Microsoft ne dit pas tout...

Lors d'une réunion qu'il a tenu avec des journalistes au siège de Redmond, Mike Reavey, directeur du Microsoft Security Response Center (MSRC), a admis que « l'entreprise ne communiquait pas publiquement sur toutes les failles de sécurité qu'elle corrigeait » avec ses mises à jour.

En lisant cette info sur le site Espace Microsoft, on apprend que « Microsoft communique un numéro de Common Vulnerabilities and Exposures (CVE) unique lorsque plusieurs failles sont concernées par la même vulnérabilité, visées par à un même vecteur d'attaque et une manœuvre de contournement identique. Si l'ensemble de ces bugs partagent les mêmes propriétés, alors ils ne sont pas déclarés séparément, » a expliqué Mike Reavey.

Cette absence de divulgation de correctifs par Microsoft a été dévoilée au début du mois par Core Security Technologies, laquelle a mis en évidence trois patchs « muets » dans les correctifs MS10-024 et MS10-028 qu'elle a décortiqué.

Microsoft n'est pas le seul éditeur à faire des cachoteries. Adobe a également gardé le silence sur certains correctifs de vulnérabilité. Une info confirmée lors de cette conférence de Microsoft par Brad Arkin, responsable de la sécurité et de la confidentialité des produits chez Adobe.

Ces révélations ne sont pas surprenantes. Dans un billet publié en février dernier, j'évoquais déjà cette question avec Eric Filiol...

mercredi 2 juin 2010

Ne pas installer un antivirus est une grave erreur

Les résultats d'un sondage sont inquiétants. Selon une étude menée par l'éditeur de logiciel de sécurité Avira, un internaute sur dix surfe encore sur Internet sans la moindre protection antivirus.

Un quart des utilisateurs de logiciels antivirus ignorent celui-ci et ferment tout simplement les avertissements d’un clic de souris. Heureusement, "la plupart des internautes utilisant des logiciels antivirus se soucient de la sécurité de leur ordinateur et suppriment manuellement les logiciels malveillants. D’autres utilisateurs inspectent tout d’abord les paramètres du scanner de virus, puis s’en remettent entièrement à lui", explique l'éditeur.

Pourquoi ces révélations (qu'il faut néanmoins nuancer car elles ne peuvent prétendre à aucune valeur "scientifique"*) sont-elles inquiétantes, voire désespérantes ?

Depuis de nombreuses années, tous les experts et les éditeurs de logiciels de sécurité (c'est leur métier...) répètent à l'envi que l'installation (et la mise à jour automatique) d'un antivirus - mais aussi d'un parefeu (firewall) - est indispensable.

Evidemment, il y aura toujours des personnes pour dire qu'il faut migrer vers une distribution GNU/Linux (comme Ubuntu par exemple pour le grand public) ou qu'elle n'ont jamais eu de virus malgré l'absence d'un AV sur leur PC.

Ces affirmations ne font rien avancer. Certes, tous les antivirus ne se valent pas (les tenors du secteur étant mêmes les plus mauvais !). Mais l'installation d'un tel logiciel est nécessaire sous Windows car il réduit les risques d'infection. Oui, il réduit mais ne les empêche pas à 100% contrairement à ce que prétendent certains éditeurs dans leurs publicités mensongères.

Outre l'installation d'un antivirus, il est INDISPENSABLE de ne pas tenter le diable : ne cliquez jamais sur une pièce jointe ou un lien internet contenu dans un email envoyé par un inconnu, changez régulièrement de mot de passe fort, mettez à jour votre système d'exploitation et TOUS vos logiciels...

* Cette enquête s'appuie sur les réponses données par 5811 visiteurs sur le site de l'éditeur.

Module Firefox anti HADOPI : nouvelles versions

Developpée par Eric Filiol et Eddy Deligne de l'école informatique ESIEA, la technologie PERSEUS bénéficie de deux nouvelles versions.

Premièrement, la version destinée à Windows 7 est maintenant stable.

Deuxièmement, les utilisateurs sous MacOS peuvent tester la version compatible. Mais attention, elle n'est pas encore définitive.

Pour rappel, ce module destiné au navigateur Firefox permet entre autres :
- une protection contre l'activité d'espionnage de codes malveillants à grande échelle (ex. botnets qui pour éviter la détection préférent écouter sur les ports non standards plutôt que de hooker des ressources surveillées par les antivirus, enfin ceux qui le font réellement).
- une protection contre les écoutes privées de type officines plus ou moins légale comme celles qui traquent les internautes qui téléchargent (illégalement) de la musique ou des vidéos.

lundi 31 mai 2010

Hitler à la Maison Blanche


Le service de sécurité informatique de la Maison Blanche devait faire la fête ce week end. Pendant presque 24 heures, le site officiel affichait une photo d'Adolf Hitler.

Cet "exploit" serait l'oeuvre d'un pirate appelé Kaka Argentine.

Ce n'est pas la première fois que des pirates arrivent à placer des slogans ou des photos sur des sites officiels américains. L'année dernière, les pirates de "l'équipe Ayyildiz" avaient posté des propos pro-palestiniens sur le site du ministère de la Défense.

vendredi 28 mai 2010

Piratage des jeux en ligne : le jackpot

Les pirates ne sont pas des manchots. La preuve, l’équipe Symantec Security Response a repéré un serveur abritant 44 millions de comptes de jeux en ligne dérobés.

L'éditeur explique le fonctionnement de ce piratage à grande échelle qui s'appuie sur des chevaux de Troie :

"Si Infostealer.Gampass est généralement à l’origine de la capture, Trojan.Loginck a lui pour mission de « confirmer » les comptes dérobés, notamment en terme de validité du mot de passe et autres paramètres comme le niveau du personnage par exemple.
Alors, compte tenu du grand nombre de comptes à « vérifier » ainsi que des potentiels problèmes de verrouillage d’un mot de passe après plusieurs essais depuis la même adresse IP, Trojan.Loginck « dispatche » les tâches sur une multitude de bots. Ces machines remontent ensuite les résultats vers une base de données centrale (17 Go pour l’instant…)."

Derrière cette opération se cache un business de revente de comptes. Une pratique pourtant interdite par la plupart des jeux en lignes.

vendredi 21 mai 2010

Les vidéos de l'iPad

Le dernier joujou d'Apple sort dans quelques jours en France. En attendant, Apple a mis en ligne 10 vidéos présentant sa fameuse tablette.

Pour les voir, cliquez ici.

PS : on attend les mêmes vidéos faites par des hackers...

jeudi 20 mai 2010

Les managers, maillons faibles de la sécurité informatique

L'être humain reste, et restera, toujours le maillon faible. Pourquoi en effet installer toute une panoplie de logiciels de sécurité si les mesures les plus basiques ne sont même pas appliquées ?

C'est l'une des conclusions que l'on peut tirer à la lecture d'une étude faite par l’institut Ponemon : 67% des organisations françaises ont été victimes d’une violation de données en 2008 et de plus, les dépenses des entreprises liées aux effractions - dues aux pertes de données - s'élèvent à 1,9 million d'euros, en moyenne.

Un montant qui se décompose entre la détection des pertes, les conséquences financières sur l'activité, le traitement et les frais de notification.

Alors que 64% des ordinateurs écoulés en France au dernier trimestre 2009 étaient des ordinateurs portables et que la mobilité gagne du terrain en entreprise, les risques de violation de données augmentent avec et entrainent de potentielles pertes financières importantes qui pourraient pourtant être économisées.

Récemment, Absolute Software, spécialiste de la récupération d’ordinateurs volés, et l’Institut Ponemon ont publié une étude mettant en avant l’importance du facteur humain lié à la perte de données.

Les bonnes pratiques de sécurité sont en effet souvent ignorées et la confidentialité de certaines informations est souvent mise de coté. En effet, près de 50% des managers français ont admis avoir désactivé leur solution de cryptage et 31% notent leurs mots de passe sur des post-it et 25% les partagent avec des tiers.

Casinos en ligne : des failles dans les cartes des joueurs

Jouer sur des sites de casinos en ligne intéresse de nombreux internautes. Et aussi des pirates. Comme toujours, ils recherchent des failles dans lesquelles ils peuvent s'engouffrer.

Ainsi, le site Zataz annonce qu'une "vulnérabilité informatique permettait de lire les cartes des joueurs de poker en ligne sur Ultimate Bet et Absolute Poker. La société Cereus, responsable des casinos en ligne Ultimate Bet et Absolute Poker s'est retrouvée avec un gros problème dans son code informatique".

Selon Poker Table Ratings, qui a repéré cette faille, les pirates pouvaient accéder aux cartes détenues par des joueurs, en pleine partie.

La faille a été corrigée via l'installation d'une nouvelle version du logiciel de la société Tokwiro Enterprises.

