:: NORMAN :: Antivirus | Firewall

Accueil

Actualités

Produits & services

Virus & sécurité

Support

Téléchargement

Partenaire

Acheter

Choix du pays

Choix du produit

Virus & sécurité » Sécurité : Information » 2006 » The 2006 Security Event Overview (III)

The 2006 Security Event Overview (III)

Ajouter à mes favoris Norman

Informations sur la sécurité - Semaine 42, 2006

Woman shade

Juillet 2006

3 juillet : les inconvénients de Windows Genuine Advantage

Le programme Windows Genuine Advantage (WGA) constitue l’initiative anti-piratage de Microsoft. Les programmeurs de nuisances ont écrit un bot (robot) qui se propage sur la messagerie instantanée sous le nom de WGA dès qu’il a été su que WGA contacterait Microsoft pour reporter les identificateurs matériels et logiciels des systèmes sur lesquels Windows est installé. Ce bot se présente comme étant un nouveau service de pilote système appelé « WGAVN » et s’affiche comme étant une « Notification de validation de Windows Genuine Advantage ». Ensuite, il s’assure d’être exécuté à chaque démarrage de Windows sur l’ordinateur. Les utilisateurs qui tentent de le supprimer sont informés que son éradication provoquera une instabilité du système. Cette affirmation est fausse. Lors de l’installation, le robot désactive, entre autres, le pare-feu de Windows et ouvre une porte dérobée permettant le contrôle total du système.

6 juillet : IDA Pro comme vecteur de propagation

Un virus preuve de concept, « Gattman », a été publié. Il vise l’outil de désassemblage Interactive Disassembler Pro (IDA Pro) de Data Rescue. Le langage de script d’IDA Pro est utilisé par le virus. Lors du chargement, ce dernier inspecte les fichiers IDC pour générer un fichier EXE infecté. Les chercheurs se transmettent parfois des scripts pour démontrer les aspects intéressants d’une nouvelle nuisance. La propagation de ce virus se limitera probablement aux seuls chercheurs. Il s’agit donc bien d’une preuve de concept.

7 juillet : un cheval de Troie destiné au Pharming

Un nouveau cheval de Troie, DNSChanger, a été découvert. Il est capable de « modifier » l’adresse IP. Ce n’est pas l’adresse IP du système de l’utilisateur qui est modifiée, mais il intercepte les connexions à des sites spécifiques et il les transforme pour les réorienter vers des sites adoptant l’aspect professionnel du site original. Ce type de technologie est de plus en plus souvent employé par les phishers. L’utilisateur pense être arrivé sur le bon site, l’URL entré étant correct. Il ne voit donc aucun inconvénient à entrer une nouvelle fois l’identifiant de connexion et le mot de passe.

11 juillet : Cinq nouvelles vulnérabilités critiques

Dans son bulletin de sécurité de juillet 2006, Microsoft reporte cinq nouvelles vulnérabilités critiques dans ses systèmes d’exploitation et applications, ainsi que deux vulnérabilités importantes. Critique est la classification de vulnérabilité la plus élevée de Microsoft.

Une brève description de ces faiblesses est disponible dans le bulletin de sécurité de Microsoft de juillet 2006. Cette page vous donne également accès aux informations détaillées des bulletins de sécurité Microsoft MS06-035 à MS06-039 (critique), ainsi que MS06-033 à MS06-034 (important).

11 juillet : La fin de Windows 98 et de Windows Me

Cette opération était déjà planifiée pour janvier 2004. Microsoft a, ce jour, officiellement mis un terme au support de Windows 98 et Windows Me. Dans les faits, cela signifie que les utilisateurs de ces systèmes d’exploitation ne recevront plus de mises à jour de sécurité de la part de Microsoft. Sans mise à jour fréquente, ils seront exposés aux attaques portant sur des failles non corrigées, qui sont actuellement les principales cibles sur Internet.

