Archives de catégorie : Linux

Une vulnérabilité sévère affecte toutes les distributions Linux

Des chercheurs annoncent la découverte d’une vulnérabilité par corruption de mémoire dans le composant pkexec de polkit, un utilitaire SUID accordant des privilèges racine aux utilisateurs et qui est installé par défaut sur les principales distributions Linux.

Le directeur du Lab Qualys déclare : « Nous continuons de dire que chaque nouvelle vulnérabilité sévère est un « coup de semonce », mais, dans les faits la communauté ne réagit pas. Pourtant, à l’ère des vulnérabilités Log4Shell, SolarWinds, MSFT Exchange, etc., il est essentiel que ces dernières soient rapportées de manière responsable et que, face à tel niveau de sévérité, elles soient corrigées et atténuées sans délai. »

Vu l’ampleur de la surface d’attaque de cette vulnérabilité à la fois sur des systèmes d’exploitation Linux et non Linux, Qualys recommande aux utilisateurs d’appliquer immédiatement les correctifs disponibles pour cette vulnérabilité. Les clients Qualys actifs peuvent rechercher la CVE-2021-4034 dans la base de connaissances des vulnérabilités pour localiser tous les identifiants QID et les actifs sensibles à cette vulnérabilité.

Divulgation de cette vulnérabilité pas à pas: 

  • Information technique :
    • Polkit (anciennement PolicyKit) est un programme qui permet de contrôler les privilèges système sur les systèmes d’exploitation de type Unix.
    • Il permet aux processus non privilégiés de communiquer de manière organisée avec les processus privilégiés.
    • polkit peut aussi être utilisé pour exécuter des commandes avec des privilèges élevés à l’aide de la commande pkexec suivi de la commande à exécuter (avec une permission racine).
  • Impact :
    • Connue de toute la communauté depuis plus de 12 ans, cette vulnérabilité affecte toutes les versions de pkexec depuis sa toute première version qui remonte à mai 2009.
    • S’il exploite cette vulnérabilité dans sa configuration par défaut, un utilisateur dépourvu de privilèges peut obtenir des privilèges racine complets sur un serveur vulnérable.
    • Cette vulnérabilité est extrêmement grave car elle affecte toutes les principales distributions Linux et qu’elle est facilement exploitable, raison pour laquelle l’équipe de chercheurs Qualys ne publie pas l’exploit associé.
    • Les chercheurs en sécurité Qualys ont pu, de manière indépendante, vérifier cette vulnérabilité, développer un exploit et obtenir des privilèges racine complets sur des installations par défaut de Ubuntu, Debian, Fedora et CentOS. D’autres distributions Linux sont vulnérables de la même manière et probablement exploitables.

Patch Tuesday Linux et Adobe

Déni de service via TCP SACK vers le noyau Linux

Plusieurs vulnérabilités DoS ont été rapportées en juin concernant le noyau Linux (CVE-2019-11477CVE-2019-11478, CVE-2019-11479). Microsoft a publié un avis de sécurité fournissant des informations et des liens sur ces vulnérabilités.

Patch Tuesday version Adobe

Adobe a publié des correctifs pour Bridge CC, Experience Manager et Dreamweaver. Trois vulnérabilités sont corrigées dans Experience Manager tandis qu’une vulnérabilité est résolue dans Bridge et Dreamweaver. Aucune d’entre elles n’est considérée comme critique et le niveau de vulnérabilité le plus élevé pour chaque logiciel concerné est Important.

System Down pour les distributions Linux

Des vulnérabilités, baptisées System Down, découvertes dans plusieurs distributions Linux.

Le laboratoire de la société Qualys vient de révéler trois vulnérabilités exploitables localement dans systemd-journald, un composant central présent dans toutes les distributions Linux. Ces vulnérabilité sont baptisée « System Down » en référence au groupe de Rock, System of a Down. L’avis de sécurité complet est ici.

CVE-2018-16864 et CVE-2018-16865, deux corruptions de mémoire (alloca () s) contrôlé par l’attaquant;

CVE-2018-16866, une fuite d’informations (lecture en dehors des limites).

CVE-2018-1686, avril 2013 (systemd v203). Exploitable depuis février 2016 (systemd v230). Une preuve de concept (PoC) mis en place pour CVE-2018-16864. iL gagne le contrôle eip sur i386.

CVE-2018-16865 date de décembre 2011 (systemd v38). Exploitable en avril 2013 (systemd v201).

CVE-2018-16866 introduit en juin 2015 (systemd v221),  corrigée en août 2018. Un exploit pour CVE-2018-16865 et CVE-2018-16866 permet d’obtennir un shell racine local en 10 minutes sur i386 et 70 minutes Amd64, en moyenne. « Nous publierons notre exploit dans un proche avenir » indique Qualys.

À notre connaissance, toutes les distributions Linux basées sur systemd sont vulnérables.

SUSE Linux Enterprise 15, openSUSE Leap 15.0, Fedora 28 et 29 sont « safe ». Leur espace utilisateur sous compilation GCC’s -fstack-clash-protection.

La cryptomonnaies façonne le paysage cybercriminel ?

Les cybercriminels ont toujours été attirés par les cryptomonnaies parce qu’elles offrent un certain degré d’anonymat et peuvent facilement être monétisées. Cet intérêt s’est accru ces dernières années, allant bien au-delà du simple désir d’utiliser les cryptomonnaies en tant que moyen de paiement pour des outils et services illicites. De nombreux acteurs ont également tenté de tirer parti de la popularité croissante et de la hausse subséquente de la valeur des cryptomonnaies en les prenant pour cible par diverses opérations, telles que le ‘minage’ malveillant de cryptomonnaie, la collecte d’identifiants de portefeuilles de cryptomonnaie, des activités d’extorsion et le ciblage des plateformes d’échanges de cryptomonnaie.

Parallèlement à l’intérêt croissant pour le vol de cryptomonnaies, la technologie DLT (Distributed Ledger Technology), sur laquelle s’appuient les cryptomonnaies, a également fourni aux cybercriminels un moyen unique d’héberger leurs contenus malveillants. Ce blog couvre la tendance croissante des cybercriminels à utiliser les domaines blockchain pour des infrastructures malveillantes.

Utilisation de l’infrastructure Blockchain

Traditionnellement, les cybercriminels ont utilisé diverses méthodes pour masquer l’infrastructure malveillante qu’ils utilisent pour héberger de nouveaux malwares, stocker des données volées et/ou mettre en place des serveurs de commande et de contrôle (C2). Les méthodes traditionnelles incluent l’utilisation de l’hébergement ‘bulletproof’, de l’infrastructure fast-flux, de l’infrastructure Tor, et/ou d’algorithmes de génération de domaine (DGA) pour aider à dissimuler l’infrastructure malveillante. Nous pensons que les cybercriminels continueront à utiliser ces techniques dans un avenir proche, mais une autre tendance émerge : l’utilisation de l’infrastructure blockchain.