Comment bien désinstaller un antivirus

Les logiciels de sécurité, comme les antivirus et les pare-feux (firewall), ont parfois un vilain défaut : ils font du zèle pour être supprimés correctement. Même en passant par le panneau de configuration de Windows ou le raccourci de désinstallation du logiciel, le résultat n'est pas toujours optimisé.

Il reste des traces ou, pire, le logiciel fait la sourde oreille à votre demande. Qui n'a jamais pesté en effet contre Norton par exemple !

Le site suisse Libellules a la bonne idée de publier une page avec tous les utilitaires permettant de désinstaller sans galère son logiciel.

On regrette que le site n'ait pas aussi donné un lien pour télécharger un utilitaire permettant de supprimer ZoneAlarm...

Très utile et indispensable.

vendredi 14 mai 2010

Un virus qui vise les fans de jeu sur smartphone

Les smartphones sont bien la nouvelle cible des escrocs. L'éditeur de l'antivirus DrWeb a repéré un nouveau logiciel malveillant, WinCE.Dialer.1.

Installé sur un smartphone fonctionnnant sous Windows Mobile, il passe des appels lui‐même vers des numéros surtaxés dans différents pays.

La phase active du trojan (cheval de Troie) débute deux jours après la contamination du système.

Les fans de jeux doivent être très méfiants car WinCE.Dialer.1 est diffusé sous forme de jeu pour les smartphones.

Faux Torrent et vraie arnaque

L'éditeur d'antivirus Doctor Web a repéré un réseau de faux Torrent‐Tracker et Download‐Portal, développés par des pirates dans différents pays, mais visant pour la plupart les utilisateurs russes.

Les pirates affichent sur leurs sites des liens vers des MP3, des livres et des films. Pour attirer le maximum d'internautes, les pirates font en sorte que ces types de sites occupent les premières places dans les moteurs de recherche comme Google.

Lorsque l’utilisateur tombe sur le site malicieux via le lien proposé ou la publicité, il télécharge une archive sensée contenir ce qui l’intéressait. En réalité, ce fichier à exécuter est un code malveillant défini par Doctor Web comme Dr.Web Tool.SMSSend.2.

Le piège vient de se refermer : l’internaute doit envoyer des SMS payants pour obtenir le mot de passe nécessaire au lancement de l’archive téléchargée, qui, en réalité, ne contient qu’un faux fichier non‐exécutable.

Selon les statistiques, le nombre de tentatives de sa pénétration dans les ordinateurs dépasse déjà 6 000 par jour.

McAfee sort son chéquier

McAfee a décidé de rembourser son bug jusqu'au 31 mai.

Pour rappel, cet antivirus a pris un fichier Windows (svchost.exe)… pour un code malveillant.

C'est ce qu'on appelle un "faux-positif".

Pour en bénéficier, les entreprises et les particuliers qui ont été victimes de cette mise à jour "buggée", doivent remplir un formulaire.

Cette opération vous permet aussi de prolongation votre abonnement de deux ans.

Pas sûr qu'avec les mauvais résultats obtenus par cet antivirus lors de trois tests très sérieux, ce remboursement sera suffisant...

Protégez votre connexion wi-fi sous peine d'amende

Pour l'instant, cette amende ne concerne que les Allemands. La justice de ce pays estime en effet que les internautes doivent sécuriser leur connexion sans fil avec un mot de passe afin d’éviter tout usage frauduleux par un tiers.

Un usager vient de l'apprendre à ses dépens et doit payer une amende de 100 euros.

Cette affaire doit rappeler aux français qu'il est important de protéger son accès wi-fi en prenant différentes mesures :

- Créez une clé WPA « robuste »
Après avoir accédé aux paramètres sans fil de viotre box et/ou carte wi-fi, cliquez sur l'onglet Chiffrement. Une petite fenêtre indique WPA-PSK. Il s'agit des abréviations de « Wi-Fi Protected Access » et du mode « pre-shared key » (connu comme Personal mode). Comme ces protocoles de sécurité peuvent être attaqués, cette clé doit avoir plus d'une dizaine de caractères. Si ce n'est pas le cas, cliquez sur le petit rond à droit pour « Générer une clé ».

La longueur d'une clé WPA2 n'est pas suffisante. Il faut surtout mélanger des lettres (en minuscule et en majuscule), des chiffres et des caractères spéciaux (astérisque, arobase...). Objectif : rendre plus difficile la découverte de ce mot de passe.

- Changez et cachez le SSID
L'acronyme de « Service Set Identifier » est le signal envoyé par la box ou le routeur et qui permet d'identifier le réseau. Il faut le masquer pour le rendre invisible à la détection par une carte WIFI dans "Afficher les réseaux disponibles" ou par un scanner. Attention : si un ami de passage chez vous veut se connecter, il faudra rendre de nouveau visible le SSID

Une petite astuce pour terminer : Un logiciel pour repérer des curieux
Toutes les box et les PC portables utilisent le Wi-fi. Résultat, des petits curieux tentent de s'immiscer dans votre connexion. Pour les repérer utilisez le logiciel
AirSnare (http://home.comcast.net/~jay.deboer/airsnare/index.html). Compatible Windows, il permet de détecter les adresses MAC non autorisées sur votre réseau. Il vous alerte aussi lorsque des requêtes DHCP ont lieu (pour obtenir une adresse IP).

mardi 11 mai 2010

Les chiffres bidons des éditeurs d'antivirus

Dans un article paru sur le site de l'Expansion, Roger Kay, analyste chez Endpoint Technologies Associates, indique : "les éditeurs de logiciels antivirus créent plus de 20.000 nouvelles signatures par jour pour contrer les attaques des pirates."

Mais quel crédit peut-on apporter à ce chiffre car les éditeurs d'antivirus diffusent à l'envi ce genre de données impressionnantes.


Lors de la conférence d'Eicar qui s'est tenue il y a quelques jours, la communauté d'experts en sécurité a remis à leur place les éditeurs qui bidonnent leurs chiffres. Il faut environ 1 heure pour mettre à jour les bases virales. Donc, comment mettre 20 000 nouvelles signatures en 24 heures ? Ils sont plus forts que Jack Bauer !

En réalité, sur les 20 000 ou 40 000 annoncés, il n'y a que trois ou 4 codes malveillants différents. C'est tout.

Mais Christophe Devine, expert en sécurité et vainqueur de la première édition du challenge d'antivirus de l'ESIEA, m'a indiqué que "le chiffre (d'ESET, Ndlr) est probablement vrai. Cela étant, il est à relativiser car, par exemple, une famille de malwares polymorphiques côté serveur peut générer plusieurs dizaines de milliers d'échantillons en apparence unique en une seule journée. Les éditeurs d'antivirus doivent ainsi investir beaucoup dans de nombreuses machines physiques pour automatiser les filtres qui séparent les nouvelles menaces du tout venant. Et c'est une tâche non triviale".

De son côté, Boris Sharov, Pdg de l'antivirus DrWeb, m'a précisé : "nous n'avons pas besoin de ça en vue de notre moteur de traitement des pacqueurs".

lundi 10 mai 2010

Des antivirus incapables de détecter une attaque du kernel

Infecter un ordinateur semble facile. C’est ce que laisse à penser la société Matousec (spécialisée dans la sécurité).

Elle vient de publier les résultats d’une attaque qu’elle a menée sur la majorité des antivirus (sous Windows XP SP3 et Vista SP1).

Aucun n’a été capable de bloquer l’infiltration. Cette attaque baptisée KHOBE (Kernel Hook Bypassing Engine) se fait en deux temps : un premier appel au kernel est repéré par l’antivirus qui le laisse passer car il est anodin.

Mais aussitôt après, un second appel (cette fois malveillant) est envoyé avant que l’antivirus redevienne vigilant. En fait, cette attaque ne remet pas en cause directement les antivirus. Elle pointe du doigt une faille dans ces systèmes d’exploitation de Microsoft qui permet de leurrer les appels au noyau.

Mais pour Eric Filiol, directeur de recherche à l'ESIEA,"les antivirus sont aussi responsables car pour simplifier leur travail ils se reposent sur un mécanisme de hook ssdt (crochetage de ressources noyau). Donc, si ce mécanisme est faible (du à l'OS), toute application utilisant cet appel sera vulnérable. Cela prouve une fois de plus que les antivirus doivent évoluer et faire un peu mieux que d'exploiter des techniques simples".

