See on Scoop.it – Actualités de l’open source
51 millions de sites déployés sur WordPress, 15 000 plugins associés, 540 vulnérabilités publiées entre 2006 et 2010 pour WordPress et Drupal ; comme dirait Bernard, « Bienvenue sur le territoire des CMS, voyage au cœur d’une nébuleuse ».
See on www.unixgarden.com
See on Scoop.it – Sécurité des systèmes d’Information
« L’ANSSI avait indiqué voilà plusieurs mois qu’elle publierait un guide destiné à assister les professionnels en matière de sécurité informatique. Le guide est désormais publié et propose 40 conseils simples pouvant être appliqués rapidement. »
See on pro.clubic.com
Filmé dans le cadre du programme régional Aquitain www.unclicpourmaboite.fr, je suis revenu sur les différentes offres de solutions WIFI pour les professionnels du tourisme, les lois et les règles de sécurisation des données.
Peut être pas celui que l’on croit !…
Joomla! est une plateforme très utilisée pour la création de sites dynamiques. Néanmoins, l’utilisation d’un outil « packagé » ne met pas à l’abri des risques de piratage et d’intrusion dans le système. Voici quelques failles à surveiller et à corriger pour assurer une protection de votre site Joomla!
La première (et plus simple) faille du produit est l’URL d’accès à son interface d’administration bien connue des administrateurs du site mais également des pirates potentiels. Il est donc primordial d’avoir un mot de passe fort pour l’administrateur car les pirates vont essayer les mots de passe classiques, les plus utilisés par les internautes peu soucieux de la sécurité.
Ensuite, les pirates vont utiliser les failles des composants, plus que celles du noyau de joomla! Vous devez donc veiller à toujours utiliser la dernière version stable du noyau afin de garantir une prise en compte des dernières failles de sécurité. La dernière version stable est la 1.5.15.
Le piratage se fait donc le plus souvent via une vulnérabilité dans un composant ou un module et en utilisant des méthodes classiques :
– Injection SQL, technique qui consiste à modifier une requête SQL existante pour afficher des données cachées, ou pour écraser des valeurs importantes, ou encore exécuter des commandes dangereuses pour la base.
– Injection de fichier, technique qui consiste à introduire un fichier étranger sur le serveur.
– Vulnérabilité du type cross-site scripting (XSS) et cross-site request forgery (XSRF), autorisant des utilisateurs à effectuer certaines actions par le biais de requêtes HTTP sans vérification de celles-ci. Ces erreurs peuvent être exploitées pour, par exemple, ajouter un nouvel super administrateur de Joomla!.
Donc, pensez à utliser des modules et des composants fiables, testés et n’hésitez pas à consulter la liste des failles répertoriées sur le site http://docs.joomla.org/Vulnerable_Extensions_List
En revanche, sachez qu’il existe également des composants Joomla! qui peuvent sécuriser votre site et même détecter toutes tentatives d’injection !…
Lorsque vous vous connectez à un site Internet pour y saisir votre nom d’utilisateur et votre mot de passe, celui-ci ouvre une session qui va rester ouverte jusqu’au moment où vous cliquez sur « déconnexion » ou fermez le navigateur. La gestion des sessions se fait suivant plusieurs techniques, la plus utilisée utilise les cookies, petites variables nommées, associées à des URLs et possédant une limite de validité dans le temps. Le serveur produit le cookie et le navigateur le transmet à chaque requête HTTP. Ainsi, si votre connexion n’est pas chiffrée, un attaquant qui vous dérobe ces fameux cookies accède simplement à votre session.
Pour obtenir cette information, l’attaquant capture (par différentes méthodes) tout ou partie du trafic entre le serveur HTTP et le client pour ensuite faire apparaître les transactions qui comportent une transmission de cookie et enfin déterminer quel est le cookie de session. Le service Google Mail, comme iGoogle utilise par exemple un seul cookie appelé GX pour identifier la session.
Sous Firefox 3, les cookies sont désormais stockés dans un fichier SQLite 3 sur lequel il est très facile de procéder à tous types de requête SQL. Un script permet ensuite la transposition d’un hôte cible à un autre en insérant un enregistrement adéquat dans la table et hop, le tour est joué ! l’attaquant est désormais identifié comme étant l’utilisateur de la session ouverte.
La solution pour éviter un tel vol est d’imposer systématiquement le chiffrement des communications (HTTPS pour le web, VPN pour les autres applications nomades,…). Il est également important de penser à « effacer ses traces » de navigation.
Des chercheurs en informatique des universités d’Hiroshima et de Kobe au Japon ont affirmé avoir mis le doigt sur une méthode permettant de craquer en moins d’une minute le système de chiffrement WPA (pour Wi-Fi Protected Access).
Cette technique pourrait s’appliquer à certains types de routeur Wi-fi.
Source: Le Journal du Net
Le Web Hacking Incidents Database (WHID) vient de publier une étude sur les attaques 2008 des sites Internet dont voici les principaux chiffres :
– 24% de ces attaques se sont soldées par un défacement du site attaqué, c’est-à-dire généralement par une modification de la page d’accueil pour y laisser un message,
– 19% ont été faites dans le but de voler des données plus ou moins sensibles,données ensuite revendues pour être exploitées afin de dérober de l’argent,
– 8% dans le but de rendre le site indisponible.
