Voilà qui va certainement relancer le débat sur la sécurité des ordinateurs Apple. La firme de sécurité russe Dr.Web vient d’annoncer qu’elle avait découvert un gigantesque botnet réunissant pas moins de… 600 000 Mac !

Un chiffre impressionnant, jamais vu sur Mac OS X : les ordinateurs Apple ont en effet la réputation – souvent justifiée – de demeurer hermétiques aux virus qui accablent le monde Windows. Mais si l’on a rarement vu de malware s’attaquer sérieusement aux machines Apple jusqu’alors, force est de constater que Flashback – du nom du cheval de Troie responsable – change la donne. Le Mac, dont les parts de marché croissent un tout petit peu, est-il en train de devenir une cible de choix pour les cybercriminels ?

La carte des infections de Flashback indique que le troyen a avant tout contaminé des pays anglo-saxons, dont les Etats-Unis. D’après Ivan Sorokin de DrWeb, on trouverait même 274 machines infectées à Cupertino ! Les concepteurs de ce code, qui traîne depuis septembre 2011 et qui prenait à l’époque la forme d’un faux programme d’installation pour Flash, ont clairement visé le marché anglo-saxon. Désormais, Flashback-k profite d’une grave vulnérabilité de Java (CVE-2012-0507) connue depuis janvier 2012, mais qui n’avait jusqu’alors pas été corrigée par Apple.

Une visite d’un site infecté suffit à contaminer le Mac

La procédure d’infection est on ne peut plus simple. Si l’on surfe avec une machine non protégée, il suffit de se rendre sur une page Web contaminée. Plusieurs fichiers sont téléchargés automatiquement sur le Mac. Puis le « maliciel » lance une fenêtre exigeant votre mot de passe administrateur. Mais contrairement à la plupart des virus pour Mac, Flashback-k n’a pas forcément besoin de votre mot de passe. Cela lui simplifie juste la tâche : comme l’explique F-Secure dans sa description du cheval de Troie, il emploie simplement un moyen détourné pour pourrir la machine si on ne l’entre pas.

Il vient alors se loger dans Safari, entre en communication avec son centre de commande et de contrôle et est prêt à opérer. Sa mission principale ? Trafiquer certaines pages Web à l’insu de l’utilisateur, notamment pour récupérer ses requêtes sur les moteurs de recherche. L’un des experts qui a découvert le botnet dément cependant qu’il volerait des mots de passe, contrairement à ce que l’on peut lire ça et là sur le Web.

Apple en faute ?

On peut même ici parler d’erreur, car la faille qu’il exploite est loin d’être inconnue. Depuis le mois de février, Oracle propose une mise à jour critique pour la corriger. Les utilisateurs de Windows qui utilisent Java l’ont par exemple obtenue grâce à l’outil de mise à jour de Java. Mais sur Mac, c’est Apple qui centralise ces mises à jour de sécurité et qui les distribue par l’intermédiaire d’un outil intégré à Mac OS X. Or la marque à la pomme n’avait pas publié ce correctif ! Il a été poussé avant-hier, mardi 3 avril 2012, comme le montre cet avis de sécurité. Un peu tard, quand on sait que 600 000 machines sont infectées par ce virus.

En déclenchant l’exercice Piranet 2012 les 7, 8 et 9 février dernier, l’État s’est soumis à l’épreuve d’une crise informatique majeure, a indiqué aujourd’hui l’Agence nationale de la sécurité des systèmes d’information (Anssi). Dans un communiqué, celle-ci a indiqué que « le scénario simulait une attaque de grande ampleur sur l’Internet français et contre les réseaux des administrations ». L’agence a ajouté que l’exercice avait permis d’apprécier la capacité de l’État à prendre les mesures nécessaires dans une situation exigeant une forte réactivité. Celui-ci a également permis de tester le plan gouvernemental d’intervention et d’évaluer la clarté et l’efficacité de la communication de l’État en direction de la population.