Intérêt de la communauté Underground pour l’infrastructure blockchain

FireEye iSIGHT Intelligence a identifié l’intérêt des acteurs de la cybercriminalité pour les sujets liés à l’infrastructure des cryptomonnaies depuis au moins 2009 au sein des communautés ‘underground’. Bien que la recherche de certains mots-clés ne permettent pas d’établir une tendance précise, la fréquence de termes spécifiques, tels que blockchain, Namecoin et .bit, augmente nettement dans les conversations autour de ces sujets à partir de 2015.

Domaines Namecoin

Namecoin est une cryptomonnaie basée sur le code Bitcoin qui est utilisée pour enregistrer et gérer des noms de domaine avec le ‘top level domain’ (TLD).bit. Toute personne qui enregistre un domaine Namecoin en est typiquement son propre dépositaire ; cependant, l’enregistrement d’un domaine n’est pas associé au nom ou à l’adresse d’une personne. La propriété du domaine est plutôt basée sur le chiffrement unique utilisé par chaque utilisateur. Ceci crée essentiellement le même système d’anonymat que Bitcoin pour l’infrastructure Internet, dans lequel les utilisateurs ne sont connus que par leur identité cryptographique.

Comme Namecoin est décentralisé, sans autorité centrale gérant le réseau, les domaines enregistrés avec Namecoin ne peuvent être ni détournés ni fermés. Ces facteurs, associés à un anonymat comparable, font de Namecoin une option de plus en plus attractive pour les cybercriminels ayant besoin d’une infrastructure pour supporter leurs opérations malveillantes.

Navigation vers les domaines Namecoin

Les domaines enregistrés avec Namecoin utilisent le TLD .bit et ne sont pas gérés par les fournisseurs DNS standard. Un client ne pourra donc pas établir une connexion vers ces domaines à moins de procéder à des configurations supplémentaires. En conséquence, beaucoup de cyber criminels ont configuré leurs malwares pour interroger leur propre DNS OpenNIC compatible Namecoin, ou pour interroger d’autres serveurs compatibles qu’ils ont acquis auprès de la communauté ‘underground’. Les fournisseurs d’hébergement ‘bulletproof’, tels que Group 4, ont profité de la demande accrue pour les domaines .bit en ajoutant du support pour permettre aux acteurs malveillants d’interroger des serveurs compatibles.

Analyse de l’utilisation de Namecoin

Parallèlement à l’intérêt croissant des acteurs malveillants pour l’utilisation des domaines .bit, un nombre croissant de familles de malwares sont configurés pour les utiliser. Les familles de malwares que nous avons observées utilisant les domaines Namecoin dans le cadre de leur infrastructure C2 comprennent :

Necurs
AZORult
Neutrino (alias Kasidet, MWZLesson)
Corebot
SNATCH
Coala DDoS
CHESSYLITE
Emotet
Terdot
Ransomware Gandcrab Ransomware
SmokeLoader (alias Dofoil)

Sur la base de notre analyse d’échantillons configurés pour utiliser les domaines .bit, les méthodes suivantes sont couramment utilisées par les familles de malwares pour se connecter à ces domaines :
Query hard-coded OpenNIC adresse(s) ; Query hard coded DNS server(s).

Perspectives

Bien que l’utilisation de méthodes traditionnelles de dissimulation telles Tor, « bulletproof » et l’hébergement fast-flux se poursuivra très probablement dans un avenir proche, nous estimons que l’usage de domaines blockchain continuera de gagner en popularité parmi les cybercriminels dans le monde entier. Parallèlement à l’augmentation prévue de la demande pour ces domaines, un nombre croissant d’offres d’infrastructures malveillantes apparaîtront au sein des communautés ‘underground’ pour les supporter.

En raison de la nature décentralisée et reproductible d’une blockchain, la saisie par les forces de l’ordre d’un domaine malicieux nécessitera probablement la fermeture de l’ensemble de l’infrastructure blockchain, une démarche impossible en raison des nombreux services légitimes qui l’utilisent. Si un service de police est en mesure d’identifier le ou les individus qui gèrent des domaines blockchain malicieux, alors leur prise de contrôle pourra être envisageable ; toutefois, la probabilité de ce cas de figure dépend fortement du niveau de sécurité mis en place par les cyber criminels. De plus, ces derniers continuant à développer de nouvelles méthodes de dissimulation et de protection de leurs infrastructures, la prise de contrôle des domaines blockchain restera une opération difficile. (David GROUT, Director Technical – PreSales, South EMEA)

10 failles corrigées pour VirusScan Linux de McAfee

L’éditeur d’antivirus a mis en ligne des correctifs permettant de corriger une dizaine de faille visant son logiciel d’entreprise ViruScan Linux.

McAfee, filiale d’Intel, a publié des correctifs pour dix failles pour la version de VirusScan Entreprise tournant sous Linux [McAfee VirusScan Enterprise for Linux]. Des failles qui permettent à un attaquant de prendre la main, à distance, sur un système. McAfee avait été notifié de ces trous de sécurité… il y a six mois.

Le chercheur en sécurité Andrew Fasano du MIT Lincoln Laboratory a déclaré qu’au total, se sont 10 failles de sécurité qui ont été patchées. Les problèmes de sécurité permettaient l’exécution de code à distance en tant qu’utilisateur root. « Voilà donc un logiciel peut apprécié, qui fonctionne en tant que root, qui annonce sécuriser les entreprises, qui n’a pas été patché depuis des lustres » s’amuse le chercheur.

Quatre des failles sont considérées comme critiques : CVE-2016-8020, CVE-2016-8021, CVE-2016-8022 et CVE-2016-8023.

Toutes ces vulnérabilités ont déjà été confirmées dans les versions 1.9.2 à 2.0.2 de McAfee VirusScan Enterprise for Linux. Ils est largement recommandé de mettre à jourl’outil… ou d’en changer !

La Fondation Linux annonce le lancement d’une nouvelle formation online axée sur la sécurité à l’occasion des 25 ans de Linux

La Fondation Linux poursuit sa mission dans le domaine de la sécurité avec une nouvelle formation orientée vers le développement des logiciels open source.

La Fondation Linux, l’organisation à but non lucrative fomentant la gestion professionnelle de l’open source destinée à la collaboration de masse, a annoncé la disponibilité d’un nouveau cours de formation en ligne, Linux Security Fundamentals (LFS216). Ce cours en autoformation est une nouvelle preuve du dévouement de la Fondation Linux au renfort de la sécurisation d’Internet, des autres logiciels Linux et open source ainsi que des infrastructures informatiques.

