Fermer le menu
 

sécurité

Piratage d'iCloud : Tim Cook rencontre un officiel chinois

| 22/10/2014 | 14:09 |  

Le CEO d'Apple a discuté de la protection des données des utilisateurs avec un des vice-premiers ministres de Chine. La rencontre entre Tim Cook et Ma Kai a eu lieu aujourd'hui à Pékin, au siège du gouvernement central chinois, rapporte l'agence Xinhua.

Un site iCloud contrefait destiné à subtiliser les données de connexion des utilisateurs Apple.

Cette entrevue intervient alors que les utilisateurs d'iCloud sont visés dans le pays par une attaque de grande ampleur visant à subtiliser leur identifiant et leur mot de passe, pour ensuite avoir accès à toutes leurs données.

Apple, qui ne peut rien faire directement contre les autorités chinoises soupçonnées d'être derrière cette opération de piratage, a publié une fiche technique qui explique comment se protéger contre les tentatives de phishing.

Xinhua ne donne pas d'autre information sur la teneur des propos de Cook et Kai, si ce n'est qu'ils ont aussi « échangé leurs points de vue sur le renforcement de la coopération dans les domaines de l'information et de la communication. »

> Accéder aux commentaires

Les utilisateurs d'iCloud dans la ligne de mire de la Chine

| 20/10/2014 | 15:37 |  

La Chine continue de souffler le chaud et le froid sur Apple. Alors que l'iPhone 6 y a été lancé avec un certain succès (pour les précommandes, du moins), les autorités chinoises ont semble t-il décidé de s'attaquer aux utilisateurs d'iCloud via une attaque de type « homme du milieu » positionné au niveau du Great Firewall (alias projet bouclier doré), cette muraille virtuelle qui permet aux officines officielles de surveiller les internautes du pays. Le portail web iCloud auquel les utilisateurs du bouquet de services web d'Apple croient se connecter est actuellement un leurre : si ces derniers s'y connectent, ils donnent aux pirates les clés de leur vie numérique : identifiant et mot de passe évidemment, mais aussi toutes les données stockées dans le nuage de la Pomme.

Les internautes surfant avec Chrome ou Firefox sont d'abord servis par un message d'erreur (ci-dessus) alertant de la dangerosité du site sur lequel ils essaient de se rendre. S'ils ignorent le message, ils risquent de compromettre leurs informations confidentielles stockées sur iCloud. Les utilisateurs de Qihoo, le navigateur le plus populaire en Chine, accèdent directement au site bidon, sans passer par la case « alerte ». Pour contourner le problème, il est toujours possible d'en passer par un VPN (du moins ceux qui ne sont pas bloqués par le Great Firewall), ou d'emprunter une autre adresse IP pour iCloud (l'attaque en question ne concerne qu'une seule adresse IP). Apple n'est pas le seul éditeur de services web à souffrir de cette attaque : Microsoft, avec live.com, est également dans le collimateur.

Plusieurs explications sont avancées pour expliquer les agissements de ceux qui se trouvent derrière cette attaque, et qui sont probablement les autorités du pays. Il peut s'agir d'empêcher la circulation de photos et de documents en lien avec les événements qui secouent actuellement la rebelle Hong Kong. Cela peut aussi être une réplique au chiffrage intégral des données d'iOS 8, qui empêche quiconque de récupérer discrètement des données personnelles — une initiative suivie par Google, et qui pose de sérieux soucis aux représentants américains des agences de sécurité (lire :...

> Lire la suite et accéder aux commentaires

Des correctifs en cours pour la faille de sécurité SSLv3

| 15/10/2014 | 13:00 |  

Une équipe de Google a mis en lumière une faille de sécurité dans le protocole SSL utilisé pour chiffrer les échanges de données entre un navigateur et un site web. Mise en oeuvre, elle permet à un malandrin de se faire passer pour sa victime et d'accéder à des données privées sur un service tel qu'un webmail ou le serveur d'une banque.

Ce nouvel angle d'attaque a été baptisé POODLE pour Padding Oracle On Downgraded Legacy Encryption. Il utilise une ancienne version 3 du protocole SSL, sortie il y a 18 ans, qui assure le chiffrement d'une transaction. Une autre méthode plus robuste et plus répandue existe néanmoins : TLS 1.0.

