background preloader

Sécurité et failles informatique

Facebook Twitter

Une faille informatique a menacé des milliers de centres de données dans le monde. Baptisé «VENOM», un bug permettait à des pirates de pénétrer au sein de serveurs et de prendre contrôle des systèmes qui y sont hébergés, appartenant notamment à des entreprises.

Une faille informatique a menacé des milliers de centres de données dans le monde

Elle s'appelle CVE-2015-3456, ou plus simplement «VENOM» («venin» en français). L'entreprise américaine de cybersécurité Crowdstrike a dévoilé mercredi une grave faille qui a potentiellement mis en danger des milliers de systèmes informatiques d'entreprises dans le monde. VENOM touche plus particulièrement le logiciel libre (QEMU) utilisé pour concevoir des machines virtuelles. Ces dernières sont utilisées au sein de centre de données afin d'héberger au sein d'un même ordinateur plusieurs systèmes d'exploitation, par exemple appartenant à deux entreprises différentes. En principe, les logiciels de virtualisation permettent de protéger les données de tous les systèmes dans un même serveur. D'après Crowdstrike, VENOM existe depuis 2004. Lire-la-campagne-d-un-annonceur-de-google-detournee-par-des-pirates-le-monde-informatique-60793.

Les chercheurs de Fox-IT ont détecté d'importantes tentatives d'infection.

lire-la-campagne-d-un-annonceur-de-google-detournee-par-des-pirates-le-monde-informatique-60793

Des chercheurs en sécurité de la société néerlandaise Fox-IT ont repéré une campagne malveillante quand les annonces diffusées par Engage Lab, un partenaire de Google en Bulgarie, ont commencé à rediriger les utilisateurs vers le Nuclear Exploit Kit. Les kits d’exploit sont des plates-formes d’attaques basées sur le web dont l’objectif est d’exploiter les vulnérabilités des navigateurs et de leurs plug-ins pour infecter les ordinateurs des utilisateurs avec des malwares. Ces redirections ont été stoppées tard dans la journée, ce qui montre que Google ou Engage Lab ont pris certaines mesures.

OpenSSL corrige une sérieuse faille DDoS, plus 11 autres vulnérabilités. Les failles corrigées avec ce patch sont moins importantes que celle découverte avec Freak.

OpenSSL corrige une sérieuse faille DDoS, plus 11 autres vulnérabilités

Tout le monde attendait un correctif pour la mystérieuse faille OpenSSL dont la sévérité était jugée élevée. Et même si finalement celle-ci n'est pas comparable à Heartbleed, elle reste sérieuse et l'OpenSSL Project conseille aux utilisateurs de faire la mise à jour. Plus tôt cette semaine, l’OpenSSL Project avait prévenu les utilisateurs que les correctifs publiés jeudi répareraient plusieurs failles de sécurité, dont l'une jugée très sérieuse. Cette annonce avait donné lieu à plusieurs spéculations, certaines personnes imaginant même le pire : que cette nouvelle vulnérabilité ait un impact aussi dramatique que la faille Heartbleed dévoilée en avril dernier, qui avait affecté les serveurs Web, le logiciel client, les apps mobiles et même les appliances matérielles.

Protection des données cloud : Microsoft adopte la norme ISO 27018. Microsoft a adopté la norme ISO 27018 pour améliorer la protection des données cloud.

Protection des données cloud : Microsoft adopte la norme ISO 27018

(crédit : D.R.) En adoptant la dernière norme ISO en matière de sécurité et de confidentialité des données à caractère personnel dans le cloud, Microsoft cherche à rassurer les entreprises et les utilisateurs mais aussi à se distinguer de ses concurrents. Les solutions Azure, Offices 365 et Dynamics CRM sont concernées. S'il y a bien un domaine dans lequel les opérateurs cloud s'entendent tous, c'est bien celui lié à la protection des données personnelles. Google chiffre les publicités avec HTTPS. Les annonceurs utilisant l’une des plateformes d’achat de publicité de Google, dont AdWords et DoubleClick, pourront servir des bandeaux chiffrés vers tous les espaces supportant HTTPS.

Google chiffre les publicités avec HTTPS

(crédit : D.R.) Pour renforcer la sécurité sur le web, Google va chiffrer la plupart des publicités qu'il sert sur les sites web. Il espère que ses efforts vont encourager davantage de sites web à déployer HTTPS. Mais cette évolution ne résoudra pas tout et ne fera pas disparaître les publicités malveillantes. Hausse de 113% des attaques par ransomware en 2014. En 2014, 24 vulnérabilités zero-day ont été détectées par Symantec.

Hausse de 113% des attaques par ransomware en 2014

(crédit : D.R.) La dernière édition de l'Internet Security Threat Report de Symantec montre une recrudescence des attaques de pirates par le biais de ransomware mais également de sa variante, crypto locker, qui a fait 45 fois plus de victimes qu'en 2013. Symantec estime qu'à l'heure actuelle, la question n'est plus de savoir si vous allez être attaqué, mais quand.

La dernière version de son Internet Security Threat Report met en avant les nouvelles techniques des cyberpirates, comme le précise Kevin Haley, Directeur de Symantec Security Response: « Les attaquants n'ont pas besoin de forcer la porte du réseau d'une entreprise si la clé est déjà à portée de main. TunnelBear lance un microVPN pour Chrome. Un hacker pirate le vol d'un avion depuis un siège passager. L’affaire du tweet de Chris Roberts sur United Airlines prend une tournure plus polémique et plus inquiétante.