Challenge PWN2KILL : le palmarès

Voici les petits génies qui ont révélé leurs compétences lors du challenge :

1er prix Guillaume Fahrner (Mastère Supelec)
2eme prix Equipe Jonathan Dechaux - Romain Griveau - Jean-Paul Fizaine - Kenza Jaafar (ESIEA 4eme année)
3eme Prix Baptiste DAVID (ESIEA 1ere année)
4eme Prix Francois Déchelle (indépendant)
5eme Prix Samir Megguedem et Anthony Desnos (ESIEA)
6eme Prix Francois-Xavier Bru et Frederic Bertrand (Mastère Telecom Bretagne)

Prix du mérite Alan Zacardelle (Dimension Data)

Les critères du jury étaient :
- le nombre d'AV contournés
- la qualité technique de l'attaque
- le caractère innovant ou d'élégance (simplicité)

Challenge PWN2KILL : la vérité sur les antivirus

Le Challenge PWN2KILL est terminé. Conclusion : tous les antivirus qui devaient protéger la cible, en l'occurrence un PC sous Windows 7 en mode utilisateur, n'ont pas été capables de bloquer les attaques.

Premier bilan avant différents "off" publiés d'ici à demain (et jours suivants) :

- Les AV payants n'ont pas fait mieux que les AV gratuits
- Certaines attaques étaient simples. Imaginez les conséquences avec des attaques plus sophistiquées...
- Certains candidats étaient étudiants en première année d'une école (ESIEA).

dimanche 9 mai 2010

Challenge PWN2KILL : les antivirus pas assez efficaces

La débacle ! Pour sa deuxième édition, l’iAWACS (International Alternative Workshop on Aggressive Computing and Security) organisé par ESIEA (Ecole Supérieure d’informatique, électronique et Automatisme) a démontré qu’aucun antivirus du marché n’empêche l’exécution de programmes malveillants.

Sur les 7 candidats, seul l’un d’entre eux a vu son programme bugger et se faire bloquer par les 15 antivirus. Les 6 autres vont parvenir à faire aboutir leur attaque sur 12 à 15 des machines protégées.

Commentaire d'Eric Filiol, un des organisateurs de ce challenge :

"Tous les antivirus sont à égalité dans la nullité. Ce n'est pas normal. S'il est indispensable d'avoir un AV (ne serait que pour satisfaire a l'obligation de moyens), ils n'offrent pratiquement pas de protection si ce n'est que contre des attaques génériques connues et choisies par les éditeurs (la Wild List). Cette uniformité prouve que le modèle économique (gagner facilement de l'argent pour certains) et surtout technique -- recherche de signatures ou équivalent qui date de 20 ans-- n'est plus acceptable. Le pire c'est que les "grands éditeurs" qui sont de véritables rouleaux compresseurs marketing imposent aux petits éditeurs sérieux de suivre ce modèle sous peine de disparaitre. Dépenser des fortunes en R&D quand les autres se contentent de faire du marketing condamne celui qui fera ce choix".

On peut se demander pourquoi il faudrait acheter un antivirus alors qu'ils sont mauvais !


A suivre...

EXCLU : Challenge PWN2KILL : le pire est arrivé

Le pire s'est produit. Tous les antivirus sont tombés et TRES rapidement.

C'est donc le scénario catastrophe qui est arrivé. Les candidats ont utilisé des techniques connues. Résultat, ils n'ont pas eu de mal à mettre à genoux les antivirus.

Le cas le plus flagrant et inquiétant a été une attaque reposant sur un code de 3 lignes vieux de 10 ans...

Premier bilan avant plus de détails aujourd'hui : les éditeurs d'antivirus ne font rien pour protéger leurs logiciels !

vendredi 7 mai 2010

EXCLU : challenge PWN2KILL, tous les résultats dimanche soir

La seconde édition du challenge PWN2KILL (organisé durant le colloque iawacs par l'ESIEA) a lieu dimanche à Paris.

Dès dimanche soir, SecuriteOff vous dévoilera le nom de l'antivirus qui a gagné. Mais SURTOUT, les mauvaises performances de tous les autres.

Pour rappel, lors de la 1ere édition fin octobre dernier :

- L'antivirus de McAfee a été mis hors d'usage en 1 minute et 56 secondes !

- Norton de Symantec a explosé au bout de 4 minutes

- GData a tenu 5 minutes et 14 secondes

- AVG a résisté un quart d'heure

- ESET/NOD32 a craqué au bout de 33 minutes

- Kaspersky n'a pas été au-delà de 40 minutes

Le grand vainqueur avait été l'antivirus russe DrWeb qui n'a pas pu être désactivé dans les temps impartis (1 heure).

Coté expert, c'est le français Christophe Devine qui avait révélé tout son talent en remportant à chaque fois le challenge.

Ce challenge commence à être pris au sérieux. Dès sa 2e édition, des représentants d'AVG (Rep. Tcheque), de McAfee (Inde), de Symantec (Allemagne), d'ESET (Slovakie) et de G-Data (France et Allemagne) ont décidé de faire le déplacement à Paris.

Faux emails HADOPI

HADOPI... c'est pas fini ! Nous n'avons pas fini d'en parler et de rire... jaune.

En plus d'être une mauvaise réponse à un problème sérieux, HADOPI va devenir de plus en en plus un casse-tête !

La preuve, des internautes ont reçu un "message du gouvernement français" adressé de la part de l'HADOPI.

Il s'agit d'un faux puisque les premiers vrais emails d'HADOPI n'ont pas encore été envoyés !

Il s'agit donc de pirates qui profitent d'une des multiples failles de ce système pour arnaquer les internautes.

Si ces faux emails se multiplient, on peut se demander comment vont réagir les internautes et les logiciels antispams lorsque les premières mises en garde vont être envoyées officiellement.

jeudi 6 mai 2010

La revue de presse de la sécurité informatique (6 mai)

Faille importante dans Facebook
Facebook a mis en place récemment une fonction de prévisualisation qui permet de voir ce que vos contacts voient en se connectant à votre page. En passant par cette fonction, il était possible d’accéder aux "friend requests" (demandes d’amis) d’un tiers, alors que ces informations sont normalement privées, et même d’accepter ou de refuser des demandes à la place du titulaire du compte. De même, il était possible de consulter la messagerie instantanée de ses contacts.
La faille vient d'être corrigée par le site.


Nouvelle arnaque via un faux site de la CAF

Nouvelle tentative d´hameçonnage de données appartenant aux allocataires de la Caisse des Allocations Familiales. Après le faux site des impôts [lire notre article à ce sujet du 01/05/2010] voici que les pirates se penchent de nouveau sur la CAF.
Commentaire de SecuriteOff : selon une source gouvernementale, les autorités françaises ferment environ 2000 sites de phishing en France...


Des kits vendus en Chine pour « cracker » les accès Wifi

Ils sont vendus en Chine afin de « cracker » les clés Wep (Wired Equivalent Privacy) des réseaux Wifi, et deviner les clés WPA (Wi-Fi Protected Access).

mercredi 5 mai 2010

Attaque d'antivirus : challenge PWN2KILL

La pression commence à monter. La seconde édition du challenge PWN2KILL (organisé durant le colloque iawacs par l'ESIEA) aura lieu le 9 mai à Paris.

Six candidats se sont inscrits soit quatre de plus que pour la première édition.
MISE à jour : C'est 7 candidats maintenant.

Pour rappel, ce challenge consiste à désactiver des antivirus installés sur un ordinateur fonctionnant, cette fois-ci, sous Windows 7 et en mode utilisateur...

La première édition avait été un "massacre" pour de nombreux ténors de la sécurité
informatique. A priori, cette seconde édition ne sera pas une partie de plaisir pour la majorité des antivirus qui restent toujours faciles (en quelques minutes) à désactiver...

De quoi inquiéter tous les particuliers et les entreprises qui pensent être protégés par leur antivirus (qu'il soit gratuit ou payant) !

La revue de presse de la sécurité informatique

Google Chrome 5 Beta
Le navigateur est disponible au téléchargement et il faut savoir que Google a intégré Flash en standard et celui-ci ne nécessite donc plus de mise à jour spécifique. Cette mise à jour se fera via Chrome directement.
Commentaire de SecuriteOff : Beaucoup de nouveautés mais peu concernent la sécurité...

Sept mille iPhone dérobés, un suspect arrêté
L'affaire est relatée par le journal Le Parisien. Un homme de 30 ans a été interpellé le 15 avril 2010 dans le cadre d'une enquête sur le vol de plusieurs milliers d'iPhone. Mis en examem pour « vol à main armée », il est suspecté d'avoir participé, avec deux complices, au cambriolage d'un entrepôt d'une société de transport en Seine-et-Marne.

Microsoft SIR 2009 : un peu moins de trous, autant d’attaques
Pas ou peu de surprises au fil de la lecture du huitième rapport semestriel Microsoft Security Intelligence Report. La fréquence de divulgation des failles est en régression de 8,4% (tous niveaux de dangerosité confondus) soit une baisse de 9% des failles publiées qualifiées de « sévères » ou « critiques ».
Commentaire de SecuriteOff : Microsoft a amélioré la sécurité de ses systèmes d'exploitation. On ne peut pas en dire autant d'autres éditeurs. Mais quid des failles non divulguées par Microsoft...

