jeudi 3 juin 2010

Les failles de sécurité sur l'iPhone se multiplient

C'est la rançon du succès. Il ne se passe pas une semaine sans qu'un expert en sécurité ne révèle une faille de sécurité plus ou moins grave (et plus ou moins facile à lancer) concernant le smartphone d'Apple.

Hier, un spécialiste de la sécurité informatique chez Linx (London Internet Exchange), indique qu'une vulnérabilité permet d’accéder à des données présentes sur l’iPhone même si ce dernier est protégé par un mot de passe.

Cette faille a été découverte un peu par hasard en utilisant le système d’exploitation Ubuntu 10.04.

Une fois connecté en USB, le téléphone peut être à la merci d'un pirate qui pourrait accéder au contenu et insérer un code malveillant.

Autre faille révélée par un autre expert : la possibilité de l'iPhone de se connecter de façon automatique à certains réseaux wi-fi est une opportunité pour les pirates d'accéder là ausi au contenu du smartphone.

Quelles conclusions en tirer ? La révélation de ces failles est une suite logique. Le succès et la part de marché des appareils d'Apple (iPhone et iPad) attirent le monde entier. En bien et en mal.

Pour les experts en sécurité et les pirates, c'est aussi un moyen de faire parler d'eux. Un coup de pub sur le dos d'Apple ! Car, dans la plupart des cas, les attaques sont possibles mais difficiles à organiser pour Madame Michu.

Les risques sont donc limités. N'empêche, ces informations confirment que l'OS d'Apple n'est pas aussi blindé que le laisse croire la marque. Le problème est qu'Apple n'a pas autorisé de logiciels de sécurité comme il en existe sur d'autres OS mobiles. Certes, ces logiciels de sécurité ne sont pas parfaits mais ils limitent les risques.

Les utilisateurs doivent donc se montrer vigilants : ne pas cliquer sur n'importe quel email et pièce jointe reçus, mettre à jour son iPhone, ne pas utiliser un iPhone craqué (c'est à vos risques et périls), mettre un mot de passe "fort" pour le chiffrement...

Failles de sécurité : Microsoft ne dit pas tout...

Lors d'une réunion qu'il a tenu avec des journalistes au siège de Redmond, Mike Reavey, directeur du Microsoft Security Response Center (MSRC), a admis que « l'entreprise ne communiquait pas publiquement sur toutes les failles de sécurité qu'elle corrigeait » avec ses mises à jour.

En lisant cette info sur le site Espace Microsoft, on apprend que « Microsoft communique un numéro de Common Vulnerabilities and Exposures (CVE) unique lorsque plusieurs failles sont concernées par la même vulnérabilité, visées par à un même vecteur d'attaque et une manœuvre de contournement identique. Si l'ensemble de ces bugs partagent les mêmes propriétés, alors ils ne sont pas déclarés séparément, » a expliqué Mike Reavey.

Cette absence de divulgation de correctifs par Microsoft a été dévoilée au début du mois par Core Security Technologies, laquelle a mis en évidence trois patchs « muets » dans les correctifs MS10-024 et MS10-028 qu'elle a décortiqué.

Microsoft n'est pas le seul éditeur à faire des cachoteries. Adobe a également gardé le silence sur certains correctifs de vulnérabilité. Une info confirmée lors de cette conférence de Microsoft par Brad Arkin, responsable de la sécurité et de la confidentialité des produits chez Adobe.

Ces révélations ne sont pas surprenantes. Dans un billet publié en février dernier, j'évoquais déjà cette question avec Eric Filiol...

mercredi 2 juin 2010

Ne pas installer un antivirus est une grave erreur

Les résultats d'un sondage sont inquiétants. Selon une étude menée par l'éditeur de logiciel de sécurité Avira, un internaute sur dix surfe encore sur Internet sans la moindre protection antivirus.

Un quart des utilisateurs de logiciels antivirus ignorent celui-ci et ferment tout simplement les avertissements d’un clic de souris. Heureusement, "la plupart des internautes utilisant des logiciels antivirus se soucient de la sécurité de leur ordinateur et suppriment manuellement les logiciels malveillants. D’autres utilisateurs inspectent tout d’abord les paramètres du scanner de virus, puis s’en remettent entièrement à lui", explique l'éditeur.

Pourquoi ces révélations (qu'il faut néanmoins nuancer car elles ne peuvent prétendre à aucune valeur "scientifique"*) sont-elles inquiétantes, voire désespérantes ?

Depuis de nombreuses années, tous les experts et les éditeurs de logiciels de sécurité (c'est leur métier...) répètent à l'envi que l'installation (et la mise à jour automatique) d'un antivirus - mais aussi d'un parefeu (firewall) - est indispensable.

Evidemment, il y aura toujours des personnes pour dire qu'il faut migrer vers une distribution GNU/Linux (comme Ubuntu par exemple pour le grand public) ou qu'elle n'ont jamais eu de virus malgré l'absence d'un AV sur leur PC.

Ces affirmations ne font rien avancer. Certes, tous les antivirus ne se valent pas (les tenors du secteur étant mêmes les plus mauvais !). Mais l'installation d'un tel logiciel est nécessaire sous Windows car il réduit les risques d'infection. Oui, il réduit mais ne les empêche pas à 100% contrairement à ce que prétendent certains éditeurs dans leurs publicités mensongères.

Outre l'installation d'un antivirus, il est INDISPENSABLE de ne pas tenter le diable : ne cliquez jamais sur une pièce jointe ou un lien internet contenu dans un email envoyé par un inconnu, changez régulièrement de mot de passe fort, mettez à jour votre système d'exploitation et TOUS vos logiciels...

* Cette enquête s'appuie sur les réponses données par 5811 visiteurs sur le site de l'éditeur.

Module Firefox anti HADOPI : nouvelles versions

Developpée par Eric Filiol et Eddy Deligne de l'école informatique ESIEA, la technologie PERSEUS bénéficie de deux nouvelles versions.

Premièrement, la version destinée à Windows 7 est maintenant stable.

Deuxièmement, les utilisateurs sous MacOS peuvent tester la version compatible. Mais attention, elle n'est pas encore définitive.

Pour rappel, ce module destiné au navigateur Firefox permet entre autres :
- une protection contre l'activité d'espionnage de codes malveillants à grande échelle (ex. botnets qui pour éviter la détection préférent écouter sur les ports non standards plutôt que de hooker des ressources surveillées par les antivirus, enfin ceux qui le font réellement).
- une protection contre les écoutes privées de type officines plus ou moins légale comme celles qui traquent les internautes qui téléchargent (illégalement) de la musique ou des vidéos.

lundi 31 mai 2010

Hitler à la Maison Blanche


Le service de sécurité informatique de la Maison Blanche devait faire la fête ce week end. Pendant presque 24 heures, le site officiel affichait une photo d'Adolf Hitler.

Cet "exploit" serait l'oeuvre d'un pirate appelé Kaka Argentine.

Ce n'est pas la première fois que des pirates arrivent à placer des slogans ou des photos sur des sites officiels américains. L'année dernière, les pirates de "l'équipe Ayyildiz" avaient posté des propos pro-palestiniens sur le site du ministère de la Défense.