Fermer le menu
 

sécurité

Des correctifs en cours pour la faille de sécurité SSLv3

| 15/10/2014 | 13:00 |  

Une équipe de Google a mis en lumière une faille de sécurité dans le protocole SSL utilisé pour chiffrer les échanges de données entre un navigateur et un site web. Mise en oeuvre, elle permet à un malandrin de se faire passer pour sa victime et d'accéder à des données privées sur un service tel qu'un webmail ou le serveur d'une banque.

Ce nouvel angle d'attaque a été baptisé POODLE pour Padding Oracle On Downgraded Legacy Encryption. Il utilise une ancienne version 3 du protocole SSL, sortie il y a 15 ans, qui assure le chiffrement d'une transaction. Une autre méthode plus robuste et plus répandue existe néanmoins : TLS 1.0.

Cependant des sites web utilisent toujours SSLv3 pour assurer une compatibilité avec Internet Explorer 6 dans Windows XP. Surtout la technique sait simuler un problème de connexion et forcer un navigateur à basculer de TLS à SSLv3.

Le principe ensuite de cette attaque est de s'intercaler entre l'internaute et son site web de destination au moyen par exemple d'un hotspot Wi-Fi monté de toute pièce. L'attaquant va alors tenter de reconstruire le cookie d'identification utilisé pour l'authentification auprès du site. Ars Technica, qui détaille la méthode, décrit un procédé qui exige de la patience et des essais répétés pour réussir à obtenir toutes les pièces de ce puzzle.

Mais une fois le cookie reconstitué dans son intégralité, le hacker peut se faire passer pour sa victime et profiter du fait que SSL 3 effectue moins de contrôles d'identité que TLS 1.0.

Côté administrateurs de sites web, la consigne est d'abandonner SSLv3, lequel est utilisé de façon marginale aujourd'hui. Même chose pour les navigateurs Web dont on peut tester ici la vulnérabilité. Mozilla va le faire pour Firefox 34 prévu le 25 novembre (la 33 actuelle est toutefois immunisée). Dans Internet Explorer 11 cela peut être fait manuellement dans les réglages avancés. Chez Google il est prévu de modifier Chrome de manière à ce qu'il ne puisse plus faire cette bascule entre les protocoles, quitte à être incompatible avec certains sites qui devront être mis à jour. Une parade est documentée pour la version Windows de Chrome mais elle implique, pour être efficace, d'ouvrir le navigateur depuis un raccourci sur le bureau et non par un lien externe. Reste enfin le cas de Safari qui devra être mis à jour puisqu'il est déclaré comme vulnérable.

> Accéder aux commentaires

Mises à jour de sécurité pour Office 2011, Flash et Java

| 15/10/2014 | 07:00 |  

Microsoft a corrigé sa suite Office 2011 avec une version 14.4.5 qui s'occupe uniquement de failles de sécurité sur tous les logiciels [121 Mo]. On peut aussi la récupérer directement depuis l'une des applications de la suite.

Adobe fournit une énième révision pour des failles qualifiées d'importantes dans Flash. Elle passera le module en version 15.0.0.189 [1,2 Mo]. Enfin, Oracle y va également de ses correctifs de sécurité pour Java 8 sur toutes les plateformes, avec une version u25 [59 Mo].

> Accéder aux commentaires

iCloud : les clients mail ont du mal avec l’identification en deux étapes

| 08/10/2014 | 12:27 |  

Depuis le premier octobre, les utilisateurs d’un compte mail iCloud qui ont activé l’authentification en deux étapes doivent faire une étape supplémentaire pour accéder à leurs mails dans un client tiers. S’ils ne veulent pas utiliser le client livré avec leur Mac ou appareil iOS, ils doivent désormais générer un mot de passe spécifique à chaque application.

C’est un principe déjà connu des utilisateurs de Gmail avec l’authentification en deux étapes et c’est une mesure de sécurité assez logique. En cas de problème, vous pouvez couper l’accès des clients tiers en désactivant son mot de passe, et ainsi limiter la casse. Mais cette fonction pose quelques problèmes à certains clients tiers qui ne prennent pas en compte cette nouvelle exigence d’iCloud.

