Actualité de la sécurité sur le web en Juillet 2009
Par François Lasselin le mercredi, juillet 29 2009, 21:12 - Sécurité - Lien permanent
Ce mois de Juillet connait une actualité sécurité chargée, faille de sécurité chez Microsoft et chez adobe, piratage de site, piratage de Twiter et prise de controle d'Iphone par de simple SMS,adobe flash, trackersurfer...
Le 7 Juillet, Microsoft a mis en garde les utilisateurs d'Internet Explorer. Une faille dans le contrôle Video ActiveX permet d'infiltrer l'ordinateur.
Les ActiveX sont une technologie essentiellement utilisé par Microsoft (très largement dans Windows). Aucun autre navigateur n'utilise les ActiveX
http://support.microsoft.com/kb/972890
Mac, PC, Linux, Flash est partout. Et flash est vulnérable. Le 22 Juillet, Adobe a reconnu l'existence de d'une vulnérabilité qui potentiellement permettre de prendre le contrôle de la machine infecté par ce biais. 1 Editeur, 1format, 1 seule implémentation, 1 monopole et au final ... 1 gros problème.
http://www.adobe.com/support/security/advisories/apsa09-03.html
Le 17 juillet, dans le petit monde des pirates (mais 36% des internautes avouent être des pirates d’après l’étude d’Interpret), le site trackersurfer.fr aurait été piraté. Tout comme le célèbre thepiratebay, trackckersurfer été un site de partage de torrent. Le site faisait appel au don pour son financement. Le site et les dons ont été détournés pendant plusieurs jours. Un pirate qui pirate un pirate, est-ce que c’est bien ou mal ? En tout cas, les ex-administrateurs de trackersurfer ne semblent pas envisager de porter plainte.
http://gigabble.blogspot.com/2009/07/propos-de-trackersurferfr-piratage.html
(et http://interpretllc.com/index.php )
Twitter est un outil de réseau social et de microblogging qui permet d'envoyer gratuitement des messagesde 140 caractères maximum à ses amis. On a beaucoup entendu parlé de Twitter lors des manifestations en Iran. Suite aux contestations de l'élections présidentielles, les manifestants ont utilisé Twitter pour se coordonnées, contournant ainsi les autres infrastructures controlées par l'état.
Ce mois si, on en a également appris plus sur le Français qui a piraté Twitter en Avril.On pense qu'il s'agit d'un génie qui maitrise mieux le binaire que l'orthographe française ? Non...
Hacker Croll (c'est son pseudonyme) a uniquement utilisé des méthodes de social engineering. Cela veut dire que n'importe qui peut faire la même chose.
Le point d'entré de son attaque : pénétrer la boite au lettre personnel Yahoo d'un employé de Twitter.
Mais faut-il pour autant tomber dans la paranoïa. Qui peut être intéressé par une boite mail personnelle ? Mais n'a t'elle pas quelque liens professionnelles ?
Qui peut-être intéressé par vos données ? Avez-vous des concurrents ? Des envieux ? Si quelqu'un vole votre boite mail (comme on vole une identité). Qu'est ce que vous perdez ?
On peut aussi faire le raisonnement dans le sens inverse et considéré que vous pouvez être une victime du hasard et que vous êtes piraté en tant que cible parmi tant d’autre. Le contenu de votre boite est alors analysé automatiquement à la recherche de mot de passe, de coordonnées bancaire, d’accès à vos comptes sur des sites marchands. Dans le but d’effectuer des opérations en votre nom.
http://www.zataz.com/news/19125/Rencontre-avec-Hacker-Croll--le-visiteur-de-Twitter.html
Il a été si facile de détourner 4 avions avec des cutters pour les faires s'écraser. Faut-il s'inquiéter du cyber terrorisme ? Même les Etats Unis sont dépassé. Monsieur Obama a déclaré que "le cyber sécurité est l'un des challenges économiques et de sécurité national auquel la nation doit faire fasse".
http://ourpublicservice.org/OPS/publications/viewcontentdetails.php?id=135
[Mise à jour du 30 Juillet:]
La conférence Black Hat cybersecurity à fait la démonstration qu'il est possible de détourner un iPhone à l’aide d’une simple série de SMS spéciale. Pas moins d'une centaine de sms sont nécessaires pour réaliser l'attaque mais seul le premier est visible pas l'utilisateur et contient un petit carré.
Une fois fait, l'attaquant peut prendre le contrôle de l'appareil: passer des appels, surfer, prendre des photos et bien sur envoyer des sms vers une autre victime. Apple a été prévenu il y a 1 mois ... aucune réaction.
http://news.cnet.com/8301-27080_3-10299378-245.html
[Fin de la mise à jour]
40 ans après avoir marché sur la Lune, il est nécessaire d'avoir les pieds sur terre. Pour se prémunir du danger, la chance n'est pas suffisante. Après la lecture de l’interview de Croll, j'ai reconfiguré ma boite Yahoo.