« Le logiciel Open Source est présent presque partout sur Internet et il génère des milliards de dollars d’affaires, mais de nombreux projets manquent encore d’un processus de sécurité rigoureux, » affirme Nicko van Someren, directeur des techniques informatiques à la Fondation Linux. « Dès le premier jour, la formation professionnelle et universitaire joue un rôle clé dans la garantie d’un niveau élevé en matière de sécurité, de qualité et de fiabilité des projets open source. Qu’ils soient de type libre ou propriétaire, la sécurité des logiciels doit débuter le plus tôt possible si l’on tient à minimiser les risques. »

En plus de soutenir le développement de Linux et d’autres logiciels open source fondamentaux, la Fondation Linux a pris des mesures pour s’assurer que le logiciel dont elle contribue à la production est sécurisé et que les utilisateurs disposent de toutes les ressources dont ils ont besoin pour réussir. Ces efforts regroupent le Badges Program de la Core Infrastructure Initiative, dans le cadre duquel des projets open source tels qu’OpenStack peuvent mettre en avant un développement centré sur la sécurité. Avec Let’s Encrypt, la Fondation Linux et ses partenaires ont contribué à sécuriser plus de 5 millions de sites Internet et elle espère finalement atteindre un degré de sécurisation de 100% pour Internet à l’aide du HTTPS. Cette formation axée sur les compétences qui est chargée d’enseigner aux utilisateurs la manière dont ils peuvent maximiser la sécurité des systèmes s’inscrit comme un complément essentiel de ces initiatives.

Le cours d’Introduction à la sécurité sur Linux couvre les bases que tout professionnel de l’informatique travaillant avec Linux doit connaître. Il commence par un aperçu sur la sécurité informatique, puis évoque la manière dont la sécurité concerne l’ensemble des membres des chaînes de développement, d’implémentation, d’administration et d’utilisation finale.

Les sujets spécifiques couverts incluent notamment :
?     Évaluation des menaces et des risques
?     Audits et détection
?     Sécurité des applications
?     Vulnérabilités du noyau
?     Sécurité des systèmes locaux
?     Sécurité des réseaux
?     Déni de service (DoS)
?     Pare-feu et filtrage de paquets

LFS216 est conçu pour les personnes participant à des tâches liées à la sécurité à tous les niveaux. Les classes pratiques utilisent des applications virtuelles pour démontrer « ce qui se passe », plutôt que de se reposer sur des exercices de rédaction dans le but de configurer des serveurs complexes. À la fin du cours, les étudiants seront en mesure d’évaluer les besoins actuels en matière de sécurité, d’évaluer la préparation actuelle en matière de sécurité et de mettre en place les options de sécurité demandées. Ce cours est la deuxième offre de la Fondation Linux en matière de sécurité, la première étant le cours Linux Security (LFS416), dispensé par un formateur depuis 2013.

« Nous savons que la sécurité est une préoccupation pour toutes les organisations du domaine de l’informatique, c’est pourquoi la Fondation Linux organise des initiatives telles que la Core Infrastructure Initiative et Let’s Encrypt, visant à simplifier la protection des données et des systèmes sensibles, » affirme Clyde Seepersad, directeur général de la formation de la Fondation Linux. « Ces efforts importants ne peuvent cependant aller plus loin ; c’est pourquoi faciliter la formation professionnelle aux meilleures pratiques de sécurité du personnel à tous les niveaux demeure essentiel pour s’assurer que tous les systèmes restent stables et sécurisés. »

L’inscription à LFS216 est à présent disponible au tarif de 199 $. Dans le cadre du 25e anniversaire, les particuliers pourront acquérir jusqu’au 28 août une offre regroupant le nouveau cours Introduction à la sécurité sur Linux ainsi que LFS201 – Principes de base de l’administration système, LFS211 – Réseaux et administration de Linux et LFS265 – Introduction aux réseaux basés sur les logiciels pour seulement 250 $, soit une économie de 75 %. Cette offre apportera aux futurs administrateurs systèmes Linux toutes les connaissances dont ils ont besoin pour se lancer sur le terrain et elle les préparera à l’examen Sysadmin, certifié par la Fondation Linux.

Ring, un système de communication distribué et sécurisé Open Source

Savoir-faire Linux annonce le lancement de la version Beta de Ring, un système de communication distribué et sécurisé Open Source.

Depuis quelques mois, Ring, un logiciel libre sous licence GPLv3, développé par les équipes de Savoir-faire Linux, crée une effervescence dans le milieu mondial du logiciel libre, des hackers et de la cybersécurité, bien qu’il en soit à ses tous premiers balbutiements. Plusieurs opérateurs Internet et industriels des télécommunications, et même l’industrie du développement durable commencent également à s’y intéresser de près.

Présenté en plénière au FOSDEM2016 à Bruxelles il y a quelques semaines, il constituera l’événement de ce week-end simultanément à la conférence FOSSASIA de Singapour et surtout à Boston, au cours de la conférence LibrePlanet, organisée par la célèbre Free Software Foundation, qui fêtera pour l’occasion son 30ème anniversaire.

Ring, le nouveau Skype ou Hangout Open Source
Ring permet d’établir une communication chiffrée vidéo, audio, texte de très haute qualité entre deux ou plusieurs personnes où qu’elles soient dans le monde. Il est disponible pour les plate-formes Linux, Windows, Mac/OSX, Android et d’ici quelques mois sur iOS. Il est distribué avec les sources sous licence GPLv3.

Pour de nombreux  spécialistes, ce logiciel pourrait constituer un jalon dans l’histoire de l’Internet. Mais  Cyrille Béraud, Président de Savoir-faire Linux, reste prudent : « Je voudrais rappeler que la version que nous présentons aujourd’hui est une version Beta, c’est-à-dire que Ring est encore un logiciel jeune, qui reste fragile et qui, dans de nombreuses situations, fonctionnera de manière imparfaite. Ceci étant dit, il s’améliore chaque jour et dans un environnement standard et pour un usage domestique, il fonctionne déjà très bien ».

Ring, une plateforme de communication décentralisée et distribuée
Le concept essentiel de Ring est la décentralisation. Avec Ring, plus besoin d’opérateurs, plus besoin de serveurs à gérer, plus de coûts associés à chaque appel et surtout, Ring offre beaucoup de liberté et de sécurité.

« Techniquement, nous nous sommes appuyés sur des technologies déjà bien éprouvées : ffmpg/libav, GnuTLS, Pjsip, etc., mais concernant l’innovation au cœur de Ring, nous avons utilisé le concept des DHT, Distributed Hash Tables. Pour cela, nous avons développé notre propre librairie, OpenDHT, disponible sur github, en introduisant des innovations importantes qui, conjointement avec les protocoles ICE et SIP, permettent ainsi de traverser les routeurs et les pare-feux, de localiser, d’une manière certaine un utilisateur, même s’il se trouve dans un réseau privé, et d’établir, un canal de communication  sécurisé, de n’importe où dans le monde.» précise Cyrille Béraud. Dans un contexte professionnel, c’est une flexibilité et des économies importantes pour de très nombreuses entreprises. Pour tous, c’est la possibilité de communiquer librement et gratuitement où que l’on soit, en toute sécurité« . indique Cyrille Béraud.

De part cette propriété et du fait que Ring utilise des standards ouverts et reconnus, cette plateforme permet d’esquisser un véritable système universel de communication non-hiérarchique sur Internet, en permettant non seulement une communication entre deux personnes, mais plus généralement, entre deux ou une multitude d’objets sur Internet. « De ce point de vue, les innovations que nous avons mises à disposition à travers Ring, ouvrent de nombreuses possibilités et applications industrielles ou grand public. Nous avons déjà dans notre laboratoire, plusieurs prototypes basés sur des plateformes embarquées très légères qui, à partir de Ring, s’interconnectent avec des systèmes domotiques ou des systèmes d’acquisition de données. C’est assez spectaculaire et très prometteur.

