Scoop. Pour ne plus être surveillés, installez ce module (plug-in) pour Firefox !
Le gouvernement va détester ce module pour Firefox. Les fans de téléchargements et de peer-to-peer (P2P) vont adorer. Une première mondiale développée par des Français. Appelé Perseus, il a été développé par l'équipe d'Eric Filiol, Directeur de la recherche de l’ESIEA (École Supérieure d’Informatique Electronique Automatique) et du laboratoire de cryptologie et virologie opérationnelles.
Une fois installé sur le navigateur Firefox de deux internautes, il protège leurs connexions contre toute « écoute ». En clair, ces deux internautes peuvent s'échanger n'importe quelles données sans être inquiétés. La surveillance HADOPI ne pourrait rien faire. Les seuls qui pourraient « écouter » ces connexions sont les services officiels de l'État qui disposent de moyens techniques importants (capacité de calcul) pour mettre à mal ce plug-in.
Quel est le secret de Perseus qui sera présenté pour la première fois lors de Hack.lu (), une conférence sur la sécurité informatique organisée au Luxembourg du 28 au 30 octobre ? « Sans entrer dans le détails, nous pouvons dire que nous codons l'information avec un codeur qui change à chaque fois et nous ajoutons un bruit que ne connait pas l'attaquant. Ce bruit interdit la reconstruction du codeur et donc le décodage », nous explique Eric Filiol. Cette solution ne repose donc pas sur de la cryptologie.
Ce module permet de préserver la vie privée des internautes contre des écoutes plus ou moins légales et contre les pirates qui gèrent des botnets (réseaux d'ordinateurs contrôlés à distance et servant à lancer des attaques contre des sites par exemple). Ce plug-in peut aussi convaindre les entreprises qui peuvent communiquer discrètement sans être espionnées par des officines d'intelligence économique.
Intéressée, la Fondation Mozilla envisagerait d'installer ce plug-in dans les prochaines versions de Firefox.
Vous pouvez télécharger ce plug-in à cette adresse.
mercredi 28 octobre 2009
Concours d'antivirus : la prochaine édition sera encore plus dure !
La vérité fait toujours mal. Les résultats du concours organisé dans le cadre de la conférence iAwacs n'ont pas plus à certains éditeurs d'antivirus, en particulier à GData.
D'autres internautes ont prétendu que ce concours était facile à réaliser car les experts se sont attaqués aux antivirus en mode "administrateur"....
Laissons donc aux spécialistes le soin de répondre à ces attaques :
Eric Filiol, co-organisateur du concours, précise que "les conditions du concours contrairement à ce qui a pu être avancé par des internautes mais aussi GData - et qui semblent ignorer bien des aspects de la virologie informatique ne sont ni spécifiques ni décalées de la réalité opérationnelle.
En effet, agir en tant qu'administrateur correspond (malheureusement) à ce qui se passe en permanence: un code malveillant efficace travaille toujours avec des privilèges système (via une vulnérabilité connue notamment). Or, l'utilisateur "grand public"
travaille aussi en utilisateur avec pouvoir (Mode Administrateur) car c'est le seul moyen sous Windows de pouvoir travailler (en particulier sous Vista). Tout ce qui a été fait manuellement lors de concours peut donc être automatisé facilement par un code malveillant. Les éditeurs d'antivirus devraient le savoir.
Et pour couper court aux critiques, le prochain concours en mai 2010 visera le mode client seul en exploitant directement les vulnérabilités des AV et des techniques virales
dédiées."
En clair, ce sera pire en mai 2010... Est-ce que GData sera présent ?
Ces précisions d'Eric Filiol confirment aussi qu'il ne faut jamais utiliser Windows en mode administrateur. Il faut absolument créer un compte Utilisateur et n'utiliser Windows qu'avec ce compte. Cette précaution réduit les risques d'infection et de prises de contôle par un virus ou un pirate.
