Laboratoire Cyberprotect

Aller au contenu | Aller au menu | Aller à la recherche

vendredi 4 février 2011

Pwn2Own 2011 : Qui veut gagner 20 000$ ?

Pwn2Own est un concours annuel Pwn2Own organisé par TippingPoint (du 9 au 11 mars 2011 à Vancouver - Canada) qui rassemble un ensemble de spécialiste et bidouilleur (hacker) en sécurité informatique.

L'objectif du concours de cette année est de découvrir des failles sur les principaux navigateurs internet : Internet Explorer, Safari, Firefox et Chrome.

Google, avec l'annonce de sa nouvelle version de Chrome 9, va plus loin.

En effet, Google offre 20 000 $ a toute personne qui trouvera, lors du concours, 2 failles critiques sur son navigateur.

Cette annonce a deux enjeux pour Google :

1- Montrer l'efficacité du nouveau moteur SandBox de Chrome ;

2- Relancer l'intérêt des "hackers" à tester les faiblesses du navigateur.

En effet, le navigateur de Google a été un peu délaissé par la communauté car lors des précédentes sessions du Pwn2Own, les produits de Google avaient été testé et pu de failles avaient été découvertes.

Nous verrons mi-mars si la sécurité de Chrome est à la hauteur des espérances de Google.

mercredi 2 février 2011

Facebook : Qui a consulté mon profil ?

Avec l'utilisation de plus en plus importante des réseaux sociaux (dans la sphère privée mais également professionnelle), le nombre d'attaque à travers ces médias sont de plus en plus nombreux.

L'application la plus connue sur Facebook reste sans nul doute "Découvrez qui a consulté votre profil". Et elle est malheureusement loin d'être éradiquée.

Cette application permet à l'attaquant de publier des commentaires sur le mur du piégé (et forcement sur ceux de ses ami(e)s ). Plus embêtant, supprimez les commentaires gênants et ils réapparaissent une seconde après...

Donc, au lieu de savoir combien de personne a consulté votre profil, il se peut que Facebook décide de le fermer.

Pour se protéger de ce genre d'attaque, le plus important est de se renseigner sur la fiabilité d'une telle application et d'éviter toutes applications qui flattent notre "net-égo" !

La dernière attaque en date vous indique que votre profil à été consulté 5714 fois et vous invite à cliquer sur un lien (que nous avons volontairement supprimé) : "My total facebook views are: 5714 Find out your total profile views @ http://bit.ly/<lien supprimé>".

mardi 1 février 2011

[Microsoft] Nouvelle faille de sécurité MHTML

Microsoft a publié le 28 janvier 2011 une faille de sécurité concernant le gestionnaire de protocole MHTML (MIME HTML).

Cette faille a été découverte par le site wooyun.org.

Internet Explorer (IE) et Opera sont affectés par cette vulnérabilité qui permet à un logiciel malveillant de récupérer des informations personnelles.

Mozilla FireFox, Google Chrome et Apple Safari ne sont pas impactés par cette faille.

Pour le moment, aucun patch n'a été communiqué par Microsoft et seul un contournement est proposé par l'éditeur (activation/désactivation de MHTML) à travers cet outil.

lundi 31 janvier 2011

2000-2010 : une bonne année pour la cybercriminalité

Selon le récent rapport publié par McAfee (A Good Decade for Cybercrime), la décennie écoulée a été profitable aux Cybercriminels.

Ce rapport classe les différentes années :

  • 2000–2003 - Notoriety and Personal Challenge :
  • 2004–2005- Lure of Money and Professionalism
  • 2006–2008 - Gangs and Discretion
  • 2009–2010 - Social Networking and Engineering

Il indique donc une évolution vers un cybercrime organisé, un certain professionnalisme du "métier".

Ce document rapporte également le TOP 5 des exploits sur cette décennie ainsi que les dommages (financiers) causés :

  • MyDoom’s (2004) : Ce ver avait pour objectif de ralentir le trafic internet (vecteur de propagation très rapide) et ainsi affaiblir la productivité des sites de commerces électroniques. Les dommages sont estimés à plus de 38 milliards de dollars (29 milliards d'euros)
  • “I LOVE YOU” (2000) : Le premier ver/virus qui a été propagé en masse via la messagerie électronique. Dommages estimés : 15 milliards de dollars (11 milliards d'euros)
  • Conficker (2007) : Ce ver a permis à des "pirates" de prendre la main sur des millions de machines. Dommages estimés : 9,1 milliards de dollars (6,7 milliards d'euros)
  • Stuxnet (2010) : Ce ver, très récent, cible les ressources industrielles et récupérer des informations confidentielles gouvernementales. Dommages estimés : inconnus.
  • Zeus (2007) : Ce botnet (réseau de robot) a permis de récupérer une quantité importante (mais non estimée) d'informations personnelles se trouvant sur les PC infectés. Dommages estimés : inconnus.

Enfin, ce rapport nous indique que les futurs exploits seront tournés vers les réseaux sociaux, vers l'envoi de liens malveillants...

Encore une bonne raison pour assurer son système d'information.

vendredi 28 janvier 2011

ShmooCon 2011

La convention de "hackers" ShmooCon s'ouvre aujourd'hui (28 janvier 2011) et se tient pendant 3 jours (30 janvier 2011) à Washington, DC à l'hôtel Hilton.

Le but de cette convention est de discuter autour d'exploits, de logiciels innovants et/ou de matériels de sécurité informatique.

Au niveau des intervenants, il y a du "beau monde" :

+ Peiter "Mudge" Zatko : l'inventeur de L0phtCrack, AntiSniff ;

+ Axelle Apvrille (Crypto Girl) : LA virus docteur (senior) de chez Fortinet pour tout ce qui touche à la téléphonie mobile

+ Kyle Yang : également chez Fortinet, il est en charge du labo Malware

+ Marc Eisenbarth : fait parti du DVLabs' Advanced Security Intelligence team, équipe de l'éditeur TippingPoint

+ Andrew Gavin : créateur de OpenDLP

+ Jon Larimer : chercheur chez IBM's X-Force Advanced Research team (l'ancienne équipe d'ISS)

et beaucoup d'autres !

http://www.shmoocon.org/

mardi 7 septembre 2010

Site Suzuki France

Le site de suzuki France, http://www.suzuki-moto.com, a été défacé le 6 septembre 2010 vers 18h (GMT+1) par SiL-ScOr.