Pour compléter ce tour d’horizon, il faut indiquer aussi que Ring fonctionne en mode dégradé et même complètement coupé d’Internet. « Imaginez un village isolé en Afrique ou en Inde avec une connexion fragile à Internet. En cas de coupure d’accès au Net, le système distribué de Ring se rétracte sur les nœuds qu’il peut contacter et continue de fonctionner. Dans l’exemple du village coupé du monde, les habitants peuvent continuer à communiquer entre eux. Ring, de ce point vue, peut participer à un développement durable et contribuer au développement de l’économie et de la démocratie de pays ayant des infrastructures de communication peu développées. »

L’OS d’Apple, le logiciel le plus vulnérable aux pirates en 2015

Les temps changent ! Apple OS X aurait été l’environnement informatique le le plus vulnérable en 2015, selon le CVE.

Le CVE détails est la référence dédiée aux alertes liées aux vulnérabilités visant les logiciels que nous utilisons. Les données CVE sont collectées à partir du National Vulnerability Database (NVD), projet par l’institut National des Standards et de la Technologie. D’autres sources telles que les éditeurs eux-mêmes, ou encore Exploit DB, viennent peaufiner les bulletins d’informations.

Comme chaque année, CVE propose son top 50. Cette année, 6 412 vulnérabilités ont été annoncées par CVE. DataSecurityBreach.fr a remarqué qu’il y avait eu 1 534 failles de moins qu’en 2014. Une année qui avait été la plus chargée en alertes, avec 7 946 cas.

En 2015, le grand vainqueur en a étonné plus d’un : l’OS d’Apple avec 384 vulnérabilités. Windows 10 se placent en 35ème position avec 53 alertes. Alors que nous aurions pu penser que Flash caracolerait en tête, le format media d’Adobe ne s’est contenté « que » de 314 alertes. De son côté, Android affiche, à la 20ème place, 130 failles. Internet Explorer 231 failles. Chrome, 187 et Firefox, 178.

320 heures d’attaque DDoS en continu

320 heures : c’est la durée de l’attaque DDoS la plus longue enregistrée par Kaspersky Lab au troisième trimestre 2015, soit près de deux semaines.

Le rapport sur les attaques DDoS a été mené à partir de la surveillance continue des botnets et de l’observation des nouvelles techniques employées par les cybercriminels. Les victimes des attaques DDoS se répartissent dans 79 pays à travers le monde. Les 3 pays les plus touchés sont la Chine, les Etats-Unis et la Corée du Sud. Plus de 90 % des attaques ont duré moins de 24 heures mais le nombre d’attaques dépassant 150 heures est en nette progression. Le nombre le plus élevé d’attaques ciblant une même victime a été de 22, contre un serveur situé aux Pays-Bas. Les cybercriminels semblent prendre des vacances comme tout un chacun, le mois d’août ayant été le plus calme du trimestre en matière d’attaques. Les botnets sous Linux occupent une part importante, étant à l’origine de 45,6 % de toutes les attaques enregistrées, principalement pour des raisons de protection insuffisante et de capacité supérieure de bande passante.

Les banques sont des cibles fréquentes d’attaques complexes et de demandes de rançons. Les attaques moins complexes mais non moins dangereuses sont devenues moins chères à exécuter. Le rapport révèle également que des attaques DDoS visant des serveurs ont été observées dans 79 pays au total, mais, 91,6 % des victimes des attaques DDoS se trouvent dans seulement 10 pays. On notera également que les auteurs d’attaques DDoS ne peuvent pas opérer loin de leur pays de résidence contrairement à d’autres organisations cybercriminelles spécialisées dans le piratage de cartes de crédit par exemple.

De plus amples détails sur la répartition géographique et d’autres caractéristiques des attaques DDoS enregistrées par l’observatoire DDoS Intelligence de Kaspersky Lab figurent dans le rapport complet publié sur le site Viruslist. « D’après nos observations et nos mesures directes, nous ne pouvons pas prédire comment le « business » clandestin des attaques DDoS va évoluer. La menace semble se développer partout. Nous avons enregistré des attaques extrêmement complexes contre des banques, assorties d’une demande de rançon, mais aussi de nouvelles méthodes bon marché destinées à paralyser les activités d’une entreprise pendant une période prolongée. Le volume des attaques augmente, la plupart d’entre elles ayant pour but de frapper, de semer le chaos et de disparaître. Cependant, le nombre des attaques de longue durée, capables d’acculer à la faillite une grande entreprise non protégée, est également en hausse. Ces évolutions de taille obligent les entreprises à prendre des mesures préventives contre la menace bien réelle et le risque accru que représentent les attaques DDoS », commente à Data Security Breach Evgeny Vigovsky, responsable des activités de Kaspersky Lab pour la protection contre les attaques DDoS.

Pendant ce temps…
L’excellent service de chiffrement de courrier électronique ProtonMail se faisait attaquer à coup de DDoS, au début du mois de novembre. Des rançonneurs qui réclament de l’argent pour que cessent les attaques. ProtonMail a versé 6000 dollars aux assaillants. Ces derniers n’ont cependant pas attaqué l’attaque perturbant les services de l’entreprise Suisse. « En l’espace de quelques heures, les attaques ont commencé à prendre un niveau de sophistication sans précédent » confirme ProtonMail. Impressionnante attaque car l’assaut, coordonné, a visé le FAI de ProtonMail avec des données malveillantes dépassant les 100Gbps. Une attaque visant le centre de données, mais également des routeurs à Zurich, Francfort… Des centaines d’autres entreprises ont été impactées. ProtonMail a payé 6000 dollars, espérant que cesse l’attaque. Ils ont suivi la directive d’un agent spécial du FBI qui invitait les entreprises victimes à payer. Mauvaise idée ! « Cela a été clairement une mauvaise décision, confirme ProtonMail, à tous les attaquants futurs – ProtonMail ne payera plus jamais une autre rançon« . Les maîtres chanteurs, ils signent sous le pseudonyme d’Armada Collective, se sont attaqués à plusieurs autres entreprises helvétiques.

L’open source : L’innovation et la sécurité par la transparence

Le contraste entre les logiciels propriétaires et open source est aussi vieux que l’industrie de l’informatique elle-même. Dans presque toutes les catégories, des logiciels sont disponibles soit auprès de fournisseurs qui développent et commercialisent eux-mêmes leur code, soit auprès de communautés de développeurs travaillant avec du code ouvert.

Au cours de la dernière décennie, l’aversion envers l’utilisation des logiciels libres, particulièrement dans les entreprises, a pris un tournant majeur. Les managers ont réalisé que si même les géants de l’informatique comme Facebook, Google et Amazon font appel à l’open source, les entreprises ordinaires devraient pouvoir le faire aussi. Les avantages de l’open source sont bien connus : les coûts inférieurs (à noter que coûts inférieurs ne veut pas forcément dire gratuits), la qualité supérieure et la sécurité qui découlent d’une grande communauté de développeurs et l’absence de dépendance à un fabricant sont des arguments de poids. Dans certains domaines, les produits open source sont déjà leaders de leur catégorie. Linux, Firefox et WordPress, par exemple, sont d’énormes réussites auprès des particuliers. MySQL, Apache, Free BSD, Zimbra et Alfresco se retrouvent fréquemment dans les environnements d’entreprise.

