Fermer le menu

sécurité

Finalement, Java sera toujours nécessaire pour voter en ligne

| 18/08/2014 | 15:30 |  

À la suite de problèmes liés à Java lors des élections législatives de juin 2012 et des élections des conseils consulaires en mai dernier, Fleur Pellerin avait annoncé que la technologie d'Oracle allait être abandonnée pour les prochains votes en ligne. Une déclaration finalement contredite par le ministre des Affaires étrangères.

Dans une réponse à une députée repérée par Next INpact, Laurent Fabius indique que « [l'utilisation de Java] est un prérequis imposé par la mise en conformité de la solution de vote avec le Référentiel général de sécurité (RGS) et les recommandations de la CNIL ».

Si Java est un prérequis, c'est parce qu'il « offre à l'électeur un environnement sécurisé lui permettant de garantir la sincérité de son vote ». Le terme « sécurité » revient en effet souvent quand il est question de Java, mais rarement pour les bonnes raisons.

Le ministère des Affaires étrangères reconnait toutefois « la complexité de la technologie Java et souhaite améliorer l'accessibilité des électeurs au portail de vote. » Pour cela, un nouvel appel d'offre sera lancé. « Ce marché tiendra compte de l'expérience des scrutins antérieurs (législatives 2012/2013 et conseillers consulaires 2014) et veillera à ce que la solution de vote électronique retenue permette de répondre aux exigences de facilité d'accès pour l'utilisateur et aux conditions de sécurité très rigoureuses (secret du vote, résistance aux intrusions) », précise le ministre.

Pour mémoire, Java n'est plus intégré par défaut dans OS X. Si une application a besoin de cette technologie pour fonctionner, au premier lancement, le système affichera un message pour télécharger et installer Java. Autrement, on peut chercher soi-même le logiciel sur le site d'Oracle. Pour des questions de sécurité, Apple bloque régulièrement l'exécution des vieilles versions du plug-in web Java.

> Accéder aux commentaires

La Chine interdit l'iPad et le MacBook à ses administrations

| 06/08/2014 | 14:37 |  

La polémique sur la sécurité des produits d'Apple rebondit en Chine. Les médias du pays ont mi juillet pris en grippe les services de géolocalisation d'iOS, et notamment la fonction Lieux fréquents qui autorise l'iPhone à mémoriser les endroits souvent fréquentés pour « obtenir des données de localisation utiles ». Ce service serait coupable de divulguer des « secrets d'État », d'après la CCTV dont les « scoops » contre des entreprises occidentales sont souvent téléguidés par le pouvoir central. Apple n'avait pas tardé à répliquer avec force, expliquant sur son site web, en mandarin et en anglais, que son « activité ne repose pas sur la collecte de gros volumes de données personnelles de nos consommateurs » et que les données de localisation fréquentes ne servent que pour les conditions routières (lire : Chine : Apple éteint la polémique sur la localisation).

Ces explications n'ont visiblement pas convaincu les autorités chinoises, qui ont pris la décision d'exclure le MacBook et l'iPad de la liste de produits qui peuvent être achetés pour les administrations avec les deniers publics. En cause : « s'assurer de la sécurité informatique » des produits concernés, d'après l'agence Xinhua News. En tout, ce sont dix produits d'Apple (tous les iPad et tous les MacBook) qui ont été exclus d'une liste établie par le ministère des Finances et la Commission sur la réforme et le développement national du pays, et qui recense les terminaux qui peuvent être achetés par les administrations. Les modèles d'Apple étaient pourtant présents dans un brouillon de cette liste en juin. Dell, HP et le régional de l'étape Lenovo figurent bien sur la liste finale.

La Pomme n'est pas seule : les administrations chinoises ne peuvent plus acheter d'antivirus Symantec et Kaspersky, tandis que certains produits Microsoft (Windows 8, notamment) ont été exclus des futurs achats d'ordinateurs économes en énergie. D'après un analyste interrogé par Bloomberg, « le gouvernement chinois veut s'assurer que les entreprises étrangères n'ont pas trop d'influence en Chine ». Le marché local est l'un des plus importants pour Apple : au second trimestre, le constructeur y a généré 16% de ses revenus (37,4 milliards), avec des ventes d'iPad qui ont augmenté de 51% (+39% pour les Mac). À noter que la fameuse liste ne concerne pas l'iPhone.

> Accéder aux commentaires

Sécurité : 1,2 milliard de mots de passe dans la nature

| 06/08/2014 | 10:16 |  

Le casse virtuel du siècle ? Peut-être pas, mais si l’information révélée par le New York Times s’avère exacte, nous allons tous passer quelques heures à mettre à jour nos mots de passe.

