mercredi 10 mars 2010

Internet Explorer : nouvelle faille de sécurité

Les internautes qui utilisent, encore, Internet Explorer, devraient se faire du soucis ! Les révélations de failles de sécurité visant ce navigateur web se multiplient.

Ainsi, Microsoft a averti mardi que des pirates informatiques profitaient d'une faille nouvellement mise au jour dans certaines versions anciennes de son navigateur.

Selon une dépêche de l'AFP, la société américaine a précisé que cette faille permettant aux pirates informatiques de lancer des cyberattaques était présente sur les versions IE 6 et IE 7 d'Internet Explorer.

"Nous sommes au courant d'attaques ciblées tentant d'utiliser cette vulnérabilité", a indiqué Microsoft. "Nous allons continuer à surveiller cette menace et mettrons à jour cet avertissement si la situation change".

Des hackers pourraient tirer parti de ce défaut pour prendre le contrôle d'ordinateurs à distance.

Il faut donc encore répéter le même conseil : passez à la concurrence. Elle est diversifiée et de qualité. Il y a bien sûr Firefox mais aussi Opera ou Chrome, plutôt Chromium que je préfère car il n'intègre pas les outils d'espionnage de Google.

Pour être objectif, précisons que la dernière version d'Opera n'est pas non plus parfaite.

La société Secunia, spécialisée dans les failles de sécurité logicielles, vient d'annoncer qu'une faille importante - évaluée à 4 sur 5 sur son barème - touchait ce navigateur.

Cette faille permettrait d’exécuter du code malveillant à distance. Mais Windows Vista et 7 seraient capable de réduire les dégâts engendrés par cette faille, si celle ci venait à être exploitée, grâce au Data Execution Prevention.

Résultat de cette révélation de Secunia : la sortie de cette dernière version d'Opera sur GNU/Linux est retardée. Une version Mac devrait arriver prochainement.

mardi 9 mars 2010

Concours d'antivirus iAwacs : prochaine édition en mai 2010


Les antivirus commencent à trembler... Après la première édition du concours iAwacs, qui a eu lieu cet hiver et qui a fait couler beaucoup d'encre et de logiciels, la seconde est pour bientôt.

Elle devrait avoir lieu le 12 mai prochain à l'ESIEA à Paris et non pas à Laval.


Cette fois, les participants ne devront pas s'attaquer aux différents antivirus en lice. L'enjeu de ce concours sera de mener une attaque avec un code malveillant contre l'ordinateur (fonctionnant cette fois sous Windox 7 et en mode utilisateur simple). Sur cet ordinateur, l'antivirus sera à jour et actif.

Avec ce genre de configuration, il s'agira de vérifier que les logiciels de sécurité sont capables ou non de détecter le code malveillant et donc de protéger ou non l'utilisateur.

Pour couper court à toute polémique, les organisateurs de ce concours ont donc décidé d'organiser le concours avec une machine fonctionnant cette fois en mode utilisateur et non pas en mode administrateur.

Autant le dire tout de suite : cette seconde édition risque de faire encore plus de dégâts que la première. Les éditeurs auront du mal à trouver des arguments sérieux et prouvés (c'est-à-dire reproductibles et vérifiables et non pas des prétextes ou des explications infondées...).

On peut d'ores et déjà révélé que certains antivirus passeront un mauvais quart d'heure. Pour être encore plus précis, ca ne sera même pas 15 mn mais plutôt quelques secondes !

Il y a quelques jours, un étudiant de l'ESIEA a en effet réussi à contourner l'antivirus de McAfee et celui de Symantec en quelques secondes.
Et il s'agit d'un étudiant de première année !

Or, sur leur site, ces deux éditeurs affirment que leur logiciel peut être protégé contre des attaques ! La preuve avec cette capture d'écran de McAfee.

Même résultat désastreux pour SafeNSec !

Les éditeurs d'antivirus multiplient les concepts bidons !

On n'arrête pas le progrès. Mi-février, Kaspersky a déposé un brevet qui décrit comment une protection antivirale peut être placée directement dans une puce au sein d’un ordinateur.

Cette puce permettrait de surveiller les échanges s’établissant entre le disque dur d’un côté et le processeur et la mémoire vive de l’autre.

Ce n'est pas la première fois que les éditeurs d'antivirus nous ressortent ce genre de concept.

En 2004, Trend Micro avait lancé son Network VirusWall. Il s'agissait d'une « boîte noire » qui s'installait devant le réseau de l'entreprise et bloquait les vers et les codes malicieux en s'appuyant sur une base de comportements.

A la même époque, AMD avait intégré des fonctions antivirrales directement à sa dernière génération de microprocesseurs. Selon le fabricant, elles étaient capables de bloquer des vers tels que Sasser et MSBlaster sans aucune... signature virale.