Sur Mac, Airmail [1.4.1 – Français – 8,99 € – OS X 10.7 - Bloop S.R.L.] a été justement mis à jour ce matin pour cette raison. En théorie, si vous avez activé l’identification en deux étapes, vous devez générer un mot de passe spécifique au logiciel en vous connectant à cette adresse, puis en allant dans la section « Mot de passe et sécurité ». Nous avions déjà consacré un article à cette fonction, avec toutes les explications et les détails techniques : iCloud : l'identification en 2 étapes obligatoire pour les logiciels tiers.

Dans les faits, on peut encore se connecter avec le mot de passe de base de son compte iCloud et Airmail fonctionne parfaitement. Est-ce qu’Apple a retardé l’exigence du mot de passe spécifique au client mail ? Quoi qu’il en soit, si vous utilisiez ce logiciel, vous pouvez continuer à le faire sans problèmes. La situation est légèrement différente pour Sparrow [1.6.4 – Français – 8,99 € - Sparrow by Google], le client mail acheté et abandonné par Google, mais qui fonctionne encore. Que vous ayez activé la vérification en deux étapes ou non, vous devez utiliser le mot de passe de votre compte, les mots de passe générés pour une application ne sont pas acceptés.

Pour les autres clients mail, cela dépend vraiment des cas. MailMate, par exemple, n’accepte ni le mot de passe de base du compte, ni un mot de passe généré. Même scénario pour...

> Lire la suite et accéder aux commentaires

Yahoo sous le Shellshock

| 07/10/2014 | 16:30 |  

D'après un chercheur en sécurité, Yahoo a été victime d'une attaque exploitant Shellshock, une faille critique récemment découverte dans l'interpréteur de commandes Bash. Selon Jonathan Hall, des malandrins ont pu infiltrer les serveurs de Yahoo Sport.

Photo Yahoo CC BY

Le portail web a confirmé dans un premier temps à CNET qu'une poignée de ses serveurs avaient été hackés par l'intermédiaire de la faille de Bash, puis s'est rétracté. Alex Stamos, responsable de la sécurité des systèmes d'information de Yahoo, a indiqué après coup que les serveurs en question n'étaient pas vulnérables à Shellshock. Stamos indique que l'intrusion a pu être menée en tirant parti d'une autre faille. Et d'indiquer que les données des utilisateurs n'ont a priori pas été subtilisées.

Pour sa part, Jonathan Hall soutient toujours que l'attaque a été perpétrée avec la faille de Bash. D'après lui, il pouvait s'agir d'une variante de Shellshock. À la suite de la découverte de la vulnérabilité CVE-2014-6271, d'autres du même type ont été mises en lumière.

Le chercheur en sécurité a également rapporté que le portail Lycos et le site de WinZip avaient subi une attaque Shellshock. WinZip a fait savoir que les données des utilisateurs n'ont pas été compromises et qu'un patch allait être appliqué.

> Accéder aux commentaires

Un député s'inquiète des capacités de chiffrement des iPhone

| 07/10/2014 | 15:15 |  

Les capacités de chiffrement d'iOS 8 et les critiques qu'elles nourrissent au sein du gouvernement américain font un détour par l'Assemblée Nationale. Le député Damien Meslot (UMP, Territoire de Belfort), a inscrit une question sur le sujet au Ministre de l'Intérieur.

Damien Meslot, député UMP

Damien Meslot est membre de la commission de la défense nationale et des forces armées. Il s'inquiète des « risques d'entraves à la réalisation d'enquêtes de police visant à lutter contre la criminalité, suite à la mise en place par Apple d'une sécurité renforcée sur ses nouveaux iPhones 6 et 6 Plus ». On parlera plutôt de dispositifs propres à iOS 8 que spécifiquement aux iPhone 6, mais passons.

Dans la suite de sa question il reprend les arguments développés ces dernières semaines par le ministre américain de la Justice et par le directeur du FBI ou par le patron de la Police de Chicago qui avait relevé le débat en associant tout simplement iPhone 6 et pédophilie.

Tous soulignaient qu'à vouloir protéger le plus possible les données de leurs utilisateurs, Apple et Google avaient fait un excès de zèle et allaient rendre le travail des forces de polices plus ardu pour prélever des indices et renseignements. Le député veut donc savoir ce que le ministre Bernard Cazeneuve entend faire pour « empêcher que soit rendue plus difficile sinon impossible la lutte contre la criminalité passant par l'utilisation des nouveaux iPhones 6 et 6 Plus ».

Le texte complet de la question est le suivant. Une réponse devrait être donnée normalement en séance, cet après-midi ou demain.