Un hacker pirate le vol d'un avion depuis un siège passager

Pour rappel, l’expert en sécurité avait envoyé lors d’un vol un tweet en expliquant qu’il allait provoquer la chute des masques à oxygène, via le piratage du système de divertissement de l’appareil. Une blague selon Chris Roberts. Cette dernière n’a évidemment pas été du goût des agents fédéraux qui l’attendaient à son arrivée et lui ont soustrait son ordinateur et ses différents équipements (disque durs, clés USB, etc). Le feuilleton aurait pu s’arrêter là, mais un document officiel sur l’enquête a fuité et a été publié par la presse canadienne. Il montre que le FBI et l’expert se sont déjà entretenus avant l’affaire sur les questions de sécurité aérienne. Thales piraté comme les autres. Apple Pay, nouvel eldorado des escrocs. Lancé en octobre 2014, le service de paiement Apple Pay a été utilisé par des escrocs pour acheter des produits de valeur dans des boutiques aux Etats-Unis.

Apple Pay, nouvel eldorado des escrocs

(crédit : D.R.) Aux Etats-Unis, des escrocs ont abusé du système de paiement mobile Apple Pay en chargeant des données bancaires volées dans des iPhone 6 pour acheter des produits dans des magasins, notamment les boutiques de la firme de Cupertino. Les banques réagissent en mettant en place une batterie de contre-mesures. Face aux escrocs de l'Apple Pay, les banques réagissent. Apple avait tout fait pour assurer la sécurité de son système de paiement Pay, lancé à l'automne dernier aux Etats-Unis.

Cisco ASA Firepower, des pare-feux pour PME centrés sur la menace. Le firewall ASA Firepower 5506H-X a été conçu pour protéger les machines industrielles des menaces extérieures.

Cisco ASA Firepower, des pare-feux pour PME centrés sur la menace

(crédit : D.R.) Le marché de la sécurité des TPE et des PME est aujourd'hui convoité par tous les équipementiers qui rivalisent d'ingéniosité pour leur proposer des pare-feux de nouvelle génération embarquant un maximum de logiciels. Cisco vient de dévoiler ses ASA Firepower pour sécuriser de 12 à 100 postes de travail. Pour répondre aux besoins des TPE et des PME confrontées à une augmentation continue des cyberattaques (+64 % en 2014 selon une étude PwC), Cisco étoffe sa gamme de firewalls avec les modèles 5500 ASA Firepower, la technologie issue du rachat de Sourcefire en 2013. Les backdoors d'iOS pointés par un chercheur en sécurité. Le mouchard présent dans iOS envoie une grande quantité d'information aux serveurs d'Apple.

Les backdoors d'iOS pointés par un chercheur en sécurité

(crédit : LMI) A l'occasion de la conférence Hackers On Planet Earth (HOPE/X), Jonathan Zdziarski, expert en sécurité, a pointé les backdoors présents dans iOS qui pourrait faciliter le travail de la NSA. Le système d'exploitation d'Apple n'est pas épargné par les failles de sécurité exploitables par les hackers et les agences gouvernementales.

Jonathan Zdziarski, un expert en sécurité et hacker à ses heures, explique ainsi sur son blog qu'iOS était une véritable passoire avec de nombreux backdoors exploitables par n'importe qui. Le chercheur n'accuse pas Apple de faciliter le travail de la NSA, mais la présence de failles non corrigées l'inquiète au plus haut point. « Je n'ai pas accusé Apple de travailler avec la NSA, mais je soupçonne (sur la base de documents publiés) que certains de ces services peuvent avoir été utilisés par la NSA pour recueillir des données sur les cibles potentielles. Cette faille de sécurité qui menace les clients d'Apple. Un chercheur en sécurité informatique a découvert un nouveau moyen d'exploiter une faille de sécurité sur les Mac qu'Apple disait avoir corrigée. Qu'il est loin le temps où Apple pouvait affirmer que ses Mac étaient à l'abri des virus.

Il y a deux semaines, l'entreprise mettait en ligne une mise à jour de son système d'exploitation OS X Yosemite, censée corriger une faille de sécurité qui permettait à des hackers de prendre le contrôle de n'importe quel Mac. Un chercheur en sécurité informatique, Patrick Wardle, a pourtant découvert un nouveau moyen d'utiliser la faille, même après la mise à jour. Patrick Wardle explique que la correction apportée par Apple «semble raisonnable». YouTube a échappé à une faille qui aurait pu le vider de toutes ses vidéos. Loi renseignement : "une menace réelle" selon la fondation Mozilla. Failles dans le protocole NTP, Mac OS X n’est pas le seul affecté... BitTorrent lance l'application de chat anonyme Bleep. L'Assemblée nationale adopte la loi sur le renseignement.

L'Hémicycle a massivement voté pour le projet de loi sur le renseignement en cet après-midi 5 mai 2015. Le texte va passer devant le Sénat. (crédit : D.R.) Les députés ont très largement voté en faveur du projet de loi relatif au renseignement, cet après-midi 5 mai au Palais Bourbon, avec 438 voix pour, 86 contre et 42 abstentions. En fin d'après-midi, l’Assemblée nationale s’est massivement prononcée en faveur du projet de loi relatif au renseignement, qui a suscité de vifs débats ces dernières semaines en raison de son caractère liberticide (cf « 2015, la France rattrapée par Big Brother Cazeneuve »).

Dans l’Hémicycle, 438 députés ont voté pour ce 5 mai 2015, tandis que 86 se sont exprimés contre et que 42 se sont abstenus (analyse du scrutin).