Après Piranet 2010, l’exercice 2012 a été l’occasion d’élargir le périmètre des acteurs impliqués dans la gestion de crise. Outre les acteurs gouvernementaux habituellement impliqués, des opérateurs d’importance vitale des secteurs de la santé, des transports et des communications ont été associés au programme.

L’exercice qui vient de s’achever, « riche d’enseignements, a ainsi permis de franchir de nouvelles étapes dans la préparation de la France à faire face à des cyberattaques de grande ampleur et à leurs conséquences sur la vie de la Nation », a conclu l’Anssi

Source : LMI

Les avantages liés à l’utilisation de terminaux mobiles en termes de flexibilité et de productivité en font des outils de mieux en mieux acceptés par les entreprises. Néanmoins, ils posent de gros défis aux responsables IT en termes de sécurité.

Selon une étude réalisée auprès de 768 responsables IT en Amérique du Nord, Grande-Bretagne, Allemagne et Japon par la compagnie Check Point Technology, spécialisée dans les solutions de sécurité, le nombre de terminaux mobiles personnels se connectant aux réseaux d’entreprise a plus que doublé en l’espace de deux ans.

Android, l’OS le moins sûr

Ainsi, 94% des entreprises rapportent que des terminaux mobiles personnels sont utilisés pour accéder au réseau de l’entreprise. Les terminaux de Apple (30%) et Blackberry (29%) sont les plus fréquemment utilisés, suivis par Android (21%). 43% des personnes interrogées estiment qu’Android est l’OS qui comporte le plus de failles sécuritaires.

Au total, 71% des entreprises interrogées estiment que leurs problèmes de sécurité ont augmenté en raison de l’utilisation de terminaux mobiles et s’inquiètent de la sécurisation de données sensibles, comme les emails professionnels (79%) et les données clients (47%).

Méconnaissance des règles de sécurité
Concernant les facteurs de risques identifiés, la majorité des spécialistes interrogés met en avant le manque de compréhension des collaborateurs face aux règles de sécurité à observer. Les autres facteurs de risques mentionnés comprennent les navigateurs web mobiles, les connexions WiFi, les terminaux perdus ou volés et le téléchargement d’applications mobiles nuisibles. «Au vu de ces résultats, il apparaît clairement qu’une stratégie de sécurité efficace doit se concentrer sur l’information aux collaborateurs en termes de règles de sécurité», analyse Christian Fahlke, Country Manager pour la Suisse et l’Autriche au sein de Check Point.

Sources : ictjournal.ch

Oreillette Bluetooth : un danger potentiel 1 million de fois plus faible que les mobiles GSM

Petit cours de physique ! L’intensité du rayonnement des ondes électromagnétiques est proportionnelle au carré de la puissance d’émission. On peut considérer que cette intensité mesure l’effet des ondes, bon ou mauvais. Concrètement, on utilise cette loi pour construire un four à micro-onde. L’effet est en l’occurrence la cuisson plus ou moins rapide des aliments.

Un téléphone mobile dont la puissance d’émission est de 1 W est donc potentiellement quatre fois plus dangereux qu’un téléphone sans fil DECT, dont la puissance est de 500 mW. Potentiellement ! Car cela ne préjuge en rien de la dangerosité de l’un ou de l’autre. De même, une oreillette Bluetooth, dont la puissance d’émission est de seulement 1mW, soit 1000 fois moins que le téléphone mobile, est potentiellement un million de fois moins dangereuse que le mobile lui-même.

Danger des ondes radios : tout dépend de la puissance d’émission et de la distance

Ce banal téléphone sans fil est-il dangereux ? Une chose est sure, sa puissance d’émission est 5 fois plus élevée que celle d’une borne Wifi, donc son impact potentiel est 25 fois plus élevé.

On ne dit pas que l’oreillette Bluetooth ne présente aucun danger, mais que si elle en présente un, celui-ci est négligeable par rapport au téléphone mobile collé à l’oreille. Il y a en effet aussi une question de distance. Par exemple, l’oreillette Bluetooth près de l’oreille doit être comparée au mobile placé dans la même position.

