Archives de catégorie : Mise à jour

Fin du support pour Windows Server 2003 : il faut agir d’urgence

La fin est imminente: le support de Windows Server 2003 par Microsoft se terminera mi-2015. Par conséquent, les entreprises ne disposent plus que de 286 jours pour migrer vers un nouveau système d’exploitation de serveur et concevoir une infrastructure fiable pour l’avenir. transtec voit à cet égard principalement deux solutions envisageables : le remplacement physique des serveurs et la virtualisation.

À partir du 15 juillet 2015, Microsoft ne mettra plus à disposition de nouvelle mise à jour, ni de patchs de sécurité ou de hotfix, que ce soit pour les éditions de Windows Server 2003, Windows Server 2003 R2 ou pour Microsoft Small Business Server (SBS) 2003. Si une entreprise continue alors à miser sur ces systèmes d’exploitation, le risque de perte de données dues à des Hackers ou des virus est quasiment programmé d’avance.

 » C’est justement dans de nombreuses petites et moyennes entreprises que Windows Server 2003 continue à être utilisé. C’est là qu’il est extrêmement urgent d’agir, ne fût-ce que pour respecter les exigences légales et réglementaires, les directives de conformité et les règles internes de sécurité « , explique Michael Hohl, responsable  » Datacenter Solutions  » de la société transtec.  » Presque 300 jours pour introduire un système d’exploitation actualisé semblent certes représenter beaucoup de temps, mais  même Microsoft part du principe que la durée moyenne d’une migration est supérieure à
200 jours. « 

De manière générale, il y a une chose qu’on ne peut pas perdre de vue, c’est que dans la migration, il ne s’agit pas seulement du remplacement d’un système d’exploitation. Le paysage des applications est au moins tout aussi complexe et problématique, car celles-ci ne sont souvent pas compatibles 64 bits et fréquemment, les éditeurs de logiciels ne proposent plus aucune assistance.

Concrètement, transtec voit pour les entreprises deux solutions possibles pour introduire un système d’exploitation actualisé : l’acquisition de nouveaux matériels ou la mise en oeuvre d’une virtualisation des serveurs. transtec propose des solutions adaptées aux deux variantes: d’une part des serveurs complètement intégrés en tant que solution autonome, se composant du matériel et des logiciels sous licence OEM, et d’autre part des bundles hyper-V préconfigurés.

Selon transtec, un système d’exploitation actuel tel que Windows Server 2012 R2 offre de nombreux avantages auxquels les entreprises ne devraient plus renoncer à l’avenir. transtec cite à cet égard :

– la construction aisée d’un serveur de fichiers scale-out de haute performance et d’une grande fiabilité avec les fonctionnalités natives de Windows.
– la possibilité de réalisation d’une solution étendue Terminal Server l’hyperviseur  » hyper-V  » offrant des fonctionnalités de haut niveau est gratuitement inclus dans le prix de la licence
– l’évolution facile vers un cluster de haute disponibilité.
– la possibilité d’intégrer des machines virtuelles avec des systèmes d’exploitation Linux.
– l’automatisation des travaux de maintenance grâce aux outils intégrés
– l’intégration dans des outils d’administration comme Microsoft System Center.

Sans oublier qu’une entreprise avec un nouveau système d’exploitation est parfaitement préparée pour une mise en oeuvre future de modèles Cloud, par exemple d’un Cloud hybride, avec utilisation d’un Cloud privé dans son propre Datacenter et d’un Cloud public.

Les attaques visant les applications Web se multiplient

Applications de vente en ligne, sites hébergeant des données de consommateurs ainsi que WordPress sont aujourd’hui les principales cibles de ce type d’attaque.

Imperva, spécialiste en solutions de sécurité informatique, a publié les résultats de sa cinquième enquête annuelle consacrée aux attaques visant les applications Web (Webannuel Report Application Attack : WAAR). Réalisé par l’Application Defense Center(ADC), la cellule de recherche d’Imperva, ce rapport analyse un échantillon de 99 applications protégées par le pare-feu applicatif Web d’Imperva(WAF) sur une période de neuf mois (du 1er Août 2013 au 30 Avril 2014). Les principaux enseignements de cette édition font état d’une augmentation significative du trafic malveillant (dont on notait déjà l’explosion dans le précédent rapport), ils révèlent que les applications de vente en ligne sont les plus sensibles pour ce type d’attaque et que WordPress est l’application la plus attaquée. Enfin, les États-Unis se distinguent comme le pays d’origine de la majorité du trafic des attaques d’applications Web dans le monde.

Ce cinquième rapport témoigne d’une augmentation de 10% des attaques par SQL injection (SQLI), ainsi que d’une hausse de 24% des attaques par inclusion de fichier à distance (RFI). L’équipe de recherche de l’ADC a de plus constaté que la durée des attaques s’est considérablement prolongée ; Leur durée s’est en effet allongée de 44% par rapport au précédent rapport WAAR.

48,1% des campagnes d’attaque visent les applications de vente en ligne, suivie par les institutions financières qui représentent 10% des attaques.     Les sites conçus sous WordPress ont subit 24,1% d’attaques en plus que les sites Web qui utilisent d’autres systèmes de gestion de contenu (CMS), on observe également que WordPress souffre davantage (60% de plus) d’incidents de Cross Site Scripting (XSS) que les autres sites. Les applications PHP subissent trois fois plus d’attaques XSS que les applications .NET. Les sites Web qui ont une fonctionnalité « log-in », et qui contiennent par conséquent des données spécifiques aux consommateurs, représentent 59% de toutes les attaques, et 63% des injections SQL.

« Après des années à analyser les attaques de données ainsi que leurs origines, le rapport de cette année indique que les hackers quelque soient leur pays d’origine hébergent leurs attaques aux Etats-Unis afin d’être géographiquement plus proche de leurs cibles. Cela explique pourquoi les États-Unis génèrent la majorité du trafic mondial des attaques d’applications web », indique Amichai Shulman, Directeur de la technologie chez Imperva à Datasecuritybreach.fr. « En regardant de plus près d’autres sources d’attaques, nous nous sommes aperçus que les infrastructures-as-a-Service (IaaS) étaient de plus en plus utilisées par les hackers. Pour exemple, 20% des tentatives d’exploitation de vulnérabilités connues proviennent d’ Amazon Web Services. Mais ce n’est pas le seul; car le phénomène se développe et les autres fournisseurs de ce type d’infrastructures (IaaS) doivent être particulièrement vigilants quant à la compromission de leurs serveurs. Les hackers ne sont pas sélectifs quand il s’agit d’atteindre un Data Center ».

Cisco dévoile le premier Next-Generation Firewall du marché centré sur la menace

Cisco ASA avec la technologie FirePOWER réunit les fonctionnalités d’un firewall reconnu sur le marché avec le Next-Generation IPS et la protection contre les malwares avancés (Advanced Malware Protection – AMP) de Sourcefire pour une défense centrée sur la menace.

Avec l’introduction du premier Next-Generation Firewall (NGFW) du marché centré sur la menace, Cisco change la manière dont les entreprises peuvent se protéger contre les menaces ciblées. Cisco® ASA avec la technologie FirePOWER offre une connaissance du contexte complète et les contrôles dynamiques nécessaires pour détecter les menaces en continu, corréler les informations obtenues et optimiser les défenses pour protéger les réseaux. En intégrant la gamme de firewalls Cisco ASA 5500 X Séries disposant du contrôle applicatif avec le Next-Generation Intrusion Prevention System (NGIPS) et l’Advanced Malware Protection (AMP) de Sourcefire®, Cisco fournit une défense centrée sur la menace au travers du continuum d’attaque – avant, pendant et après une attaque.

Cisco ASA avec la technologie FirePower est un NGFW adaptatif et centré sur la menace qui délivre une protection multicouche supérieure, étendant les capacités bien au-delà des solutions NGFW classiques. Jusqu’à présent, les NGFW étaient concentrés sur la politique de sécurité et le contrôle des applications, et ne permettaient  pas de faire face aux menaces ciblées et aux attaques zero-day. Cisco ASA avec la technologie FirePOWER change cela, avec une approche axée sur la visibilité, centrée sur la menace et basée sur une plateforme unique :

–    Axée sur la visibilité en délivrant une connaissance du contexte complète des utilisateurs, des périphériques mobiles, des applications côté client, des communications machine-to-machine virtuelles, des vulnérabilités, des menaces, des adresses URL, etc. Cette approche adaptée aux besoins de l’entreprise fournit aux utilisateurs des tableaux de bord et des rapports détaillés sur les hôtes découverts, les applications suspectes, les menaces et des indicateurs de compromission pour une visibilité complète.

–    Centrée sur la menace en intégrant le principal NGIPS du marché pour une protection complète contre les menaces connues et ciblées, ainsi que AMP pour lutter contre les attaques zero-day et les menaces persistantes. Les analyses des données (Big Data), l’analyse en continu et Cisco Collective Security Intelligence (CSI) travaillent ensemble pour assurer les fonctionnalités de détection, de blocage, de suivi, d’analyse et de remise en état du réseau pour protéger l’entreprise contre le spectre complet des attaques, connues et inconnues.

–    Basée sur une plateforme unique : Cisco ASA avec la technologie FirePOWER associe, dans un seul outil, des fonctionnalités de firewall et de contrôle applicatif, des fonctionnalités NGIPS, de détection des menaces ciblées et de remise en état du réseau. Cette intégration offre aux entreprises une meilleure protection, tout en réduisant les coûts d’exploitation et la complexité du système d’information. Cette nouvelle solution simplifie également l’architecture de sécurité de l’entreprise et réduit son empreinte réseau avec moins d’outils de sécurité à gérer et à déployer avec un système d’abonnement sous la forme de licence pour étendre les fonctionnalités.