Toutefois, la distinction n’est pas aussi claire qu’on pourrait le penser : il n’est pas possible de diviser simplement les logiciels en catégories (ouvert ou fermé, libre ou non-libre, open source ou propriétaire). Il existe toutes sortes de sous-catégories, ce qui donne lieu à d’importantes différences dans les conditions de licence. Pour les entreprises, toutefois, il est pertinent de s’intéresser aux catégories de logiciels open source et propriétaires, et c’est la combinaison des deux, sous la forme de logiciels open source commerciaux, qui offre de fait le meilleur des deux mondes.

Un changement culturel global est en cours en faveur de l’open source. Par exemple, l’UE et le gouvernement des États-Unis investissent de grosses sommes d’argent pour augmenter leur utilisation de l’open source. Et au CERN (l’Organisation européenne pour la recherche nucléaire), qui a longtemps été un pionnier de l’informatique, les scientifiques sont encouragés à mener leurs recherches à l’aide de solutions libres de nouvelle génération. La tendance ne se limite plus désormais aux logiciels. Le « matériel libre » se répand : le Raspberry Pi, le Kano, l’Arudion, le MatchStick basé sur Firefox, le NAO et le Hummingboard sont tous des exemples démontrant le dynamisme des projets libres, qui font naître de nouvelles tendances comme l’Internet des Objets. Et pourtant l’open source n’est pas quelque chose de réellement nouveau. La plateforme informatique open source ultime reste le mainframe, qui était également le noyau de l’ordinateur personnel actuel et a donc toujours représenté une communauté open source considérable.

Des solutions open source commerciales : un système donnant-donnant

Le modèle de développement open source permet aux entreprises de prendre en charge leur projet avec des technologies adaptées, évolutives et un code ajusté à leurs exigences, et par là même de renvoyer l’ascenseur à la communauté. Dans les logiciels open source commerciaux, tout nouveau code passe par un processus strict d’assurance qualité pour garantir la sécurité des entreprises clientes et de leurs utilisateurs finaux. Les changements pouvant bénéficier à un ensemble plus large d’entreprises clientes sont contrôlés et la communauté les ajoute ensuite à son code de base. Pour pouvoir utiliser tous les avantages de l’open source, il faut une relation étroite avec un fournisseur de solutions open source commerciales. C’est essentiel pour promouvoir la créativité et les contributions au sein de la communauté. Les entreprises peuvent également fournir du code pour prendre en charge leurs activités. Les fournisseurs de solutions open source commerciales ne fournissent que l’assistance et le processus strict de développement du produit, comprenant les tests avec les bases de données, les conteneurs et l’assurance qualité qui font normalement partie du développement des logiciels propriétaires.

Des soucis de sécurité avec l’open source ? Au contraire !

Avec l’acceptation croissante des logiciels open source, les logiciels propriétaires purs perdent du terrain sur le marché. Beaucoup d’utilisateurs doutent de la souplesse des logiciels propriétaires dans les années à venir et beaucoup considèrent leur dépendance par rapport à leur fournisseur comme une restriction indésirable. Lorsqu’elles envisagent le futur des services numériques, qu’il s’agisse de ceux des entreprises ou des administrations, des entreprises comme Facebook et Google considèrent l’open source comme indispensable. La plupart des fournisseurs utilisent d’ailleurs déjà l’open source dans divers domaines de leurs opérations informatiques. Les solutions open source fournissent, en particulier, une plateforme pour une technologie prête à l’emploi pouvant être personnalisée pour différents produits. Néanmoins, malgré l’acceptation grandissante de l’open source, les entreprises gardent des inquiétudes à propos de leur fiabilité et de leur sécurité. Mais quels sont les arguments derrière ces inquiétudes ?

Le préjugé menant à penser que les logiciels open source ne sont pas sécurisés ne se vérifie absolument pas. Le réseau international de développeurs, d’architectes et d’experts de la communauté open source est de plus en plus reconnu en tant que ressource majeure. La communauté fournit un retour professionnel d’experts du secteur qui peuvent aider les entreprises à produire du code plus robuste, à créer des correctifs plus vite, et capables de développer des innovations et des améliorations à de nouveaux services. Dans un modèle propriétaire, la qualité du logiciel est limitée à celle du petit ensemble de développeurs qui y travaillent. Les entreprises qui font appel à des vendeurs tiers pour leurs logiciels propriétaires peuvent avoir un sentiment de sécurité plus fort, mais elles se bercent d’illusions : au nom de la propriété intellectuelle propriétaire, les éditeurs peuvent facilement empêcher leurs clients professionnels de savoir s’il existe des failles de sécurité dans leur code – jusqu’à ce que des pirates les exploitent. Nous avons vu récemment de nombreux exemples de ce fait, qui ont entraîné des problèmes pour de nombreux clients.

En raison du haut degré de transparence au sein de la communauté open source, le travail de ce réseau d’experts est d’une grande qualité ; ses membres attachent une importance extrême au maintien de leur réputation. Personne ne peut se permettre de mettre sa crédibilité en jeu lorsque toute la communauté peut voir le code publié sous son nom et le commenter. Par conséquent, les membres de la communauté soumettent tout code nouvellement compilé à un long travail de vérification avant de le publier. Cela devrait dissiper les craintes injustifiées concernant les failles de sécurité.

Une architecture ouverte et une évolutivité sans limite pour des solutions fiables

Les médias sociaux, le cloud, les big data, la mobilité, la virtualisation et l’Internet des Objets révolutionnent constamment l’informatique. Les technologies existantes peinent à suivre le rythme de ces changements. Les entreprises et les institutions doivent fournir leurs services sur de nombreux canaux tout en garantissant une sécurité totale des données. Avec des systèmes propriétaires rigides, cela est pratiquement impossible, et la communauté open source démontre tous les jours que les produits utilisant du code open source sont plus que prêts à gérer des services importants. Apache est déjà le numéro un. MySQL en prend le chemin ; tôt ou tard, il est très probable qu’OpenStack deviendra le logiciel de référence pour la gestion des centres informatiques et OpenAM est l’un des meilleurs produits pour les droits d’accès reposant sur les identités numériques. Les entreprises qui refusent d’utiliser l’open source courent le risque de prendre du retard sur l’étendue et la puissance des fonctions, et de ne pas être en mesure de proposer à leurs clients une expérience utilisateur numérique complète.

La réussite de l’open source se mesure par sa capacité à garantir un haut degré de sécurité et d’innovation. Si les logiciels développés de façon libre n’étaient pas sûrs, la sécurité et l’innovation ne seraient pas possibles. L’open source offre donc la sécurité grâce à sa transparence, ce que les logiciels propriétaires ne peuvent pas se permettre. Les entreprises feraient bien de garder un œil sur les solutions open source. (Par Ismet Geri, vice-président Europe du Sud chez ForgeRock)

Des millions de routeurs en danger

Des millions de routeurs de marques connues en danger. Une faille permet de bloquer les machines, à distance.

