3 novembre 2011

Des chercheurs parviennent à tromper le Captcha de sites très populaires

A la différence d'autres outils de Captcha, 
le reCaptcha de Google reste inviolé
Elie Bursztein, Matthieu Martin et John C. Mitchell, trois chercheurs de l'Université de Stanford, ont développé un outil automatisé capable de déchiffrer, avec un degré significatif de précision, le texte destiné à lutter contre le spamming et utilisé par de nombreux sites internet parmi les plus populaires. Les chercheurs, qui travaillent sur le captcha depuis un an et demi, sont venus présenter leurs résultats à l'ACM Conference On Computer and Communication Security qui s'est tenue récemment à Chicago.

Le Captcha, acronyme de « Completely Automated Public Turing test to tell Computers and Humans Apart », est un test de « défi-réponse utilisé dans le domaine de l'informatique, ayant pour but de s'assurer qu'une réponse n'est pas générée par un ordinateur. » Autrement dit, il consiste à poser des problèmes « que seuls les humains sont censés être capables de résoudre. » Les sites web utilisent ces tests dans des formulaires pour se prémunir contre les soumissions automatisées et intensives que pourraient utiliser des robots malveillants pour collecter des adresses mails ou enregistrer des comptes et poster des commentaires.

Il existe différents types de captcha : certains utilisent le son, d'autres des problèmes mathématiques, mais les versions les plus courantes consistent à demander aux utilisateurs de taper sur leur clavier un texte déformé. Une équipe de l'Université de Stanford, Elie Bursztein, Matthieu Martin et John C. Mitchell, a imaginé différentes méthodes de segmentation pour faciliter la reconnaissance de textes rendus volontairement moins lisibles par l'ajout d'une image dégradée en arrière-plan ou sous forme de chaînes de caractères distordus.

Des algorithmes issus des travaux en robotique

Certains de leurs algorithmes sont inspirés de ceux utilisés par les robots pour s'orienter dans divers environnements et ont été intégrés dans un outil automatisé baptisé Decaptcha. Leur outil a ensuite été lancé pour tester le captcha utilisé par une quinzaine de sites web parmi les plus connus de la Toile. Leurs résultats révèlent que les tests mis en place par la passerelle de paiement Authorize.net de Visa ont pu être résolus dans 66% des cas, alors que les assauts menés contre le portail du jeu World of Warcraft de Blizzard ont affiché un taux de réussite de 70%.

Autres résultats intéressants : sur eBay, la mise en oeuvre du captcha a échoué dans 43% des cas. Et sur Wikipedia, le décryptage automatisé a réussi 1 fois sur quatre. Moindres, mais toujours significatifs, les taux de réussite sur Digg, CNN et Baidu, ont été de 20, 16 et 5 % respectivement. Seuls les sites de Google et de reCaptcha ont résisté à l'outil automatisé des chercheurs.  Rappelons au passage que l'outil reCaptcha a été initialement développée à l'Université Carnegie Mellon et acheté par le géant de Mountain View en septembre 2009.

Le reCaptcha de Google toujours inviolé

Depuis ces tests, les sites Authorize.net et Digg ont décidé d'utiliser reCaptcha, un service toujours gratuit, mais il n'est pas sûr que les autres sites aient changé de modalités. Néanmoins, les chercheurs de Stanford ont donné plusieurs recommandations pour améliorer la sécurité Captcha et rendre plus difficile la segmentation. Par exemple, en augmentant la valeur aléatoire de la chaîne de caractères et de la taille de la police, en appliquant un effet de vague, en ajoutant des lignes dans le fond. Une autre conclusion intéressante de ces travaux, c'est que l'utilisation de séries de caractères complexes n'apporte pas d'avantages en terme de sécurité et que le principe nuit plutôt à la convivialité.

Ce n'est pas la première fois qu'Elie Bursztein et son équipe font des percées dans ce domaine. Au mois de mai dernier, ils ont développé des techniques permettant de tromper les Captchas audio sur des sites comme Microsoft, eBay, Yahoo et Digg. Et ils prévoient d'améliorer encore leur outil Decaptcha.