Mais ces annonces sont aussi un moyen pour ces éditeurs d'évincer la concurrence puisque leur antivirus seront placés dans le hardware...

Mais pour les spécialistes, ces annonces ne peuvent résoudre le problème de la détection virale et de la protection car il faudra toujours résoudre le casse-tête des mises à jour. Résultat, l'attaque se fera au niveau de l'interface puce. S'il s'agit d'une attaque par rootkit matériel, les pirates pourront contourner cette fameuse puce.

Enfin, dernier écueil : comme l'antivirus de Kaspersky est sur la puce, il faudra bien le charger en mémoire pour qu'il assure une protection. Les attaques auront donc lieu à ce niveau.

Cette annonce de Kaspersky prouve que ces sociétés ont vraiment de l'imagination. Elle prouve aussi que le ridicule ne tue pas !

Sinon, Panda Software le serait depuis longtemps En 2004, l'éditeur avait annoncé Preventium, un antivirus qui analyse en temps réel les actions d'un programme (ouverture de port, accès mémoire, envoi d'email, etc.). Selon l'éditeur, Preventium réussirait à bloquer tous les virus récents sans exception.

Reste que le plus fumeux concept a été imaginé par Symantec. En 2002, l'éditeur a créé un « ordinateur antivirus », le Sara (« Symantec Antivirus Research Automation »). Il était capable de détecter et de combattre automatiquement « 95 % des 200.000 virus qui apparaissent chaque mois ». Depuis Sara est tombée aux oubliettes...

Les pots de miel n'attirent plus les pirates !

Selon des chercheurs de l’université de Floride, en lançant un virus éclaireur, les hackers peuvent vérifier que le réseau qu'ils ciblent est, ou n’est pas, un pot de miel.

Il suffit aux pirates d’utiliser certains ordinateurs comme témoins. Ceux-ci leur permettent de déterminer si l’attaque est bien transmise d’une machine à une autre.

Cette information intéressante, publiée par l'Atelier début mars, prouve que les pots de miel ont une efficacité assez limitée et qu'ils ne permettent plus de bloquer certaines attaques.

Pour des experts que j'ai contactés, "ce genre de procédé est subtil et il prouve que toute protection peut être contournée."

Pour d'autres spécialistes, les pots de miel sont difficiles à gérer et donc inutiles.

Des virus dans des appareils neufs

L'info n'est pas une surprise mais elle a fait le tour de la presse. Comme l'explique 01net, "dans un communiqué publié vendredi 5 mars 2010, la société reconnaît que l'un de ses appareils de recharge de piles, utilisant le port USB des ordinateurs, est à l'origine d'un problème de sécurité informatique".


Ce n'est pas la première fois qu'une entreprise est confrontée à ce genre de mauvaise publicité (même si à mon avis, les effets de cette mauvaise publicité auront peu d'impacts sur le grand public...).

Depuis quelques années, la presse se fait en effet l’écho d’appareils neufs qui contiennent des virus.

Ce fut le cas avec des clés USB de HP. Révélée par l’AsusCERT (Australian Computer Emergency Response Team), l’affaire HP n’est pas une première.

En novembre 2007, Seagate mettait en garde les possesseurs de disques externes Maxtor Basics Personal Storage 3200. D'après l’industriel, certains de ces disques achetés depuis août 2007 pourraient contenir un virus nommé « Virus.Win32. AutoRun.ah ». Il permettrait notamment de voler des mots de passe utilisés dans les jeux en ligne comme World Of WarCraft.

Et la liste commence à être importante...

En 2005, quelques milliers de lecteurs MP3 de Creative vendus au Japon sont infectés par le virus W32.Wullik.B@mm. Heureusement, ce code malveillant n’étant pas sophistiqué et récent, les antivirus ont pu l’éradiquer dès qu’on connectait le périphérique à un ordinateur.

En 2006, certains iPod vidéo d’être livrés avec un cheval de Troie. Dernier exemple en date, des cadres Digital Picture Frame de la marque Insignia cachaient un virus. Même des logiciels professionnels ne sont pas épargnés.

En 2002, la version coréenne du kit de développement Microsoft (Visual Studio.Net) était contaminée par le ver Nimda.

«Il ne s’agit pas d’une vague de virus dangereux. C'est la preuve que les industriels n'ont pas du tout sécurisés leurs chaines de production. Certains d’entre eux n'utilisent aucun antivirus. Nous avons pu le vérifier par nous même : un virus autorun était présent sur chaque clef USB qu'on avait commandée à une entreprise. Heureusement, notre antivirus l'avait repéré », déclare Boris Sharov, Pdg de l’éditeur russe Doctor Web.