visitor maps

Translation-Traduction

Tuesday, December 11, 2007

Sécurité 2007


Preatoni suspecté d'espionnage:

Figure du monde de la sécurité, Roberto Preatoni, a été arrêté par la police dans le cadre d'une enquête sur une affaire d'espionnage. D'après les médias italiens, il lui est reproché des accès non-autorisés à des systèmes informatiques et des écoutes illégales.
Roberto Preatoni est le fondateur d'un site d'enchères sur lequel se monnaye des failles de sécurité : WabiSabiLabi. Mais si cette place de marché a été vivement critiquée, les faits reprochés à l'expert sont antérieur à sa création. En outre, il reste présumé innocent..


Gouvernator confronté aux virus:
Un site gouvernemental californien a été utilisé pour rediriger les internautes vers un site pirate sur lequel un ActiveX ou un faux codec était employé pour installer le cheval de Troie Zolob ou un prétendu antispyware.
Pour l'état de Californie, il ne s'agit toutefois pas d'une première. En octobre dernier, les sites Web gouvernementaux et de messagerie avaient dû être déconnectés suite au piratage d'un site, exploité ensuite pour diffuser des contenus pornographiques.


Excuses d'état pour un défaut de chiffrement:

25 millions de personnes concernées : la perte de fichiers informatiques contenant notamment des coordonnées bancaires a contraint le premier ministre britannique Gordon Brown à présenter des excuses.
Ces informations, plutôt que de suivre le circuit sécurisé habituel ont été acheminées par un transporteur routier classique… et égarées. Les CDroms n'étaient protégés que par un simple mot de passe. L'opposition conservatrice parle déjà de discogate.


Une Playstation pour casser du mot de passe:
Une console de jeux dans les mains d'un expert en sécurité permet de jouer autrement, comme par exemple jouer à casser des mots de passe. Nick Breese, néo-zélandais et possesseur d'une Playstation 3 s'est livré à quelques expériences.
La puissance de calcul de l'engin lui permettrait de venir à bout, par force brute, de mots de passe bien plus rapidement qu'en utilisant une carte graphique de PC, méthode également employée. L'explication : sa rapidité de calcul en principe utilisée pour modéliser des environnements 3D.


Porte dérobée ou paranoïa aigue ?

Deux cryptanalistes ont donné de la voix : Adi Shamir, un père de l'algorithme RSA et Bruce Schneier, un expert du chiffrement. Tous deux voient un risque d'introduction de portes de dérobée pour contourner le chiffrement.
Adi Shamir, via des erreurs, qui pourraient être volontaires, dans les processeurs de PC permettant de récupérer une clef privée. Bruce Schneier soupçonne les services de surveillance américains, la NSA, d'avoir glissé une backdoor dans un standard du NIST. Un vrai climat de confiance.


Les antivirus se font taper sur les doigts :


En première ligne, les antivirus seraient aussi fiables que la ligne Maginot. Thierry Zoller, déjà reconnu pour avoir démontrer les failles des antivirus face aux fichiers compressés, signe une nouvelle enquête critique. A vouloir en faire trop (de multiples protocoles à lorgner), ces logiciels finiraient par mal travailler.
Associer plusieurs antivirus différents n'est pas une solution, bien au contraire. Cela ne fait qu'additionner les bugs et donc accroître la vulnérabilité. Fin commercial, Zoller présentera bientôt ParsingSafe pour protéger ces logiciels. Ouf.


Et de deux pour Monster.com:


Nouveaux déboires pour le site d'emploi qui a essuyé une seconde attaque, moins critique toutefois que celle d'août dernier et qui avait exposé les informations personnelles de 1,3 million de membres inscrits. C'est cette fois une attaque iFrame qui a été appliquée.
Des pages vulnérables ont ainsi été utilisées pour insérer du code redirigeant les internautes vers des serveurs hébergeant des programmes malveillants. Ce jour-là, il ne faisait pas bon postuler chez Toyota Financial.


Gare aux bases de données :


La marotte du chercheur David Litchfield, c'est les bases de données, et plus particulièrement leur sécurité. Après avoir chatouillé plus d'un million d'adresses IP sur un port réservé à la base de données (Oracle ou SQL Server), il a eu une épiphanie.
Bilan : 368,000 serveurs de base de données Microsoft SQL Servers étaient accessibles depuis Internet, et 124,000 estampillés Oracle, certains n'étant pas même à l'abri derrière un pare-feu. Un ver lancé sur Internet ferait un carnage prévient Litchfield. Rassurant.


source .JDN 2007 , +mes modifs

No comments:

Clubic.com - Articles / Tests / Dossiers