Yahoo! Messenger touché par un ver
Une nouvelle variante d'un ancien ver informatique est actuellement diffusée via du spam malveillant pour messagerie instantanée. BitDefender et Symantec sonnent l'alerte.
Commentaire de SecuriteOff : Les vers sont devenus l'une des menaces les plus dangereuses du moment. Une vraie galère pour de nombreux antivirus incapables de les repérer...

Les applications web sont toujours vulnérables

Comme chaque année, l'OWASP (une organisation communautaire) publie son palmarès des risques liés aux applications web.

Et ca ne change pas : les principaux risques liés aux applications web restent toujours les mêmes. C’est la principale conclusion qui ressort du Top Ten publié par l’OWASP (Open Web Application Security Project), une organisation communautaire mondiale indépendante, basée sur le volontariat et l’Open Source.

En 2007, le trio de tête était le suivant : Injections coté serveur, Injections de scripts coté client et enfin Gestion défaillante de l’authentification et des sessions. Ce trio est le même dans son dernier Top 10 !

Les risques les plus dangereux concernent toujours les injections de commande. L’attaque de type Cross Site Scripting qui a récemment fait tomber Apache l’a confirmé récemment. Ce document de l’OWASP confirme les faiblesses structurelles des applications web.

Conçues principalement pour améliorer le travail des entreprises, elles privilégient souvent l’efficacité au détriment de la sécurité. « De nombreuses applications disposent d'une interface d'administration (native ou dépendant du serveur).

Or, elles sont régulièrement mises en production sans changer le mot de passe de l'interface ce qui permet souvent de compromettre la machine », constate Jean-Baptiste Aviat, consultant sécurité chez HSC.
Sébastien Gioria, consultant en sécurité et représentant du chapitre français de l’OWASP, rappelle qu’il « existe à ce jour au moins plusieurs centaines de problèmes affectant l’ensemble de la sécurité d’une application web ».

Sensibiliser les dirigeants

Mais repérer et colmater une vulnérabilité n’est pas suffisant ; il faut une approche globale de la sécurité. C’est la raison pour laquelle l’OWASP a modifié le contenu de son palmarès pour le rendre plus clair et accessible à tout le monde. Son Top Ten a en effet acquis une légitimité depuis sa création en 2003 mais il est surtout lu par des experts.

« En étant plus pédagogique, nous visons notamment les dirigeants, explique Sébastien Gioria. Nous avons décidé de parler de risques et non plus uniquement de vulnérabilités. Donner des priorités sur des vulnérabilités sans prendre en compte leur contexte n’a pas de sens. C’est l’impact qui est important. Il faut anticiper », précise Sébastien Gioria.

Pour cet expert, « il faut appliquer les concepts de sécurité dans le cycle de développement (Secure Software Development Life Cycle ou SDLC en anglais). Les programmes sont à sécuriser par conception, pendant le développement et par défaut. »

mardi 4 mai 2010

Le démantèlement de botnets n'a aucun effet

Beaucoup de bruit pour rien ? Récemment, certains des botnets majeurs tels que Waledac, Mariposa et Zeus ont été démantelés.

Cependant, l'effet n'a pas duré très longtemps. « Même pas quatre semaines après le démantèlement, les niveaux de spams moyens pour nos clients ont augmenté et sont revenus à la moyenne de 90% voire plus », constate Dreas van Donselaar, directeur technique chez SpamExperts.

« Il semble que les spammeurs, sans difficulté aucune, ont été capables de disposer de nouveaux botnets pour continuer à envoyer des vagues de spams partout dans le monde. On peut seulement estimer le nombre de machines infectées qui existent dans le monde et qui sont connectées à des botnets qui doivent être encore endormies ».

La branche anti-spam de Google a fait des constats similaires. Bien que les niveaux de spams aient baissé temporairement de 12%, ils étaient encore, en fin de trimestre, à 6% au-dessus de ceux de l'année dernière pendant la même période, comme l'a mentionné Google sur son blog officiel.

mercredi 28 avril 2010

Google confirme l'invasion des faux antivirus

Protéger son ordinateur devient un casse-tête pour le grand public.

D'un côté, mcAfee plante les PC de ses clients avec une mise à jour "foireuse".

D'un autre côté, Google confirme la montée en puissance des faux antivirus. Selon son étude menée par le moteur de recherche entre janvier 2009 et février 2010, les faux antivirus représentent 15% de tous les logiciels malveillants d'Internet.

Et pour ne rien arranger « les faux sites d'antivirus ont évolué en utilisant du Javascript plus complexe, capable d'imiter fidèlement l'interface de Windows » explique le rapport. « Dans certains cas, le faux antivirus détecte même la version du système d'exploitation utilisé, et ajuste son interface en fonction

Il faut donc être très vigilant : ne JAMAIS installer un antivirus même lorsque vous allez sur un site qui vous affiche une petite fenêtre indiquant que votre PC est infecté et qu'il faut installer immédiatement celui proposé. C'est un piège.

Si vous recevez un email vous proposant un antivirus super performant et gratuit, laissez tomber aussi : c'est un piège.

Si vous tombez dans ce piège, ce sera le début d'une vraie galère : « une fois installés sur l'ordinateur de l'utilisateur, ces faux antivirus sont très difficiles à désinstaller. Vous ne pouvez pas effectuer de mises à jour Windows, ou installer un autre antivirus. Vous devez souvent réinstaller le système d'exploitation» , prévient le rapport de Google.

Pour rappel, voici quelques "bons" antivirus :
- Kaspersky
- AVG
- Avira
- Avast
- Eset NOD 32
- DrWeb

Encore une fois, sachez que la sécurité informatique ne se limite pas à une question de logiciel. Soyez très vigilant et ne croyez pas les éditeurs d'antivirus qui vous promettent une protection à 100 %. C'est un mensonge.

Avec les antivirus présentés ci-dessus vous serez bien protégés. MAIS, ils ne seront pas efficaces si vous ne mettez pas à jour régulièrement Windows et vos autres logiciels. Ne cliquez pas non plus sur n'importe quel lien web ou pièce jointe...

McAfee a trouvé un virus inconnu très dangereux...

L'éditeur américain est en effet confronté à un virus très dangereux pour... son image de marque : la mise à jour "foireuse" qui énerve tous ses clients !

Depuis la boulette de la semaine dernière, McAfee rame pour retrouver la confiance de ses clients. Le courroux devenant de plus en plus menacant, l'éditeur a décidé de sortir son chéquier. Il vient d'ouvrir une page web dans laquelle il “e propose une solution aux consommateurs particuliers et indépendants concernés par la mise à jour défectueuse du logiciel de sécurité".

Et les autres clients ?

Est-ce qu'un responsable informatique d'une grande entreprise (je pense notamment à une grande chaine française...) pourrait lui envoyer sa facture pour être dédommagée (si elle a été touchée par cette mise à jour bien sûr) ?

Et les particuliers, quelle somme vont-ils recevoir ? Sous quelle forme ? A priori, ils se verront aussi offrir deux années gratuites d’anti-virus McAfee.

Pas sûr que cela suffise à les rassurer. Certains pourraient passer à la concurrence ou opter pour un antivirus gratuit.

Il ne reste plus qu'à attendre les résultats de McAfee au concours iawacs pour enfoncer le clou...

lundi 26 avril 2010

DrWeb veut séduire les PME

Comme d'autres éditeurs, le Russe Doctor Web a décidé de rassurer les PME en lançant Dr.Web AV-Desk. Construite sur le modèle du SaaS, cette offre (antivirus + antispam) a été testée depuis plus de deux avec un FAI russe.

Cette offre est maintenant disponible sur le marché français. Elle permet aux entreprises de souscrire un abonnement mensuel au service « Dr.Web antivirus », selon la formule qui leur convient : Classic, Standard ou Premium, en fonction du niveau de protection dont elles
souhaitent bénéficier.

jeudi 22 avril 2010

McAfee prend un fichier Windows pour un virus

Très belle publicité pour McAfee ! L’un des principaux éditeurs d’antivirus a énervé bon nombre d'entreprises et de particuliers avec son bug. Son antivirus a pris un fichier Windows (svchost.exe)… pour un code malveillant.

C'est ce qu'on appelle un "faux-positif".

Résultat : une mise en quarantaine automatique du fichier et une belle galère pour les utilisateurs de ce logiciel : plantage et redémarrage en boucle sous Windows !

Rapidement, McAfee a corrigé le bug.

Ce n'est pas la première fois que cet éditeur (mais il n'est pas le seul) est confronté à ce genre de plantage.

A vouloir aller plus vite que les experts, les éditeurs sortent des antidotes qui n'ont pas été correctement vérifiées.

Il faudrait peut-être aussi que ces éditeurs, qui investissent beaucoup dans le marketing, mettent un peu plus d'argent dans la R&D et dans le recrutement de vrais experts. Et pas uniquement pour les faire travailler dans leur labo mais aussi pour qu'ils soient au conseil d'administration.