Compte tenu de la pression concurrentielle et de l’environnement très évolutif des menaces, l’approche de l’entreprise, pour réduire le temps entre l’attaque et la remise en état du réseau, doit être centrée sur la menace. Avec une préoccupation croissante des équipes dirigeantes, notamment par rapport aux risques liés à la propriété industrielle et intellectuelle, et au vol potentiel des données client et de sa perte de confiance, les entreprises ont besoin d’une large couverture – pour protéger tous les vecteurs d’attaque potentiels – qui puisse rapidement s’adapter et tirer parti des nouvelles techniques d’attaque, puis intégrer l’information pour se protéger elles-mêmes. Cisco ASA avec la technologie FirePOWER fournit cette défense centrée sur la menace qui aide réellement les entreprises à faire face à leurs plus gros risques en matière de sécurité – les menaces ciblées et les attaques zero-day.

Cisco ASA avec la technologie FirePOWER offre une visibilité supérieure et une analyse en continu pour détecter les menaces avancées et multi vectorielles, rationalise et automatise la remise en état du réseau face aux malwares connus et inconnus. Il offre également des indicateurs de compromission (IoC) globaux et concrets qui accélèrent la phase d’investigation sur la menace et la restauration rétrospective, ainsi que la portée de la réponse aux incidents intégrée et des mises à jour de la politique de détection automatiques.

Toutes ces innovations sont supportées par un firewall stateful, un VPN, un cluster avancé et une couche applicative complète prévus pour l’entreprise, et des contrôles basés sur le risque qui fournissent des politiques de détection de la menace grâce à un NGIPS pour optimiser l’efficacité de la sécurité. L’intégration avec les outils open source Snort, OpenAppID et ClamAV permet en outre aux clients de facilement personnaliser leur sécurité pour faire face aux nouvelles menaces et aux applications spécifiques aussi rapidement que possible.

Les entreprises peuvent profiter des avantages de l’introduction de cette technologie de deux façons :
–    Cisco ASA avec la technologie FirePOWER : les clients peuvent acheter les firewalls ASA 5500-X Series et ASA 5585-X Series avec une licence FirePOWER,
–    FirePOWER pour Cisco ASA : les clients peuvent activer la technologie FirePOWER sur les firewalls ASA 5500-X Series et ASA 5585-X Series existants.

Cisco, avec ses partenaires, fournit également des services de sécurité techniques pour aider les entreprises à accélérer la migration de leurs environnements de sécurité actuels vers une défense centrée sur la menace avec Cisco ASA et la technologie FirePOWER. Grâce à son expertise, des processus et des outils éprouvés, ainsi que la disponibilité de ressources mondiales, les équipes de sécurité de Cisco aident les entreprises à migrer rapidement et avec un minimum de perturbations.

« Dans le climat actuel où règnent le piratage industrialisé et le cybercrime professionnel, nous sommes entrés dans une ère où les solutions NGFW existantes ne suffisent plus pour arrêter les hackers », explique Christopher Young, Senior Vice Président, Security Business Group de Cisco. « Aujourd’hui, plus que jamais, les entreprises doivent être en mesure de mettre en œuvre des contrôles dynamiques pour gérer le rythme du changement de leurs environnements et faire face aux attaques ciblées. Cisco ASA avec la technologie FirePOWER est une étape majeure pour le marché du NGFW, donnant aux entreprises la possibilité de renforcer leur protection – du data center, au réseau, en passant par les postes de travail – avec l’agilité nécessaire pour identifier, comprendre et arrêter les menaces ciblées en temps réel et rétrospectivement ».

Le pionnier de la cybersécurité automobile Argus lève 4 millions de dollars

Argus Cyber Security, un pionnier de la cybersécurité automobile, a annoncé avoir levé 4 millions de dollars lors d’un premier tour de table. Le tour de table comprenait Magma Venture Partners et Vertex Venture Capital, deux fonds de capital-risque de premier plan, ainsi qu’un groupe d’investisseurs renommés, dont M. Zohar Zisapel.

Les voitures devenant connectées à Internet et aux appareils externes tels que les smartphones, les clés intelligentes, les outils de diagnostic et les autres véhicules, elles sont de plus en plus vulnérables aux cyber-attaques. Ces intrusions malveillantes peuvent compromettre les unités de commande électronique d’un véhicule (ECU), permettant la manipulation du moteur, des freins et des airbags d’une voiture ainsi que d’autres systèmes de sécurité ou composants du véhicule.

Argus propose à l’industrie automobile un système de prévention d’intrusion (IPS) unique, reposant sur des algorithmes brevetés d’inspection de paquets en profondeur (DPI). Il empêche le piratage en temps réel des composants essentiels d’un véhicule et s’intègre de façon transparente à toutes les chaînes de production automobiles. L’IPS d’Argus génère également des comptes-rendus et des alertes de surveillance à distance de la cyber-santé d’un véhicule.

M. Zisapel, cofondateur de RAD Group, valorisé à 1,2 milliard d’USD, est considéré par beaucoup comme l’un des  » pères fondateurs  » de l’industrie israélienne de la haute technologie. Il a cofondé Argus, dont il est président du conseil d’administration. À l’issue de ce tour de table, M. Ran Achituv, commandité de Magma Venture Partners, et M. Yoram Oron, fondateur et commandité de Vertex Venture Capital, ont intégré le conseil d’administration de l’entreprise.

«  Argus permet aux constructeurs automobiles et à leurs fournisseurs de promouvoir l’innovation et la connectivité des véhicules en limitant accroissement des risques pour les personnes et les biens. Ceci permet aux fabricants d’éviter les rappels massifs et coûteux « , indique Zohar Zisapel, cofondateur et président du conseil d’administration d’Argus. «  Je suis enthousiasmé d’avoir rejoint une équipe d’experts chevronnés en cybersécurité. Je suis certain qu’Argus comblera les importantes lacunes de sécurité auxquelles l’industrie automobile est confrontée grâce à sa technologie innovante et robuste. « 

Argus Cyber Consulting Services permet aux constructeurs automobiles de détecter les menaces et de trouver les vulnérabilités dans les éléments en réseau de tous les véhicules. En s’appuyant sur les services d’Argus, l’industrie automobile peut adopter une approche proactive pour éliminer les cyber-menaces dans les modèles existants et à venir.

« Dans un monde de voitures connectées, le piratage automobile est un risque inévitable « , précise Ofer Ben-Noon, cofondateur et PDG d’Argus.  » Argus permet à l’industrie automobile de maintenir la sécurité des passagers en tant que priorité maximale et de répondre aux exigences réglementaires  naissantes de la cybersécurité. Avec la croissance rapide de la demande et des opportunités commerciales, nous utiliserons les fonds investis pour étendre notre offre de produits et notre présence sur le marché. »

Yahoo! piraté via la faille Bash ?

La faille Bash Bug, annonçait la semaine dernière comme particulièrement grave, aurait été exploitée contre les géants de l’Internet Yahoo! et Lycos.

Un Bash est une commande qui se trouve sur l’OS Unix et qui autorise les utilisateurs à entrer un ordre sous forme de texte convertit en commande, à laquelle l’OS répondra. Il est présent sur Linux et MAC OS (OS X). Bash a été créé voilà 25 ans. Une faille de taille, baptisée Bash Bug ou encore Shellshock, a été découverte dans ce dernier en septembre. Sa dangerosité est comparée à la faille Heartbleed. Voilà quelques jours, un chercheur en sécurité informatique, Johnathan D. Hall, il est le responsable de Future South Technologies, a annoncé avoir découvert que des pirates avaient trouvé le moyen d’exploiter Bash Bug sur deux serveurs de Yahoo! (api118.sports.gq1.yahoo.com et dip4.gq1.yahoo.com). Il a découvert un chan IRC qui diffusait des serveurs faillibles au Bash Bug. Des serveurs mis à jour à partir de scripts malveillants cachés sur le web, dont un sur le site de la société WinZip Computing, la même qui produit le logiciel de compression WinZip. Yahoo a confirmé l’intrusion et enquête pour connaitre son importance. Yahoo! indique cependant que les pirates auraient exploité une autre faille.

Bash Bug plus grave que prévue ?
Cette vulnérabilité pourrait avoir des répercussions bien plus graves et importantes que Heartbleed. Ce dernier permettait « uniquement » à un pirate de voler des données via un processeur d’authentification (SSl/TLS). BashBug permet à des malveillants d’exécuter arbitrairement des commandes grâce à cette faille de sécurité. Ce qui est bien plus dangereux que de voler des données et réaliser des attaques sophistiquées. BashBug a la capacité de pénétrer le réseau de n’importe quelle entreprise, alors que Heartbleed organisait des attaques « aléatoires ». Le hacker devait faire plusieurs tentatives, au hasard, avant d’accéder à un serveur contenant des données ayant une valeur. BashBug est une faille beaucoup plus « agressive ». Dès qu’une cible est identifiée et vulnérable, une simple commande suffit pour exécuter un ordre malveillant. Avec Heartbleed, il était clair pour l’opinion publique que les données sensibles des utilisateurs est un enjeu, alors que l’impact du Shellshock pour n’importe quel utilisateur est encore flou. Shellshock est une faille « technique » qui préoccupera davantage la communauté Technique. De plus, il n’est pas aisé de détecter quelles applications utilisent Bash.