Car les effets des ondes électromagnétiques – donc leur dangerosité potentielle – sont également inversement proportionnels au carré de la distance de l’émetteur. Autrement dit, un mobile situé à 1 cm du cerveau aura un effet non pas 100 mais 10 000 fois supérieur au même mobile placé à 1 mètre. Difficile donc de comparer les risques que font courir une antenne relais de 20 W plantée à 10 mètres de votre balcon, et une oreille Bluetooth collée à votre oreille mais dont la puissance d’émission est de 1/1000 de Watts. Quoi qu’un calcul le permettrait probablement.

Le Wifi : un danger potentiel 25 fois plus faible qu’un téléphone sans fil DECT

Notre tableau comparatif réserve quelques surprises. Par exemple, la puissance d’un réseau Wifi domestique est 5 fois plus faible que celle d’un téléphone sans fil, donc potentiellement 25 fois moins dangereux. Pourtant, parce que le Wifi est une technologie récente, elle inquiète davantage les familles que les téléphones sans fils installés dans les foyers depuis des lustres.

Tableau comparatif de la puissance d’émission des différentes technologies

Décidément, Duqu étonne. Ce code malveillant, que Symantec qualifie de «précurseur au prochain Stuxnet» interroge les experts en sécurité depuis qu’il a été découvert. Et pour cause : particulièrement sophistiqué, il partage une partie de son code avec Stuxnet et semble n’infecter que des organisations précises, que Symantec estime à six dans huit pays différents. Pour l’instant…

On ne savait même pas, jusqu’alors, comment Duqu parvenait à infecter une machine. Mais les chercheurs en sécurité du laboratoire Crysys (université de Budapest) ont retrouvé la trace d’un « dropper » (Programme très léger chargé d’introduire le reste d’un virus sur une machine) qui a servi pour au moins une attaque. Et surprise, il exploite une faille du noyau de Windows jusqu’alors inconnue, contre laquelle il n’existe donc aucun correctif (zero-day). Le virus est caché dans un document Word (.doc) « conçu de manière à cibler l’organisation qui le réceptionne », selon Symantec.

Le script du programme était également précis. Duqu ne pouvait être installé que pendant huit jours, au cours du mois d’août. L’éditeur de solutions de sécurité précise que Microsoft a été contacté à la suite de cette découverte et qu’il s’apprête à diffuser un bulletin de sécurité, ainsi qu’un correctif.

Sources : 01net

Il n’y a eu officiellement aucune diffusion d’informations confidentielles à l’extérieur de la base à cause de ce virus, qui n’a pas non plus empêché les pilotes d’effectuer leurs missions. « Les spécialistes militaires ne savent pas si le virus (…) a été introduit volontairement ou accidentellement », ajoute Wired, rappelant que la majorité des missions effectuées par des drones étaient menées par des pilotes de la base de Creech.

« Il revient à chaque fois »

Détecté pour la première fois il y a deux semaines, les techniciens de Creech auraient le plus grand mal à se débarrasser de ce virus. D’après Wired, le virus en question aurait vraisemblablement été introduit dans les ordinateurs de la base via des disques durs externes, que les pilotes utilisent pour transférer des informations d’un poste à un autre. « Nous l’éliminons, mais il revient à chaque fois. Nous pensons qu’il n’est pas très dangereux, mais en fait nous n’en savons rien », déclare un des interlocuteurs anonymes de Wired.

Les drones sont de plus en plus souvent utilisés dans les opérations américaines car il permet aux militaires américains d’espionner et frapper leurs cibles sans mettre en jeu la vie de leurs troupes. Depuis 2001, les drones ont tué plus de 2.000 militants de réseaux islamistes.

Une attaque de type « man in the middle »

L’attaque, complexe, ne serait cependant pas à la portée du premier venu. D’abord, le pirate devrait accéder au réseau local de sa victime afin d’intercepter les communications entre son PC et le Web, et notamment les cookies sécurisés HTTPS. Ensuite, le hacker devrait introduire le code de Beast dans le navigateur, par exemple grâce à une fausse publicité.

