Choix du paysInformations sur la sécurité - Semaine 2, 2007
 |
Octobre 2006
1er octobre : Seconde correction externe de défauts de Windows
Un groupe d’experts de la sécurité appelé ZERT (Zeroday Emergency Response Team ou équipe de réponse urgente à une attaque immédiate) a publié un correctif comblant une lacune de Windows, la mise à jour de Microsoft se faisant attendre. Deux semaines auparavant, ZERT avait mené une action similaire pour corriger le bogue VML de Windows. Cette fois, il s’agissait de stopper l’exploitation illégale du composant WebViewFolderIcon dans Internet Explorer. Le temps nous dira si ZERT aura tendance à publier de nouveaux correctifs plus rapidement que Microsoft.
2 octobre : Défaut de Mac OSX
Un nouveau défaut a été découvert dans Mac OSX. Il permet aux éventuels attaquants d’accéder à la totalité du système. Apple avait déjà réalisé un correctif pour cette faille la semaine précédente, mais certains systèmes n’étaient pas corrigés ou ont été corrigés trop tard. Le code exploitant cette imperfection est relativement inoffensif et se contente d’exécuter l’utilitaire « /usr/bin/id ». Ce dernier affiche l’utilisateur et indique qu’il dispose de privilèges complets.
6 octobre : Utilisation illégale de la recherche de code de Google
Google a réalisé un nouveau moteur de recherche permettant de chercher un code source. C’est, bien entendu, un outil très pratique pour localiser un code spécifique, mais son emploi a été largement détourné par les hackers. Si les codes sources d’outils de sécurité sont publiés quelque part sur le web, il sera aisé de retrouver les mots de passe codés, d’examiner les défauts des outils, etc. Bien sur, les implications ne sont pas aussi mauvaises que celles que l’on redoutait : si le code source d’un outil de sécurité est en ligne et s’il comprend des mots de passe codés et des défauts évidents, leur découverte par les moyens conventionnels n’aurait été qu’une question de temps.
9 octobre : Le Département du Commerce des États-Unis attaqué par les chinois
Le système web du Département du Commerce des États-Unis a été soumis à une attaque provenant principalement de systèmes chinois. Les systèmes du bureau accordant les licences d’exportation ont, par conséquent, dû être déconnectés d’Internet pendant plus d’un mois, les attaques semblant se concentrer sur le vol d’informations sensibles.
17 octobre : Des vers Windows sur les iPods d’Apple
Apple a averti le public du fait que certains iPods du dernier lot produit ont été livrés avec un ver pour les plates-formes Windows (une variante de W32/Delf). Le ver en lui-même n’est pas dangereux pour l’iPod ou pour le système d’exploitation Mac OS auquel l’appareil peut être relié, mais, lorsque l’iPod est connecté à un ordinateur fonctionnant sous Windows, le ver peut être exécuté à partir du périphérique ou copié sur l’ordinateur. Le nombre d’appareils affectés par ce ver est faible, mais Apple a étendu ses protocoles de sécurité pour que cela ne se reproduise plus. Le grain de sable était une seule machine Windows infectée sur l’une des lignes de fabrication.
18 octobre : Une première vulnérabilité pour Internet Explorer 7 quelques heures seulement après sa diffusion
Quelques heures après le lancement officiel et tant attendu de la version 7 d’Internet Explorer, la première vulnérabilité à même de révéler des informations sensibles était découverte. La vulnérabilité est causée par la méthode de gestion des URL employée par le gestionnaire d’informations de redirection des URL « mhtml ». Comme c’est souvent le cas, la désactivation des scripts actifs rend la vulnérabilité inoffensive.