D'autres internautes ont prétendu que ce concours était facile à réaliser car les experts se sont attaqués aux antivirus en mode "administrateur"....
Laissons donc aux spécialistes le soin de répondre à ces attaques :
Eric Filiol, co-organisateur du concours, précise que "les conditions du concours contrairement à ce qui a pu être avancé par des internautes mais aussi GData - et qui semblent ignorer bien des aspects de la virologie informatique ne sont ni spécifiques ni décalées de la réalité opérationnelle.
En effet, agir en tant qu'administrateur correspond (malheureusement) à ce qui se passe en permanence: un code malveillant efficace travaille toujours avec des privilèges système (via une vulnérabilité connue notamment). Or, l'utilisateur "grand public"
travaille aussi en utilisateur avec pouvoir (Mode Administrateur) car c'est le seul moyen sous Windows de pouvoir travailler (en particulier sous Vista). Tout ce qui a été fait manuellement lors de concours peut donc être automatisé facilement par un code malveillant. Les éditeurs d'antivirus devraient le savoir.
Et pour couper court aux critiques, le prochain concours en mai 2010 visera le mode client seul en exploitant directement les vulnérabilités des AV et des techniques virales
dédiées."
En clair, ce sera pire en mai 2010... Est-ce que GData sera présent ?
Ces précisions d'Eric Filiol confirment aussi qu'il ne faut jamais utiliser Windows en mode administrateur. Il faut absolument créer un compte Utilisateur et n'utiliser Windows qu'avec ce compte. Cette précaution réduit les risques d'infection et de prises de contôle par un virus ou un pirate.
mardi 27 octobre 2009
Concours antivirus : les explications du gagnant
Quatre questions à Christophe Devine, gagnant du concours de déactivation des antivirus.
1-Comment avez-vous procédé pour détourner ces antivirus ?
J'ai cherché les faiblesses dans la cuirasse. En effet il existe de nombreuses fonctions dans Windows (dites "API"), et à l'heure actuelle aucun produit anti-virus n'assure un couverture parfaite de toute les fonctions utilisables par un code malveillant.
2- La résistance de DrWeb vous a-t-elle surpris ?
Il a bien résisté à nos tentatives de désactivation. Cela étant, le produit n'est pas forcément meilleur que les autres dans le domaine de la détection à base de signatures ou heuristique. En particulier, il ne protège pas contre l'insertion de drivers (ce qui est le cas de Kaspersky par exemple).
3-Quelles peuvent être les conséquences de ce détournement d'un antivirus ?
Nous voyons de nouveaux codes viraux apparaître toutes les semaines, voire tous les jours, et qui ne figurent pas dans les bases de signatures. Potentiellement, un virus bien conçu pourrait lancer une charge de désactivation visant les produits antivirus majeurs du marché. Le poste de l'utilisateur devient alors vulnérable à toutes sortes de menaces.
4-Quelles précautions doivent prendre les particuliers et les entreprises ?
Il est tout d'abord indispensable d'avoir un produit antivirus installé et mis à jour automatiquement. On se protège ainsi de la majeure partie des menaces connues. De même, il est fortement recommandé l'application régulière des correctifs Windows et tierce-partie (Acrobat Reader, Java, etc.).
Enfin, il faut rappeler aux utilisateurs de faire preuve de discernement et de ne pas ouvrir trop vite des fichiers suspects.
Pour plus de détails sur les résultats de ce concours, rendez-vous à cette adresse de l'ESIEA.
1-Comment avez-vous procédé pour détourner ces antivirus ?
J'ai cherché les faiblesses dans la cuirasse. En effet il existe de nombreuses fonctions dans Windows (dites "API"), et à l'heure actuelle aucun produit anti-virus n'assure un couverture parfaite de toute les fonctions utilisables par un code malveillant.
2- La résistance de DrWeb vous a-t-elle surpris ?