13 juillet : Jonction et ouverture au monde : Microsoft et Yahoo annoncent la prise en charge mutuelle de leurs MI

Microsoft et Yahoo ont annoncé qu’ils permettraient l’interopérabilité entre leurs systèmes de Messagerie Instantanée (MI) Windows Live Messenger (ex MSN) et Yahoo Messenger. Cela signifie qu’un nombre plus élevé de personnes pourront se contacter, même si elles sont sur des réseaux de MI différents. Cependant, cela implique également une croissance instantanée du vecteur de propagation des nuisances sur MI. Un logiciel bêta permettant l’interopérabilité est déjà disponible. Microsoft prévoit que d’autres relations de coopération de ce type verront le jour.

17 juillet : Une minuscule puce sans fil annoncée par HP

Entre 2 mm et 4 mm... C’est tout ce qu’il faut à un périphérique pour être équipé de 256 Ko et 4 Mo de mémoire ainsi que d’une antenne. Les lecteurs internes des périphériques intégrés peuvent émettre et recevoir des données à environ 10 Mbps. Selon HP, cette puce pourrait être « collée ou embarquée dans quasiment tous les objets ». Contrairement à RFID, dont la mémoire est ‘limitée’, cette technologie développée par HP permet de stocker des données transparentes sur des périphériques aisément transportables. Ceci est très pratiques dans certains secteurs d’industries : le fait de stocker l’intégralité du dossier médical sur la carte d’assurance maladie d’un patient peut lui sauver la vie en cas d’hospitalisation loin de son domicile. Mais cela peut également servir à localiser des personnes si un périphérique de ce type est implanté dans un passeport ou un permis de conduire.

19 juillet : Microsoft achète Winternals

L’année dernière, le co-fondateur de Winternals, Mark Russinovich, découvrait que Sony avait vendu des millions de CD embarquant un logiciel de type Rootkit. Winternals possède le très populaire site SysInternals, qui propose gratuitement plusieurs outils techniques. Aujourd’hui, Microsoft annonce l’achat de Winternals. Mark Russinovich dispose d’un blog qu’il continuera, pour le moment, à mettre à jour.

25 juillet : Microsoft censure les chats sur MSN Messenger

Microsoft accomplit une censure automatique en temps réel des communications MSN Messenger sur les serveurs MSN. Selon Microsoft, ceci est fait à titre de précaution contre les nuisances, les exploitations et les vers qui se répandent par le biais de MSN Messenger. Lorsqu’un nom de fichier ou un URL contient des expressions spécifiques, le message est bloqué.

Ceci provoque aussi certains problèmes. Le fait d’indiquer à un ami l’emplacement à partir duquel il pourra télécharger la dernière version d’un utilitaire sur http://www.utilities.com/download.php provoque un blocage du message, l’URL contenant l’expression « download.php ». Mais, si vous remplacez « download.php » par « %64ownloa%64.php », cela fonctionnera de nouveau (%64 == ‘d’). De même, il est courant d’employer des URL déroutés ou URL redirigés permettant le téléchargement de contenu nocif. Si l’expression « download.php » est comprise dans le texte du message, il est, là encore, bloqué .

Août

3 août : Le piratage VoIP démontré au Black Hat

Les experts en sécurité de SecureLogix et 3Com’s Tipping Point ont expliqué et démontré une série de piratages possibles et de défauts de VoIP. VoIP gagnant en popularité, principalement à cause de son faible coût et de sa simplicité d’emploi dans le monde entier, le nombre des attaques sur les réseaux VoIP va augmenter. Au cours de la présentation, 13 outils montrant les vulnérabilités de VoIP ont été dévoilés. Tous les systèmes visés par ces outils emploient le protocole d’initialisation de session (SIP). Presque tous les systèmes des fournisseurs prépondérants, tels que Cisco et Nortel abandonnent les protocoles prioritaires pour SIP, ce qui rend les attaques contre ce dernier fort probables.

8 août : Neuf nouvelles vulnérabilités critiques

Dans son bulletin de sécurité d’août 2006, Microsoft reporte au total neuf nouvelles vulnérabilités critiques dans ses systèmes d’exploitation / applications, ainsi que trois vulnérabilités importantes. Critique est la classification de vulnérabilité la plus élevée de Microsoft.

