Fermer le menu
Crucial

sécurité

Flash 15 corrigé pour une faille importante

| 25/11/2014 | 19:15 |  

Adobe a de nouveau mis à jour Flash [15.0.0.239] pour combler une faille qualifiée de particulièrement importante, mais dont aucune exploitation malveillante n'a été détectée. Il s'agit de parfaire une correction qui avait été apportée en octobre dernier et qui s'est révélée par la suite incomplète.

Cette révision est distribuée en dehors du cycle habituel des mises à jour. La précédente date du 11 novembre, la faille était plus préoccupante encore et vendredi dernier Apple avait forcé les utilisateurs à mettre à jour le plug-in installé dans Safari. Il n'est pas impossible que l'invitation se manifeste à nouveau ces prochains jours dans le navigateur.

> Accéder aux commentaires

L'iPhone tue des enfants

| 20/11/2014 | 12:00 |  

Les fonctions de chiffrement mises en place par Apple et Google pour protéger les données confidentielles de leurs utilisateurs sont de véritables casse-tête pour les officines en charge de la surveillance des activités délictueuses. Aux États-Unis, James Cormey, le directeur du FBI, a dit tout le mal qu'il pensait de ces initiatives… qui sont une des conséquences des révélations d'Edward Snowden sur le peu de considération de ces mêmes agences de sécurité concernant le respect de la vie privée des citoyens. Un retour de balancier difficile à encaisser pour les autorités, qui multiplient les mises en garde avec de gros sabots.

Le QG de la NSA.

James Cole, procureur général en second (le bras droit de l'équivalent du ministre de la Justice des États-Unis), n'y est pas allé avec le dos de la cuillère lors d'une rencontre avec Bruce Sewell, vice-président en charge du département juridique d'Apple, et d'autres responsables le 1er octobre dernier. Après avoir lu une partie de l'engagement d'Apple sur la confidentialité selon lequel le constructeur ne peut accéder aux données stockées sur des terminaux sous iOS 8, Cole a affirmé sans rire que cela provoquera un jour la mort d'un enfant.

Le sous-ministre s'attend au pire des drames si la police ne peut plus utiliser les informations présentes dans un iPhone pour sauver un enfant ou arrêter un criminel, d'après le compte-rendu du Wall Street Journal. Bruce Sewell n'a pas manqué de pointer l'inexactitude de la déclaration de Cole, en rappelant que les policiers conservent à leur disposition des outils pour débusquer les criminels, comme les enregistrements téléphoniques que les opérateurs peuvent retracer; d'autres informations provenant d'iCloud ou d'autres services de stockage sont également accessibles car elles ne sont pas soumises au même niveau de chiffrement.

Et c'est sans compter l'imagination sans bornes des autorités : le ministère de la Justice américain a ainsi fait planer des « avions espion » se faisant passer pour des antennes cellulaires afin de récupérer des informations en toute discrétion. Lorsqu'il a été demandé à Apple la raison pour laquelle il était impossible de créer une porte dérobée qui permettrait à la justice de récupérer des données, Bruce Sewell a expliqué que le constructeur était dans l'impossibilité de « créer une clé que seuls les "good guys" pourraient utiliser ». Apple et le Department of Justice vont continuer à discuter de ces problème...

> Lire la suite et accéder aux commentaires

Home Depot remplace des PC par des Mac après une attaque

| 12/11/2014 | 09:30 |  

Home Depot, une chaîne américaine de magasins de bricolage et d'aménagement intérieur, a été victime d'une attaque informatique de grande ampleur au cours des derniers mois. 56 millions de cartes de crédit et 53 millions d'adresses emails ont été compromises.

Les attaquants sont entrés dans le système de Home Depot grâce aux données de connexion d'un vendeur externe, puis ont franchi les barrières de sécurité en exploitant une faille de Windows. Microsoft a publié un patch après la découverte de la faille, mais trop tard pour stopper l'hémorragie.