Cependant des sites web utilisent toujours SSLv3 pour assurer une compatibilité avec Internet Explorer 6 dans Windows XP. Surtout la technique sait simuler un problème de connexion et forcer un navigateur à basculer de TLS à SSLv3.

Le principe ensuite de cette attaque est de s'intercaler entre l'internaute et son site web de destination au moyen par exemple d'un hotspot Wi-Fi monté de toute pièce. L'attaquant va alors tenter de reconstruire le cookie d'identification utilisé pour l'authentification auprès du site. Ars Technica, qui détaille la méthode, décrit un procédé qui exige de la patience et des essais répétés pour réussir à obtenir toutes les pièces de ce puzzle.

Mais une fois le cookie reconstitué dans son intégralité, le hacker peut se faire passer pour sa victime et profiter du fait que SSL 3 effectue moins de contrôles d'identité que TLS 1.0.

Côté administrateurs de sites web, la consigne est d'abandonner SSLv3, lequel est utilisé de façon marginale aujourd'hui. Même chose pour les navigateurs Web, Mozilla va le faire pour Firefox 34 prévu le 25 novembre (la 33 actuelle est toutefois immunisée). Dans Internet Explorer 11 cela peut être fait manuellement dans les réglages avancés. Chez Google il est prévu de modifier Chrome de manière à ce qu'il ne puisse plus faire cette bascule entre les protocoles, quitte à être incompatible avec certains sites qui devront être mis à jour. Une parade est documentée pour la version Windows de Chrome mais elle implique, pour être efficace, d'ouvrir le navigateur depuis un raccourci sur le bureau et non par un lien externe. Reste enfin le cas de Safari qui devra être mis à jour puisqu'il est déclaré comme vulnérable.

> Accéder aux commentaires

Mises à jour de sécurité pour Office 2011, Flash et Java

| 15/10/2014 | 07:00 |  

Microsoft a corrigé sa suite Office 2011 avec une version 14.4.5 qui s'occupe uniquement de failles de sécurité sur tous les logiciels [121 Mo]. On peut aussi la récupérer directement depuis l'une des applications de la suite.

Adobe fournit une énième révision pour des failles qualifiées d'importantes dans Flash. Elle passera le module en version 15.0.0.189 [1,2 Mo]. Enfin, Oracle y va également de ses correctifs de sécurité pour Java 8 sur toutes les plateformes, avec une version u25 [59 Mo].

> Accéder aux commentaires

iCloud : les clients mail ont du mal avec l’identification en deux étapes

| 08/10/2014 | 12:27 |  

Depuis le premier octobre, les utilisateurs d’un compte mail iCloud qui ont activé l’authentification en deux étapes doivent faire une étape supplémentaire pour accéder à leurs mails dans un client tiers. S’ils ne veulent pas utiliser le client livré avec leur Mac ou appareil iOS, ils doivent désormais générer un mot de passe spécifique à chaque application.

C’est un principe déjà connu des utilisateurs de Gmail avec l’authentification en deux étapes et c’est une mesure de sécurité assez logique. En cas de problème, vous pouvez couper l’accès des clients tiers en désactivant son mot de passe, et ainsi limiter la casse. Mais cette fonction pose quelques problèmes à certains clients tiers qui ne prennent pas en compte cette nouvelle exigence d’iCloud.

Sur Mac, Airmail [1.4.1 – Français – 8,99 € – OS X 10.7 - Bloop S.R.L.] a été justement mis à jour ce matin pour cette raison. En théorie, si vous avez activé l’identification en deux étapes, vous devez générer un mot de passe spécifique au logiciel en vous connectant à cette adresse, puis en allant dans la section « Mot de passe et sécurité ». Nous avions déjà consacré un article à cette fonction, avec toutes les explications et les détails techniques : iCloud : l'identification en 2 étapes obligatoire pour les logiciels tiers.

Dans les faits, on peut encore se connecter avec le mot de passe de base de son compte iCloud et Airmail fonctionne parfaitement. Est-ce qu’Apple a retardé l’exigence du mot de passe spécifique au client mail ? Quoi qu’il en soit, si vous utilisiez ce logiciel, vous pouvez continuer à le faire sans problèmes. La situation est légèrement différente pour Sparrow [1.6.4 – Français – 8,99 € - Sparrow by Google], le client mail acheté et abandonné par Google, mais qui fonctionne encore. Que vous ayez activé la vérification en deux étapes ou non, vous devez utiliser le mot de passe de votre compte, les mots de passe générés pour une application ne sont pas acceptés.