Sur l’ordinateur du pirate, un sniffer « écouterait » les connexions sécurisées par TLS tandis que Beast déchiffrerait les cookies. Selon les deux spécialistes, la procédure de décryptage prend environ 5 minutes par site.
Juliano Rizzo et Thai Duong ont contacté tous les éditeurs de navigateur afin de leur signaler cette menace. Pour le moment, seul Opera propose un correctif. Le risque ne concerne que TLS 1.0, mais les versions 1.1 et 1.2 du protocole, qui n’y sont pas exposées, ne sont utilisées que par une infime minorité des sites Web.
Avec leur étude, les chercheurs espèrent justement accélérer l’adoption des nouvelles moutures de ce protocole de sécurité… indispensable à des échanges de confiance sur le Web.

Source : 01net

ClamWin évolue très rapidement, notamment grâce aux utilisateurs qui envoient régulièrement aux développeurs de nouveaux virus pour les intégrer à la liste de souches connues : il reconnaît en moyenne une cinquantaine de nouveaux virus chaque jour.
Il ne possède pas encore de protection en temps réel contre les virus, mais cette option sera intégrée dans les prochaines versions.
Fonctionnalités:

• Analyses Anti-Virus Programmables
• Mise à jour automatique de la base de définitions de Virus.L’équipe de ClamAV met à jour quotidiennement les bases de données de virus et presque immédiatement après la sortie d’un nouveau virus ou d’une nouvelle variante d’un virus existant
• Détecteur de virus autonome
• Intégration via le menu contextuel à Microsoft Windows Explorer
• Greffon à Microsoft Outlook

Baptisé « Standalone System Sweeper », cet outil permet de démarrer une machine depuis un CD, un DVD ou une clé USB et de lancer un scan hors ligne du système afin de détecter les rootkits et autres applications malveillantes.

Le moteur de scan utilisé par cet utilitaire est celui de l’antivirus Microsoft Security Essentials.

L’outil est portable, autonome et disponible pour les versions 32 et 64 bits de Windows. Un assistant aide l’utilisateur à télécharger l’outil et à créer le support de démarrage, support qui doit disposer d’au moins 250 Mo de stockage.

Microsoft souligne cependant, comme c’est le cas avec Microsoft Safety Scanner, qu’il ne s’agit en aucun cas d’une solution de remplacement d’un antivirus complet comme Microsoft Security Essential. Il est uniquement destiné à être utilisé dans des situations où l’ordinateur ne peut plus démarrer suite à une infection de malwares.

Source : Developpez.com

Le voile commence à se lever sur le mode opératoire et l’origine de la vaste opération de piratage dont l’autorité de certification Comodo a été victime la semaine dernière. Une opération qui aurait pu, si elle n’avait pas été découverte et stoppée à temps, compromettre la sécurité et le fonctionnement de nombreux services en ligne.

Selon Comodo, les pirates sont parvenus à accéder frauduleusement au service Web de certification pour créer 9 faux certificats relatifs à 7 noms de domaines dont login.live.com, mail.google.com, www.google.com et login.yahoo.com. « L’attaque a été très bien préparée et les pirates avaient bien prévu leur coup avec une liste précise de cibles dont ils ont tenté d’obtenir des certificats de sécurité valides et soumettre des requêtes qui auraient pu être valables », a indiqué Comodo dans un communiqué.

Après avoir découvert le pot aux roses, Comodo a immédiatement procédé à l’annulation des certificats pirates qui, selon l’organisme, auraient été émis depuis l’Iran après étude du registre d’adresses IP utilisées pour créer les certificats. Faut-il y voir un acte de représailles après l’affaire du ver Sutxnet qui a, selon les autorités iraniennes, infecté plus de 30 000 postes de travail appartenant à des systèmes d’information industriels ?

Source : Journal du Net