La société SEC Consult Vulnerability Lab vient d’annoncer qu’une faille, visant des millions de routeurs, permettait de bloquer un routeur Internet via une manipulation particulièrement formulée. Visé, le noyau Linux des routeurs, l’utilisation de NetUSB KCodes et le port TCP 20005. Un débordement de mémoire qui fait que les routeurs tombent en panne. Ce port permet un accès réseau aux périphériques (USB, imprimante, …) connectées au routeur.

TP-Link a publié des correctifs pour 40 de ses produits. Netgear vient de diffuser un patch pour 14 de ses machines. Quelques 24 autres fournisseurs, y compris D-Link et Western Digital sont potentiellement concernés par la faille.

4ème édition du livre Ethical Hacking

Ce livre sur la sécurité informatique est devenu une véritable référence. Écrit par des universitaires Français, « Sécurité informatique – Ethical Hacking » vient de sortir sa 4ème édition.

Ce gros pavé s’adresse à tout informaticien sensibilisé au concept de la sécurité informatique mais novice ou débutant dans le domaine de la sécurité des systèmes d’informations. Il a pour objectif d’initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

Cette nouvelle édition tient compte de l’actualité en matière de sécurité informatique et voit l’apparition de trois nouveaux chapitres qui traitent : des investigations Forensic, principalement utilisées dans la recherche de preuves numériques, des attaques plus orientées vers le matériel (comme les cartes à puce et autre) et des Box, omniprésentes dans nos maisons, en mettant en lumière que celles-ci ne sont pas infaillibles et qu’il faut bien savoir les configurer pour éviter les ennuis.

La 4ème édition de ce livre référence vient d’être publiée.

Les auteurs de ce livre (Marion AGÉ – Nicolas CROCFER – Robert CROCFER – David DUMAS – Franck EBEL – Guillaume FORTUNATO – Jérôme HENNECART – Sébastien LASSON – Raphaël RAULT – Laurent SCHALKWIJK) composent une équipe de personnes de conviction qui se donnent pour mission de rendre la sécurité informatique accessible à tous : « apprendre l’attaque pour mieux se défendre« . Sécurité informatique – Ethical Hacking – Edition ENI – 54€.

Windows, moins dangereux qu’iOS et OS X d’Apple

Le National Vulnerability Database, qui recense les failles dans les logiciels et autres applications web indique que l’année 2014 aura été l’année des vulnérabilités pour iOS, OS X Apple et Linux. Windows se classe 4ème.

Voilà qui a fait pas mal parler chez les « trolleurs » en tout genre. Mais il faut bien l’admettre, la firme de Redmond a mis les bouchées double pour protéger son OS, Windows. Bilan, la National Vulnerability Database, qui recense les failles (19 par jour en 2014) a classé l’OS de Microsoft plus sécurisé qu’iOS, OS X Apple. Même Linux, classé 3ème, dans ce top 4, devance Microsoft du point de vu des failles découvertes l’année dernière. Les problèmes dans les systèmes d’exploitation (OS) ne représentent que 13% des failles recensées en 2014. 1.705 failles recensées. 182 failles de moins que l’année record, en 2010. Les navigateurs sont toujours montrés du doigt. Internet Explorer, en 2014, a souffert de 242 brèches dangereuses. Chrome (124) et Firefox (117) ont dépassé la centaine de failles. (gfi)

En vacances, protégez votre vie 2.0

Que vous soyez une personne importante ou non, aux yeux d’un pirate informatique vous n’êtes rien d’autre qu’un cloud vivant dans lequel il pourra en soutirer argents et données sensibles.

La rédaction de Data Security Breach vous propose quelques trucs et astuces à utiliser lors de vos déplacements afin de sécuriser votre informatique, votre smartphone, bref, votre vie 2.0. Attention, nos conseils ne vous sécurisons pas à 100%, la sécurité totale n’existe pas. Par contre, nos conseils freineront un maximum le pirate, le curieux, bref ce malveillant. Pas de paranoïa, juste de la prudence et une hygiène numérique à respecter. Nous avons rencontré, lors de nos voyages, de vrais professionnels de la recherche d’information via des cibles touristiques ou en « séminaires ». N’oubliez jamais que le « curieux » doit être rapide pour agir. Plus il passera du temps sur sa cible, plus il sera fragilisé dans son action, visible, donc détectable.

Dans votre hôtel/camping/…
– Ranger votre machine dans le coffre de votre chambre (si coffre il y a).

– Retirer la batterie. Ranger la prise électrique ailleurs, dans la chambre. Dans votre valise, fermée à clé par exemple. Comme nous vous le montrons, il existe des prises qui permettent d’être scindée en trois parties. De quoi retarder le pirate. Il ne pourra pas alimenter l’ordinateur.

– Changer le mot de passe de portable et mettez un mot de passe au bios de votre machine. Le mot de passe bios vous évitera la modification de lancement de votre ordinateur, via une clé USB ou un CD boot casseur de mot de passe. [Voir comment Zatazweb.tv a cracké le mot de passe de n’importe quel Windows en 30 secondes].


– Chiffrer les informations sensibles ou le disque dur de votre ordinateur. Qu’on le veuille ou non, BitLocker sur Windows 8 pro est efficace. N’hésitez pas à rajouter une seconde, voire une troisième couche avec Zed! ou TrueCrypt. Zed! a reçu la qualification ANSSI niveau standard (08/2010) et Certification Critères Communs EAL3+ (07/2010). Pour TrueCrypt : qualification niveau élémentaire (08/2009) et Certification CSPN (12/2008).

– Utiliser un câble antivol.

– N’hésitez pas à mettre un bout de scotch qui bloque les deux parties de votre portable. Si quelqu’un tente de l’ouvrir, vous le verrez. Un autocollant original et difficile à trouver dans le commerce fera parfaitement l’affaire.

– Chez DataSecurityBreach.fr, nous prenons en photo les vis des disques durs de nos portables. Si ces dernières ont bougés, ont été déplacées, vous pourrez vous en rendre compte.

– Une goute de cire, sur les vis est aussi très utile pour y appercevoir une potentielle manipulation. Il existe des cires de couleurs, évitez le rouge.

– Un antivirus mis à jour obligatoire.

– Utiliser un VPN pour vos connexions. VyprVPN est, à notre sens, très efficace tout comme VyPRVPN [Nous les utilisons, plus d’autres, NDR] Nous l’utilisons. Rapide, propose des centaines de connexions protégées dans le monde, avec un firewall NAT intégré loin d’être négligeable.


– Nous employons aussi une mini caméra de 5 cm qui s’enclenche dès lors qu’un mouvement dans la zone surveillée est détecté.