Symantec nous fait peur pour vendre Norton

La peur fait vendre ! Cet argument est repris notamment par les éditeurs de sécurité pour nous inciter à acheter leurs logiciels.

il n'est donc pas étonnant que le rapport 2009 de Symantec nous fasse peur ! Et pour être repris par toute la presse, la société américaine nous sort le chiffre incroyable (et invérifiable) de 240 millions de nouveaux programmes malicieux apparus l’an passé.

Damned ! Vite achetons Norton pour bloquer ces millions de codes malveillants. Hélas, ca ne sert à rien d'acheter cet antivirus (mais cela vaut aussi pour la plupart des poids lourds de la sécurité informatique, euh... je veux dire du marketing de la peur).

Pour deux raisons essentielles :

1-Norton est incapable de détecter tous les virus et encore moins les codes malveillants inconnus c'est-à-dire qu'il n'a pas repéré et enregistré dans sa base virale.

2-Norton est incapable de se protéger contre des codes malveillants visant à le désactiver. Pour rappel, si l'antivirus est désactivé, le PC n'est plus protégé. Or, il est possible de désactiver l'antivirus sans éveiller l'attention de l'utilisateur. Résultat, l'internaute pense être toujours protégé...

Le concours organisé par l'ESIEA cet hiver (en marge du congrès iAWACS) a en effet montré le niveau très faible de Norton dans ce type d'attaque. Et les résultats de la prochaine édition du concours (le 9 mai à l'ESIEA de Paris) ne seront certainement pas plus flatteurs pour le logiciel du numéro 1 mondial de la sécurité informatique...

mardi 20 avril 2010

Une extension Chrome cache un virus

Ce n'est pas une surprise : BitDefender a repéré une extension pour Google Chrome qui cache un cheval de Troie.

L'arnaque repose toujours sur le même procédé : un email informe les internautes qu'une nouvelle extension de ce navigateur a été développée afin de simplifier l’accès aux documents envoyés par email.

Si l'on clique sur la pièce jointe pour installer cette extension, un cheval de Troie s'immisce sur le PC et va bloquer l’accès aux pages web de Google et de Yahoo! et rediriger les internautes vers des sites infectés.

Cet exemple n'est pas une surprise. C'est en effet le revers de la médaille : installer des extensions de Chrome est tellement facile : pas besoin d'aller sur le site de la Fondation Mozilla - à noter qu'il est aussi possible d'installer des extensions Firefox depuis les sites des développeurs - ou d'AppStore pour récupérer une application.

Oui mais voilà, sans un système centralisé (qui a aussi ses défauts...) c'est la porte ouverte à toutes sortes d'infections envoyées par des emails...

La cybercriminalité va augmenter avec la Coupe du monde de football

Comme à chaque printemps, Symantec nous livre ses statistiques sur l'évolution de la cybercriminalité. Selon le poids lourd de la sécurité informatique, elle a continué de progresser en 2009, mais un peu moins en France qui passe ainsi du 8e au 13e rang mondial dans l'activité malveillante sur internet.

Selon l'éditeur, il y a une "mondialisation de la cybercriminalité, avec de nouveaux pays comme le Brésil, l'Inde, la Pologne, la Roumanie, la Turquie...".

Autre constat : "un des vecteurs d'infection les plus importants est le simple fait de surfer, alors que pendant très longtemps c'était la messagerie".

Evidemment, le grand rendez-vous planétaire que va être la Coupe du monde de football va être l'occasion pour les pirates de multiplier les arnaques (des billets soi-disant moins chers, par exemple, que vous aurez commandés mais qui n'arriveront jamais) et les infections (via des vidéos des meilleurs buts par exemple)...

lundi 19 avril 2010

Le baladeur Zune de Microsoft entre les mains des pirates

L’équipe du site ZuneBoards vient d’annoncer la sortie d’un SDK alternatif nommé OpenZDK.

Avec cette boite à outils, il devient possible de réaliser des applications, homebrew et des jeux 3D pour le Zune HD en utilisant pleinement sa puce Tegra !

A la différence des solutions utilisées avec d'autres appareils (comme la PSP ou la DS), cette boite à outils ne remettrait pas en cause la garantie constructeur...

mercredi 14 avril 2010

Windows 7 : des failles repérées et pas corrigées





Windows 7 met-il en péril ses utilisateurs ? Peut-être... Microsoft vante les mérites de son dernier système d'exploitation en mettant en avant, entre autres, son niveau de sécurité.

Or, en consultant les statistiques de Secunia, une société spécialisée dans la détection des failles de sécurité, on peut découvrir que 14 % des vulnérabilités rendues publiques ne sont toujours pas corrigées.

Parmi les failles repérées (qu'en est-il alors de toutes les autres qui ne sont pas rendues publiques...) 57 % ont un niveau élevé selon Secunia. La majorité concernent l'accès au système.

A titre de comparaison, la distribution GNU/Linux Ubuntu n'affiche aucune faille non colmatée. Même constat pour Fedora 12, Opensuse 11.2

Mais la surprise vient de McOS X d'Apple qui présente... 1202 vulnérabilités.

mardi 13 avril 2010

Des attaques de spam visent Facebook

Les pirates ont trouvé un nouveau terrain à conquérir : les réseaux sociaux. ils innondent le web avec des spams imitant Facebook ou MySpace.

Comme toujours, ces emails s'appuient sur un prétexte de sécurité pour faire peur. ils parient sur la précipitation des internautes pour qu'ils agissent sans réfléchir.

Cette fois, l'email vous avertit que votre mot de passe a été supprimé. Les internautes sont donc invités à ouvrir le fichier .Zip, en pièce jointe, pour découvrir le nouveau mot de passe qui leur a été assigné.

Il ne faut SURTOUT pas ouvrir cette pièce jointe : elle cache en fait une charge virale (le cheval de Troie appelé « Trojan.Oficla.J »).

Une fois ouverte, cette pièce jointe va installer des codes malveillants qui prendront le contrôle de l'ordinateur via une porte dérobée (appelée aussi « backdoor »).

Un seul mot : supprimer immédiatement ce genre d'email.

N'oubliez pas de mettre à jour votre antivirus et votre antispam.

Sachez aussi que ce genre d'attaque n'a pas d'impact si vous êtes sous GNU/Linux (comme par exemple Ubuntu, Mandriva, Debian ou Opensuse)...

Encore une fois, c'est Windows qui est sensible à ce genre d'attaque

Un jeu de tir ? non, un virus sous Windows Mobile



L'éditeur de sécurité F-Secure vient de repérer et de bloquer un cheval de Troie caché dans le jeu de tir "3D Anti-terrorist action" développé par Beijing Huike technologie en Chine.

Visant les smartphones fonctionnant sous Windows Mobile, ce code malveillant appelle automatiquement des numéros surtaxés.

Les auteurs de ce cheval de Troie seraient des pirates russes. Ils auraient réussi à infecter le jeu à l'insu des développeurs chinois.

jeudi 8 avril 2010

Des pirates s'attaquent aux abonnés de la 3G d'Orange


Les escrocs suivent l'actualité. Constatant que de plus en plus de monde a un accès 3
G, ils ont décidé de lancer une attaque de phishing.

Pour schématiser, cette technique consiste à usurper l'identité d'une entreprise (ou d'un organisme financier ou d'une administration) en envoyant un faux email.

Dans le cas présent, il s'agit d'un email imitant Orange.

Très bien réalisé, cet email invite comme d'habitude les internautes à cliquer sur le lien présent dans ce courrier sous un prétexte de mise à jour de sécurité.

Il ne faut bien sûr pas répondre à cet email et SURTOUT ne pas cliquer sur le lien en question qui cache en fait un code malveillant.

Plus d'explications sur le blog sécurité d'Orange

mardi 6 avril 2010

Concours antivirus : nouvelle date

Plus fort que Bison Futé : je peux d'ores et déjà annoncer que le week end de l'Ascension sera chargé. A la demande "quasi générale", les organisateurs du colloque iAWACS ont dû décaler les dates.

Le colloque aura lieu du 7 au 9 mai. Et le fameux concours d'antivirus se déroulera dans l'après-midi du 8.

vendredi 2 avril 2010

Microsoft rachète Kaspersky (suite)

Les experts en sécurité l'auront bien sûr deviné : le rachat de l'éditeur russe par Microsoft était un poisson d'avril...

Malgré tout, l'arrivée du géant américain dans le secteur de la sécurité informatique avec son antivirus gratuit Microsoft Security Essentials (je ne parle pas du décevant Onecare...) a secoué le microcosme et a remis en cause le business plan de certains éditeurs qui n'avaient qu'un antivirus.

Pour s'en sortir, beaucoup misent sur les suites de sécurité (qui sont plutôt des fourre-tout que de vrais arsenaux efficaces...) ou sur le concept - fumeux - du cloud computing (l'antivirus n'est plus installé sur le PC mais sur un serveur de l'éditeur, à distance).