Concernant les types d’attaques, l’étude du WHID souligne une tendance :
– l’injection SQL reste la méthode la plus employée avec 30% des attaques, et connaît une nette progression par rapport à l’année précédente (20% en 2007),
– alors que les attaques de type XSS (Cross-Site Scripting) sont en léger recul avec 8% (contre 12% précédemment),
– 8% des vulnérabilités résultent d’un défaut (ou d’une absence) de système d’authentification,
– et surtout près de 30% des vulnérabilités exploitées par des pirates restent inconnues (ou ne sont pas communiquées publiquement).
L’enquête explique ce dernier point par un manque évident de visibilité sur le trafic Web en raison d’une faiblesse du monitoring et d’analyse des logs. Or, cette faille dans les mécanismes de surveillance permet aux pirates de réaliser des tentatives d’attaques répétées sans générer d’alerte et de n’être découverts que très tardivement.
Les administrations, et plus particulièrement les sites gouvernementaux ou appartenant à des forces de l’ordre, sont des cibles idéales, principalement visées pour des raisons idéologiques. Les sites commerciaux font malgré tout partie des cibles les plus fréquemment visées par des attaques, notamment les sites d’e-commerce. Enfin le secteur de la finance continue à faire l’objet de piratage.
Pour marquer le passage à l’année nouvelle, les Français ont massivement opté pour les vœux virtuels, notamment via internet, pulvérisant une fois de plus les records de l’année passée. Le site dromadaire.com, leader sur ce secteur, a comptabilisé plus de 10 millions de cartes dans la journée du 1er janvier, contre 3 millions l’année dernière, en plus des deux millions déjà programmées pour un envoi à minuit pile.
Une aubaine pour les cybercriminels,qui voient dans les cartes virtuelles un excellent vecteur pour propager virus ou chevaux de Troie et attirer d’infortunés destinataires sur de faux sites. Une des attaques les plus courantes consiste à insérer un lien piégé dans l’e-mail informant le destinataire qu’il a reçu une carte virtuelle. Celui-ci est alors redirigé vers un site malveillant, où l’attendent codes malicieux et autres formulaires destinés à lui soutirer des informations personnelles.
Comment repérer ces cartes piégées ? Difficile , d’autant que, parfois, l’expéditeur – involontaire – de la carte piégée est connu du destinataire, ce qui trompe la vigilance de celui-ci.
Restent les conseils de sécurité habituels :
– ne pas ouvrir un e-mail suspect (expéditeur de la carte ou nom du fournisseur de service inconnu),
– mettre à jour systématiquement son antivirus et son firewall, qui pourront intervenir si le code malveillant est déjà connu,
– ne pas cliquer sur un exécutable qui serait envoyé en pièce jointe,
– ne jamais communiquer ses coordonnées bancaires…
Et une nouvelle fois, bonne année à tous !
Comme le nom l’indique, le rootkit est un kit composé de différents outils qui, avec les droits « root » (administrateur) d’une machine permet de récupérer toutes les informations utiles qui transitent sur cette machine. L’installation d’un rootkit nécessite des droits « administrateur » sur la machine. Cela signifie que le pirate doit initialement disposer d’un accès frauduleux, avec les droits du « root » afin de mettre en place son « rootkit ». Un rootkit ne permet pas en tant que tel de s’introduire de manière frauduleuse sur une machine saine.
Un rootkit est donc un ensemble de programmes qui permet au pirate de s’installer sur une machine et d’empêcher sa détection. La plupart du temps, il se compose d’un cheval de troie qui permet la mise en place d’une porte dérobée, d’un sniffer d’interface réseau pour intercepter les données qui transitent sur le réseau et d’un nettoyeur de fichier journal du système pour effacer ses traces et masquer son activité. Du fait de leur côté furtif, les rootkits sont difficilement détectables. Ainsi, la plupart ne se propagent pas ou ne ralentissent pas de manière visible la machine.
Connus depuis longtemps dans les environnements Unix ou Linux, où ils aident à automatiser des tâches d’administration sans porter de véritables menaces, le large déploiement des environnements Windows, où les utilisateurs travaillent la plupart du temps avec des droits administrateurs, en ont fait une attaque de choix et souvent méconnue.
Se rendre compte que l’on est infecté par un rootkit ou le détecter n’est pas évident. Il opère au niveau du noyau (la plupart du temps chargé en tant que driver) et peut donc tromper à sa guise les programmes qui sont exécutés en mode utilisateur (antivirus, firewalls). En dehors des antivirus, il existe des utilitaires pouvant mettre en évidence la présence de rootkits. Les méthodes principales de détection s’appuient sur la faiblesse relative du rootkit : ce qu’il doit cacher pour perdurer dans le système.
La prévention reste cependant le moyen de protection le plus efficace : le rootkit ne peut s’installer que si une faille est présente, si les conditions sont réunies pour que son exploitation soit réussie et si elle permet un accès avec les droits administrateur. Donc pas de faille, pas de rootkit. Le meilleur moyen de se protéger des rootkit reste donc de se prémunir contre les failles !