Le Wall Street Journal rapporte qu'à la suite de cette mésaventure, un employé chargé du service informatique a acheté une vingtaine de MacBook et d'iPhone pour les cadres de l'entreprise, qui parlent de leurs nouveaux appareils comme des « Batphones » (une référence au téléphone rouge de Batman). Si cette mesure permettra peut-être de mieux assurer la sécurité des données des dirigeants, elle ne suffira pas pour régler le problème de conception de l'architecture du système qui a été sous-estimé.

> Accéder aux commentaires

Un hacker dit avoir trouvé une grosse faille dans OS X Yosemite

| 03/11/2014 | 11:00 |  

Rootpipe, c'est le nom donné à une vulnérabilité qui aurait été découverte dans OS X Yosemite. Selon Emil Kvarnhammar, le chercheur en sécurité à l'origine de la découverte, la vulnérabilité permet à un attaquant de prendre le plein contrôle de l'ordinateur sans connaître le mot de passe administrateur.

Le hacker ne donne pour l'instant aucun détail technique sur rootpipe. Il a expliqué à MacWorld qu'il avait convenu avec Apple de ne pas révéler d'informations avant janvier, le temps que Cupertino comble la faille. La vulnérabilité concernerait aussi Mountain Lion et Mavericks.

En attendant, Kvarnhammar donne une recommandation de base pour se protéger de rootpipe si une personne malveillante venait à la deviner : ne pas utiliser au quotidien une session administrateur, qui a tous les droits sur le système. Pour créer un autre compte, ouvrez le panneau Utilisateurs et groupes des Préférences Systèmes. Le type de compte le plus approprié si vous voulez utiliser votre Mac sans trop de limitations (installation d'applications, modification de préférences...) est le compte Standard.

> Accéder aux commentaires

Piratage d'iCloud : Tim Cook rencontre un officiel chinois

| 22/10/2014 | 14:09 |  

Le CEO d'Apple a discuté de la protection des données des utilisateurs avec un des vice-premiers ministres de Chine. La rencontre entre Tim Cook et Ma Kai a eu lieu aujourd'hui à Pékin, au siège du gouvernement central chinois, rapporte l'agence Xinhua.

Un site iCloud contrefait destiné à subtiliser les données de connexion des utilisateurs Apple.

Cette entrevue intervient alors que les utilisateurs d'iCloud sont visés dans le pays par une attaque de grande ampleur visant à subtiliser leur identifiant et leur mot de passe, pour ensuite avoir accès à toutes leurs données.

Apple, qui ne peut rien faire directement contre les autorités chinoises soupçonnées d'être derrière cette opération de piratage, a publié une fiche technique qui explique comment se protéger contre les tentatives de phishing.

Xinhua ne donne pas d'autre information sur la teneur des propos de Cook et Kai, si ce n'est qu'ils ont aussi « échangé leurs points de vue sur le renforcement de la coopération dans les domaines de l'information et de la communication. »

> Accéder aux commentaires

Les utilisateurs d'iCloud dans la ligne de mire de la Chine

| 20/10/2014 | 15:37 |  

La Chine continue de souffler le chaud et le froid sur Apple. Alors que l'iPhone 6 y a été lancé avec un certain succès (pour les précommandes, du moins), les autorités chinoises ont semble t-il décidé de s'attaquer aux utilisateurs d'iCloud via une attaque de type « homme du milieu » positionné au niveau du Great Firewall (alias projet bouclier doré), cette muraille virtuelle qui permet aux officines officielles de surveiller les internautes du pays. Le portail web iCloud auquel les utilisateurs du bouquet de services web d'Apple croient se connecter est actuellement un leurre : si ces derniers s'y connectent, ils donnent aux pirates les clés de leur vie numérique : identifiant et mot de passe évidemment, mais aussi toutes les données stockées dans le nuage de la Pomme.