Et il y a fort à parier que des rachats dans le secteur de la sécurité vont se multiplier cette année...

A suivre...

jeudi 1 avril 2010

Scoop : Microsoft rachète Kaspersky

Coup de tonnerre dans le monde de la sécurité informatique. Microsoft veut devenir un pro de la sécurité. Pour atteindre cet objectif ambitieux, il aurait décidé de mettre le paquet en rachetant Kaspersky. Cet éditeur russe, connu et reconnu, pour la qualité de son antivirus, entrerait donc la sphère Microsoft.

Ce rachat n'a pas encore été confirmé mais des sources bien informées en Russie confirment cette opération.

Pour Microsoft, c'est un moyen d'attaquer un marché prometteur : celui de la sécurité des entreprises.

lundi 29 mars 2010

Un cheval de Troie passe par Word

Les virus ne passent pas seulement par les pièces jointes des emails. L'éditeur russe d'antivirus Doctor Web met en effet en garde contre le cheval de Troie (trojan) Trojan.Oficla (appelé aussi myLoader).

Apparu il y a environ six mois, ce code malveillant utilise désormais Microsoft Word pour se dissimuler dans le système.

Ayant contaminé l’ordinateur, le trojan cache son activité nocive en créant un processus winword.exe (si Microsoft Word est installé sur l’ordinateur). Ensuite, il enrôle l’ordinateur dans un réseau botnet, ce qui lui permet de télécharger sans problèmes des logiciels malveillants sur l’ordinateur atteint.

Selon Doctor Web, "différentes modifications de ce trojan sont vendues sur des sites spécialisés aux autres pirates. Leur prix varie entre 450 et 700 dollars".

jeudi 25 mars 2010

Concours de pirates : tous les navigateurs à genoux sauf Chrome

Belle pub pour Chrome. Le navigateur de Google va certainement profiter des résultats du concours Pwn2Ow organisé durant la conférence canadienne sur la sécurité informatique CanSecWest.

Attirés par des récompenses de plusieurs milliers de dollars, des hackers se sont attaqués à tous les navigateurs.

Safari, Internet Explorer et Firefox ont tous succombé aux attaques des participants en quelques minutes. Des mises à jour de sécurité avaient pourtant été installées... A noter qu'une faille de Safari a permis à deux hackers de mettre la main sur tous les SMS d'un iPhone.

Résultat, un seul s'en sort car il n'a pas été ... attaqué par les pirates : Chrome. Pourquoi ? Selon certains participants du concours, Chrome sous Windows (mais c'est encore plus vrai sous GNU/Linux) présente une convergence de plusieurs facteurs qui rendent le logiciel plus délicat à mettre à genoux : pas d’exécution sur la pile, la sandbox (bac à sable) créée par Google et les protections de Windows (DEP et ASLR).

Il faut dire aussi que Google avait pris les devants. Il avait corrigé plusieurs failles importantes quelques jours avant ce concours...

Piratez l'iPhone et gagnez de l'argent...

Comme annoncé dans le précédent billet, voici la première victime du concours organisé en ce moment au Canada : l'iPhone.

Vincenzo Iozzo et Ralf Philipp Weinmann ont trouvé le moyen de récupérer la base de données complète des SMS de l’iPhone (y compris les messages effacés) simplement en redirigeant les utilisateurs vers un site web piégé.

Ils ont reçu 15 000 dollars.

La technique employée par les pirates ne sera révélée que lorsqu'Apple aura colmaté cette faille.

Piratez l'iPhone et gagnez 100 000 dollars

Apple et Microsoft vont trembler pendant trois jours. Les chasseurs de primes vont acourrir à la quatrième édition du concours de piratage informatique Pwn2Own qui s'est ouverte le 24 mars à Vancouver (Canada), dans le cadre d'une conférence sur la sécurité.

Histoire d'être repris par de nombreux médias, les organisateurs sont prêts à lâcher 100 000 dollars aux pirates qui auront craqué un logiciel. A priori, l'iPhone OS et Internet Explorer 8 devraient être les premiers à céder...


A suivre...

mardi 23 mars 2010

Pourquoi il faut utiliser Firefox

L'actualité des navigateurs est agitée. L'arrivée de Google, avec Chrome, a réveillé le petit monde des navigateurs.
La révélation de nombreuses failles touchant ces dernières semaines Internet Explorer a aussi jeté un trouble sur le navigateur le plus utilisé dans le monde. Il ne se passe pas une semaine sans la révélation d'une faille plus ou moins grave touchant le logiciel de Microsoft.

Pour être honnête, il faut préciser que les autres navigateurs sont aussi touchés par des vulnérabilités. MAIS il y a une différence de taille : la rapidité des éditeurs à colmater ces brèches dans lesquelles pourraient s'engouffrer des pirates.

En 48 heures, Google et la Fondation Mozilla ont montré qu'ils étaient de bons élèves (ou des as de la com'...). Hier, Google a colmaté de nombreuses failles, plus ou moins inquiétantes, touchant Chrome.

Aujourd'hui, c'est la Fondation Mozilla qui explose le chrono. Mise à l'index par l'Office Fédéral Allemand pour la Sécurité des Systèmes d'Information (Bundesamt für Sicherheit in des Informationtechnik, BSI) - qui avait pointé du doigt il y a quelques semaines certaines versions d'Internet Explorer - la dernière version de Firefox a bénéficié d'une mise à jour "exceptionnelle" (la version 3.6.2).

A la différence de Microsoft, la Fondation Mozilla a très vite réagi. C'est la preuve d'un sérieux et aussi du respect de l'internaute.

Bravo.

lundi 22 mars 2010

Facebook : deux nouvelles attaques de pirate

C'est la rançon du succès. Le site Zataz révèle deux types d'attaques touchant Facebook.

La première attaque exploite une nouvelle faille de type XSS (Cross Site Scripting).En exploitant cette faille, un pirate "pourrait intercepter très facilement vos cookies, injecter un code malveillant ou orchestrer une redirection malicieuse. Le "Bug" fonctionne à partir du Mur de n'importe quel utilisateur de Facebook".


La seconde attaque exploite un lien redirigeant l'internaute vers un site infecté. Sur n'importe quel mur, si vous voyez le lien commençant par "apps.facebook.com/heureaafceabe", NE CLIQUEZ PAS DESSUS !

mercredi 17 mars 2010

Doctor Web lance une suite de sécurité


Enfin ! Les Russes de Doctor Web ont pris leur temps. En gestation et réflexion depuis quelques années (j'en avais parlé avec le Pdg Boris Sharov il y a deux ans je crois...), l'intégration d'un parefeu à l'antivirus DrWeb est une réalité.

Reste à savoir si ce firewall est digne de ce nom et peut rivaliser avec l'un des meilleurs, Outpost Pro.

Les deux nouveaux produits (Dr.Web Security Space Pro - 35 € environ - et Dr.Web Antivirus Pro - 26 € environ), en plus de la nouvelle fonction de pare-feu, reposent sur la nouvelle version des produits Dr.Web, la version 6.0.

Parmi les innovations intéressantes, il y a une nouvelle version du module de gestion de l’antivirus SpIDer Agent. Il possède désormais deux modes de fonctionnement : utilisateur et administrateur.

mardi 16 mars 2010

Les pirates profitent de la misère du monde

Symantec vient de publier son rapport mensuel sur le Spam et le Phishing.

En février, Symantec a observé une augmentation de 16% du phishing comparé au mois précédent. Cette augmentation est principalement due à la recrudescence du volume d’attaques visant les URL et les adresses IP.

Le phishing a représenté 19% du spam total engendré le mois dernier.

Les récents tremblements de terre au Chili et à Haïti ont été les sujets principaux à l’origine de ces spams.

Par ailleurs, des messages frauduleux à destinations de banques Italiennes et Canadiennes ont fait significativement augmenter le nombre de sites de phishing en langues françaises et italiennes.

Avec 23% des spams mondiaux, les Etats-Unis restent la première région mondiale à l’origine de la diffusion des spams. La France est quant à elle responsable de 2% des spams diffusés dans le monde.

mercredi 10 mars 2010

Internet Explorer : nouvelle faille de sécurité

Les internautes qui utilisent, encore, Internet Explorer, devraient se faire du soucis ! Les révélations de failles de sécurité visant ce navigateur web se multiplient.

Ainsi, Microsoft a averti mardi que des pirates informatiques profitaient d'une faille nouvellement mise au jour dans certaines versions anciennes de son navigateur.

Selon une dépêche de l'AFP, la société américaine a précisé que cette faille permettant aux pirates informatiques de lancer des cyberattaques était présente sur les versions IE 6 et IE 7 d'Internet Explorer.