Une brève description de ces faiblesses est disponible dans le bulletin de sécurité de Microsoft d’août 2006.Cette page vous donne également accès aux informations détaillées des bulletins de sécurité Microsoft MS06-040 à MS06-044, MS06-046 à MS06-048 et MS06-051 (critique), ainsi que MS06-045, MS06-049 et MS06-050 (important). La vulnérabilité qui est potentiellement la plus sérieuse est celle qui est traitée dans MS06-040. Elle peut être exploitée sur Internet sans aucune ingérence de l’utilisateur.

11 août : Vol d’un ordinateur portable : 133 000 habitants de la Floride en danger

C’est encore arrivé : les données personnelles de 133 000 habitants de la Floride ont été perdues alors qu’elles figuraient, non codées, sur un système volé. Cette année, les citoyens américains ont déjà été confrontés à des vols d’identité similaires. Il a fallu deux semaines aux autorités pour informer le public de ces vols par l’envoi d’une lettre aux personnes affectées. Des professionnels du vol d’identité auraient pu utiliser instantanément les informations, ce qui aurait pu entraîner des dommages financiers considérables en deux semaines. Une récompense de 10 000 dollars est offerte pour le retour du système, mais, bien entendu, cela ne protègera pas les personnes dont les données figurent sur la machine. Elles peuvent tout simplement être copiées ; c’est pourquoi des mesures supplémentaires sont nécessaires.

15 août : Un correctif de Microsoft peut transformer Internet Explorer en fauteur de troubles

Depuis la mise à jour de sécurité de Microsoft distribuée ce mardi d’août, certains utilisateurs commencent à rencontrer des problèmes avec Internet Explorer. La cruelle défaillance se trouve dans la mise à jour critique de la vulnérabilité de MS06-042. Elle peut provoquer le blocage d’Internet Explorer lorsque l’utilisateur tente d’accéder à certains sites web. Ce problème étant plutôt épineux, Microsoft a planifié une nouvelle mise à jour pour le 22 août.

22 août : Et devinez ce qui s’est passé... Pas de correctif !

Microsoft a découvert qu’il n’est pas toujours aisé de corriger un problème. Quelques heures avant la seconde mise à jour MS06-42, il a été découvert que le nouveau correctif aurait, après la résolution du problème de blocage découlant du premier correctif, introduit une nouvelle vulnérabilité sérieuse sur certains systèmes Windows. Elle aurait permis à des personnes malveillantes de prendre le contrôle du système au cas où ce dernier fonctionnerait avec Internet Explorer 6, le Service Pack 1 et la toute nouvelle mise à jour de MS06-042.

29 août : Big Brother vous trouve !

L’ancien PDG et fondateur de Comverse, Kobi Alexander a été localisé à Negombo, capitale du Sri Lanka, suite à un appel d’une minute passé avec Skype. Kobi Alexander avait fui les États-Unis après avoir été accusé de s’être enrichi personnellement de plusieurs millions de dollars en falsifiant des dates de cession d’actions, aux dépens des actionnaires de Comverse.

Kobi Alexander pensait, à tort, que les appels passés par VoIP étaient sûrs et qu’il n’était pas possible de les retracer. Même en employant des outils permettant l’anonymat et autres techniques de dissimulation, il n’était pas en sécurité. L’appel passé par le service Skype avait attiré l’attention de certaines agences de renseignement sur sa présence au Sri Lanka, où il a ensuite été recherché par un enquêteur privé.

Cet événement démontre clairement que, quoi qu’on fasse sur Internet, l’anonymat est loin d’être garanti.

Septembre

4 septembre : La fraude 419 se travestit en US Marine

Dans le cadre de leur recherche permanente de nouveaux angles d’attaque, les fraudeurs envers l’article 419 utilisent désormais la mission en Irak comme nouveau stratagème. Le fraudeur prétend être un officier des US Marines déclarant que, à la suite d’un raid qui aurait coûté la vie à plusieurs criminels irakiens, son groupe a découvert des conteneurs abritant une petite fortune. Bien entendu, ils ont besoin de votre aide pour sortir l’argent du pays. Vous êtes averti...