Les limites de la « cyberfouille »

La secrétaire avait laissé son ordinateur allumé. Fatale étourderie ! Son patron est passé pour l'éteindre. Il a découvert qu'un fichier de quelque 1.400 coordonnées de clients et prospects était en cours d'expédition par messagerie interne à un salarié non habilité à y accéder. « Les fuites internes sont le premier talon d'Achille de l'entreprise, prévient Etienne Drouard, avocat associé chez K&L Gates. D'où l'importance de conserver l'historique des actions des salariés et de mettre en place des filtrages et contrôles d'accès pour éviter que les données confidentielles ne partent à vau-l'eau. » Mais, en limitant l'utilisation privative de l'outil informatique, ces dispositifs attisent la riposte des employés. « De 25 à 30 % des plaintes devant la CNIL sont aujourd'hui liées à la multiplication des outils de surveillance », note son secrétaire général, Yann Padova. Comment déjouer les fraudes dans le respect de la vie privée des salariés ?

1 Contraintes légales
Les failles de sécurité qui, hier, rendaient l'entreprise victime d'intrusion dans son système informatique, peuvent désormais la rendre responsable, voire coupable. En tant que « responsable du traitement » des données personnelles qu'il héberge, le dirigeant encourt des sanctions pénales si la perte ou la fuite de ces données, volontaire ou non, a mis au jour une faille de sécurité. De son côté, la loi Hadopi oblige en pratique l'employeur, sous peine de sanctions civiles et pénales, à sécuriser ses accès Internet pour éviter qu'ils ne soient utilisés à des fins de téléchargement illégal d'oeuvres culturelles. L'employeur doit donc naviguer à l'intérieur de ce chenal étroit. Mais pour les salariés aussi, la situation devient délicate. L'accroissement des contrôles pour prendre sur le fait une utilisation abusive d'Internet au bureau fait grimper la courbe des licenciements.

2 Les nouvelles frontières de la vie privée au bureau
Pragmatisme oblige, les tribunaux accordent à la vie privée dans l'entreprise une place de plus en plus résiduelle. Avant toute « cyberfouille », la question à se poser est de savoir si le mail - ou le fichier -est personnel ou professionnel, la convocation du salarié n'étant obligatoire que dans le premier cas. Petit bémol : comme le nuance M e Drouard. « La responsabilité pénale de l'employeur ne sera pas mise en jeu si un mail personnel ouvert illégalement a permis de débusquer un délit tel que la divulgation d'un brevet ou le vol de la base de données. » A l'inverse, ce mail personnel ne pourra pas, en l'absence de décision pénale, servir à licencier le salarié. D'une manière générale, tout mail ou fichier est présumé professionnel sauf si ses caractéristiques manifestent un caractère personnel et son contenu pourra justifier un licenciement s'il révèle une faute de l'intéressé. Plusieurs salariés ont ainsi été licenciés pour avoir tenu des propos de dénigrement et outranciers envers l'entreprise. Le contenu d'un mail personnel ou d'une conversation sur le mur de Facebook ayant un « rapport avec l'activité professionnelle » peut aussi justifier des sanctions, le salarié abusant alors de sa liberté d'expression.
En revanche, l'intrusion sauvage dans l'ordinateur de l'intéressé se révèle un flop. Sauf à déclencher le SOS « sécurité ». Cette procédure est possible « en cas de risque ou d'événement particulier ». « Dans ces conditions, l'employeur est en droit d'ouvrir les fichiers et courriels, même identifiés par le salarié comme personnels, et contenus sur le disque dur de l'ordinateur mis à sa disposition [...]. » Cette procédure, désormais admise par les tribunaux, délivre ainsi à l'employeur une sorte de ticket d'intervention d'urgence.