Il a bien résisté à nos tentatives de désactivation. Cela étant, le produit n'est pas forcément meilleur que les autres dans le domaine de la détection à base de signatures ou heuristique. En particulier, il ne protège pas contre l'insertion de drivers (ce qui est le cas de Kaspersky par exemple).
3-Quelles peuvent être les conséquences de ce détournement d'un antivirus ?
Nous voyons de nouveaux codes viraux apparaître toutes les semaines, voire tous les jours, et qui ne figurent pas dans les bases de signatures. Potentiellement, un virus bien conçu pourrait lancer une charge de désactivation visant les produits antivirus majeurs du marché. Le poste de l'utilisateur devient alors vulnérable à toutes sortes de menaces.
4-Quelles précautions doivent prendre les particuliers et les entreprises ?
Il est tout d'abord indispensable d'avoir un produit antivirus installé et mis à jour automatiquement. On se protège ainsi de la majeure partie des menaces connues. De même, il est fortement recommandé l'application régulière des correctifs Windows et tierce-partie (Acrobat Reader, Java, etc.).
Enfin, il faut rappeler aux utilisateurs de faire preuve de discernement et de ne pas ouvrir trop vite des fichiers suspects.
Pour plus de détails sur les résultats de ce concours, rendez-vous à cette adresse de l'ESIEA.
lundi 26 octobre 2009
Linux : moins sécurisé que Windows ?
Virus = Windows. Pour le grand public, les systèmes d'exploitation de Microsoft sont connus pour être la cible de codes malveillants.
C'est aussi l'opinion de nombreux défenseurs des distributions GNU/Linux comme Debian, Ubuntu, Mandriva...
Les résultats du concours organisé dans le cadre du colloque iAwacs (voir mon précédent billet) ont du les satisfaire : les antivirus peuvent être facilement désactivés en profitant de leurs failles et de leur analyse de Windows qui n'est pas complète.
C'est cette méthode utilisée par Christophe Devine, un expert en sécurité travaillant pour la société Sogeti/ESEC.
De la à penser que Linux est plus sûr !
Pourtant, ce même spécialiste tient à relativiser la situation : "Il existe vraiment très peu de produits anti-virus (ainsi que de malwares) pour Linux et Mac OSX. De plus, ces deux systèmes ne bénéficient pas toujours des avancées en matière de sécurité impulsées par
Microsoft. Quelques exemples concrets :
- Linux et Mac OS X ne disposent pas du niveau d'intégrité "faible" qui permet notamment à IE7/8 de faire tourner flash dans un bac à sable (Firefox et Safari ne disposent pas de cette protection).
- La "randomisation" de la mémoire ainsi que la prévention d'exécution est implémentée de façon incomplète sous Mac OS X. Pour rappel, ces deux mesures on permis à Vista/2008 d'être protégé contre la faille exploitée par Conficker.
- De nombreuses autres mesures de sécurité ne sont souvent pas implémentées par les développeurs Linux et OSX. Ainsi, la dernière version 32-bit de Debian (5.0) n'a pas la prévention d'exécution activée (ce qui est le cas par contre d'Ubuntu)."
Conclusion : aucun système d'exploitation et aucun logiciel de sécurité ne peuvent garantir une sécurité absolue.
Nous en revenons toujours au même point : l'utilisateur doit être vigilant et multiplier les solutions de sécurité et de sauvegarde.
C'est aussi l'opinion de nombreux défenseurs des distributions GNU/Linux comme Debian, Ubuntu, Mandriva...
Les résultats du concours organisé dans le cadre du colloque iAwacs (voir mon précédent billet) ont du les satisfaire : les antivirus peuvent être facilement désactivés en profitant de leurs failles et de leur analyse de Windows qui n'est pas complète.
C'est cette méthode utilisée par Christophe Devine, un expert en sécurité travaillant pour la société Sogeti/ESEC.
De la à penser que Linux est plus sûr !
