vendredi 7 mai 2010

EXCLU : challenge PWN2KILL, tous les résultats dimanche soir

La seconde édition du challenge PWN2KILL (organisé durant le colloque iawacs par l'ESIEA) a lieu dimanche à Paris.

Dès dimanche soir, SecuriteOff vous dévoilera le nom de l'antivirus qui a gagné. Mais SURTOUT, les mauvaises performances de tous les autres.

Pour rappel, lors de la 1ere édition fin octobre dernier :

- L'antivirus de McAfee a été mis hors d'usage en 1 minute et 56 secondes !

- Norton de Symantec a explosé au bout de 4 minutes

- GData a tenu 5 minutes et 14 secondes

- AVG a résisté un quart d'heure

- ESET/NOD32 a craqué au bout de 33 minutes

- Kaspersky n'a pas été au-delà de 40 minutes

Le grand vainqueur avait été l'antivirus russe DrWeb qui n'a pas pu être désactivé dans les temps impartis (1 heure).

Coté expert, c'est le français Christophe Devine qui avait révélé tout son talent en remportant à chaque fois le challenge.

Ce challenge commence à être pris au sérieux. Dès sa 2e édition, des représentants d'AVG (Rep. Tcheque), de McAfee (Inde), de Symantec (Allemagne), d'ESET (Slovakie) et de G-Data (France et Allemagne) ont décidé de faire le déplacement à Paris.

Faux emails HADOPI

HADOPI... c'est pas fini ! Nous n'avons pas fini d'en parler et de rire... jaune.

En plus d'être une mauvaise réponse à un problème sérieux, HADOPI va devenir de plus en en plus un casse-tête !

La preuve, des internautes ont reçu un "message du gouvernement français" adressé de la part de l'HADOPI.

Il s'agit d'un faux puisque les premiers vrais emails d'HADOPI n'ont pas encore été envoyés !

Il s'agit donc de pirates qui profitent d'une des multiples failles de ce système pour arnaquer les internautes.

Si ces faux emails se multiplient, on peut se demander comment vont réagir les internautes et les logiciels antispams lorsque les premières mises en garde vont être envoyées officiellement.

jeudi 6 mai 2010

La revue de presse de la sécurité informatique (6 mai)

Faille importante dans Facebook
Facebook a mis en place récemment une fonction de prévisualisation qui permet de voir ce que vos contacts voient en se connectant à votre page. En passant par cette fonction, il était possible d’accéder aux "friend requests" (demandes d’amis) d’un tiers, alors que ces informations sont normalement privées, et même d’accepter ou de refuser des demandes à la place du titulaire du compte. De même, il était possible de consulter la messagerie instantanée de ses contacts.
La faille vient d'être corrigée par le site.


Nouvelle arnaque via un faux site de la CAF

Nouvelle tentative d´hameçonnage de données appartenant aux allocataires de la Caisse des Allocations Familiales. Après le faux site des impôts [lire notre article à ce sujet du 01/05/2010] voici que les pirates se penchent de nouveau sur la CAF.
Commentaire de SecuriteOff : selon une source gouvernementale, les autorités françaises ferment environ 2000 sites de phishing en France...


Des kits vendus en Chine pour « cracker » les accès Wifi

Ils sont vendus en Chine afin de « cracker » les clés Wep (Wired Equivalent Privacy) des réseaux Wifi, et deviner les clés WPA (Wi-Fi Protected Access).

mercredi 5 mai 2010

Attaque d'antivirus : challenge PWN2KILL

La pression commence à monter. La seconde édition du challenge PWN2KILL (organisé durant le colloque iawacs par l'ESIEA) aura lieu le 9 mai à Paris.

Six candidats se sont inscrits soit quatre de plus que pour la première édition.
MISE à jour : C'est 7 candidats maintenant.

Pour rappel, ce challenge consiste à désactiver des antivirus installés sur un ordinateur fonctionnant, cette fois-ci, sous Windows 7 et en mode utilisateur...

La première édition avait été un "massacre" pour de nombreux ténors de la sécurité
informatique. A priori, cette seconde édition ne sera pas une partie de plaisir pour la majorité des antivirus qui restent toujours faciles (en quelques minutes) à désactiver...

De quoi inquiéter tous les particuliers et les entreprises qui pensent être protégés par leur antivirus (qu'il soit gratuit ou payant) !

La revue de presse de la sécurité informatique

Google Chrome 5 Beta
Le navigateur est disponible au téléchargement et il faut savoir que Google a intégré Flash en standard et celui-ci ne nécessite donc plus de mise à jour spécifique. Cette mise à jour se fera via Chrome directement.
Commentaire de SecuriteOff : Beaucoup de nouveautés mais peu concernent la sécurité...