3 Réglementer l'utilisation privative d'Internet
« Le premier devoir de l'entreprise est de veiller qu'aucune infraction n'a été commise », prévient Etienne Drouard. Cette contrainte lui offre toute latitude pour définir une politique de surveillance adaptée à ses problématiques. « L'entreprise est désormais perçue comme un auxiliaire de justice devant prêter main-forte au juge pour identifier les auteurs d'infractions, ce qui légitime qu'elle conserve les données de connexion à l'instar des hébergeurs pendant un an », souligne l'avocat. La surveillance s'exerce néanmoins dans le cadre du triptyque « justification/proportionnalité/transparence », utilisant notamment le vecteur d'une charte destinée à informer et sensibiliser les salariés. Mais il s'agit d'encadrer, pas d'interdire. Le contrôle permanent des connexions d'un salarié est à proscrire car « disproportionné » au regard du devoir de respecter sa vie privée.
LAURENCE NEUER, Les Echos

A retenir
En l'absence de correspondant Informatique et libertés (CIL), déclarer à la CNIL les systèmes de traçabilité et les données personnelles collectées (adresses IP...).
Rédiger une charte annexée au règlement intérieur précisant : les supports de traçabilité (logiciels de filtrage...), la raison du contrôle (sécurité...), la liste des comportements interdits, les conditions dans lesquelles un salarié peut créer un fichier abritant des données personnelles (accord du service juridique de l'entreprise...), l'accès par l'administrateur réseau à l'ordinateur d'une personne en congé maladie, etc.
Prévoir, le cas échéant, un manuel destiné à ceux qui effectuent des opérations de contrôle (DG, DRH, DSI), précisant le moment et les personnes en présence desquelles doit s'opérer le contrôle (huissier, salarié, etc.)
Source

Des chercheurs lâchent plus d'une centaine de bots sur Facebook


Des chercheurs ont réussi à envahir le réseau Facebook en déployant plus d'une centaine de bots capables d'établir des interactions avec les autres membres du réseau.

Le magazine Cnet US rapporte une étude menée par quatre chercheurs de l'université canadienne British Columbia qui aurait permis de récupérer 250 Go de données personnelles extraites du réseau Facebook. Le projet en question vise à déterminer le degré de vulnérabilité des réseaux communautaires face à l'intrusion massive de bots, ou agents logiciel, capables d'interagir avec les serveurs de la société et de réaliser des manipulations qu'un internaute serait en mesure d'effectuer.

Durant 8 semaines, 102 bots ont ainsi été lancés sur Facebook avec pour ces derniers la création de 49 profils masculins et 53 féminins. Afin d'éviter les systèmes de sécurité CAPTCHA, chacun de ces bots a ensuite procédé à un maximum de 25 demandes d'amis quotidiennes sur deux jours avec au total 5053 requêtes envoyées. 973 réponses positives furent retournées durant les 6 jours suivants, soit un taux de 19%. Puis, en estimant que deux utilisateurs disposant d'un ami en commun avait trois fois plus de chances d'être eux-mêmes connectés, une seconde vague 3517 invitations fut ainsi mise en place sur une période de six semaines. Le taux d'acceptation est alors passé à 59% avec 2079 réponses positives.

« Plus les socialbots s'infiltrent au sein d'un réseau social, plus ils peuvent récupérer les informations privées des utilisateurs comme les adresses email, les numéros de téléphone et d'autres types de données personnelles ayant une valeur financière », explique les chercheurs. Ils précisent que ce type d'agent logiciel peut être monétisé pour 29 dollars pièce sur le marché noir.
 Socialbot
Selon les chercheurs, l'expérience établit alors qu'il est relativement facile de s'immiscer sur Facebook et cette étude, qui sera présentée le mois prochain, montre que les internautes ne prennent pas assez de précautions lorsqu'ils reçoivent une invitation et notamment lorsqu'un ami est listé en relation commune. Par ailleurs, le système de protection embarqué sur le réseau communautaire, baptisé Facebook Immune System (FIS) et précisément chargé de nettoyer les faux comptes, ne se serait pas avéré très performant. Sur cette période totale de 8 semaines seuls 20 des 102 profils générés auraient ainsi été fermés. La fermeture ne serait pas due à une analyse détaillée des profils en question par le FIS mais résulterait des rapports des autres utilisateurs identifiants ceux-ci en tant que spam. Les bots auraient effectivement procédé à la publication régulière de mises à jour afin de tromper le dispositif de sécurité de Facebook. Le taux d'infiltration est alors estimé à 80%.