Novembre 2006
1er novembre : Windows CE 6 sera accompagné des sources du noya
Aujourd’hui, Microsoft a publié la version 6 de « Windows Embedded CE ». Bien entendu, la sécurité de cette nouvelle version a été renforcée et ses nouvelles fonctions sont nombreuses, mais, avant tout, le code source du noyau est disponible. Windows CE a été créé il y a dix ans en tant que système d’exploitation intégré en temps réel. Windows CE constitue désormais le cur de Windows Mobile, qui est de plus en plus souvent employé pour les téléphones intelligents, les périphériques multimédia, les PDA, etc. Comme les machines sur lesquelles fonctionne Windows CE gagnent en puissance, l’aspect multitâche du système a été renforcé pour permettre l’exécution de 32 000 processus et gérer 2 Go de mémoire virtuelle.
3 novembre : Un professeur déclare qu’un virus informatique implante de la pornographie infantile
Un ancien professeur de mathématiques de Georgie a tenté de détourner les soupçons qui pesaient sur lui en accusant un virus informatique d’avoir altéré le contenu d’un site web en le remplaçant par des images pédophiles. Plus tôt cette année, nous avons eu la preuve que les auteurs de logiciels publicitaires et espions pouvaient aller jusqu’à installer leurs outils de programmes nocifs sur votre machine en visionnant un film à caractère pédophile, pour se distraire pendant le téléchargement et l’installation de leurs programmes. Mais, pour l’instant, la modification du contenu ne se produit que si l’on exécute le programme permettant de regarder le film. Après examen du système du professeur par l’unité d’investigation chargée des hautes technologies, deux virus ont été découverts, mais aucun d’eux n’était capable de télécharger des images pédophiles. Le suspect a été condamné à 17 ans et demi d’emprisonnement.
13 novembre : Selon Microsoft, GMail est un virus
GMail, le service de messagerie électronique de Google, est très populaire ; l’effet serait dévastateur s’il se transformait en virus. Aujourd’hui, lorsqu’un utilisateur, qui avait également installé Windows OneCare, a ouvert le site web de GMail, OneCare a bloqué l’accès au site en déclarant qu’il était infecté par le virus « BAT/BWG.A ». Bien entendu, il s’agissait d’une fausse réponse positive et, bien entendu, Microsoft débute dans ce domaine. Microsoft a répondu en publiant de nouveaux fichiers de définitions avec une signature modifiée, permettant de détecter le virus et de ne pas émettre d’alerte sur le site web.
16 novembre : Deux pirates chiliens libérés
Deux citoyens chiliens accusés d’avoir piraté des milliers de sites gouvernementaux ont été remis en liberté dans l’attente d’un complément d’enquête. La cour leur a interdit d’accéder à un ordinateur pendant l’enquête. Les deux accusés seraient des membres du « Byond Team », responsable du piratage de 8 000 sites web dans le monde. La police dispose de 90 jours pour mener à bien son enquête. Pendant ce temps, les deux accusés ne peuvent pas quitter le pays.
23 novembre : Microsoft frappe les phishers
Microsoft a intenté 129 poursuites légales contre des adeptes du phishing en zone EMEA (Europe, Moyen-orient et Asie). Microsoft a commencé - avec succès - les poursuites plus tôt dans l’année et a obtenu, par exemple, un verdict de deux ans et demi d’emprisonnement contre un phisher turc. Il est navrant de constater que les usurpations d’identité se banalisent, et Microsoft a pris la décision de les combattre dans le cadre de la Redmond’s Global Phishing Enforcement Initiative.
27 novembre : Défaut de Firefox
Un problème, présent dans le gestionnaire de mots de passe du navigateur Firefox, facilite le vol des informations utilisateur pour le pirate. Le gestionnaire de mots de passe peut être trompé et envoyer une autorisation de connexion au site web de l’attaquant. Pour que cela fonctionne, l’attaquant devra créer un formulaire HTML sur un site web, mais il s’agit d’une pratique courante et autorisée, par exemple sur les sites de blogs et de rendez-vous.