Les ActiveX sont une technologie essentiellement utilisé par Microsoft (très largement dans Windows). Aucun autre navigateur n'utilise les ActiveX
http://support.microsoft.com/kb/972890
Mac, PC, Linux, Flash est partout. Et flash est vulnérable. Le 22 Juillet, Adobe a reconnu l'existence de d'une vulnérabilité qui potentiellement permettre de prendre le contrôle de la machine infecté par ce biais. 1 Editeur, 1format, 1 seule implémentation, 1 monopole et au final ... 1 gros problème.
http://www.adobe.com/support/security/advisories/apsa09-03.html
Le 17 juillet, dans le petit monde des pirates (mais 36% des internautes avouent être des pirates d’après l’étude d’Interpret), le site trackersurfer.fr aurait été piraté. Tout comme le célèbre thepiratebay, trackckersurfer été un site de partage de torrent. Le site faisait appel au don pour son financement. Le site et les dons ont été détournés pendant plusieurs jours. Un pirate qui pirate un pirate, est-ce que c’est bien ou mal ? En tout cas, les ex-administrateurs de trackersurfer ne semblent pas envisager de porter plainte.
http://gigabble.blogspot.com/2009/07/propos-de-trackersurferfr-piratage.html
(et http://interpretllc.com/index.php )
Twitter est un outil de réseau social et de microblogging qui permet d'envoyer gratuitement des messagesde 140 caractères maximum à ses amis. On a beaucoup entendu parlé de Twitter lors des manifestations en Iran. Suite aux contestations de l'élections présidentielles, les manifestants ont utilisé Twitter pour se coordonnées, contournant ainsi les autres infrastructures controlées par l'état.
Ce mois si, on en a également appris plus sur le Français qui a piraté Twitter en Avril.On pense qu'il s'agit d'un génie qui maitrise mieux le binaire que l'orthographe française ? Non...
Hacker Croll (c'est son pseudonyme) a uniquement utilisé des méthodes de social engineering. Cela veut dire que n'importe qui peut faire la même chose.
Le point d'entré de son attaque : pénétrer la boite au lettre personnel Yahoo d'un employé de Twitter.
- La méthode : utiliser le système récupération de mot de passe qui pose une question personnelle. Chercher la réponse sur Google, Facebook, ...
- Un peu de chance : les adresses mails des employés trouvés dans le whois, des mots de passes prédictibles, des informations sur d'autres mots de passe dans le contenu des mails...
Mais faut-il pour autant tomber dans la paranoïa. Qui peut être intéressé par une boite mail personnelle ? Mais n'a t'elle pas quelque liens professionnelles ?
Qui peut-être intéressé par vos données ? Avez-vous des concurrents ? Des envieux ? Si quelqu'un vole votre boite mail (comme on vole une identité). Qu'est ce que vous perdez ?
On peut aussi faire le raisonnement dans le sens inverse et considéré que vous pouvez être une victime du hasard et que vous êtes piraté en tant que cible parmi tant d’autre. Le contenu de votre boite est alors analysé automatiquement à la recherche de mot de passe, de coordonnées bancaire, d’accès à vos comptes sur des sites marchands. Dans le but d’effectuer des opérations en votre nom.
http://www.zataz.com/news/19125/Rencontre-avec-Hacker-Croll--le-visiteur-de-Twitter.html
Il a été si facile de détourner 4 avions avec des cutters pour les faires s'écraser. Faut-il s'inquiéter du cyber terrorisme ? Même les Etats Unis sont dépassé. Monsieur Obama a déclaré que "le cyber sécurité est l'un des challenges économiques et de sécurité national auquel la nation doit faire fasse".
http://ourpublicservice.org/OPS/publications/viewcontentdetails.php?id=135
[Mise à jour du 30 Juillet:]
La conférence Black Hat cybersecurity à fait la démonstration qu'il est possible de détourner un iPhone à l’aide d’une simple série de SMS spéciale. Pas moins d'une centaine de sms sont nécessaires pour réaliser l'attaque mais seul le premier est visible pas l'utilisateur et contient un petit carré.
Une fois fait, l'attaquant peut prendre le contrôle de l'appareil: passer des appels, surfer, prendre des photos et bien sur envoyer des sms vers une autre victime. Apple a été prévenu il y a 1 mois ... aucune réaction.
http://news.cnet.com/8301-27080_3-10299378-245.html
[Fin de la mise à jour]
40 ans après avoir marché sur la Lune, il est nécessaire d'avoir les pieds sur terre. Pour se prémunir du danger, la chance n'est pas suffisante. Après la lecture de l’interview de Croll, j'ai reconfiguré ma boite Yahoo.
La discussion continue ailleurs
URL de rétrolien : http://blog.nalis.fr/index.php?trackback/47
Derniers commentaires
Grégoire Lecocq - mai 31 2018
Je suis sur Facebook pour ma propre pub. Mais Diaspora m'intéresse d'autant plus…
solution mobile entreprise - janvier 16 2018
Merci pour le partage d'informations. Il est très important pour une entreprise…
voip tech - décembre 1 2016
je veux votre contact technique pour réaliser un test a fin de créer un compte.…
abderrahmen - novembre 6 2015
je fais mes premiers pas sur Selenium.
abderrahmen - novembre 6 2015
bonjour , je fais mes premiers pas sur selenium.
Didier - octobre 4 2015
A signaler: les mini-ascenseurs foutent la m**de dans la programmation…