Retrouvez cette étude dans son intégralité ici (PDF - anglais)
Source

2 novembre 2011

Les entreprises ne font pas confiance à la sécurité de leur SI

Dans l’étude “Global State of Information Security 2011” 61 % des entreprises françaises avoue au moins un incident informatique majeur. Une progression de 22 % en un an ! Explications.

Tous les spécialistes en sécurité en conviennent, les systèmes d’information des entreprises subissent désormais des attaques très différentes de ce qu’elles connaissaient, par leur nature, leur origine, leur fréquence, leur ampleur… et leur impact (voir nos articles, ici, là ou encore là).
Un constat également évident à la lecture de la quatorzième édition de l’étude mondiale “Global State of Information Security 2011” (PwC/ClO Magazine/CSO Magazine), menée par PwC auprès de PDG, directeurs financiers, DSI, RSSI et responsables IT et sécurité dans 138 pays, rassemblant plus de 9 600 réponses dont 563 pour la France.

Des incidents numériques qui coûtent très cher
Des dommages clairement perceptibles
Premier constat : 61 % des entreprises françaises déclarent avoir subi un incident en 2011, contre 39 % en 2010. Une progression de 22 points, ou un tabou de communication qui saute ?…
L’étude précise même les différents impacts ayant entraîné des dommages puisque suite à ces incidents de sécurité 20 % des entreprises ont subi des pertes financières (contre 8 % en 2008), 17 % citent des vols de propriété intellectuelle (6 % en 2008), et 13 % reconnaissent enregistrer des atteintes à leur image (6 % en 2008). Des chiffres comparables aux résultats mondiaux (voir illustration ci-contre).
« Pour la plupart, les entreprises ont adopté une approche par les risques se concentrant sur les données (plus de 80 % des répondants). Mais elles sont beaucoup moins nombreuses à avoir mis en place l’ébauche d’une approche permettant d’apporter une confiance sur le long terme sur la capacité de l’entreprise à protéger ses données,» constate Philippe Trouchaud, associé PwC en charge de l’offre “Sécurité de l’Information”.
Comme toujours, on attend que le feu se déclare pour penser aux risques d’incendie. Les politiques de prévention restent encore peu répandues dans les entreprises n’ayant subi aucun ou que peu de dommages. Espérons que la multiplication des incidents joue enfin un rôle positif en la matière.

Quatre mesures à minima
Après analyse des entreprises leaders en matière de sécurité, PwC a défini quatre mesures pour maitriser les risques de sécurité et revenir les incidents :

  v  Définir une véritable stratégie de sécurité de l’information qui porte sur la protection de l’information, et sur la façon d’utiliser les nouvelles technologies et le cyberespace, tout en se protégeant ;
  v  Communiquer avec les dirigeants via un canal approprié pour expliquer et définir une stratégie de sécurité, et rendre compte globalement (reporting) ;
  v  Une revue au moins annuelle de l’efficacité du dispositif de sécurité, pour s’assurer que les risques sont couverts ;
  v  Un processus d’identification des incidents de sécurité, de leurs causes et de leurs conséquences, pour adapter le dispositif et nourrir le reporting.
  v  « Les entreprises qui les appliquent toutes subissent deux fois moins d’incidents de sécurité que les autres entreprises,» assure-t-on chez PwC. « Elles ne sont pourtant que 13 % à appliquer l’ensemble de ces mesures au niveau mondial et 11 % en France.»