Les internautes surfant avec Chrome ou Firefox sont d'abord servis par un message d'erreur (ci-dessus) alertant de la dangerosité du site sur lequel ils essaient de se rendre. S'ils ignorent le message, ils risquent de compromettre leurs informations confidentielles stockées sur iCloud. Les utilisateurs de Qihoo, le navigateur le plus populaire en Chine, accèdent directement au site bidon, sans passer par la case « alerte ». Pour contourner le problème, il est toujours possible d'en passer par un VPN (du moins ceux qui ne sont pas bloqués par le Great Firewall), ou d'emprunter une autre adresse IP pour iCloud (l'attaque en question ne concerne qu'une seule adresse IP). Apple n'est pas le seul éditeur de services web à souffrir de cette attaque : Microsoft, avec live.com, est également dans le collimateur.

Plusieurs explications sont avancées pour expliquer les agissements de ceux qui se trouvent derrière cette attaque, et qui sont probablement les autorités du pays. Il peut s'agir d'empêcher la circulation de photos et de documents en lien avec les événements qui secouent actuellement la rebelle Hong Kong. Cela peut aussi être une réplique au chiffrage intégral des données d'iOS 8, qui empêche quiconque de récupérer discrètement des données personnelles — une initiative suivie par Google, et qui pose de sérieux soucis aux représentants américains des agences de sécurité (lire :...

> Lire la suite et accéder aux commentaires

Des correctifs en cours pour la faille de sécurité SSLv3

| 15/10/2014 | 13:00 |  

Une équipe de Google a mis en lumière une faille de sécurité dans le protocole SSL utilisé pour chiffrer les échanges de données entre un navigateur et un site web. Mise en oeuvre, elle permet à un malandrin de se faire passer pour sa victime et d'accéder à des données privées sur un service tel qu'un webmail ou le serveur d'une banque.

Ce nouvel angle d'attaque a été baptisé POODLE pour Padding Oracle On Downgraded Legacy Encryption. Il utilise une ancienne version 3 du protocole SSL, sortie il y a 18 ans, qui assure le chiffrement d'une transaction. Une autre méthode plus robuste et plus répandue existe néanmoins : TLS 1.0.

Cependant des sites web utilisent toujours SSLv3 pour assurer une compatibilité avec Internet Explorer 6 dans Windows XP. Surtout la technique sait simuler un problème de connexion et forcer un navigateur à basculer de TLS à SSLv3.

Le principe ensuite de cette attaque est de s'intercaler entre l'internaute et son site web de destination au moyen par exemple d'un hotspot Wi-Fi monté de toute pièce. L'attaquant va alors tenter de reconstruire le cookie d'identification utilisé pour l'authentification auprès du site. Ars Technica, qui détaille la méthode, décrit un procédé qui exige de la patience et des essais répétés pour réussir à obtenir toutes les pièces de ce puzzle.

Mais une fois le cookie reconstitué dans son intégralité, le hacker peut se faire passer pour sa victime et profiter du fait que SSL 3 effectue moins de contrôles d'identité que TLS 1.0.

Côté administrateurs de sites web, la consigne est d'abandonner SSLv3, lequel est utilisé de façon marginale aujourd'hui. Même chose pour les navigateurs Web, Mozilla va le faire pour Firefox 34 prévu le 25 novembre (la 33 actuelle est toutefois immunisée). Dans Internet Explorer 11 cela peut être fait manuellement dans les réglages avancés. Chez Google il est prévu de modifier Chrome de manière à ce qu'il ne puisse plus faire cette bascule entre les protocoles, quitte à être incompatible avec certains sites qui devront être mis à jour. Une parade est documentée pour la version Windows de Chrome mais elle implique, pour être efficace, d'ouvrir le navigateur depuis un raccourci sur le bureau et non par un lien externe. Reste enfin le cas de Safari qui devra être mis à jour puisqu'il est déclaré comme vulnérable.

> Accéder aux commentaires

Mises à jour de sécurité pour Office 2011, Flash et Java

| 15/10/2014 | 07:00 |  

Microsoft a corrigé sa suite Office 2011 avec une version 14.4.5 qui s'occupe uniquement de failles de sécurité sur tous les logiciels [121 Mo]. On peut aussi la récupérer directement depuis l'une des applications de la suite.