En effet, un groupe de pirates informatiques russes — surnommé CyberVor — est parvenu à récupérer 1,2 milliard d’identifiants et de mots de passe ainsi que 500 millions d’emails ! Selon les chercheurs de la société de sécurité informatique Hold Security, ils ont réussi à exploiter une faille de sécurité sur 420 000 sites ! « Cela va des entreprises référencées dans le classement Fortune 500 aux très petits sites » estime Alex Holden, fondateur de Hold Security, qui ajoute que la plupart des sites en question sont toujours vulnérables.

Image elhombredenegro CC BY

Le groupe à l’origine de cette attaque serait minuscule comparé à l’ampleur du butin : moins de douze personnes âgées de 20 ans en moyenne. Géographiquement parlant, les CyberVors seraient localisés dans une petite ville au sud de la Russie coincée entre le Kazakhstan et la Mongolie. Un petit groupe certes, mais relativement bien organisé avec des divisions : certains écrivent des programmes pendant que d’autres les exploitent pour voler des données.

Ce groupe a commencé à se faire connaître en 2011 en tant que « spammeurs amateurs ». Ils achetaient des bases de données d’emails et tentaient de piéger les internautes en les invitant à surfer sur des pages infectées. Mais depuis, ce groupe, surveillé depuis un certain temps déjà par la société Hold Security, est passé à la vitesse supérieure.

Afin de parvenir à amasser un tel butin, ils ont utilisé des botnets (des réseaux d'ordinateurs compromis qui peuvent être contrôlés à distance). A chaque fois qu’un ordinateur infecté se connectait à un site web, le programme mis au point par les hackers testait si celui-ci était vulnérable à leur injection SQL. Si le site s’avérait être attaquable, alors ils revenaient un peu plus tard pour voler les informations qui les intéressaient.

« Ils ont fait un audit d’Internet », déclare Alex Holden qui se demande combien d’ordinateurs infectés ils avaient à leur disposition quand ils ont commencé cette opération. D’après sa société, ils avaient en juillet plus de 4,5 milliards d’enregistrements (identifiant et mot de passe). Toutefois, certaines données étaient redondantes. Après analyse de celles-ci, Hold Security estime qu’ils ont à leur disposition plus de 1,2 milliard d’enregistrements uniques !

...

> Lire la suite et accéder aux commentaires

Mozilla : des milliers d'identifiants et de mots de passe à l'air libre

| 04/08/2014 | 14:30 |  

Une opération de maintenance sur la base de données du Mozilla Developer Network (MDN) a conduit malencontreusement à l'exposition de 76 000 adresses emails d'utilisateurs et 4 000 mots de passe chiffrés sur un serveur public, a averti ce week-end la fondation.

Un peu trop ouvert...

Le fichier a été à l'air libre du 23 juin au 22 juillet. Mozilla indique ne pas avoir détecté d'activité malicieuse sur ce serveur public pendant ce laps de temps, néanmoins, elle ne peut pas assurer que le fichier n'a pas été copié.

Les mots de passe étaient chiffrés et ont été réinitialisés par mesure de sécurité sur le MDN. Reste toujours qu'avec un peu de volonté et un peu de temps, le chiffrement peut être cassé et il est possible que les utilisateurs emploient le même mot de passe sur différents services. Mozilla a prévenu individuellement les développeurs concernés par cette fuite.

Dans le même temps, ou presque, un hacker bien connu s'en est pris à Firefox. Non content d'avoir hacké le navigateur libre avec succès à la dernière édition de Pwn2Own — et d'avoir empoché 50 000 $ au passage —, George Hotz a remis le couvert la nuit dernière et en direct sur Twitch. geohot, qui fait actuellement un stage chez Google, s'est attelé à exploiter une faille de sécurité connue pour compromettre Firefox 28. Un challenge qu'il a relevé au bout d'une dizaine d'heures à tripatouiller du code.

> Accéder aux commentaires

SynoLocker : des NAS Synology pris en otage

| 04/08/2014 | 13:30 |  

Depuis quelques jours, des possesseurs de NAS Synology font état d'un piratage de leur appareil. En se connectant à l'interface d'administration de leur NAS, des utilisateurs font face à un message qui indique que les données sont chiffrées par un logiciel malveillant baptisé SynoLocker. Pour obtenir la clé de chiffrement et accéder ainsi de nouveau à ses fichiers, SynoLocker demande de l'argent (0,6 Bitcoins, soit environ 260 €).