Les différentes cibles de BashBug
Pour les entreprises, la plus grande menace est si vos serveurs sont opérés par Linux. Aujourd’hui c’est un standard de sécurité pour les entreprises de séparer leurs serveurs web de ceux qui contiennent des données sensibles, ce qui diminue significativement les risques d’intrusion via la faille Bash. Ces serveurs ont beaucoup d’autres mécanismes de défenses qui préviennent contre les attaques de BashBug.

Pour les particuliers, Heartbleed a représenté un risque potentiellement élevé et immédiat pour les particuliers, car les données bancaires et mots de passe statiques pouvaient être interceptés par les pirates. Dans le cas de la faille Bash, il est peu probable que les hackers s’attaquent à de simples ordinateurs à usage privé, car il existe des méthodes d’attaque bien plus puissantes, déjà utilisées et à grande échelle. Il s’agit notamment des attaques de type phishing, malware ou encore social engineering.

Bash Bug : mesures urgentes et nécessaires pour les entreprises

Bash Bug ou ShellShock : voilà le nom de la nouvelle faille de sécurité qui vient d’être découverte au sein du programme Bash, un interpréteur en ligne de commande présent sur plusieurs systèmes Linux mais aussi Unix et OS X.

Cette vulnérabilité serait générée par l’exécution d’un code malicieux permettant de prendre le contrôle du système d’exploitation et de ce fait, d’accéder à toutes les données stockées sur les différents équipements. Des rapports avancent que de nombreux programmes exécutent le shell Bash en tâche de fond et que l’attaque est déclenchée dès que le code supplémentaire est ajouté au code Bash. Bien qu’elle vienne tout juste d’être identifiée, la faille serait du même niveau de gravité que Heartbleed révélée en avril dernier, ce qui signifie qu’un très grand nombre de systèmes et d’appareils vont très probablement être touchés.

Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, a fait les commentaires suivants : « Les entreprises vont devoir réagir et prendre les mesures nécessaires rapidement face à cette nouvelle attaque car il semblerait que de très nombreux appareils connectés soient exposés à d’importants risques. Si la faille est exploitée par les hackers, ils auront une longueur d’avance pour récupérer les données sensibles et confidentielles, mettre la main sur tout type d’information, des identifiants en passant par les mots de passe ou encore les données bancaires et personnelles. Il est clair que les conséquences d’une telle attaque peuvent être très graves et un nombre considérable d’individus et d’organisations sont susceptibles d’être touchés. »

$ env x='() { :;}; echo vulnerable’  bash -c « echo this is a test »

Alors que les antivirus et les firewalls sont les logiciels de base utilisés par les entreprises pour assurer leur sécurité informatique, ils ne suffiront pas pour arrêter les pirates et pour lutter contre cette cyberattaque. Ainsi, aujourd’hui plus que jamais, il est nécessaire que les organisations adoptent des solutions de sécurité complémentaires pour limiter des dommages qu’une telle faille peut engendrer. Une mesure efficace pour protéger ses ressources serait la mise en place d’outils permettant de fournir une visibilité complète de l’activité réseau. Non seulement les entreprises peuvent mettre ces solutions en place relativement rapidement, un enjeu majeur en raison du contexte, mais elles peuvent également bénéficier d’alertes en temps réel en cas d’activité anormale. Elles sont dès lors en mesure de réagir et de remédier aux éventuelles menaces immédiatement, avant que les conséquences ne soient trop lourdes.

Les cyberattaques contre les entreprises deviennent de plus en plus fréquentes et il n’y a aujourd’hui rien qui excuse les organisations de ne pas disposer des moyens de défense adéquats pour y faire face. Il est encore difficile de savoir si cette faille baptisée Bash Bug ou ShellShock peut être entièrement corrigée dans la mesure où de nombreux appareils considérés comme anciens ne pourront pas recevoir de patchs de sécurité. Dans ce cas, les organisations doivent se protéger du mieux qu’elles le peuvent en utilisant des outils qui leur permettront d’avoir une visibilité accrue de ce qu’il se passe sur leur réseau en temps réel. Aujourd’hui, la question n’est plus de savoir si une entreprise sera attaquée mais quand, et si les mesures nécessaires ne sont pas prises pour remédier à ce Bash Bug, cela se produira encore plus rapidement.

Microsoft a décidé de faire la guerre aux applications malveillantes

Pour faire face à la concurrence d’iTunes et PlayStore, qui proposent des centaines de milliers d’applications, Microsoft a décidé de proposer du qualitatif dans sa propre boutique d’APP (400.000 logiciels) en contrôlant toutes les applications proposées à utilisateurs d’un Windows Phone/Tablette.

Parmi les obligations mises en place par le géant américain, imposer une explication claire et précise des actions du logiciel proposé dans le store de Microsoft. Les catégories utilisées devront être celles dédiées et l’icône ne devra plus reprendre une marque ou un logo d’une entreprise connue (Twitter, Facebook, …). La société de Redmond a déjà banni 1.500 applis. A noter que seule Microsoft propose une application Facebook pour ses téléphones, autant dire que les petits malins se sont empressés de viser le portail communautaire.

Faille pour le plugin WPtouch

Des chercheurs de chez Securir, qui avaient déjà mis la main sur plusieurs autres failles visant des applications WordPress, viennent de tirer la sonnette d’alarme à l’intention des administrateurs de sites web sous WordPress, et plus précisément aux utilisateurs du plugin WPTouch.

Cette application permet aux sites web de proposer une version pour mobile. La faille permet à n’importe quel internaute inscrit et enregistré sur le WordPress faillible d’injecter une backdoor, un shell, qui permet ensuite de manipuler le site et le serveur (selon les autorisations, NDLR) au bon vouloir du pirate. Sur les 73 millions de sites web sous WordPress dans le monde, 5,7 millions utilisent WPtouch. Autant dire un sacré vivier pour les pirates. Securir indique qu’une mise à jour du Plugin est plus que conseillé.

Les ampoules connectées peuvent être piratées

Le piratage d’objets connectés, voilà une petite finesse du high tech qui commence à être particulièrement récurrente.

Après la possibilité d’intercepter les connexions des frigos connectés, des télévision, de certains thermomètres, voici que les ampoules wifi, peuvent passer par la case « piratage ». C’est le journal Hacker News qui revient sur cette possibilité découverte par des chercheurs britanniques de la société Context. Les failles de sécurité ont trouvées dans les ampoules LIFX Smart light bulbs. De grosses ampoules qui peuvent être contrôlées par un smartphone ou une tablette sous iOS et Android.

Le problème se situe dans le manque de chiffrement des informations transmises en l’ampoule et le wifi. Normalement, l’ampoule exploite son propre réseau (protocole 6LoWPAN). Sauf que les hackers de chez Context ont trouvé le moyen de déchiffrer les données et de les réutiliser. Bilan, Alex Chapman de chez Context nous confirme qu’un pirate pourrait se servir de cette passerelle lumineuse, sur une distance approximative (et sans mur) de 30 mètres. Depuis, la société a corrigé les ampoules mises sur le marché. Autant dire que si vous achetez ce genre de produit, assurez-vous qu’elles ont été fabriquées après le 4 juillet 2014.

Avant, la sécurité du produit, et de votre connexion, ne sera pas garantie à moins que vous pensiez à mettre à jour le firmware de votre ampoule. LIFX est une jeune start-up qui a mené une campagne de collecte de fonds en 2012, via Kickstarter. L’entreprise demandait 100.000 dollars, elle va en recueillir 13 fois plus (1,3 millions de dollars).

Grosses mises à jour Microsoft et Adobe

Microsoft a publié ce 8 juillet six bulletins pour des vulnérabilités qui affectent toutes les versions d’Internet Explorer, de Windows ainsi que des composants pour serveur. Deux vulnérabilités sont considérées comme « critiques » car elles autorisent l’exécution de codes à distance (RCE), tandis que trois sont signalées comme « importantes » dans la mesure où elles autorisent une élévation de privilèges internes sur Windows.

Le patch le plus critique est le bulletin 1. Il concerne toutes les versions d’Internet Explorer (IE) depuis la version 6 du navigateur, désormais uniquement prise en charge sur Windows Server 2003 depuis l’arrêt du support de XP, jusqu’à la toute dernière version IE 11 sur Windows 8.1 et R. Ce patch doit être une priorité pour vous car la plupart des attaques s’appuient d’une manière ou d’une autre sur votre navigateur Web. Les derniers chiffres publiés dans le rapport Microsoft SIR v16 démontrent clairement que les attaques Web, notamment via Java et Adobe Flash, sont les plus courantes.

Le bulletin 2 est une mise à jour critique pour Windows. Toutes les versions de Vista, Windows 7, 8 et RT pour poste de travail sont concernées. Concernant l’aspect serveur, toutes les versions sauf la plus ancienne, Windows Server 2003, sont affectées. La mise à jour imposera de réinitialiser le système, un paramètre à inclure dans votre planning, plus particulièrement côté serveur.