Apprendre la sécurité par le jeu

Dans P4r4risque, un jeu inspiré du Monopoly et créé par Christophe Jolivet 
de PR4GM4, les joueurs sont invités à discuter des mesures de protection, 
à effectuer des transferts pour arriver à un niveau de sécurité acceptable 
ou à encaisser des pertes financières pour des données perdues.
LE SOLEIL, PASCAL RATTHÉ

(Québec) Dans le monde des technologies de l'information, la sécurité des informations doit être une priorité. C'est le nerf de la guerre dans la société qui mise sur ses réseaux et sa connectivité en temps réel.

Quand des serveurs tombent en panne après avoir été attaqués, comme ce fut le cas avec le réseau PlayStation, des millions d'usagers craignent que leurs informations personnelles, comme les numéros des cartes de crédit, puissent être tombées dans de mauvaises mains. Le réseau PlayStation a été fermé pendant des semaines. Même chose avec le réseau des BlackBerry de Research in Motion qui a subi une panne majeure de son réseau d'information. Sa réputation de fiabilité et de sécurité a été ébranlée.

Si l'on peut implanter des mesures dans le réseau informatique pour protéger certaines données et assurer sa fiabilité, il reste un maillon faible dans la chaîne : l'humain. Ce sont des humains qui gèrent et utilisent les systèmes de traitement des informations, mais ils n'ont pas toujours la même sensibilité quant à l'importance de protéger adéquatement les informations physiques ou numériques passant entre leurs mains.

Christophe Jolivet, de PR4GM4 (pragma), une entreprise spécialisée dans les services-conseils en sécurité de l'information, a décidé de passer par le jeu pour faire en sorte que les membres d'une entreprise prennent conscience de la problématique de la gestion des risques de la sécurité des informations en se basant sur la norme internationale ISO 27000.

Son jeu nommé P4r4risque (pararisque) s'inspire du Monopoly. Contrairement au populaire jeu de planche, P4r4risque ne vise pas à faire de l'argent, mais à provoquer une discussion autour des mesures de protection qu'il faut acheter pour être en sécurité, des trans­ferts avec les autres joueurs, les collègues, pour arriver à un niveau de sécurité acceptable ou à payer les pertes financières parce que les vulnérabilités du système ont provoqué une perte des données sensibles, par exemple.

«Le jeu comporte deux volets, explique M. Jolivet. D'abord, apprendre aux gestionnaires et au personnel ce que veulent dire la gestion des risques, les menaces et les vulnérabilités dans une entreprise et son réseau. Puis, faire la promotion des 133 objectifs de sécurité de la norme ISO 27000. Notre société doit apprendre à se protéger, protéger son savoir, ses informations sensibles et stratégiques.»

Le jeu utilise des cartes pour une vingtaine de scénarios de menaces et de vulnérabilité touchant la perte ou le vol d'information, les accès non autorisés, volontaires ou non, de même que la modification des informations ou l'impossibilité d'accéder aux données.

Former pour sécuriser

Pour M. Jolivet, toute entreprise qui veut renforcer la sécurité de son organisation à tous les niveaux doit former son personnel parce que les mesures technologiques ne suffisent pas. Plus encore, trop de sécurité nuit à la sécurité. Il faut une juste mesure. Il estime que les membres d'une organisation peuvent apprendre plus dans un cadre ludique que dans la lecture des centaines de pages sur le sujet.

Au Canada, une dizaine d'entreprises auraient l'accréditation à la norme de sécurité ISO 27000. Aux États-Unis, il y en aurait une centaine alors que le Japon en compte près de 4000.