Pour les autres clients mail, cela dépend vraiment des cas. MailMate, par exemple, n’accepte ni le mot de passe de base du compte, ni un mot de passe généré. Même scénario pour...

> Lire la suite et accéder aux commentaires

Yahoo sous le Shellshock

| 07/10/2014 | 16:30 |  

D'après un chercheur en sécurité, Yahoo a été victime d'une attaque exploitant Shellshock, une faille critique récemment découverte dans l'interpréteur de commandes Bash. Selon Jonathan Hall, des malandrins ont pu infiltrer les serveurs de Yahoo Sport.

Photo Yahoo CC BY

Le portail web a confirmé dans un premier temps à CNET qu'une poignée de ses serveurs avaient été hackés par l'intermédiaire de la faille de Bash, puis s'est rétracté. Alex Stamos, responsable de la sécurité des systèmes d'information de Yahoo, a indiqué après coup que les serveurs en question n'étaient pas vulnérables à Shellshock. Stamos indique que l'intrusion a pu être menée en tirant parti d'une autre faille. Et d'indiquer que les données des utilisateurs n'ont a priori pas été subtilisées.

Pour sa part, Jonathan Hall soutient toujours que l'attaque a été perpétrée avec la faille de Bash. D'après lui, il pouvait s'agir d'une variante de Shellshock. À la suite de la découverte de la vulnérabilité CVE-2014-6271, d'autres du même type ont été mises en lumière.

Le chercheur en sécurité a également rapporté que le portail Lycos et le site de WinZip avaient subi une attaque Shellshock. WinZip a fait savoir que les données des utilisateurs n'ont pas été compromises et qu'un patch allait être appliqué.

> Accéder aux commentaires

Un député s'inquiète des capacités de chiffrement des iPhone

| 07/10/2014 | 15:15 |  

Les capacités de chiffrement d'iOS 8 et les critiques qu'elles nourrissent au sein du gouvernement américain font un détour par l'Assemblée Nationale. Le député Damien Meslot (UMP, Territoire de Belfort), a inscrit une question sur le sujet au Ministre de l'Intérieur.

Damien Meslot, député UMP

Damien Meslot est membre de la commission de la défense nationale et des forces armées. Il s'inquiète des « risques d'entraves à la réalisation d'enquêtes de police visant à lutter contre la criminalité, suite à la mise en place par Apple d'une sécurité renforcée sur ses nouveaux iPhones 6 et 6 Plus ». On parlera plutôt de dispositifs propres à iOS 8 que spécifiquement aux iPhone 6, mais passons.

Dans la suite de sa question il reprend les arguments développés ces dernières semaines par le ministre américain de la Justice et par le directeur du FBI ou par le patron de la Police de Chicago qui avait relevé le débat en associant tout simplement iPhone 6 et pédophilie.

Tous soulignaient qu'à vouloir protéger le plus possible les données de leurs utilisateurs, Apple et Google avaient fait un excès de zèle et allaient rendre le travail des forces de polices plus ardu pour prélever des indices et renseignements. Le député veut donc savoir ce que le ministre Bernard Cazeneuve entend faire pour « empêcher que soit rendue plus difficile sinon impossible la lutte contre la criminalité passant par l'utilisation des nouveaux iPhones 6 et 6 Plus ».

Le texte complet de la question est le suivant. Une réponse devrait être donnée normalement en séance, cet après-midi ou demain.

M. Damien Meslot interroge M. le ministre de l'intérieur sur les risques d'entraves à la réalisation d'enquêtes de police visant à lutter contre la criminalité, suite à la mise en place par Apple d'une sécurité renforcée sur ses nouveaux iPhones 6 et 6 Plus. En effet, le directeur de la police de Chicago s'est sérieusement inquiété de la mise en place par le géant californien d'un degré de sécurité qui empêche même la marque à la pomme d'outrepasser le mot de passe des utilisateurs ou d'accéder à leurs données.

En cela, il est rejoint par le Bureau fédéral d'investigations (FBI), l'Agence centrale du renseignement américain (CIA) ou encore l'Agence nationale de la sécurité étasunienne (NSA). Le directeur du FBI a estimé que ces nouvelles règles de sécurité entraîneron...