Les bulletins 3, 4 et 5 traitent de vulnérabilités liées à des élévations de privilèges dans Windows. Toutes les versions de Windows sont concernées. Il s’agit de vulnérabilités locales qui ne permettent pas d’exécuter du code à distance via le réseau, mais qui imposent à l’attaquant d’être déjà présent sur la machine ciblée en tant qu’utilisateur normal ou standard. Les exploits pour ces types de vulnérabilités font partie de la boîte à outils de tout pirate qui a obtenu un compte sur la machine ciblée, après avoir subtilisé des certificats. Dans tous les cas de figure, l’attaquant souhaitera pouvoir contrôler la machine en permanence et, pour ce faire, il devra devenir administrateur de cette dernière afin d’y installer son code de contrôle malveillant. C’est à ce moment que ces vulnérabilités entrent en jeu. Nous estimons donc que résoudre ces dernières est une priorité absolue pour contrarier ou ralentir les attaquants installés sur la machine ciblée.

Enfin, le bulletin 6 traite une vulnérabilité par déni de service (DoS) dans le Service Bus de Windows. Le Service Bus est un tout nouveau composant de Windows utilisé dans l’environnement Windows Azure pour développer des applications hétérogènes. Selon nos estimations, rares sont les entreprises qui ont installé ce composant. Sur Azure, Microsoft se charge de déployer le correctif à votre place.

Courant juillet, Oracle publiera sa mise à jour des patchs critiques (CPU). Elle devrait être diffusée le 15 juillet et fournir des correctifs pour des centaines de vulnérabilités. La pertinence de ces patchs pour votre entreprise dépend de votre inventaire logiciel, mais, dans tous les cas, la mise à jour de Java sera incontournable pour la plupart des entreprises.

Même chose pour ADOBE. Il est d’ailleurs conseillé de se rendre sur le site afin de mettre à jour rapidement l’outil Flash Player. Une mise à jour d’Adobe Flash indispensable. Passez rapidement vers la version 14.0.0.145 qui tourne sur les systèmes Windows, Mac et Linux. Voyez le site ADOBE pour connaitre votre version de flash installée. (avec Wolfgang Kandek, CTO Qualys)

Google ne protège toujours pas Gmail pour iOS

Vous avez un iPhone, un iPad ? Vous utilisez le service webmail de Google gMail ? Vous allez être heureux d’apprendre que le géant américain n’a toujours pas corrigé la faille qui permet d’intercepter les données qui transitent entre votre précieux et gMail.

L’alerte avait été lancée en février dernier par la société Lacoon Mobile Security. A l’époque, l’entreprise expliquait déjà que Google n’avait pas sécurisé les transmissions entre l’internaute et gMail. Bilan, il était possible de lire et modifier les communications normalement chiffrées. Etonnament, la faille a été corrigée sur Android, mais l’américain a « oublié » de faire de même pour les produits d’Apple. Bref, un pirate se mettant entre vous et la connexion, via une connexion wifi « gratuite » par exemple, n’aura aucun mal à intercepter et utiliser votre compte gMail. En attendant un correction, il est fortement déconseillé d’utiliser les applications gMail via une machine commercialisée par la grosse pomme.

OPEN SSL : 49% des serveurs vulnérables et 14% exploitables

OpenSSL a publié un avis consultatif détaillant un certain nombre de difficultés sérieuses.

La vulnérabilité CVE-2014-0224 sera la plus problématique pour la plupart des déploiements car elle peut être exploitée par l’intermédiaire d’une attaque réseau active de type « Man the Middle ». Cette vulnérabilité permet à un attaquant actif sur un réseau d’injecter des messages ChangeCipherSpec (CCS) des deux côtés d’une connexion et de forcer les deux parties à se mettre d’accord sur les clés à utiliser avant que tous les éléments relatifs à la clé ne soient disponibles. Ce qui entraîne la négociation de clés faibles. (Pour en savoir plus sur le sujet, voir l’analyse technique pertinente d’Adam Langley).

Bien que pratiquement toutes les versions d’OpenSSL soient vulnérables, ce problème est exploitable seulement si les deux parties utilisent OpenSSL et (2) si le serveur utilise une version vulnérable d’OpenSSL de la branche 1.0.1. La bonne nouvelle est que la plupart des navigateurs ne s’appuient pas sur OpenSSL, ce qui signifie que la plupart des internautes ne seront pas affectés. Cependant, les navigateurs Android utilisent OpenSSL et sont donc vulnérables à cette attaque. De plus, de nombreux outils en mode ligne de commande et assimilés utilisent OpenSSL. En outre, les produits pour réseaux VPN seront une cible particulièrement intéressante s’ils reposent sur OpenSSL comme c’est le cas pour OpenVPN.

Qualys teste une vérification à distance pour CVE-2014-0224 via SSL Labs. Suite au test qui a permis d’identifier correctement les serveurs vulnérables, Qualys a lancé une analyse sur l’ensemble des données du tableau de bord SSL Pulse. Les résultats indiquent que près de 49% des serveurs sont vulnérables. Environ 14% (de l’ensemble des serveurs) peuvent être victimes d’un exploit parce qu’ils exécutent une version plus récente d’OpenSSL. Les autres systèmes ne sont probablement pas exploitables, mais leur mise à niveau s’impose car il existe probablement d’autres moyens d’exploiter cette vulnérabilité.

Si vous souhaitez tester vos serveurs, la toute dernière version de SSL Labs propose un test de vérification pour la vulnérabilité CVE-2014-0224.

Faille pour TweetDeck

Depuis plusieurs heures, des milliers d’internautes se sont amusés à utiliser une vulnérabilité dans l’outil de conversation en ligne TweetDeck.

Un excellent logiciel au demeurant qui permet de suivre et administrer plusieurs comptes Twitter. La faille, un XSS, a donc été diffusé et largement exploité pour le fun, mais aussi dans des buts largement moins avouables. Une véritable plaie, le code diffusé retweet la faille et envahie donc Twitter et les comptes des utilisateurs ainsi piégés. Cela fait plus de 24 heures que la vulnérabilité est connue publiquement, et Twitter, propriétaire de l’outil n’a pas encore réagi. Attendez-vous à voir Tweetdeck fermer quelques minutes (heures ?) le temps de la mise en place d’un correctif.

Une vague XSS qui pourrait paraître anodine. Le Cross-Site Scripting ne fait que diffuser automatiquement son contenu. Une action qui cache peut-être l’arbre malveillant dans la forêt ! Un pirate serait-il en train de détecter des cibles utilisatrices de TweetDeck. Une veille (un compte Twitter référence les microblogs piégés, voir ci-dessus, Ndlr de DataSecuritybreach.fr) aux intentions malveillantes qui aurait pour but final de lancer une autre attaque, dans les heures/jours à venir ? Action largement plus violente via une faille, un 0day [0Day], voleuse de données; ou d’une préparation pour une cyber manifestation contre la Coupe du Monde 2014 qui débute au Brésil ? A suivre …

104 vulnérabilités corrigées pour Oracle

Le géant américain de la base de données, Oracle, vient de corriger 104 vulnérabilités dans ses logiciels. La dernière mise à jour de sécurité visant les produits Oracle n’aura pas fait dans la demi-mesure. Pas moins de 104 failles, dont certaines critiques, ont été colmatées pour Java SE, Virtual Box, Oracle Fusion, Oracle iLearning, Oracle Siebel CRM, MySQL… 37 patchs, dont 4 critiques, s’attaquent à des problèmes dans Java SE. MySQL se voit gratifié de la correction de deux vulnérabilités critiques. La version Windows permet à un pirate de compromettre l’ensemble du système attaqué. Il faut cependant que le malveillant soit authentifié. Autant dire que les mises à jour sont obligatoires. Il est bon de rappeler l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille est découverte. « Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement. » indique la CNIL.

Faille pour le lecteur Adobe PDF dédié à Android

Les smartphones et tablettes deviennent de véritables nids à problémes. Après les fuites de données via les applications malveillantes, des systèmes de sécurité bancals, voici venir une faille dans un outil que nous aurions pu penser « propre ». Il a été découvert que l’application, pour Android, du logiciel Adobe Reader PDF était faillible à une vulnérabilité qui permet à un pirate de compromettre les documents stockés dans l’appareil et les fichiers stockés sur la carte SD du matos. Le lecteur Adobe exploite du javascript mal sécurisé (pleonasme ? ndr). Le chercheur néerlandais en sécurité Yorick Koster a vérifié avec succès l’existence de la vulnérabilité dans la version 11.1.3 du lecteur Adobe pour Android. Le bug a été corrigé dans la dernière version 11.2.0. Il est donc fortement conseillé de mettre à jour l’outil. Un code de démonstration « poc » est proposé. Il va créer un fichier .txt lorsqu’un utilisateur ouvre un fichier pdf spécialement conçu pour utiliser la version vulnérable d’Adobe Reader.

 

Windows XP sera-t-il la nouvelle aire de jeu des cybercriminels à compter du 8 avril 2014 ?

A partir de ce mardi 8 avril, Microsoft cessera le support de son système d’exploitation Windows XP alors que sa part de marché reste encore élevée (29.53% en février 2014 d’après Net Applications). Quel est l’impact sécuritaire de cette décision ? Concrètement, tous les ordinateurs qui fonctionneront encore sous Windows XP à compter de cette date ne bénéficieront plus des patchs créés contre les failles de sécurité de ce système d’exploitation. Que l’on soit un particulier ou une entreprise, deviendrons-nous la cible privilégiée des cybercriminels à compter du 8 avril 2014 ? Pas si sûr…

Qu’elles soient petites, moyennes ou grandes entreprises, issues du secteur bancaire, industriel ou tertiaire, le 8 avril 2014 préoccupe un certain nombre d’organisations car la fin du support de Windows XP n’est pas qu’une simple question de migration vers un nouveau système d’exploitation. D’autres contraintes comme le coût ou bien l’interruption de services liés à cette migration peuvent être des éléments critiques à prendre en compte pour certaines entreprises.