"Nous sommes au courant d'attaques ciblées tentant d'utiliser cette vulnérabilité", a indiqué Microsoft. "Nous allons continuer à surveiller cette menace et mettrons à jour cet avertissement si la situation change".

Des hackers pourraient tirer parti de ce défaut pour prendre le contrôle d'ordinateurs à distance.

Il faut donc encore répéter le même conseil : passez à la concurrence. Elle est diversifiée et de qualité. Il y a bien sûr Firefox mais aussi Opera ou Chrome, plutôt Chromium que je préfère car il n'intègre pas les outils d'espionnage de Google.

Pour être objectif, précisons que la dernière version d'Opera n'est pas non plus parfaite.

La société Secunia, spécialisée dans les failles de sécurité logicielles, vient d'annoncer qu'une faille importante - évaluée à 4 sur 5 sur son barème - touchait ce navigateur.

Cette faille permettrait d’exécuter du code malveillant à distance. Mais Windows Vista et 7 seraient capable de réduire les dégâts engendrés par cette faille, si celle ci venait à être exploitée, grâce au Data Execution Prevention.

Résultat de cette révélation de Secunia : la sortie de cette dernière version d'Opera sur GNU/Linux est retardée. Une version Mac devrait arriver prochainement.

mardi 9 mars 2010

Concours d'antivirus iAwacs : prochaine édition en mai 2010


Les antivirus commencent à trembler... Après la première édition du concours iAwacs, qui a eu lieu cet hiver et qui a fait couler beaucoup d'encre et de logiciels, la seconde est pour bientôt.

Elle devrait avoir lieu le 12 mai prochain à l'ESIEA à Paris et non pas à Laval.


Cette fois, les participants ne devront pas s'attaquer aux différents antivirus en lice. L'enjeu de ce concours sera de mener une attaque avec un code malveillant contre l'ordinateur (fonctionnant cette fois sous Windox 7 et en mode utilisateur simple). Sur cet ordinateur, l'antivirus sera à jour et actif.

Avec ce genre de configuration, il s'agira de vérifier que les logiciels de sécurité sont capables ou non de détecter le code malveillant et donc de protéger ou non l'utilisateur.

Pour couper court à toute polémique, les organisateurs de ce concours ont donc décidé d'organiser le concours avec une machine fonctionnant cette fois en mode utilisateur et non pas en mode administrateur.

Autant le dire tout de suite : cette seconde édition risque de faire encore plus de dégâts que la première. Les éditeurs auront du mal à trouver des arguments sérieux et prouvés (c'est-à-dire reproductibles et vérifiables et non pas des prétextes ou des explications infondées...).

On peut d'ores et déjà révélé que certains antivirus passeront un mauvais quart d'heure. Pour être encore plus précis, ca ne sera même pas 15 mn mais plutôt quelques secondes !

Il y a quelques jours, un étudiant de l'ESIEA a en effet réussi à contourner l'antivirus de McAfee et celui de Symantec en quelques secondes.
Et il s'agit d'un étudiant de première année !

Or, sur leur site, ces deux éditeurs affirment que leur logiciel peut être protégé contre des attaques ! La preuve avec cette capture d'écran de McAfee.

Même résultat désastreux pour SafeNSec !

Les éditeurs d'antivirus multiplient les concepts bidons !

On n'arrête pas le progrès. Mi-février, Kaspersky a déposé un brevet qui décrit comment une protection antivirale peut être placée directement dans une puce au sein d’un ordinateur.

Cette puce permettrait de surveiller les échanges s’établissant entre le disque dur d’un côté et le processeur et la mémoire vive de l’autre.

Ce n'est pas la première fois que les éditeurs d'antivirus nous ressortent ce genre de concept.

En 2004, Trend Micro avait lancé son Network VirusWall. Il s'agissait d'une « boîte noire » qui s'installait devant le réseau de l'entreprise et bloquait les vers et les codes malicieux en s'appuyant sur une base de comportements.

A la même époque, AMD avait intégré des fonctions antivirrales directement à sa dernière génération de microprocesseurs. Selon le fabricant, elles étaient capables de bloquer des vers tels que Sasser et MSBlaster sans aucune... signature virale.

Mais ces annonces sont aussi un moyen pour ces éditeurs d'évincer la concurrence puisque leur antivirus seront placés dans le hardware...

Mais pour les spécialistes, ces annonces ne peuvent résoudre le problème de la détection virale et de la protection car il faudra toujours résoudre le casse-tête des mises à jour. Résultat, l'attaque se fera au niveau de l'interface puce. S'il s'agit d'une attaque par rootkit matériel, les pirates pourront contourner cette fameuse puce.

Enfin, dernier écueil : comme l'antivirus de Kaspersky est sur la puce, il faudra bien le charger en mémoire pour qu'il assure une protection. Les attaques auront donc lieu à ce niveau.

Cette annonce de Kaspersky prouve que ces sociétés ont vraiment de l'imagination. Elle prouve aussi que le ridicule ne tue pas !

Sinon, Panda Software le serait depuis longtemps En 2004, l'éditeur avait annoncé Preventium, un antivirus qui analyse en temps réel les actions d'un programme (ouverture de port, accès mémoire, envoi d'email, etc.). Selon l'éditeur, Preventium réussirait à bloquer tous les virus récents sans exception.

Reste que le plus fumeux concept a été imaginé par Symantec. En 2002, l'éditeur a créé un « ordinateur antivirus », le Sara (« Symantec Antivirus Research Automation »). Il était capable de détecter et de combattre automatiquement « 95 % des 200.000 virus qui apparaissent chaque mois ». Depuis Sara est tombée aux oubliettes...

Les pots de miel n'attirent plus les pirates !

Selon des chercheurs de l’université de Floride, en lançant un virus éclaireur, les hackers peuvent vérifier que le réseau qu'ils ciblent est, ou n’est pas, un pot de miel.

Il suffit aux pirates d’utiliser certains ordinateurs comme témoins. Ceux-ci leur permettent de déterminer si l’attaque est bien transmise d’une machine à une autre.

Cette information intéressante, publiée par l'Atelier début mars, prouve que les pots de miel ont une efficacité assez limitée et qu'ils ne permettent plus de bloquer certaines attaques.

Pour des experts que j'ai contactés, "ce genre de procédé est subtil et il prouve que toute protection peut être contournée."

Pour d'autres spécialistes, les pots de miel sont difficiles à gérer et donc inutiles.

Des virus dans des appareils neufs

L'info n'est pas une surprise mais elle a fait le tour de la presse. Comme l'explique 01net, "dans un communiqué publié vendredi 5 mars 2010, la société reconnaît que l'un de ses appareils de recharge de piles, utilisant le port USB des ordinateurs, est à l'origine d'un problème de sécurité informatique".


Ce n'est pas la première fois qu'une entreprise est confrontée à ce genre de mauvaise publicité (même si à mon avis, les effets de cette mauvaise publicité auront peu d'impacts sur le grand public...).

Depuis quelques années, la presse se fait en effet l’écho d’appareils neufs qui contiennent des virus.

Ce fut le cas avec des clés USB de HP. Révélée par l’AsusCERT (Australian Computer Emergency Response Team), l’affaire HP n’est pas une première.

En novembre 2007, Seagate mettait en garde les possesseurs de disques externes Maxtor Basics Personal Storage 3200. D'après l’industriel, certains de ces disques achetés depuis août 2007 pourraient contenir un virus nommé « Virus.Win32. AutoRun.ah ». Il permettrait notamment de voler des mots de passe utilisés dans les jeux en ligne comme World Of WarCraft.

Et la liste commence à être importante...

En 2005, quelques milliers de lecteurs MP3 de Creative vendus au Japon sont infectés par le virus W32.Wullik.B@mm. Heureusement, ce code malveillant n’étant pas sophistiqué et récent, les antivirus ont pu l’éradiquer dès qu’on connectait le périphérique à un ordinateur.

En 2006, certains iPod vidéo d’être livrés avec un cheval de Troie. Dernier exemple en date, des cadres Digital Picture Frame de la marque Insignia cachaient un virus. Même des logiciels professionnels ne sont pas épargnés.

En 2002, la version coréenne du kit de développement Microsoft (Visual Studio.Net) était contaminée par le ver Nimda.

«Il ne s’agit pas d’une vague de virus dangereux. C'est la preuve que les industriels n'ont pas du tout sécurisés leurs chaines de production. Certains d’entre eux n'utilisent aucun antivirus. Nous avons pu le vérifier par nous même : un virus autorun était présent sur chaque clef USB qu'on avait commandée à une entreprise. Heureusement, notre antivirus l'avait repéré », déclare Boris Sharov, Pdg de l’éditeur russe Doctor Web.

vendredi 5 mars 2010

Menace sur le Wi-fi

Beaucoup de sites ont parlé de la wifi Box. Cet équipement, décrit comme
le "Wifi network unlocker", serait capable de déverrouiller les réseaux
Wi-Fi protégés.