Sept mille iPhone dérobés, un suspect arrêté
L'affaire est relatée par le journal Le Parisien. Un homme de 30 ans a été interpellé le 15 avril 2010 dans le cadre d'une enquête sur le vol de plusieurs milliers d'iPhone. Mis en examem pour « vol à main armée », il est suspecté d'avoir participé, avec deux complices, au cambriolage d'un entrepôt d'une société de transport en Seine-et-Marne.

Microsoft SIR 2009 : un peu moins de trous, autant d’attaques
Pas ou peu de surprises au fil de la lecture du huitième rapport semestriel Microsoft Security Intelligence Report. La fréquence de divulgation des failles est en régression de 8,4% (tous niveaux de dangerosité confondus) soit une baisse de 9% des failles publiées qualifiées de « sévères » ou « critiques ».
Commentaire de SecuriteOff : Microsoft a amélioré la sécurité de ses systèmes d'exploitation. On ne peut pas en dire autant d'autres éditeurs. Mais quid des failles non divulguées par Microsoft...

Yahoo! Messenger touché par un ver
Une nouvelle variante d'un ancien ver informatique est actuellement diffusée via du spam malveillant pour messagerie instantanée. BitDefender et Symantec sonnent l'alerte.
Commentaire de SecuriteOff : Les vers sont devenus l'une des menaces les plus dangereuses du moment. Une vraie galère pour de nombreux antivirus incapables de les repérer...

Les applications web sont toujours vulnérables

Comme chaque année, l'OWASP (une organisation communautaire) publie son palmarès des risques liés aux applications web.

Et ca ne change pas : les principaux risques liés aux applications web restent toujours les mêmes. C’est la principale conclusion qui ressort du Top Ten publié par l’OWASP (Open Web Application Security Project), une organisation communautaire mondiale indépendante, basée sur le volontariat et l’Open Source.

En 2007, le trio de tête était le suivant : Injections coté serveur, Injections de scripts coté client et enfin Gestion défaillante de l’authentification et des sessions. Ce trio est le même dans son dernier Top 10 !

Les risques les plus dangereux concernent toujours les injections de commande. L’attaque de type Cross Site Scripting qui a récemment fait tomber Apache l’a confirmé récemment. Ce document de l’OWASP confirme les faiblesses structurelles des applications web.

Conçues principalement pour améliorer le travail des entreprises, elles privilégient souvent l’efficacité au détriment de la sécurité. « De nombreuses applications disposent d'une interface d'administration (native ou dépendant du serveur).

Or, elles sont régulièrement mises en production sans changer le mot de passe de l'interface ce qui permet souvent de compromettre la machine », constate Jean-Baptiste Aviat, consultant sécurité chez HSC.
Sébastien Gioria, consultant en sécurité et représentant du chapitre français de l’OWASP, rappelle qu’il « existe à ce jour au moins plusieurs centaines de problèmes affectant l’ensemble de la sécurité d’une application web ».

Sensibiliser les dirigeants

Mais repérer et colmater une vulnérabilité n’est pas suffisant ; il faut une approche globale de la sécurité. C’est la raison pour laquelle l’OWASP a modifié le contenu de son palmarès pour le rendre plus clair et accessible à tout le monde. Son Top Ten a en effet acquis une légitimité depuis sa création en 2003 mais il est surtout lu par des experts.

« En étant plus pédagogique, nous visons notamment les dirigeants, explique Sébastien Gioria. Nous avons décidé de parler de risques et non plus uniquement de vulnérabilités. Donner des priorités sur des vulnérabilités sans prendre en compte leur contexte n’a pas de sens. C’est l’impact qui est important. Il faut anticiper », précise Sébastien Gioria.

Pour cet expert, « il faut appliquer les concepts de sécurité dans le cycle de développement (Secure Software Development Life Cycle ou SDLC en anglais). Les programmes sont à sécuriser par conception, pendant le développement et par défaut. »

mardi 4 mai 2010

Le démantèlement de botnets n'a aucun effet

Beaucoup de bruit pour rien ? Récemment, certains des botnets majeurs tels que Waledac, Mariposa et Zeus ont été démantelés.

Cependant, l'effet n'a pas duré très longtemps. « Même pas quatre semaines après le démantèlement, les niveaux de spams moyens pour nos clients ont augmenté et sont revenus à la moyenne de 90% voire plus », constate Dreas van Donselaar, directeur technique chez SpamExperts.

« Il semble que les spammeurs, sans difficulté aucune, ont été capables de disposer de nouveaux botnets pour continuer à envoyer des vagues de spams partout dans le monde. On peut seulement estimer le nombre de machines infectées qui existent dans le monde et qui sont connectées à des botnets qui doivent être encore endormies ».

La branche anti-spam de Google a fait des constats similaires. Bien que les niveaux de spams aient baissé temporairement de 12%, ils étaient encore, en fin de trimestre, à 6% au-dessus de ceux de l'année dernière pendant la même période, comme l'a mentionné Google sur son blog officiel.