Le vecteur de l'attaque est pour l'instant inconnu et Synology n'a pas communiqué publiquement sur le sujet. Sur le forum du fabricant, un utilisateur dit avoir reçu un email de Synology qui est au courant du problème et lui a donné une solution de secours. Il faut installer le système d'exploitation DSM sur un disque vierge puis migrer toutes ses données. La marche à suivre est détaillée ici.

Par mesure de précaution, mieux vaut désactiver certaines fonctions réseau et fermer quelques ports sensibles. Les témoignages viennent a priori exclusivement de personnes équipées de DSM 4.3, mais sans communiqué de Synology, on ne sait pas si la version 5.0, qui a récemment reçu une mise à jour de sécurité, est immunisée.

> Accéder aux commentaires

Une grosse faille dans l'USB

| 31/07/2014 | 18:31 |  

Les périphériques USB sont-ils mauvais pour la santé de nos ordinateurs ? C'est la conviction de Karsten Nohl et Jakob Lell, chercheurs pour SR Labs, qui ont mis au jour une faille qui ressemble à un « tour de magie » : il est en effet impossible de savoir d'où provient le virus, s'alarment ces spécialistes en sécurité dans Wired. Ils ont ainsi créé un maliciel de test afin de démontrer la dangerosité de leur découverte. BadUSB peut prendre le contrôle d'un PC, altérer des fichiers installés depuis la clé (ou n'importe quel support de stockage externe), et même rediriger le trafic web de la victime en modifiant les réglages DNS.

BadUSB — et la faille, donc — est présent non pas dans la mémoire du support, mais dans le firmware qui en contrôle les fonctions de base. La découverte de cette vulnérabilité est le fruit de plusieurs mois d'ingénierie inverse sur le firmware qui gère la communication entre le périphérique et son hôte. Il se trouve que ce firmware peut être reprogrammé pour masquer un virus — et cela touche aussi bien les supports de stockage que les souris, les claviers, et même les smartphones dotés d'un port USB. La NSA a très bien pu en tirer parti, soufflent les spécialistes.

Le code malveillant reste invisible mais bien présent, même si la clé semble ne rien transporter. Aucune solution n'a été trouvée par les deux chercheurs, si ce n'est de s'interdire d'utiliser un périphérique USB, ce qui n'est guère envisageable… à moins de se contenter des périphériques que l'on possède depuis longtemps et dans lesquels on a confiance. C'est d'ailleurs le discours de l'USB Implementers Forum, qui supervise le standard USB, en attendant une solution plus pérenne.

Les chercheurs dévoileront le détail de leur découverte la semaine prochaine, durant une conférence Black Hat à Las Vegas.

> Accéder aux commentaires

L'identification en deux étapes disponible en Belgique et en Suisse

| 17/07/2014 | 18:00 |  

La validation en deux étapes pour les identifiants Apple est désormais disponible dans 59 pays. La Foire aux questions du constructeur au sujet de cette fonction a été mise à jour avec la liste de tous les pays où les utilisateurs pourront utiliser cette option — même si ça n'est pas encore le cas sur la page en français, qui se contente encore de onze pays. La Belgique, la Suisse et le Luxembourg rejoignent officiellement la liste qui comptait la France depuis le mois de février (lire : Identifiant Apple : la validation en deux étapes disponible en France).

Apple officialise ici la présence de plusieurs pays qui disposaient déjà de la validation en deux étapes. Cette fonction offre un surcroît de sécurité en ajoutant une étape lors de l'authentification d'un utilisateur. Cela passe par la validation des appareils de confiance, sur lesquels on recevra le code d'identification envoyé par Apple (il faudra au préalable avoir activé la fonction Localiser mon iPhone). Outre les terminaux wi-fi de type iPad ou iPod touch, il est aussi possible d'ajouter un iPhone afin de recevoir le code à quatre chiffres par SMS.

Le processus implique également l'envoi d'une clé de secours au cas où on a oublié son mot de passe et/ou si on n'est pas en possession d'un de ses appareils de confiance. Il est impératif de disposer d'une connexion à internet pour pouvoir utiliser l'authentification en deux étapes.

> Accéder aux commentaires

Dashlane 3 améliore le partage des mots de passe

| 16/07/2014 | 15:34 |  

Le gestionnaire de mots de passe et de données confidentielles Dashlane [Français – Gratuit (achats in-app) – OS X 10.7] poursuit son petit bonhomme de chemin. Dans sa troisième version majeure disponible aujourd'hui (elle devrait très bientôt arriver dans le Mac App Store), ce sérieux concurrent à 1Password intègre une fonction pour partager plus facilement ses mots de passe avec ses amis, collègues ou membres de la famille.