Autre point, sauvegardez vos documents administratifs sur un cloud sécurisé n’est pas négligeable en cas de perte de vos papiers, moyens de paiement. Sauvegardez y aussi les numéros de téléphones d’urgences (Ambassade, amis, familles, …). Bien évidement, chiffrez les données. Utilisez, par exemple, l’excellent Zed! Free par exemple. Une connexion à votre cloud sécuriser à n’utiliser qu’en cas d’urgence. N’allez pas me taper le mot de passe, sur un poste informatique « libre ». Pensez, si vous vous sentez capable de l’utiliser, emporter avec vous une cd/clé USB bootable avec un Linux intégré (Knoppix USB ou Tails par exemples).

Il en va de même pour votre téléphone portable. Ne le quittez jamais des yeux. L’installation d’un code malveillant étant devenu très simple. Pensez à employer un filtre évitant les regards « au dessus de l’épaule » ou sur les côtés. Des filtres qui permettent d’éviter les regards un peu trop curieux. Dernier détail en date, et de taille, pensez à charger vos appareils électroniques au maximum, surtout si vous partez sur le sol de l’Oncle Sam. Dorénavant, votre téléphone, votre ordniateur, votre tablette pourront être allumés devant un agent de sécurité, histoire de s’assurer que ce dernier ne cache pas une bombe. En cas de « non » allumage, le matos finira à la poubelle. Pensez à détruire les papiers que vous souhaiteriez jeter à la poubelle. Des petits bouts de papiers dans les toilettes sont plus efficace qu’une boulette dans la corbeille de votre chambre. Coupez le wifi et le Bluetooth. Ne sauvegardez/mémorisez aucun mot de passe dans votre appareil (il en va de même pour votre ordinateur et tablette).

Loin d’être négligeable, une pochette de sécurité, de type Stop RFID, permettant de sécuriser votre carte bancaire, passeport, … d’une tentative de connexion NFC non autorisée. Un bookmark de sites indispensables comme http://www.diplomatie.gouv.fr/fr/conseils-aux-voyageurs_909/ et Data Security Breach 😉 peut être envisagé.

L’utilisation des ordinateurs et des connexions proposés par les hôtels, campings, … sont à utiliser avec modération et intelligence. N’utilisez JAMAIS ces outils « libres » à des fins privées. JAMAIS vos mots de passe ; Accéder à vos courriels est fortement déconseillé sans passer par un système de VPN, INDISPENSABLE. Vous n’êtes cependant pas à l’abris d’un logiciel d’interception de vos frappes clavier (Keylogger). Pour finir, Comme nous le révélions dans notre article « Diner de cons dans les ordinateurs des Hôtels » nous croisons beaucoup trop de données qui n’ont rien à y faire ! Attention, dernier détail important, comme le rappel l’ANSSI, prenez connaissance de la législation locale. Des informations sur les contrôles aux frontières et sur l’importation ou l’utilisation de la cryptographie sont disponibles sur le site de l’Agence Nationale de la Sécurité des Systèmes d’Information.

Bref, contraignant, mais sécurisant. Si aucune de ces solutions proposées par Data Security Breach ne vous conviennent, posez-vous une dernière question : Avez-vous vraiment besoin d’un ordinateur pendant vos vacances ?

Java Bot, un code malveillant pour Windows, Mac et Linux

Un code malveillant Java multiplateforme découvert. Il fonctionne sur Windows, Mac et Linux. Les chercheurs en sécurité de chez Kaspersky sont tombés nez-à-nez sur un malware multi-plateforme qui est capable de fonctionner sur Windows, Mac et Linux. Plutôt facheux. Le malware est entièrement écrit en Java. L’exploit utilisé pour ré-installer le code pirate est connu comme étant un Java exploit (CVE-2013-2465) qui rend la campagne malveillante complètement multi-plateforme. Une fois que le bot a infecté un système, il se copie dans le répertoire personnel de l’utilisateur. Il ajoute des programmes de maniére à ce qu’il démarre automatique au lancement de l’ordinateur. Une fois sa configuration automatisée terminée, le logiciel génère un identifiant unique et en informe son « propriétaire » de pirate. La machine se transforme en zombie. Bilan, le pirate n’a plus qu’à revendre son accès ou l’utiliser plus tard, en communiquant avec son robot, via IRC. Ce bot java sert avant tout dans des attaques de Dénis Distribuées de Services (DDoS). Toutes les machines fonctionnant sous Java 7.21, ainsi que les versions antérieures sont susceptibles d’être vulnérables à cette attaque. (Securlist)

Un nouveau Trojan cible Linux avec un arsenal important

La société Doctor Web a annoncé, il y a quelques jours, la détection d’un nouveau programme malveillant ciblant Linux : Linux.Hanthie. Selon les résultats de l’étude, les spécialistes ont découvert que ce Trojan (aussi connu sous le nom de Hand of Thief) peut exécuter beaucoup de fonctions, ainsi que cacher sa présence dans le système. Aujourd’hui ce malware est très populaire sur les forums clandestins de hackers où les pirates le vendent souvent. Linux.Hanthie est lié aux bots des familles FormGrabber et BackDoor ciblant le système d’exploitation Linux, et dispose de mécanismes anti détection ainsi que d’un démarrage masqué qui ne nécessite pas de privilèges administrateur. Il utilise un chiffrement fort pour la communication avec l’interface de commande (256-bit). La configuration flexible du bot est possible via le fichier de configuration.

Après son lancement, le Trojan bloque l’accès aux adresses depuis lesquelles les mises à jour logicielles ou les logiciels antivirus sont téléchargés. Ce Trojan est capable de se soustraire à l’analyse antivirus et de s’exécuter dans des environnements isolés et virtuels. Cette version de Linux.Hanthie ne possède pas de mécanismes d’auto réplication, c’est pourquoi ses développeurs conseillent de le distribuer en utilisant les moyens de l’ingénierie sociale. Ce Trojan est compatible avec les distributions Linux (dont Ubuntu, Fedora et Debian) et avec huit types d’environnements de bureau, par exemple, GNOME et KDE.

Après le démarrage du Trojan, l’installateur masque sa présence dans le système et détecte les machines virtuelles. Ensuite, Linux.Hanthie s’installe dans le système en créant un fichier d’auto démarrage et en plaçant une copie de réserve de lui-même dans l’un des dossiers sur le disque. Dans le dossier des fichiers temporaires, il crée une bibliothèque exécutable, qu’il essaie d’intégrer dans tous les processus en cours. En cas d’échec, Linux.Hanthie lance un nouveau fichier exécutable depuis un dossier temporaire responsable de la connexion avec le serveur de gestion et supprime sa version originale.

Le Trojan comprend plusieurs modules fonctionnels : l’un d’eux, qui représente une bibliothèque, exécute des fonctions malveillantes. Ce module injecte un grabber dans les navigateurs Mozilla Firefox, Google Chrome, Opera, ainsi que Chromiim et Ice Weasel (développés uniquement pour Linux). Ce grabber permet d’intercepter les sessions HTTP et HTTPS et d’envoyer des données entrées par l’utilisateur aux malfaiteurs. Cette bibliothèque peut également remplir la fonction de backdoor. Le trafic, lors du transfert des données entre le logiciel et le serveur de gestion, est crypté.