M. Damien Meslot interroge M. le ministre de l'intérieur sur les risques d'entraves à la réalisation d'enquêtes de police visant à lutter contre la criminalité, suite à la mise en place par Apple d'une sécurité renforcée sur ses nouveaux iPhones 6 et 6 Plus. En effet, le directeur de la police de Chicago s'est sérieusement inquiété de la mise en place par le géant californien d'un degré de sécurité qui empêche même la marque à la pomme d'outrepasser le mot de passe des utilisateurs ou d'accéder à leurs données.

En cela, il est rejoint par le Bureau fédéral d'investigations (FBI), l'Agence centrale du renseignement américain (CIA) ou encore l'Agence nationale de la sécurité étasunienne (NSA). Le directeur du FBI a estimé que ces nouvelles règles de sécurité entraîneron...

> Lire la suite et accéder aux commentaires

La méchante faille BadUSB rendue publique

| 06/10/2014 | 15:36 |  

Au cœur de l'été, deux chercheurs ont mis en lumière une faille critique dans le protocole USB qui permet à un disque dur externe ou une clé USB de prendre totalement le contrôle d'un ordinateur grâce à un firmware modifié. Les chercheurs s'étaient toutefois bien gardés de donner des détails sur BadUSB, le surnom de cette faille, estimant qu'il serait trop dangereux que tout un chacun puisse transformer sa clé USB en véritable espion.

Deux autres chercheurs ont fait sauter la digue. Après un travail de rétro-ingénierie, Adam Caudill et Brandon Wilson ont identifié la faille et publié sur GitHub toutes les informations pour l'exploiter. Une manière de mettre un gros coup de pied aux fesses aux fabricants pour qu'ils colmatent le protocole USB.

Photo quiroso CC BY

« Si les seules personnes qui [peuvent exploiter la faille] sont celles qui ont de gros budgets (une allusion aux agences de renseignement, ndlr), les fabricants ne vont jamais rien faire », ont fait valoir les chercheurs à Wired.

Lors d'une démo, Caudill et Wilson ont montré une clé USB capable d'enregistrer toutes les frappes du clavier. Même en effaçant tout le contenu de la clé USB, le firmware malicieux reste actif. « Il y a un équilibre précaire entre montrer que quelque chose est possible et le rendre facilement réalisable par n'importe qui », note Caudill.

Plus que jamais, il faudra se méfier avant de brancher une clé USB à son ordinateur. Un correctif demanderait une mise à jour complète du protocole, ce qui ne se fait pas en un claquement de doigts.

> Accéder aux commentaires

Apple met à jour Xprotect contre le malware iWorm

| 05/10/2014 | 10:00 |  

Apple est en train de mettre à jour Xprotect, l'anti-malware intégré à OS X. Le fichier qui contient la liste des définitions de ces parasites contient une référence à iWorm, le nom du dernier malware en date, détecté au début du mois par Dr.Web (lire Un malware affecterait 17 000 Mac).

Xprotect est logé dans le dossier système, on peut en consulter le contenu avec la commande de Terminal suivante :

more /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist

Si cette référence n'y figure pas encore, il faudra attendre que Xprotect soit mis à jour par le système. La procédure est automatique, sans intervention de l'utilisateur.

> Accéder aux commentaires

Shellshock : c'est grave docteur ?

| 03/10/2014 | 23:22 |  

Il y a une semaine et demie, une faille critique était découverte dans le shell Bash, un utilitaire intégré à la plupart des systèmes UNIX, dont OS X. Une vulnérabilité particulièrement importante puisqu'elle permet à un malandrin d'exécuter des commandes à distance sur la machine ciblée. Apple a rapidement distribué un correctif pour Lion, Mountain Lion et Mavericks, mais l'affaire n'est pas finie pour autant.

D'une part, tous les produits vulnérables n'ont pas été patchés, loin de là. C'est le cas des Mac n'étant pas compatibles avec OS X 10.7 ou ultérieur. Apple a assuré que ses systèmes « sont sécurisés par défaut et ne sont exposés à des attaques à distance que si les utilisateurs configurent les services UNIX avancés. » Autrement dit, les systèmes antérieurs à Lion dont les services UNIX ont été modifiés doivent être patchés à la main par les utilisateurs.