Le Centre de partage permet aussi bien d'envoyer les invitations à ses contacts que de gérer leurs droits et consulter les mots de passe partagés par d'autres utilisateurs. Ces données sont synchronisées : si un de vos collègues a changé le mot de passe partagé du compte iTunes, il n'a pas à renvoyer ce nouveau mot de passe ni même besoin de vous prévenir puisque l'élément est mis à jour automatiquement dans votre Dashlane. Cela sous-entend donc que les deux personnes utilisent Dashlane.

Dashlane 3 introduit aussi les contacts d'urgence. Ces contacts spéciaux peuvent accéder aux données (en lecture uniquement) de l'utilisateur qui se trouve dans l'embarras. L'utilisateur définit s'il veut rendre accessible l'intégralité de ses mots de passe et de ses notes ou seulement certains d'entre eux.

Dashlane est en partie gratuit : on peut utiliser ses fonctions de base sur ordinateur sans mettre la main à la poche. Pour profiter de fonctions supplémentaires (sauvegarde dans le nuage, données accessibles sur le web, support prioritaire) et de l'application iOS, il faut prendre un abonnement à 29 € par an.

> Accéder aux commentaires

Apple a activé le chiffrement intégral des mail iCloud

| 15/07/2014 | 16:16 |  

Apple chiffre désormais les messages qui quittent ses serveurs à destination d'autres services de messagerie que le sien. Ce changement est intervenu après la mise en évidence d'un retard en la matière (lire Confidentialité : iCloud va améliorer son transit). Mi-juin, un outil de Google montrait qu'aucun des courriers en provenance des serveurs d'Apple et entrant sur Gmail n'était protégé des regards indiscrets pendant son voyage. Désormais, la même requête montre un chiffrement quasi intégral.

Mi-juin

Une nouvelle critique subsiste toutefois. D'après le site allemand Heise, spécialisé en sécurité, Apple a choisi l'algorithme de chiffrement RC-4. Une méthode simple, rapide d'exécution, connue et largement utilisée mais dont l'efficacité a été régulièrement remise en question. A plusieurs reprises des chercheurs ont trouvé des moyens - plus ou moins aisés à mettre en place - pour intercepter le contenu des informations ainsi chiffrées. Heise loue l'effort d'Apple pour mieux le critiquer ensuite, en parlant des techniques de déchiffrement en temps réel que maitriseraient la NSA.

Aujourd'hui

> Accéder aux commentaires

Apple forte en mots de passe contrairement à Showroomprive

| 11/07/2014 | 11:45 |  

La politique de mots de passe d'Apple est excellente, note Dashlane. L'éditeur du gestionnaire de mots de passe du même nom a mené une étude sur les mesures de sécurité prises par une quarantaine de sites web populaires. Ce baromètre de la sécurité réalisé au mois de juin porte spécifiquement sur les latitudes offertes par chaque site en matière de mots de passe. Si un site permet d'utiliser « azerty » ou « 1234 », des sésames très faibles car très courants et trop simples, il récolte une note négative.

Pour son étude, Dashlane a défini 22 critères de notation : longueur minimale autorisée, utilisation obligatoire de caractères alphanumériques, indicateur de robustesse, verrouillage du compte après 10 tentatives de connexion infructueuses... Un critère rapporte une note positive s'il contribue à la sécurité, et une note négative s'il constitue un risque, d'où les scores négatifs de certains sites.

D'après ce barème, Apple fait donc un sans-faute. Les restrictions qu'elle impose permettent notamment de créer un mot de passe suffisamment fort pour ne pas être découvert facilement. Le service live.com de Microsoft et UPS font eux aussi partie des bons élèves.

Impossible d'utiliser « azerty » comme mot de passe et Apple explique clairement pourquoi.

C'est Showroomprive qui porte le bonnet d'âne avec un très mauvais score de -82,5. On peut par exemple utiliser « motdepasse » sans que le site n'y trouve rien à redire.

Dashlane a par ailleurs comparé la politique des sites avec les mots de passe utilisés par ses utilisateurs (l'entreprise a utilisé des statistiques anonymes de robustesse — le logiciel attribue des notes pour chaque sésame — sans accès aux mots de passe eux-mêmes). Sans surprise, il y a une corrélation entre les deux : plus le site est exigeant, plus le mot de passe est fort. Dashlane note tout de même que pour certains services (OVH, Evernote, Mailchimp...) les utilisateurs vont au-delà des exigences faibles. Il y a aussi le cas à part d'Air France. Pratiquement 80 % des clients de la compagnie aérienne utilisent un code PIN comme seule protection.

Si vous voulez améliorer la sécurité de votre compte Apple (qui sert à iTunes et iCloud entre autres), nous vous conseillons d'ac...

> Lire la suite et accéder aux commentaires

Pages