Prenons l’exemple du secteur bancaire. 95% des distributeurs automatiques de billets (DAB) dans le monde reposent actuellement sur des ordinateurs fonctionnant sous Windows XP. Outre la nécessité d’une interruption de services pour réaliser cette migration, ces ordinateurs ne tolèrent en général pas une version plus récente de Windows. Dans ce cas de figure, impossible de migrer sans changer l’ensemble du matériel informatique et engendrer un coût non négligeable pour les entreprises. Idem pour les environnements industriels dits SCADA comportant des applications métiers spécifiques créées depuis des dizaines d’années et difficiles à migrer.

Une des alternatives envisagées par ces entreprises est de ne rien faire. Seront-elles donc plus vulnérables ? N’en soyez pas si certain ! Il est fréquent qu’une organisation n’effectue pas les correctifs disponibles de l’OS pour éviter toute interruption de leurs services.  En effet, pour ces organisations, l’interruption de services n’est pas uniquement liée à la migration vers un nouvel OS mais est également nécessaire pour toute mise à jour de n’importe quel système d’exploitation. Ces entreprises seront donc autant vulnérables qu’aujourd’hui puisque sans ces correctifs, elles ne sont pas protégées des vulnérabilités actuelles. A l’inverse, d’autres entreprises ont l’habitude de mettre à jour automatiquement leur système d’exploitation, dans ce  cas, elles deviendront plus vulnérables qu’aujourd’hui puisqu’elles ne bénéficieront plus de protection actualisées.

Pour ce qui est des DAB, rassurez-vous, ces distributeurs ne sont pas directement connectés à Internet. Donc le seul moyen pour un cybercriminel de les cibler est d’intervenir sur la machine elle-même (comme par exemple : y introduire un cheval de Troie par le biais d’une clé USB qu’il connecterait au distributeur). Une opération très peu probable car risquée pour les cybercriminels.

Vous l’aurez donc compris la clé pour rester sous Windows XP est de ne pas être connecter à Internet. Sans quoi, il est recommandé de migrer vers un autre système d’exploitation car on peut s’attendre à une recrudescence d’attaques ciblant les prochaines vulnérabilités XP visant à extraire des informations sensibles (informations concurrentielles, numéros de cartes de crédit …). – Par Guillaume Lovet, expert en cybercriminalité au sein de l’équipe FortiGuard Labs de Fortinet.

Le piratage et la cybercriminalité coûteront 491 milliards de dollars en 2014

L’utilisation de logiciels piratés et les cyberattaques criminelles peuvent coûter cher ! D’après le livre blanc « The link between pirated software and cybersecurity breaches », publié pour Microsoft par le cabinet IDC et la National university of Singapore, en 2014 les sociétés dépenseront 491 milliards de dollars (356 milliards d’euros) à cause de programmes malveillants, d’attaques ou de pertes de données. Les entreprises consacreront 127 milliards de dollars à la sécurité et 364 milliards de dollars au traitement des failles de sécurité. A l’origine de près deux tiers de ces dépenses et de pertes, soit 315 milliards de dollars, on trouvera des organisations criminelles. L’Asie, qui compte le plus grand nombre de PC au monde, sera concernée par 40 % de ces dépenses.

Piratage à distance possible des routeurs Cisco Small Business

Une faille de sécurité dans le routeur VPN sans fil Cisco et Cisco pare-feu VPN sans fil permet à un pirate informatique d’accéder à distance au panneau d’administration de l’interface de gestion Web de l’appareil.

Un « bug » gênant pour un matériel que l’on trouve dans certaines PME et PMI. Selon un avis de sécurité, la vulnérabilité est due à la mauvaise manipulation des demandes d’authentification par le framework web. « Un attaquant pourrait exploiter cette vulnérabilité en interceptant, puis en modifiant une demande d’authentification. » Gustavo Javier Speranza, chercheur en sécurité informatique, a découvert le problème qui a été rapporté à Cisco.

Le constructeur américain a publié une mise à jour logicielle pour tous les appareils concernés par cette vulnérabilité. Cisco indique que cette vulnérabilité n’est pas exploitée par des pirates, du moins publiquement. Mais comment leur faire confiance, déjà qu’il n’avait pas repéré la faille. Alors de là à tracer des pirates exploiteurs !

En attendant, il est fortement conseillé de faire la mise à jour du matériel. Il ne le fera pas automatiquement pour vous.

Failles : Accès BDD et à gMail pour Joomla

Si votre site fonctionne sous Joomla 3.2.2, un conseil mettez à jour votre CMS vers la nouvelle version 3.2.3.  Joomla 3.2.3 a été publié, voilà quelques heures, pour permettre la correction de plus de 40 bugs et quatre vulnérabilités de sécurité. L’une des failles en question corrigé une injection SQL. Une vulnérabilité grave qui affecte les versions de 3.1.0 à 3.2.2. Pour rappel, une iSQL permet de mettre la main sur les bases de données qui font tourner un site web. Des données publiques et non publiques (emails, mots de passe, …)

Deux autres failles ont été corrigées, des XSS (Cross Site Scripting). Le dernier « bug » permettait des connexions non autorisées via l’authentification GMail. Vulnérabilité qui affecte les versions 2.5.8 à 3.2.2.

Une correction rapide est conseillée. Data Security Breach a pu constater l’utilisation, par des pirates, d’exploits visant ces failles et les CMS faillibles.

 

Failles pour Internet Explorer et Chrome

Microsoft confronté à une faille dans ses navigateurs 9 et 10. Google en profite pour corriger 29 « bugs » pour Chrome. Les dernières attaques ayant visé des entreprises françaises et étrangères ont mis Microsoft en alerte. Les intrus ont exploité une faille 0Day pour lancer des codes malveillants à partir d’une vulnérabilité visant Internet Explorer 9 et 10. Comme l’indique le CERT FR, la faille permet l’exécution de code arbitraire à distance. Dans l’attente de la publication du correctif, il est recommandé d’appliquer le patch provisoire mis en ligne par Microsoft sur les navigateurs Internet Explorer à jour de leurs derniers correctifs de sécurité. Mission, bloquer la majorité des attaques connues ; de mettre à jour, lorsque cela est possible vers Internet Explorer version 11 (Sous Windows 8, seule la version pro 8.1 accepte IE 11) ; d’installer et de configurer l’outil de sécurité EMET sur les applications sensibles (dont Microsoft Internet Explorer) afin de limiter les risques connus d’exploitation.

Pour Chrome, Google a corrigé 29 possibilités pirates allant de l’exécution de code arbitraire à distance, de déni de service, de contournement de la politique de sécurité ou encore d’atteinte à la confidentialité des données. Bref, des failles très sérieuses qui touchent Google Chrome versions antérieures à 33.0.1750.117.

Snort prend du poil de la bête avec une annonce de Cisco

Cisco, lors du rachat de Snort en 2012, avait annoncé continuer à soutenir les projets Open Source. Le géant américain va annoncer, ce mardi, qu’il mettait les petits plats dans les grands avec la détection et le contrôle d’accès applicatif Open Source via le langage OpenAppID. Une annonce qui va permettre un développement rapide des contrôles applicatifs grâce à la communauté. « OpenAppID permet de donner aux utilisateurs de Sourcefire toute la flexibilité attendue pour gérer la détection d’application, la corrélation temps réel et le contrôle d’accès applicatif (NGFW) sur des applications spécifiques ou sensibles. » explique à Data Security Breach Cyrille Badeau, Directeur Europe du Sud de Sourcefire. En s’appuyant sur la puissance de l’open source et de sa communauté, Cisco annoncera demain mardi qu’elle offrira désormais la possibilité de créer et d’intégrer de nouvelles fonctionnalités d’accès applicatif open source dans son moteur Snort grâce à OpenAppID. »Un message fort pour la communauté OpenSource et c’est dans la ligne tracée par Marty Roesch (créateur de Snort, ndr) depuis 12 ans. » confirme Cyrille Badeau à DataSecurityBreach.fr.

La détection et le contrôle d’accès applicatif open source est activé par le nouveau langage OpenAppID de Cisco centré sur la couche applicative. OpenAppID fournit une visibilité sur les applications, accélère le développement de systèmes de détection des applications, contrôle et offre à la communauté la possibilité de partager les systèmes de détection pour une meilleure protection. Comme de nouvelles applications sont développées et introduites dans les systèmes d’information des entreprises à un rythme sans précédent, ce nouveau langage permet aux utilisateurs, grâce à une flexibilité accrue, de contrôler les nouvelles applications sur le réseau. OpenAppID est particulièrement intéressant pour les entreprises qui utilisent des applications propres ou personnalisées et pour celles qui évoluent dans des secteurs réglementés qui exigent les plus hauts niveaux de contrôle et d’accès. « L’ouverture de l’OpenAppID va donner au NGFW de CISCO ce que SNORT a donné et donne au NGIPS historique de Sourcefire, indique Cyrille Badeau à Data Security Breach France. Pour ce dernier, le succès de la solution est très liée au caractère OpenSource du moteur de détection. Les clients sensibles vont pouvoir utiliser le NGFW SF-CISCO en gardant le contrôle et la confidentialité nécessaire sur leurs applications maisons et sensibles. »

Snort est le système de détection et de prévention d’intrusions open source et gratuit, créé par Martin Roesch en 1998. La détection et le contrôle applicatif open source permet aux utilisateurs de créer, partager et mettre en place une détection des applications personnalisée pour répondre aux nouvelles menaces qui visent les applications, aussi rapidement que possible.