Pourtant, ce même spécialiste tient à relativiser la situation : "Il existe vraiment très peu de produits anti-virus (ainsi que de malwares) pour Linux et Mac OSX. De plus, ces deux systèmes ne bénéficient pas toujours des avancées en matière de sécurité impulsées par
Microsoft. Quelques exemples concrets :
- Linux et Mac OS X ne disposent pas du niveau d'intégrité "faible" qui permet notamment à IE7/8 de faire tourner flash dans un bac à sable (Firefox et Safari ne disposent pas de cette protection).
- La "randomisation" de la mémoire ainsi que la prévention d'exécution est implémentée de façon incomplète sous Mac OS X. Pour rappel, ces deux mesures on permis à Vista/2008 d'être protégé contre la faille exploitée par Conficker.
- De nombreuses autres mesures de sécurité ne sont souvent pas implémentées par les développeurs Linux et OSX. Ainsi, la dernière version 32-bit de Debian (5.0) n'a pas la prévention d'exécution activée (ce qui est le cas par contre d'Ubuntu)."
Conclusion : aucun système d'exploitation et aucun logiciel de sécurité ne peuvent garantir une sécurité absolue.
Nous en revenons toujours au même point : l'utilisateur doit être vigilant et multiplier les solutions de sécurité et de sauvegarde.
dimanche 25 octobre 2009
Les antivirus : faciles à attaquer
Les antivirus servent à protéger un ordinateur contre des attaques de virus. Pas toujours. Et surtout, ils ne savent pas se défendre contre des attaques visant à les empêcher de fonctionner !
Les désactiver est à la portée de spécialistes. Et pas besoin d'y passer la journée !
C'est ce que vient de démontrer le concours organisé ce week end à Laval. Réalisé dans le cadre du colloque iAWACS( International Alternative Workshop on Aggressive Computing and Security) et organisé par Eric Filiol, (Directeur de la recherche de l’ESIEA et du laboratoire de cryptologie et virologie opérationnelles) de l'ESIEA (Ecole Supérieure d’Informatique Electronique Automatique).
Il s'agissait d'un concours chronométré visant à vérifier les capacités de différents antivirus à se défendre. Une première mondiale !
Le résultat est inquiétant. L'antivirus de McAfee a été mis hors d'usage en 1 minute et 56 secondes ! Norton de Symantec a explosé au bout de 4 minutes et GData au bout de 5 minutes et 14 secondes. AVG a tenu un quart d'heure. NOD32 a craqué au bout de 33 minutes, Kaspersky n'a pas été au-delà de 40 minutes.
Le grand vainqueur est l'antivirus russe DrWeb qui n'a pas pu être désactivé. Coté expert, c'est le français Christophe Devine qui a révélé tout son talent en remportant à chaque fois le challenge.
Quelles conclusions en tirer ?
1-Les antivirus ne sont donc pas inviolables
2-Leur désactivation, aussi facile (tout est relatif bien sûr...), montre que les entreprises et les particuliers sont à la merci d'attaques virales alors qu'elles se croient protégées par ce logiciel.
3-DrWeb 5.0 n'est pas l'antivirus parfait. Ca n'existe pas et ca n'existera jamais. Mais, au moins, cet antivirus risque d'être moins facilement attaqué et donc désactivé. Un pirate mettra donc plus de temps pour en venir à bout afin de placer un code malveillant sur votre ordinateur ou votre réseau...
4-La protection à 100% n'existe pas. L'utilisateur doit rester vigilant et être un brin "parano" : changer régulièrement de mot de passe (qui doit être difficile à trouver), ne pas mettre ses yeux dans le même panier, multiplier les sauvegardes sur différents supports non connectés au web...
Pour Eric Filiol, "il faut montrer que ces produits ne tiennent pas très longtemps. La solution est ailleurs : choisir les produits les moins faibles, mettre l'homme au cœur de la politique AV et de sécurité. Bref, revenir à plus de raison et rejeter l'idée que la sécurité est juste une question de produits. C'est une question d'état d'esprit. A ce jour seul les hackers l'ont... malheureusement".