7 septembre : Les Botnets et Wiki

Les vulnérabilités de Wiki commencent à être exploitées par des hackers qui s’en servent pour créer un réseau d’ordinateurs vulnérables (un botnet). Le problème est lié aux applications Pmwiki et Tikiwiki.

L’exploitation conçue pour Pmwiki ne peut être employée que si l’attribut « Register globals » est activé. L’exploitation destinée à Tikiwiki est toujours utilisable.

Par une connexion à divers canaux IRC, les exploitations chargent également divers autres exploitations et outils d’attaque sur les machines compromises (dont des scripts Perl d’envoi en masse). Des mises à jour et correctifs sont disponibles pour Pmwiki et Tikiwiki.

12 septembre : Un disque dur équipé d’une nouvelle fonctionnalité est annoncé comme une solution définitive.

Si l’on en croit Jasim Saleh Al-Azzawi, sa dernière invention va nous mettre au chômage. Il a ‘inventé’ un disque dur équipé de fonctions supplémentaires qui rendront inoffensifs les virus passés, présents et à venir. Ce nouveau type de disque dur est équipé de commutateurs supplémentaires capables d’activer ou non les têtes de chacun des bras. L’idée de base est de rediriger toutes les E/S du disque vers un emplacement sécurisé, protégeant ainsi toutes les données confidentielles. Lorsque le système est déconnecté d’Internet, l’emplacement sécurisé est désactivé et n’est plus accessible, de telle sorte que les virus qui s’installent sur votre machine au cours de la connexion ne posent plus de problème.

Il est facile de découvrir plusieurs défauts de mise en uvre dans cette ‘invention’. Il serait difficile, voire impossible, de corriger ces défauts car la situation ne permettrait pas de travailler et équivaudrait au fait de ne pas allumer votre ordinateur. Très sécurisant, mais pas très intéressant !

20 septembre : L’exploitation VML atteint Internet Explorer

Sunbelt a découvert une nouvelle exploitation sans délai pour Internet Explorer. Elle rend vulnérable le code de rendu VML (Vector Markup Language) d’Internet Explorer. Mozilla Firefox et Opera ne sont pas touchés par ce problème.

Cette exploitation utilise une brèche du VML d’Internet Explorer pour saturer un tampon et injecter un code de commandes. Elle semble être déjà employée intensivement par les sites pornographiques. Microsoft a réagi raisonnablement en publiant, hors du cycle normal, un correctif pour cette vulnérabilité, ce qui indique également que cette dernière était très sérieuse.

26 septembre : Une nouvelle exploitation sans délai, destinée cette fois à Microsoft Office

Les vulnérabilités sans délai sont très prisées ces derniers temps. Celle qui a été découverte ce jour affecte Microsoft PowerPoint. Nos collègues de McAfee ont découvert un fait intéressant :

“Il s’avère que sa détection a été ajoutée au produit antivirus de Microsoft trois jours avant que cette exploitation soit connue. La seule information publique sur ces menaces se trouve dans les entrées de la Malicious Software Encyclopedia (qui indique une date de découverte incorrecte au 26 septembre, alors que les fichiers de définition des virus datés du 23 septembre détectent : Exploit:Win32/Controlppt.W et Exploit:Win32/Controlppt.X)".

Security Information

Informations sur la sécurité

Vue d’ensemble des événements sécuritaires précédents

ALERTES VIRALES

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Dernière mise á jour signatures

>>	2009-01-07

Informations sur la sécurité

>>	Summing up 2008 and predictions for 2009
>>	Noël – une période délectable ET redoutable

Conseils pour la sécurité

>>	Mise à jour non planifiée pour Microsoft Internet Explorer
>>	Six mises à jour critiques pour les systèmes Microsoft en décembre 2008

Norman est une des sociétés leader mondial dans le domaine de la sécurité informatique. Des produits tels que les antivirus, le firewall personnel, la solution anti spam en font un acteur important dans le monde informatique.