Martin Roesch, créateur de Snort, Vice-Président et Directeur technique de Cisco Security Business Group précise que « l’open source est très important car il permet de créer une véritable collaboration et une confiance entre les éditeurs et les experts chargés de lutter contre les menaces persistantes et avancées. En plaçant le contrôle applicatif et la visibilité en mode open source, Cisco offre à la communauté une autonomie pour lui permettre de créer des solutions techniquement supérieures afin de répondre aux enjeux de sécurité les plus complexes« .

Dans le cadre de cette annonce, Cisco livre également une nouvelle version du moteur Snort qui inclut les nouveaux préprocesseurs OpenAppID. La communauté Snort a ainsi la possibilité de commencer à utiliser le langage OpenAppID pour créer des systèmes de détection d’applications. En outre, une bibliothèque de plus de 1000 règles OpenAppID sera disponible gratuitement avec la communauté Snort sur http://www.snort.org. Chaque membre de la communauté pourra ajouter des règles, y compris les entreprises qui disposent d’applications propres et qui ne sont pas commercialement disponibles. « Utiliser le NGFW de CSICO – SF sur des applications non connues et spécifiques, termine Cyrille Badeau. Dans beaucoup de cas, ces applications ne peuvent être partagées avec l’éditeur par le client (trop sensible, ndr). Avec OpenAppID, ce partage n est plus nécessaire car l’écriture du détecteur d’application se fait chez le client. (tout comme les règles spécifiques snort, ndr) »

 

 

Patch tuesday de février

Le contenu du Patch Tuesday de février, publié mardi dernier ne propose que cinq bulletins d’alertes. Deux des quatre bulletins de février sont classés comme « critiques », les deux autres ayant le statut « importants ». Le bulletin #1 résout directement une faille dans le système d’exploitation Windows et s’applique à la fois aux clients et aux serveurs sous Windows 7, 2008, 8 et RT. Windows XP et Vista ne sont pas concernés. Le bulletin #2 s’intéresse uniquement à l’aspect serveur de Microsoft Forefront Security, un outil anti-spam et anti-malware pour Microsoft Exchange Server.

Les bulletins #3 et #4 corrigent des vulnérabilités locales pour toutes les versions de Windows. Respectivement, une élévation de privilège et une vulnérabilité entraînant une divulgation d’information. Quant au bulletin #5, il résout un déni de service dans Windows 8. En plus de Microsoft, Adobe et Mozilla ont diffusé de nouvelles versions cette semaine.

Adobe a résolu une vulnérabilité Zero-Day dans Adobe Flash avec une mise à jour en mode console (APSB14-04). Cette dernière permet de résoudre une vulnérabilité (CVE-2014-0497) exploitée de manière aveugle. Les versions 12 et 11 de Flash sont touchées à la fois sur Windows et Mac OS X tandis que la version 11 de Flash est affectée sur la plate-forme Linux. Les utilisateurs de Google Chrome et de Microsoft Internet Explorer 10 et 11 ont automatiquement bénéficié de ces mises à jour via leurs navigateurs Web. Quant à ceux qui utilisent d’autres navigateurs tels que Safari sur Mac OS X, Firefox ou des versions antérieures d’IE, ils doivent mettre Flash à jour sur le système d’exploitation lui-même. Adobe remercie Kaspersky d’avoir découvert le problème et publié une analyse technique détaillée sur son blog.

Nous vous invitons à installer cette mise à jour aussi vite que possible. Adobe Flash est massivement installé et utilisé sur la plupart des pages Web pour fournir du contenu actif pour les vidéos et les jeux. Il est difficile de restreindre son utilisation et inutile d’imaginer que les utilisateurs puissent empêcher une attaque intégrée à une page Web bien connue et de confiance.

Mozilla a publié la version 27 de Firefox, un navigateur Web très populaire qui représente environ 23% de parts de marché d’après les statistiques collectées par BrowserCheck, notre outil gratuit de sécurisation des navigateurs Web. Mozilla a corrigé treize vulnérabilités. Cinq d’entre elles étaient considérées comme « critiques », c’est-à-dire qu’un pirate pouvait les utiliser pour prendre le contrôle de la machine ciblée. En règle générale, ce type d’attaque se produit via un site Web contrôlé par le pirate. Le site en question est soit lui-même victime de l’attaquant qui a tendu un piège aux visiteurs lambda du site, soit spécifiquement configuré pour utiliser la technique de l’empoisonnement des moteurs de recherche (SEO) qui attire les internautes sur le site compromis. Le bulletin MFSA2014-08 qui corrige l’une des cinq vulnérabilités dont le statut est critique décrit le modus operandi. Pour exploiter la faille, le pirate doit envoyer des images au navigateur Web avec certaines violations de format pour générer une erreur de traitement et exécuter ainsi le code dans le navigateur. Ce patch a permis de corriger le traitement de l’image au sein de Firefox.

Là encore, si vous utilisez ce navigateur, nous vous recommandons d’installer la toute dernière version de Firefox aussi vite que possible. (Par Qualys)

Faille dans Drupal et le théme OptimizePress de WordPress

Une vulnérabilité « hautement » critique a été identifiée dans le module OpenID utilisé par Drupal. La faille affecte les versions 6.x et 7.x de cet outil web. La vulnérabilité permet à un internaute malveillant de compromettre des comptes, y compris le compte de l’administrateur (Admin). Une autre faille de sécurité, «bypass acces » a été révélée. Elle est codifée comme étant modérément critique. Un pirate peut cependant accéder à certains contenus. Ces vulnérabilités ont été corrigées dans la dernière version de Drupal 6.30 et 7.26.

Pendant ce temps, du côté de chez WordPress, une vulnérabilité a été reperé dans OptimizePress. Un pirates pourrait s’en servir pour piéger des milliers de sites Web utilisateurs du CMS WordPress. C’est Sucuri qui a mis la main sur le problème. La vulnérabilité en question est cachée dans le code php situé à l’adresse lib/admin/media-upload.php. Un internaute malveillant peut télécharger n’importe quel type de documents dabs le dossier wp-content/uploads/optpress/images_comingsoon ». Autant dire qu’une fausse page, un logiciel malveillant pourraient permettre une attaque, par rebond, via le site ainsi exploité. Sucuri a détecté plus de 2000 sites Web sous OptimizePress. Des espaces qui ont été compromis par un iframe pirate qui téléchargé sur le poste informatique des visiteurs un logiciel espion. Près de 75% des sites infectés ont déjà été mis à l’index par Google. Le moteur de recherche les considérant, dorénavant, comme dangereux. Bref, une mise à jour s’impose.

Patch Day : Java, Adobe Reader et Flash, Microsoft Word

Microsoft vient de diffuser son premier Patch Tuesday de l’année. Et même si l’éditeur ne publie que quatre mises à jour, les administrateurs informatiques auront du pain sur la planche avec les nouveaux correctifs publiés par Adobe et Oracle.

En effet, comme le rappel Wolfgang Kandek, CTO de Qualys, Oracle résout 144 vulnérabilités avec sa dernière mise à jour de patchs critiques (CPU) de janvier 2014, soit un nouveau record pour Oracle. La plupart des vulnérabilités se trouvent dans la version de Java 7, sachant que Java v6 est déjà en fin de vie. La mise à jour 51 de la version de Java 7 fournit 34 correctifs pour des vulnérabilités exploitables à distance. La note « 10 », soit la plus élevée sur l’échelle du système d’évaluation des vulnérabilités CVSS (Common Vulnerability Scoring System), est attribuée aux plus critiques d’entre elles.

En 2013, Java fut l’un des logiciels les plus attaqués et cela va continuer en raison d’une politique de mise à jour pas assez énergique. L’installation d’un logiciel malveillant sur la page d’accueil du site Yahoo via des publicités par des pirates qui ont profité d’une vulnérabilité Java sur des PC d’utilisateurs affectés a d’ailleurs récemment fait La Une. Commencez par résoudre cette vulnérabilité et si vous rencontrez de la résistance pour mettre à jour Java, demandez-vous pourquoi ces machines ne peuvent pas exécuter cette toute dernière version de Java.

Adobe diffuse deux mises à jour qui sont toutes les deux critiques car elles concernent l’exécution de codes à distance et une prise de contrôle total du système ciblé. APSB14-01 est une mise à jour pour Adobe Acrobat et Reader avec un vecteur d’attaque sous la forme d’un fichier PDF. Quant à la mise à jour APSB14-02 pour Adobe Flash, elle traite les vecteurs d’attaque typiques sur des pages Web et des documents malveillants via des objets Flash intégrés. Ces deux packages Adobe devraient figurer en tête de liste de vos mises à jour. Les utilisateurs de Google Chrome et d’Internet Explorer 10 et 11 n’ont pas à se préoccuper de la mise à jour de Flash. En effet, cette dernière sera installée via les mécanismes de mise à jour automatique de ces navigateurs.