ACTUALISATION :
De retour de Chine, Boris Sharov, Pdg de Doctor Web, explique les spécificités de son antivirus : «Pour les développeurs de notre logiciel, il a toujours été primordial de créer des mécanismes de protection de la mémoire. Nous y travaillons depuis plus de 10 ans. Résultat, notre technologie nous permet de résister aux attaques - ce qui a été prouvé par ce concours - mais aussi à détecter les virus qui n'existent qu'en mémoire sans jamais prendre une forme de fichier. On reste toujours le seul produit capable de le faire ».
A suivre :
- 4 questions à Christophe Devine.
Les désactiver est à la portée de spécialistes. Et pas besoin d'y passer la journée !
C'est ce que vient de démontrer le concours organisé ce week end à Laval. Réalisé dans le cadre du colloque iAWACS( International Alternative Workshop on Aggressive Computing and Security) et organisé par Eric Filiol, (Directeur de la recherche de l’ESIEA et du laboratoire de cryptologie et virologie opérationnelles) de l'ESIEA (Ecole Supérieure d’Informatique Electronique Automatique).
Il s'agissait d'un concours chronométré visant à vérifier les capacités de différents antivirus à se défendre. Une première mondiale !
Le résultat est inquiétant. L'antivirus de McAfee a été mis hors d'usage en 1 minute et 56 secondes ! Norton de Symantec a explosé au bout de 4 minutes et GData au bout de 5 minutes et 14 secondes. AVG a tenu un quart d'heure. NOD32 a craqué au bout de 33 minutes, Kaspersky n'a pas été au-delà de 40 minutes.
Le grand vainqueur est l'antivirus russe DrWeb qui n'a pas pu être désactivé. Coté expert, c'est le français Christophe Devine qui a révélé tout son talent en remportant à chaque fois le challenge.
Quelles conclusions en tirer ?
1-Les antivirus ne sont donc pas inviolables
2-Leur désactivation, aussi facile (tout est relatif bien sûr...), montre que les entreprises et les particuliers sont à la merci d'attaques virales alors qu'elles se croient protégées par ce logiciel.
3-DrWeb 5.0 n'est pas l'antivirus parfait. Ca n'existe pas et ca n'existera jamais. Mais, au moins, cet antivirus risque d'être moins facilement attaqué et donc désactivé. Un pirate mettra donc plus de temps pour en venir à bout afin de placer un code malveillant sur votre ordinateur ou votre réseau...
4-La protection à 100% n'existe pas. L'utilisateur doit rester vigilant et être un brin "parano" : changer régulièrement de mot de passe (qui doit être difficile à trouver), ne pas mettre ses yeux dans le même panier, multiplier les sauvegardes sur différents supports non connectés au web...
Pour Eric Filiol, "il faut montrer que ces produits ne tiennent pas très longtemps. La solution est ailleurs : choisir les produits les moins faibles, mettre l'homme au cœur de la politique AV et de sécurité. Bref, revenir à plus de raison et rejeter l'idée que la sécurité est juste une question de produits. C'est une question d'état d'esprit. A ce jour seul les hackers l'ont... malheureusement".
ACTUALISATION :
De retour de Chine, Boris Sharov, Pdg de Doctor Web, explique les spécificités de son antivirus : «Pour les développeurs de notre logiciel, il a toujours été primordial de créer des mécanismes de protection de la mémoire. Nous y travaillons depuis plus de 10 ans. Résultat, notre technologie nous permet de résister aux attaques - ce qui a été prouvé par ce concours - mais aussi à détecter les virus qui n'existent qu'en mémoire sans jamais prendre une forme de fichier. On reste toujours le seul produit capable de le faire ».
A suivre :
- 4 questions à Christophe Devine.
Inscription à :
Articles (Atom)