28 novembre : L’antivirus de Symantec comme vecteur de propagation
Un nouveau bot se répand en s’appuyant sur une faille du logiciel antivirus de Symantec et en exploitant cinq vulnérabilités de Microsoft. Toutes ces vulnérabilités ont été corrigées depuis longtemps, cependant, des personnes ont été piégées. Le bot est une variante de W32/Spybot ; il sonde le port 2967 pour vérifier si un certain type de système est équipé d’un antivirus Symantec vulnérable (non corrigé/non mis à jour) et, si tel est le cas, il se transfère.
Décembre 2006
5 décembre : Attaque sans délai (Zero-Day) exploitant une vulnérabilité de Microsoft Word
Microsoft a diffusé une alerte indiquant qu’une vulnérabilité non corrigée de Word est exploitée pour une attaque sans délai. L’ouverture d’un document Word spécialement conçu peut permettre l’exécution de code à distance, permettant à l’attaquant d’accéder totalement au système.
Assez singulièrement, pour éviter toute atteinte par cette exploitation, Microsoft conseille aux utilisateurs de ne « pas ouvrir ou enregistrer de fichiers Word », même provenant d’une source digne de confiance. « C’est une bonne pratique, pour un utilisateur, de toujours être extrêmement prudent avant d’ouvrir des pièces jointes non sollicitées provenant de sources connues ou non », déclare Microsoft. Alors, comment gérer des documents internes à la société rédigés par un collègue que vous ne connaissez pas ?
11 décembre : Encore une attaque sans délai (Zero-Day) exploitant une vulnérabilité de Microsoft Word
Une semaine après la découverte de l’exploitation, aucun correctif n’est encore disponible. Un autre cheval de Troie exploitant cette vulnérabilité est apparu. Microsoft a annoncé que le correctif du mardi 12 décembre ne réparera pas ce défaut. Cela signifie que cette défaillance restera active au moins jusqu’en janvier, et que les programmeurs de nuisances pourront facilement concevoir des chevaux de Troie exploitant ce problème pendant un mois encore.
20 décembre : Implantation d’une bombe logique
Au risque de perdre son emploi, un administrateur informatique a implanté une bombe logique dans le système informatique de son employeur, Medco Health Solutions Inc. Cette bombe aurait, lors de son ‘explosion’, effacé des informations critiques relatives aux patients. Selon les autorités locales, l’administrateur a écrit la bombe logique lui-même, en modifiant le code informatique existant et en ajoutant un nouveau code, puis il l’a implantée dans les serveurs de Medco pour détruire virtuellement toutes les données des serveurs. Elle devait soi-disant exploser automatiquement le jour de son anniversaire, le 23 avril
27 décembre : La protection AACS des DVD HD cassée
Il n’aura fallu que 8 jours au hacker nommé Muslix64 pour casser la protection ‘inviolable’ AACS. Voici pourquoi : il ne pouvait pas regarder un film HD sur son ordinateur équipé de Windows, sa carte vidéo n’étant pas compatible HDCP.
AACS (Advanced Access Content System) est une norme de distribution de contenu et de gestion des droits numériques. Elle permettra de restreindre l’accès et la copie de la nouvelle génération de disques optiques et de DVD. AACS emploie la cryptographie pour contrôler l’emploi des supports numériques. Le contenu protégé par AACS est crypté sous une ou plusieurs clés de titre grâce à la norme AES (Advanced Encryption Standard).
Les clés de titres sont dérivées de la combinaison d’une clé de support et de plusieurs éléments, dont l’ID de volume du média (ex : un numéro de série physique intégré sur un DVD), ainsi que d’un hash (numéro unique) cryptographique des règles d’usage du titre.
La principale différence entre AACS et les systèmes de contenu précédents, tels que CSS, réside dans les méthodes employées pour la distribution des clés de décryptage spécifiques à un titre. Sous CSS, tous les lecteurs d’un modèle donné reçoivent la même clé de décryptage partagée. Le contenu est crypté sous la clé spécifique du titre, qui est elle-même cryptée sous la clé de chaque modèle.
 |
Medium risk
Low risk