Et puis il y a la myriade d'autres produits qui intègrent Bash. Cisco, Oracle, RedHat et compagnie n'ont pas tardé à publier leur correctif, mais il y a immanquablement des machines qui ne seront jamais mises à jour pour diverses raisons.

Le 30 septembre, soit six jours après la découverte de la faille, le CDN CloudFlare avait bloqué 1,1 million d'attaques Shellshock. Plus de 80 % des attaques étaient des opérations de reconnaissance afin d'établir une liste de machines vulnérables. Cela donne une petite idée des assauts que sont en train de subir les serveurs web à travers le monde. Des serveurs qui ne sont pas tous protégés correctement.

D'autre part, on n'a pas fini d'entendre parler de Shellshock car ce n'est pas une faille qui touche Bash, mais plusieurs. L'interpréteur de commandes a logiquement été passé au crible après la découverte de la vulnérabilité CVE-2014-6271 et d'autres failles ont été pointées du doigt (CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187 et CVE-2014-7169). Elles ne sont pas toutes aussi critiques q...

> Lire la suite et accéder aux commentaires

Eric Schmidt : Google bien mieux sécurisé qu'Apple

| 02/10/2014 | 22:10 |  

Il n'a pas échappé à Eric Schmidt, président de Google, que Tim Cook a mis au point un axe de communication potentiellement ravageur pour le moteur de recherche. Le CEO d'Apple a comparé le modèle économique d'Apple — la vente de biens et de services — à celui de Google — qui vend les données de ses utilisateurs sans nécessairement faire grand cas de leur vie privée (lire : Tim Cook : Apple ne vend pas les données de ses utilisateurs). Dans un contexte très sensible marqué par la fuite de photos intimes de vedettes et les écoutes indiscrètes d'organismes de sécurité gouvernementaux, l'argument selon lequel « Si c'est gratuit, c'est vous le produit » peut effectivement porter. Et tous les services de Google gravitent autour de leur gratuité.

Eric Schmidt, en pleine tournée promotionnelle pour vanter son dernier livre How Google Works, a déjà eu l'occasion de croiser le fer avec Tim Cook par plateaux de télé interposés (lire : Eric Schmidt : « La bataille entre Apple et Google profite aux clients »). Il en a remis une couche pour CNNMoney, en assurant cette fois que Google « a toujours été le leader en matière de sécurité et de chiffrement. Nos systèmes sont bien plus sécurisés et chiffrés que n'importe qui, y compris Apple. Ils sont en train de rattraper [leur retard], et c'est très bien ».

Le président de Google explique également que les utilisateurs des services du moteur de recherche ont la possibilité de modifier leurs préférences et… de partager moins. Transmis au réseau social Google+… Concernant les attaques de Tim Cook, Schmidt réplique : « On ne l'a pas renseigné correctement sur les politiques de Google. C'est malheureux pour lui ».

Les deux entreprises se sont lancées dans une course à l'échalote pour savoir qui protègerait m...

> Lire la suite et accéder aux commentaires

Un malware affecterait 17 000 Mac

| 02/10/2014 | 12:24 |  

Un logiciel malveillant aurait contaminé environ 17 000 Mac. Selon l'éditeur d'applications de sécurité Dr.Web qui est à l'origine de la découverte, Mac.BackDoor.iWorm crée une porte dérobée qui permet ensuite de prendre le contrôle de la machine à distance. Ce type de malware sert notamment à faire des ordinateurs infectés des botnets (ou machines zombies) utilisés pour mener des campagnes de spam ou des attaques DDoS.

Carte des Mac infectés par Mac.BackDoor.iWorm d'après Dr.Web

Dr.Web indique que le logiciel se décompresse dans le dossier /Library/Application Support/JavaW — si ce dossier n'est pas présent dans votre ordinateur, vous n'êtes donc pas touché. Puis le malware crée un fichier plist, se déguise en application com.JavaW et fait en sorte de se lancer au démarrage de la machine. Il va ensuite chercher sur le site communautaire Reddit la liste des serveurs auxquels il doit se connecter. Le forum en question et son utilisateur ont depuis été bannis. Sauf si le malware est capable de chercher ailleurs que sur Reddit, la menace est donc écartée.

XProtect, la liste de références de logiciels malveillants d'OS X, n'a semble-t-il pas encore été mise à jour pour prendre en compte Mac.BackDoor.iWorm. Le chemin d'accès à la liste est le suivant :

/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist

> Accéder aux commentaires

Pages