Une arme HADOPI ?


En fait c'est FAUX. Cette grosse antenne très chère (70 dollars) ne fait que casser du WEP. En fait, il ne s'agit que d'une carte wifi très puissante. Ni plus, ni moins.

Les explications sont plus détaillées et claires quand c'est un expert qui en parle !

Par contre, pendant ce temps là, le logiciel Pyrit (capable de casser des passphrase WPA) a bénéficié d'une nouvelle version pour être encore plus rapide...

La preuve :
http://pyrit.wordpress.com/2010/02/18/well-have-to-go-right-to-ludicrous-speed/

Un site du gouvernement francais piraté !


C'est le site Zataz qui révèle ce scoop : deux pirates informatiques, connus sur la toile sous les pseudonymes de Eymz et WaZo, ont rajouté quelques textes à destination de l'administrateur du site "Just alert adminz, it's all for now ", une signature "Hacked by WaZo & eymz", un message pour le Président de la République Française, Nicolas Sarkozy "sarkozya need patches!", le tout agrémenté d'une photo d'un clown triste et d'une musique techno à vous réveiller un mort.

D'après les informations de ZATAZ.COM, une faille SQLi a permis aux defaceurs de rentrer dans le système.

Cette intrusion sur un site officiel est surprenante car tous ces sites sont effet surveillés par le COSSI que j'ai pu visiter il y a quelques années.

En octobre 2003, la France a mis en place le Centre opérationnel de la sécurité des systèmes d’information (COSSI). Il a été créé après l’instauration de Piranet. Il s’agit d’un plan de réaction « en cas d'attaque informatique terroriste d'ampleur » contre l'Etat développé à la suite des attentats du 11 septembre 2001. Il est placé sous les ordres de la Direction centrale de la sécurité des systèmes d'information (DCSSI), instituée par décret le 31 juillet 2001 et placée sous l'autorité du Secrétaire général de la Défense nationale, et donc du Premier ministre.

Installé dans des monuments classés "historiques" du quartier des Invalides, le COSSI a officiellement pour mission d’évaluer les menaces pesant sur les systèmes d'information, de donner l'alerte et de développer les capacités à les contrer et à les prévenir.

En un mot, c’est la vigie de l’Etat en matière d’attaques informatiques.

Composé d'une vingtaine personnes, quasiment toutes ingénieurs en informatique, le COSSI veille sur les réseaux et les systèmes d'information de l'Etat et des services publics.

Par exemple plus de 500 sites internet officiels sont surveillés toutes les heures. Objectif : vérifier notamment qu’ils n’ont pas été « défigurés ». selon ce centre, il y aurait environ 4000 actes de defacement en France par an (statistiques ne concernant que les sites en .fr).

Outre la surveillance des sites, cette structure a aussi une mission de prévention. Il aide les ministères à mettre en place des protections et organise des exercices théoriques et réels tous les ans. Un travail de longue haleine. « Nous traitons encore beaucoup de vulnérabilités qui ne sont pas corrigées par les administrations alors que les patchs existent », constate un des responsables de la DCSSI.


MISE A JOUR : à 17 heures, le site econumerique.pme.gouv.fr était inacessible..

Méfiez-vous de Facebook

Les réseaux sociaux, c'est "cool" comme disent les ados : on s'échange des commentaires, des photos, des blagues...

Pour les salariés, c'est le moyen - entre autres - de faire des connaissances et d'entrer en contact avec d'éventuels employeurs.

Mais on échange aussi plein de données personnelles. Une aubaine pour Facebook et les autres. C'est même une mine d'or ou un champ de mines... à retardement.

Selon un document interne de Facebook, le site explique qu'il lui faut entre 2 et 4 semaines pour fournir l'identité complète (email, adresse, ...) d'un internaute concerné par une enquête. Adresse IP, date de naissance, emails connus, compte Messenger ID, numéro de téléphone, adresse et données concernant la période liée à l'activité illicite.

No comment...

jeudi 4 mars 2010

Un réseau de 13 millions de PC piratés : comment être protégé

La police espagnole a mis la main sur trois pirates qui avaient mis sur un pied un vaste réseau d'ordinateurs zombies. Au total, 13 millions de PC répartis dans 190 pays servaient à des attaques de toute sorte...

Ce réseau a réussi à récupérer des données personnelles (numéro de carte bancaire, mots de passe...) et confidentielles d'entreprises.

Mais comment éviter de tomber dans les mailles du filet d'autres réseaux de PC zombies ?

Voici quelques mesures indispensables permettant de limiter les risques d'être infecté :

- Ne cliquez JAMAIS sur une pièce jointe (ou un lien web) d'un email envoyé par un inconnu
- FAITES TOUJOURS ANALYSER les pièces jointes par un antivirus AVANT de l'ouvrir.
- Mettez à jour de façon automatique TOUS VOS LOGICIELS et votre système d'exploitation
- Installez un BON ANTIVIRUS (voir ceux qui ont le mieux réussi le concours iAwacs...)
- Configurez cet antivirus pour qu'il soit mis à jour de façon automatique le plus souvent possible
- Faites une analyse complète et détaillée de votre PC une fois par semaine
- Installez un antispam
- Sauvegardez vos données personnelles (ou confidentielles) sur un disque dur externe jamais connecté (ou très peu) à internet.
- Chiffrez vos données confidentielles
- Utilisez des mots de passe "forts"
- Changez régulièrement vos mots de passe "forts"
- Passez sous GNU/Linux qui présente moins de failles de sécurité que Windows.
- Ne répondez JAMAIS à des emails (envoyés par votre FAI, votre banque, Microsoft, eBay...) vous demandant de retaper vos données confidentielles quel que soit le prétexte.

Et n'oubliez pas que la meilleure protection reste votre vigilance.

mercredi 3 mars 2010

Un forum en français pour DrWeb

Voilà une bonne nouvelle : les utilisateurs francophones, particuliers ou entreprises, peuvent désormais communiquer entre eux et poser leurs questions à Doctor Web via l’espace forums de l’éditeur, désormais accessible en français.

Cet espace web se compose de plusieurs forums dédiés à des produits spécifiques : Dr.Web pour Windows, Dr.Web Enterprise Suite, Dr.Web pour Mac OS X, pour Kerio, Exchange et d’autres. Les sections « Questions générales » et « Discussions libres » permettent aux utilisateurs d’échanger librement entre eux et/ou de poser des questions spécifiques à l’éditeur.

« Le Forum est un espace réservé aux utilisateurs et à tous ceux qui s’intéressent aux produits Dr.Web. Jusqu’à maintenant, la France ne bénéficiait pas de cet outil de communication et d’échanges. C’est désormais chose faite ! En Russie, les forums sont très actifs, nous espérons qu’il en sera de même ici », commente Pierre Curien, gérant de la filiale française de Doctor Web.

mardi 2 mars 2010

Faux antivirus Microsoft, vrai virus !

Est-ce la rançon du succès ? Des pirates ont imaginé un faux antivirus de Microsoft... payant.

Depuis quelques mois, les possesseurs de Windows peuvent en effet installer Security Essentials, l'antivirus... gratuit de Microsoft.

Mais des petits malins ont décidé d'infecter les ordinateurs des internautes avec un faux logiciel de sécurité imitant celui de Microsoft.

Pour piéger les pauvres internautes, les escrocs avancent un prétexte bidon : Microsoft Security Essential ne serait qu’une version de démonstration dont la durée d’utilisation était parvenue à expiration. Il faudrait donc acheter la version payante.

C'est faux. Si vous voulez installer et utiliser l'antivirus de Microsoft, allez uniquement sur ce site officiel

Internet Explorer : de plus en plus dangereux

Les internautes qui surfent encore avec Internet Explorer sont soit masos, soit naïfs ou enfin soit mal informés.

Utiliser ce navigateur est comme rouler avec une voiture pas révisée depuis des années et qui a plein de problèmes mécaniques.

La dernière information de Microsoft devrait en tous les cas convaincre les internautes d'arrêter d'utiliser Internet Explorer.

Microsoft a en effet publié le 28 février sur son blog MSRC/Technet.com une nouvelle alerte de sécurité frappant son logiciel de navigation et le module Winhlp32.

L’exploitation de la brèche se fait en invoquant winhmp32.exe depuis Internet Explorer 6,7,ou 8 en utilisant VBScript. Une fenêtre apparait sur l’écran de l’internaute victime qui est invité à presser la touche F1, laquelle est normalement dédiée à l’affichage du fichier d’aide. C’est à ce moment-là que la faille est exploitée.

Résultat, un cheval de Troie peut s'y engouffrer et rendre ingérable le PC.... De nombreux outils proposés par des éditeurs d'antivirus détectent le code malveillant mais n'arrivent pas à l'éradiquer.

Passez à la concurrence : Firefox, Chrome (ou Chromium pour ne pas être espionné par les outils de Google) et Opera.