> Lire la suite et accéder aux commentaires

La méchante faille BadUSB rendue publique

| 06/10/2014 | 15:36 |  

Au cœur de l'été, deux chercheurs ont mis en lumière une faille critique dans le protocole USB qui permet à un disque dur externe ou une clé USB de prendre totalement le contrôle d'un ordinateur grâce à un firmware modifié. Les chercheurs s'étaient toutefois bien gardés de donner des détails sur BadUSB, le surnom de cette faille, estimant qu'il serait trop dangereux que tout un chacun puisse transformer sa clé USB en véritable espion.

Deux autres chercheurs ont fait sauter la digue. Après un travail de rétro-ingénierie, Adam Caudill et Brandon Wilson ont identifié la faille et publié sur GitHub toutes les informations pour l'exploiter. Une manière de mettre un gros coup de pied aux fesses aux fabricants pour qu'ils colmatent le protocole USB.

Photo quiroso CC BY

« Si les seules personnes qui [peuvent exploiter la faille] sont celles qui ont de gros budgets (une allusion aux agences de renseignement, ndlr), les fabricants ne vont jamais rien faire », ont fait valoir les chercheurs à Wired.

Lors d'une démo, Caudill et Wilson ont montré une clé USB capable d'enregistrer toutes les frappes du clavier. Même en effaçant tout le contenu de la clé USB, le firmware malicieux reste actif. « Il y a un équilibre précaire entre montrer que quelque chose est possible et le rendre facilement réalisable par n'importe qui », note Caudill.

Plus que jamais, il faudra se méfier avant de brancher une clé USB à son ordinateur. Un correctif demanderait une mise à jour complète du protocole, ce qui ne se fait pas en un claquement de doigts.

> Accéder aux commentaires

Apple met à jour Xprotect contre le malware iWorm

| 05/10/2014 | 10:00 |  

Apple est en train de mettre à jour Xprotect, l'anti-malware intégré à OS X. Le fichier qui contient la liste des définitions de ces parasites contient une référence à iWorm, le nom du dernier malware en date, détecté au début du mois par Dr.Web (lire Un malware affecterait 17 000 Mac).

Xprotect est logé dans le dossier système, on peut en consulter le contenu avec la commande de Terminal suivante :

more /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist

Si cette référence n'y figure pas encore, il faudra attendre que Xprotect soit mis à jour par le système. La procédure est automatique, sans intervention de l'utilisateur.

> Accéder aux commentaires

Shellshock : c'est grave docteur ?

| 03/10/2014 | 23:22 |  

Il y a une semaine et demie, une faille critique était découverte dans le shell Bash, un utilitaire intégré à la plupart des systèmes UNIX, dont OS X. Une vulnérabilité particulièrement importante puisqu'elle permet à un malandrin d'exécuter des commandes à distance sur la machine ciblée. Apple a rapidement distribué un correctif pour Lion, Mountain Lion et Mavericks, mais l'affaire n'est pas finie pour autant.

D'une part, tous les produits vulnérables n'ont pas été patchés, loin de là. C'est le cas des Mac n'étant pas compatibles avec OS X 10.7 ou ultérieur. Apple a assuré que ses systèmes « sont sécurisés par défaut et ne sont exposés à des attaques à distance que si les utilisateurs configurent les services UNIX avancés. » Autrement dit, les systèmes antérieurs à Lion dont les services UNIX ont été modifiés doivent être patchés à la main par les utilisateurs.

Et puis il y a la myriade d'autres produits qui intègrent Bash. Cisco, Oracle, RedHat et compagnie n'ont pas tardé à publier leur correctif, mais il y a immanquablement des machines qui ne seront jamais mises à jour pour diverses raisons.

Le 30 septembre, soit six jours après la découverte de la faille, le CDN CloudFlare avait bloqué 1,1 million d'attaques Shellshock. Plus de 80 % des attaques étaient des opérations de reconnaissance afin d'établir une liste de machines vulnérables. Cela donne une petite idée des assauts que sont en train de subir les serveurs web à travers le monde. Des serveurs qui ne sont pas tous protégés correctement.

D'autre part, on n'a pas fini d'entendre parler de Shellshock car ce n'est pas une faille qui touche Bash, mais plusieurs. L'interpréteur de commandes a logiquement été passé au crible après la découverte de la vulnérabilité CVE-2014-6271 et d'autres failles ont été pointées du doigt (CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187 et CVE-2014-7169). Elles ne sont pas toutes aussi critiques q...

> Lire la suite et accéder aux commentaires

Pages