Le Trojan comprend d’autres fonctions. Par exemple, via la commande socks, il lance sur la machine infectée un serveur proxy ; via la commande bind, il lance un script pour écouter le port ; par la commande bc, il se connecte à un serveur ; par la commande update, il télécharge et installe une nouvelle version ; par la commande rm, il se supprime. Un autre module permet au Trojan de réaliser des fonctionnalités limitées sans effectuer d’injections de code.

Forums Ubuntu piratée

Le site hébergeant les forums Ubuntu ont été piraté ce samedi. Canonical IS vient de diffuser un message à ses membres et a fermé les forums. Les pirates ont mis la main sur a base de données et les informations permettant aux inscrits de se connecter aux Ubuntu Forums. Identifiants, mot de passe et emails ont été volés. Ubuntu est un système d’exploitation Linux, sous Debian.  Voici le message diffusé par la société Canonical :

 

Ubuntu Forums is down for maintenance

There has been a security breach on the Ubuntu Forums. The Canonical IS team is working hard as we speak to restore normal operations. This page will be updated regularly with progress reports.

What we know

  • Unfortunately the attackers have gotten every user’s local username, password, and email address from the Ubuntu Forums database.
  • The passwords are not stored in plain text. However, if you were using the same password as your Ubuntu Forums one on another service (such as email), you are strongly encouraged to change the password on the other service ASAP.
  • Ubuntu One, Launchpad and other Ubuntu/Canonical services are NOT affected by the breach.

Progress report

  • 2013-07-20 2011UTC: Reports of defacement
  • 2013-07-20 2015UTC: Site taken down, this splash page put in place while investigation continues.

Se protéger de la cyber surveillance

Un ancien fonctionnaire de la CIA, officiant pour la NSA, révèle l’existence de PRISM, un espion numérique. Voici comment combattre cet espionnage. Vous avez très certainement dû lire les « révélations » d’un ancien agent de la CIA, Edward Snowden, expliquant que les grandes oreilles de l’Oncle Sam avaient mises en place, avec l’aide de Microsoft, Yahoo!, Google, Facebook, PalTalk, Youtube, Skype, AOL et Apple, un moyen d’interception de données global. Collecte de fichiers, photos, vidéos, audios, … Des données que peuvent ensuite se partager la NSA, le FBI et le MI6/MI5 Anglais. Vous comprenez mieux pourquoi zataz.com expliquait, il y a peu, le rachat de Skype (Entreprise alors Australienne) par Microsoft. Une collecte de taille, 97 milliards d’informations. Bref, voici avec Prism, le petit frère espion du système Echelon qui avait fait couler pas mal d’encore à la fin des années 90.

Chiffrez vos informations

Pour cela, de nombreux outils vous permettent de protéger vos données et autres contenus. Pour les eMails, passez par EnigMail (http://www.enigmail.org) ; pour l’ensemble de vos données GNU Privacy Guard (http://www.gnupg.org) ; Mailvelope vous permet de chiffrer vos correspondances par webmail (http://www.mailvelope.com) ou encore, via votre navigateur, WebPG (http://webpg.org/) ; couplez à cela des outils d’anonymisation et d’auto destruction de vos fichiers comme avec AnonPaste (http://www.anonpaste.me/anonpaste2/index.php) ou encore PastBay (http://pastebay.com) et FileTea (https://filetea.me) et vous voilà avec de quoi sécuriser votre vie sur la toile. En parlant de webmail (Gmail, Yahoo, …), si vous utilisez un outil de la sorte, pensez à chiffrer vos correspondances. BitMessage (https://bitmessage.org/) et RiseUp feront parfaitement l’affaire. DataSecurityBreach.fr conseille cependant d’utiliser des clients de messagerie. Plus « secure » ! Pour pallier à Outlook ou encore Apple Mail, penchez-vous sur Mozilla Thunderbird (https://www.mozilla.org/en-US/thunderbird/) ou encore iCedove. (http://directory.fsf.org/wiki/Icedove).

Vos « surfs »

les navigateurs alternatifs ne sont pas légions. Oubliez donc, à en croire l’ex 007, Safari, Chrome et Internet Explorer. Passez vers Firefox, le navigateur Open Source de Mozilla et le chiffrement proposé par l’outil TOR. Ce dernier propose d’ailleurs un navigateur chiffré et à la navigation anonyme. Petit bémol pour Firefox, comme l’indique le document lié à la politique de confidentialité de Firefox, plusieurs données sont collectées. En ce qui concerne les recherches sur Internet, oubliez Google Search, Yahoo! Search et Bing de Microsoft. Passez vers DuckDuckGo (https://duckduckgo.com/), StartPage (https://startpage.com/) ou encore Yacy (http://www.yacy.net/). Nous ne proposerons pas de solutions pour le Cloud. Si vous utilisez un tel service, pensez à chiffrer vos sauvegardes. Pour les amateurs de messagerie instantanée, oubliez Whats App Messenger, Yahoo! et autre Google Talk. RetroShare (http://retroshare.sourceforge.net) est parfait.

Vous pouvez aussi vous pencher sur l’application Firefox Cryptocat. Utilisateurs de smartphone, Android permet d’installer des outils qui sécuriseront vos appels comme le montre l’émission du mois de mai de ZATAZWeb.tv. TextSecure (https://whispersystems.org/#encrypted_texts) permet de sécuriser SMS et MMS. Les clés USB, aussi, peuvent se sécuriser, comme cette possibilité biométrique chiffrée présentée sur Data Security Breach. Pour les utilisateurs des outils de la grosse pomme, un Cat sécurisé/crypté est proposé avec ChatSecure (https://chatsecure.org) et le surf sans trace avec Onion Browser (https://mike.tig.as/onionbrowser).

Bref, prévenir les actes d’attentats, ok. 62% des américains estimeraient selon une étude récente (Le Monde) que les écoutes téléphoniques sont importantes pour lutter contre les terroristes ; 45 % veulent que le gouvernement aille plus loin dans ses « enquêtes ». Que ces américains se réjouissent, c’est en cours !

Cracker 350 milliards de mots de passe par seconde

Un chercheur en informatique met en place un ordinateur capable de cracker 350 milliards de mot de passe par seconde.

Voilà un « crack jack » dès plus efficace. Imaginez ! Cinq serveurs, qui composent un cluster, capable d’égrainer des milliards de mots de passe en une fraction de seconde. Plus exactement, 350 milliards de mot de passe à la seconde.

Jeremi Gosney, le fondateur et PDG de Stricture Consulting Group a exposé son monstre, en Norvège, la semaine dernière, lors du Passwords 12 conference d’Oslo. Bilan, les possibilités de sécurité par mot de passe d’un Windows utilisant l’algorithme cryptographique NTLM (Il est inclus dans toutes les versions de Windows depuis Server 2003) ne tiendront pas 6 heures.

La machine est constituée de 5 serveurs et de 25 cartes graphiques AMD Radeon. Par conséquent, la machine peut essayer une étonnante combinaisons qui, en seulement 5.5 heures, est assez forte pour casser un mot de passe de huit caractères, contenant lettres majuscules, minuscules, des chiffres et des symboles. La solution hardware est secondée par le couteau Suisse dédié aux mots de passe ocl hash cat.