Microsoft publie quatre bulletins qui sont tous classés comme « Importants » en termes de sévérité.MS14-001 résout une vulnérabilité dans le format de fichier Microsoft Word qui peut être exploitée pour exécuter des codes à distance sur le système affecté lors de l’ouverture d’un fichier malveillant. Il s’agit de la vulnérabilité la plus importante à résoudre. Elle concerne toutes les versions de Microsoft Word sous Windows 2003, 2007, 2010 et 2013, ainsi que les visionneuses de documents Word. Les utilisateurs de Mac OS X ne sont pas concernés.MS14-002 est un patch pour la vulnérabilité Zero Day signalée le mois dernier et présente dans Windows XP et 2003. S’agissant d’une escalade locale de privilèges, cette vulnérabilité ne peut être exploitée que par un pirate déjà présent sur la machine en tant qu’utilisateur standard et qui a besoin d’obtenir des droits administratifs.Microsoft a reconnu son existence pour la première fois le 27 novembre 2013 dans l’avis de sécurité KB2914486. L’éditeur a expliqué que cette vulnérabilité était utilisée pour un petit nombre d’attaques ciblées qui exploitent une vulnérabilité corrigée dans Adobe Reader (APSB13-15 depuis mai 2013) comme moyen de transmission. Les autres bulletins, à savoir MS14-003 et MS14-004, traitent une vulnérabilité au sein du noyau Windows ainsi qu’un état de Déni de Service dans le progiciel d’ERP Microsoft Dynamics AX.

En résumé, voici notre liste de priorités pour ce mois-ci : Java, Adobe Reader et Flash, Microsoft Word ainsi que la vulnérabilité Zero-Day.

À propos, d’autres vulnérabilités traitées dans la version CPU d’Oracle vous concernent si vous utilisez les logiciels Oracle suivants :

  • MySQL contient 18 vulnérabilités, dont trois exploitables à distance et auxquelles a été attribuée la note CVSS maximum de « 10 ».
  • Solaris fait l’objet de 11 correctifs, dont un lié à une attaque à distance. La note CVSS maximum est de « 7,2. »
  • Les solutions logicielles Oracle Virtualization, dont la célèbre VirtualBox, contiennent neuf vulnérabilités, dont quatre exploitables à distance et avec une note CVSS maximum de « 6,2 ».
  • Quant au SGBDR Oracle lui–même, il contient cinq vulnérabilités, dont une exploitable à distance. »

Le top 8 de ses prévisions de cybersécurité pour 2014

WatchGuard Technologies, éditeur de plateformes de sécurité intégrées, publie ses prévisions annuelles de cyber-sécurité pour 2014. Parmi les éléments listés, l’équipe de chercheurs en sécurité de WatchGuard s’attend à des avancées dans le domaine des rançongiciels (ransomware), à des piratages visant l’Internet des objets, à des attaques ciblant les infrastructures stratégiques et à une violation des données du portail américain des assurances maladie Healthcare.gov.

« Entre le développement de botnets par des agences gouvernementales opérant dans l’ombre, les importantes failles de sécurité comme celle subie par Adobe et les logiciels malveillants particulièrement nuisibles de type CryptoLocker, 2013 aura été une année éprouvante pour les spécialistes de la cybersécurité », commente Corey Nachreiner, Directeur de la stratégie de sécurité de WatchGuard Technologies. « Cependant, grâce aux nouveaux outils de visibilité désormais disponibles, 2014 devrait être l’année de la visibilité en matière de sécurité. Le paysage des menaces continue certes à évoluer à un rythme effréné en raison de l’apparition de nouvelles techniques évoluées d’exploitation des vulnérabilités et de l’orientation des criminels vers de nouvelles cibles. Néanmoins, les professionnels de la sécurité devraient pouvoir utiliser ces nouveaux outils de visibilité afin de faire, à nouveau, pencher la balance de la cyberguerre en leur faveur. »

Les principales prévisions pour 2014 en matière de sécurité :
1.       Le portail américain des assurances maladie sera la cible de nombreuses attaques : WatchGuard s’attend à ce que le site américain Healthcare.gov subisse au moins une violation de données en 2014. Du fait de sa popularité et de la valeur des données qu’il stocke, Healthcare.gov constitue une cible particulièrement attractive pour les cybercriminels. En réalité, cette violation a, dans une certaine mesure, déjà débuté. Différents chercheurs en sécurité ont d’ores et déjà mis en évidence plusieurs incidents mineurs (indices d’attaques avortées contre des applications Web, tentatives d’attaque en déni de service (DDoS), etc.).

2.       Le développement du cyber-kidnapping accroît les profits des pirates : Les rançongiciels, une nouvelle classe de logiciels malveillants dont le but est de prendre en otage un ordinateur, ont vu leur nombre augmenter régulièrement ces dernières années, mais une variante particulièrement nuisible a fait son apparition en 2013 : CryptoLocker. Rien que cette année, il a touché plusieurs millions de machines, avec un fort retour sur investissement pour les cybercriminels d’après les estimations. WatchGuard s’attend à ce que de nombreux cyber délinquants tentent d’imiter en 2014 le succès de CryptoLocker, en copiant ses techniques et son mode de fonctionnement. WatchGuard prévoit ainsi une multiplication des rançongiciels en 2014.

3.       Un scénario catastrophe hollywoodien : En 2014, une attaque majeure commanditée par un gouvernement hostile et exploitant les failles d’une infrastructure stratégique pourrait bien transformer un film d’Hollywood en réalité tragique. Et ce, même lorsque les systèmes ciblés ne sont pas connectés à un réseau. Le ver Stuxnet, si souvent montré du doigt, a en effet prouvé que des cyber-attaquants motivés pouvaient infecter une infrastructure non reliée à un réseau avec des résultats potentiellement désastreux. Des chercheurs ont consacré plusieurs années à étudier les vulnérabilités des systèmes de contrôle industriel (ICS) et des solutions de supervision et d’acquisition de données (SCADA), et ont découvert que ces systèmes présentaient de nombreuses vulnérabilités.

4.       L’Internet des objets, nouvelle cible des hackers : WatchGuard s’attend à ce que, l’an prochain, les hackers, qu’ils soient white ou black hat, consacrent plus de temps aux terminaux informatiques non traditionnels comme les voitures, les montres, les jouets et le matériel médical. Si les experts en sécurité informatique insistent depuis plusieurs années sur la nécessité de sécuriser ces périphériques, il semble que le marché n’en réalise l’importance que maintenant. WatchGuard s’attend donc à ce que les hackers s’attachent fortement en 2014 à détecter les failles de ces objets connectés, que ce soit pour les combler ou pour les exploiter.

5.       2014 sera l’année de la visibilité : Ces dernières années, les cybercriminels sont parvenus à pénétrer les défenses de très grandes entreprises malgré l’utilisation de pare-feu et d’antivirus. L’ancienneté des systèmes de défense en place, la mauvaise configuration des contrôles de sécurité et la surabondance de journaux de sécurité ne permettent pas aux professionnels de protéger efficacement leur réseau et de détecter les événements réellement importants. WatchGuard prévoit qu’en 2014 de plus en plus d’entreprises déploieront des outils de visibilité afin de faciliter l’identification des vulnérabilités et la mise en place de stratégies de protection renforcée des données stratégiques.

6.       Attaquer la « chaîne de confiance » sera une technique de choix pour atteindre les cibles les plus difficiles : Si les victimes les plus prestigieuses, telles que les administrations ou les entreprises du CAC 40, bénéficient d’un dispositif de sécurité plus important, ce n’est pas pour autant qu’elles parviendront à arrêter les pirates motivés et patients, qui s’attaqueront au maillon faible de la « chaîne de confiance » de l’entreprise : les partenaires et les sous-traitants. Les cybercriminels les plus doués visant désormais des cibles plus complexes, il faudra s’attendre en 2014 à une exploitation grandissante des vulnérabilités de la « chaîne de confiance », les pirates s’attaquant aux partenaires pour atteindre l’entreprise.

7.       Les attaques deviendront plus nuisibles : La plupart des cyber-attaques et des logiciels malveillants ne sont pas volontairement destructeurs. En effet, lorsqu’un cybercriminel détruit l’ordinateur de sa victime, il ne peut plus accéder à ses ressources. Cependant, l’évolution du profil des pirates fait désormais de la cyber-destruction un objectif valable dans un nombre croissant de cas. Les cybercriminels peuvent également se rendre compte que la menace d’une destruction imminente contribue à améliorer les chances de succès de l’extorsion, comme le compte à rebours utilisé par CryptoLocker pour effrayer les victimes et les amener à coopérer. WatchGuard s’attend ainsi à observer une multiplication des vers, chevaux de Troie et virus destructeurs en 2014.

8.       De technicien à psychologue du cybercrime : Ces dernières années, les attaquants avaient clairement l’avantage sur les défenseurs, s’appuyant sur des tactiques d’esquive et des techniques plus sophistiquées pour pénétrer des défenses vieillissantes. Cependant, le vent est en train de tourner. En 2014, les défenseurs accèderont plus facilement aux solutions de sécurité de nouvelle génération et aux fonctionnalités de protection avancée, rééquilibrant le rapport de force. Mais les cybercriminels n’abandonneront pas facilement la partie. On peut s’attendre à une évolution de leur stratégie, qui sera sans doute moins focalisée sur l’avantage technique et plus sur les faiblesses de la nature humaine. En 2014, attendez-vous à ce que les attaquants privilégient la psychologie à la technologie, en s’appuyant sur la culture populaire et sur différentes techniques (emails d’hameçonnage convaincants, par exemple) pour cibler le maillon le plus faible de la chaîne : l’utilisateur.