Adobe fournit une énième révision pour des failles qualifiées d'importantes dans Flash. Elle passera le module en version 15.0.0.189 [1,2 Mo]. Enfin, Oracle y va également de ses correctifs de sécurité pour Java 8 sur toutes les plateformes, avec une version u25 [59 Mo].

> Accéder aux commentaires

iCloud : les clients mail ont du mal avec l’identification en deux étapes

| 08/10/2014 | 12:27 |  

Depuis le premier octobre, les utilisateurs d’un compte mail iCloud qui ont activé l’authentification en deux étapes doivent faire une étape supplémentaire pour accéder à leurs mails dans un client tiers. S’ils ne veulent pas utiliser le client livré avec leur Mac ou appareil iOS, ils doivent désormais générer un mot de passe spécifique à chaque application.

C’est un principe déjà connu des utilisateurs de Gmail avec l’authentification en deux étapes et c’est une mesure de sécurité assez logique. En cas de problème, vous pouvez couper l’accès des clients tiers en désactivant son mot de passe, et ainsi limiter la casse. Mais cette fonction pose quelques problèmes à certains clients tiers qui ne prennent pas en compte cette nouvelle exigence d’iCloud.

Sur Mac, Airmail [1.4.1 – Français – 8,99 € – OS X 10.7 - Bloop S.R.L.] a été justement mis à jour ce matin pour cette raison. En théorie, si vous avez activé l’identification en deux étapes, vous devez générer un mot de passe spécifique au logiciel en vous connectant à cette adresse, puis en allant dans la section « Mot de passe et sécurité ». Nous avions déjà consacré un article à cette fonction, avec toutes les explications et les détails techniques : iCloud : l'identification en 2 étapes obligatoire pour les logiciels tiers.

Dans les faits, on peut encore se connecter avec le mot de passe de base de son compte iCloud et Airmail fonctionne parfaitement. Est-ce qu’Apple a retardé l’exigence du mot de passe spécifique au client mail ? Quoi qu’il en soit, si vous utilisiez ce logiciel, vous pouvez continuer à le faire sans problèmes. La situation est légèrement différente pour Sparrow [1.6.4 – Français – 8,99 € - Sparrow by Google], le client mail acheté et abandonné par Google, mais qui fonctionne encore. Que vous ayez activé la vérification en deux étapes ou non, vous devez utiliser le mot de passe de votre compte, les mots de passe générés pour une application ne sont pas acceptés.

Pour les autres clients mail, cela dépend vraiment des cas. MailMate, par exemple, n’accepte ni le mot de passe de base du compte, ni un mot de passe généré. Même scénario pour...

> Lire la suite et accéder aux commentaires

Yahoo sous le Shellshock

| 07/10/2014 | 16:30 |  

D'après un chercheur en sécurité, Yahoo a été victime d'une attaque exploitant Shellshock, une faille critique récemment découverte dans l'interpréteur de commandes Bash. Selon Jonathan Hall, des malandrins ont pu infiltrer les serveurs de Yahoo Sport.

Photo Yahoo CC BY

Le portail web a confirmé dans un premier temps à CNET qu'une poignée de ses serveurs avaient été hackés par l'intermédiaire de la faille de Bash, puis s'est rétracté. Alex Stamos, responsable de la sécurité des systèmes d'information de Yahoo, a indiqué après coup que les serveurs en question n'étaient pas vulnérables à Shellshock. Stamos indique que l'intrusion a pu être menée en tirant parti d'une autre faille. Et d'indiquer que les données des utilisateurs n'ont a priori pas été subtilisées.

Pour sa part, Jonathan Hall soutient toujours que l'attaque a été perpétrée avec la faille de Bash. D'après lui, il pouvait s'agir d'une variante de Shellshock. À la suite de la découverte de la vulnérabilité CVE-2014-6271, d'autres du même type ont été mises en lumière.

Le chercheur en sécurité a également rapporté que le portail Lycos et le site de WinZip avaient subi une attaque Shellshock. WinZip a fait savoir que les données des utilisateurs n'ont pas été compromises et qu'un patch allait être appliqué.

> Accéder aux commentaires

Pages