Fausses clés de licence ADOBE

Un pirate exploite la base de données piratée à ADOBE pour inciter les clients à télécharger une fausse licence, mais virus. Il fallait un peu s’en douter. Diffuser la base de données volées à ADOBE, BDD comprenant des millions d’emails, ne pouvait qu’attirer les pirates et autres escrocs. Le dernier en date, son courriel a été detecté fin décembre, incite les clients ADOBE à télécharger une nouvelle clé d’activation pour leurs logiciels (Photoshop, Premiére, …) Bien entendu, la pseudo nouvelle clé n’est rien d’autre qu’un code malveillant, un logiciel espion.

Pour rappel, le 3 octobre dernier, Adobe a détecté sur son réseau des attaques informatiques (d’idiotes injections SQL) portant sur l’accès illégal à une base de données de sauvegarde contenant des identifiants Adobe et des mots de passe cryptés, ainsi que sur la suppression de cette base. « Nous vous informons que votre identifiant Adobe figurait dans cette base mais pas votre mot de passe actuel.  Par conséquent, nous n’avons pas réinitialisé votre mot de passe » explique dans son courriel de décembre, l’entreprise américaine.  La base de données piratée provenait d’un système de sauvegarde qui contenait de nombreuses entrées obsolètes et était destiné à être mis hors service. Le système Adobe d’authentification des enregistrements, qui pratique le hachage et le salage des mots de passe des clients, n’était pas la source de la base de données volée. Adobe conseille à ses clients de changer leurs mots de passe, sur les autres sites, dans le cas ou l’internaute aurait utilisé le même que chez ADOBE.

 

IP Board Forums attaqué par un exploit

Un exploit Kit du nom de DotkaChe s’attaque à l’outil web IP Board Forums. Un kit pirate, baptisé exploit kit DotkaChef, ou encore DotCache, DotCacheF, a été découvert, fin décembre. Il cible les sites Internet qui exploitent IP Board Forums. L’attaque a été découverte par Chris Wakelin de la société Kahu sécurité. Les cybercriminels auraient exploité une vieille faille PHP (CVE-2012-5692) affectant IPB 3.3.4 et anciennes versions. Une fois le site compromis, DotKaChef est téléchargé sur le site Internet de la victime dans un dossier au nom aléatoire. Vous pouvez trouver les détails techniques sur le site de Kabu Sécurity.

QUOTIUM et l’ESIEA annoncent un partenariat dans le développement sécurisé

L’éditeur de logiciel QUOTIUM (Euronext QTE) a révolutionné la façon dont les applications sont sécurisées. Pionnière de la technologie IAST « Interactive Application Security Testing », sa solution de sécurité SEEKER, permet d’analyser le code applicatif pendant l’exécution d’une attaque malveillante et les conséquences de celle-ci sur les flux de données utilisateur. La technologie de Seeker est unique car elle permet d’avoir une vision réelle de l’état de sécurité d’une application et de ses risques métiers. Pour chaque faille de sécurité détectée, Seeker propose un correctif à appliquer sur les lignes de codes vulnérables accompagné d’une explication technique détaillée incluant la vidéo de l’attaque sur l’application testée.

Créée il y a 55 ans, l’ESIEA est une grande école d’ingénieurs en sciences et technologies du numérique qui délivre un diplôme habilité par la Commission des Titres d’Ingénieur (CTI) et propose deux Mastères Spécialisés en sécurité informatique (Bac +6) sur ses campus de Paris et Laval.

Parmi ses cursus, l’ESIEA propose un Mastère International « Network and Information Security (N&IS) » qui profite directement du résultat des travaux de l’un des 4 laboratoires de l’école. Ce laboratoire de cryptologie et virologies opérationnelles (CVO²) effectue des recherches fondamentales sous tutelle du Ministère français de la Défense dans les domaines des cyber-attaques, de la sécurité des systèmes et de l’information et des architectures de sécurité réseau.

Dans ce contexte, afin de former les étudiants aux problématiques de développement sécurisé, l’ESIEA s’est rapprochée de la société QUOTIUM pour initier un partenariat stratégique autour de leur technologie phare, le logiciel SEEKER spécialisé dans l’analyse de vulnérabilités des applications web. Concrètement, les étudiants du mastère spécialisé N&IS de l’ESIEA exploiteront une plateforme SEEKER réseau dédiée, dans le cadre de la formation au développement sécurisé et aux techniques d’audit. Il est envisagé à terme d’organiser une certification de nos étudiants vis-à-vis de la technologie SEEKER. Cette plateforme sera aussi utilisée dans le cadre des travaux de R&D du laboratoire de cryptologie et de virologie opérationnelles de l’ESIEA, avec une première utilisation dans le cadre du projet DAVFI.

Le choix de QUOTIUM par l’ESIEA s’explique notamment par la qualité technique de la solution SEEKER et sa facilité d’intégration dans les processus de développement.

Une étude révèle l’augmentation fulgurante des attaques via Java sur les 12 derniers mois

Le nombre d’attaques exploitant des failles Java entre septembre 2012 et août 2013 a atteint 14,1 millions, un chiffre supérieur d’un tiers à celui observé au cours de la même période en 2011-2012, selon l’étude Kaspersky Lab Java under attack – the evolution of exploits in 2012-2013. 1 210 000 sources d’attaques distinctes ont été identifiées dans 95 pays.

Les « Exploits » sont des programmes malveillants conçus pour tirer parti des vulnérabilités des logiciels légitimes et pénétrer dans les ordinateurs des utilisateurs. Leur nature furtive les rend d’autant plus dangereuses. Lorsqu’un ordinateur utilise des versions vulnérables de logiciels, il suffit de visite une page Web infectée ou d’ouvrir un fichier contenant du code malveillant pour déclencher l’infection. Les cibles les plus fréquemment attaquées sont Oracle Java, Adobe Flash Player et Adobe Reader. L’étude de Kaspersky Lab indique, l’an passé, Java est devenu la cible privilégiée des cybercriminels.

L’étude s’appuie sur des données recueillies auprès d’utilisateurs de produits Kaspersky à travers le monde ayant accepté de fournir des informations au réseau Kaspersky Security Network. Parmi les 14,1 millions d’attaques détectées qui exploitent des failles Java, la plupart d’entre elles l’ont été au cours des six derniers mois de la période étudiée, soit plus de 8,54 millions d’attaques entre mars et août 2013, un chiffre en hausse de 52,7% par rapport au semestre précédent.

Pour les particuliers, l’installation des dernières mises à jour des logiciels constitue rarement une priorité, ce qui fait le jeu des cybercriminels. Selon l’étude, la majorité des utilisateurs continuent de travailler avec une version vulnérable de Java pendant six semaines après la diffusion d’une mise à jour. Environ 50% de l’ensemble des attaques ont exploité au maximum six familles de vulnérabilités Java.

Environ 80% des utilisateurs attaqués se trouvent dans 10 pays, au premier rang desquels arrivent les Etats-Unis, la Russie et l’Allemagne. En l’espace de 12 mois, les produits de Kaspersky Lab ont protégé plus de 3,75 millions d’utilisateurs dans le monde contre des attaques Java. Le Canada, les Etats-Unis, l’Allemagne et le Brésil ont connu les plus fortes progressions du nombre d’attaques. En un an, chaque utilisateur a été confronté en moyenne à 3,72 attaques. Cette moyenne est passée de 3,29, entre septembre 2012 et février 2013, à 4,15 entre mars et août 2013, soit une augmentation de 26,1%.

Le nombre élevé d’attaques exploitant des failles Java n’est guère surprenant : au cours des 12 mois sur lesquels a porté l’étude de Kaspersky Lab, 161 vulnérabilités de ce type ont été identifiées. En comparaison, de septembre 2011 à août 2012, ce sont 51 d’entre elles qui avaient été rendues publiques. Six des nouvelles failles repérées ont été qualifiées de critiques, c’est-à-dire très dangereuses. Or ces six vulnérabilités ont été les plus activement utilisées dans les attaques lancées par des cybercriminels.

« Java est victime de son succès », commente à DataSecurityBreach.fr Vyacheslav Zakorzhevsky, chef du groupe d’étude des vulnérabilités chez Kaspersky Lab. « Les cybercriminels savent qu’ils ont tout intérêt à concentrer leurs efforts sur la recherche d’une faille dans Java afin de pouvoir s’attaquer à des millions d’ordinateurs simultanément, plutôt que d’exploiter des vulnérabilités dans des logiciels moins répandus, ne leur permettant d’infecter qu’un nombre restreint de machines. »

Nous vous indiquions, il y a peu, comment de fausses alertes java étaient diffusées, sur Internet. Une méthode radicale pour piéger les internautes.

Faille critique corrigée pour OpenSSH

L’excellent outil OpenSSH permet de chiffrer les communications sur Internet. Une faille critique vient d’être corrigée. Sortez la rustine, la colle et votre plus beau sourire. OpenSSH, un outil qui offre la possibilité de chiffrer vos communications sur Internet, via le protocole SSH, vient de corriger une vulnérabilité considérée comme critique. « Une corruption de mémoire existe dans le processus de sshd post-authentification lors d’un chiffrement AES-GCM (AES128-GCM @ openssh.com ou aes256-gcm@openssh.com) » indique OpenSSH.

Si elle est exploitée, cette vulnérabilité pourrait permettre l’exécution de code avec les privilèges de l’utilisateur authentifié. La vulnérabilité a été identifiée par un développeur d’OpenSSH, Mark Friedl, le 7 Novembre.

Le correctif a immédiatement été mis en ligne. L’erreur est fixé dans OpenSSH version 6.4. Pour ceux qui veulent rester sous OpenSSH 6.2 et 6.3, des rustines sont disponibles.