Le jeu est offert dans quatre langues : français, anglais, espagnol et portugais. Site Web : http://www.p4r4risque.com/

1 novembre 2011

7 préconisations pour intégrer smartphone et tablette en entreprise

Du mode de financement à la boutique applicative… Forrester préconise aux entreprises quelques règles pour mieux gérer les mobiles de leurs salariés

La consumérisation de l'informatique a bouleversé le monde bien établi de l'équipement en mobile des salariés. Ils sont désormais légion à apporter dans l'entreprise leur propre smartphone ou tablette tactile. Ce constat conduit le cabinet Forrester, dans une analyse qui vient d'être publiée, à conseiller aux entreprises de repenser leur stratégie mobile.
Le rapport indique que les DSI devraient désigner un responsable de la mobilité et créer un grand conseil de la mobilité, afin de gérer les priorités, les stratégies, la gouvernance et l’aspect financier relatif aux applications des employés et des partenaires. Ensuite, l'argumentation des analystes se fonde sur une démarche en sept étapes, destinée aux entreprises désireuses d'ajuster leur stratégie mobile en fonction des nouveaux enjeux.

1. Segmenter les salariés pour anticiper leur besoin de mobilité
Les besoins en mobilité diffèrent selon la nature des fonctions, des statuts ou de la position hiérarchique des salariés. Seule une étude permettra de segmenter les prérequis en mobilité et les risques associés : le but étant d'aboutir à une matrice définissant les services mobiles à développer, en regard des coûts associés et de la priorité à leur accorder…

2. Différencier les niveaux d'administration et de sécurisation pour sa flotte de mobiles
Les analystes de Forrester préconisent de moduler la politique de supervision de sa flotte selon les applications et le risque sécuritaire propre à chaque mobile.
Les analystes de Forrester préconisent aussi de moduler la politique de supervision des flottes selon les applications et le risque sécuritaire propre à chaque mobile…

3. Adopter une approche multitechnologies
Si, avec les Blackberry, le courrier électronique était la seule application utilisée, la multiplication des terminaux tactiles auprès des utilisateurs crée potentiellement un besoin pour tout type d'applications. L'étude mentionne une société d'ingénierie ayant estimé à un millier les applications susceptibles d'être adaptées à en environnement mobile…

4. Favoriser le développement d'applications multi-plate-formes
Dans un univers de terminaux multiples, l'entreprise devrait développer des applications fonctionnant sur différentes plates-formes mobiles. L'étude préconise de recourir à des outils de développement en HTML5 pour des sites web mobiles ou à des développements mobiles natifs pour les applications les plus importantes et les plus utilisées…

5. Financer les infrastructures réseau et d'accès adaptées aux mobiles
Les analystes constatent que l'approche budgétaire annuelle ne peut financer l'évolution de l'infrastructure réseau et informatique rendue nécessaire par l'explosion des mobiles. Ces besoins de sécurisation (VPN) ou d'amélioration de la bande passante réseau disponible dans l'entreprise (Wi-Fi haut débit) devraient être financés par les métiers eux-mêmes, dans la mesure où le développement des applications mobiles les concerne au premier chef…

6. Adopter une politique appropriée de financement du mobile
Déjà 51% de Nord-Américains et 36% d'Européens professionnels de l’information paient pour tout ou partie de leur facture (étude Forrester 2010).
Avant de mettre en place une politique de financement de l'équipement en mobile de leur salariés, Forrester préconise aux entreprises de répondre à trois séries de questions.
La première a trait au périmètre des salariés et des services mobiles concernés : qui devrait bénéficier d'un remboursement partiel, total, et pour quels types de services (téléphone, e-mails) ? L'étude de segmentation de la population concernée par la mobilité préconisée au point numéro deux, peut fournir un certain nombre de réponses…

7. Prévoir la mise en place d'une boutique d'applications en ligne
Le futur de la fourniture d'applications mobiles en entreprise existe déjà. C'est la boutique applicative pour les salariés, estime l'étude. Certaines entreprises ont déjà opté pour le développement de portails d'applications téléchargeables en ligne par leurs employés (c'est le cas de Cisco). Des éditeurs, comme MobileIron ou Zenprise, fournissent des outils pour créer des boutiques d'applications pour entreprise (même Apple). L'étude souligne toutefois les contours encore flous des prérequis propres à une boutique applicative d'entreprise.

Livre du Mois - BackTrack 5 Wireless Penetration Testing

Ce mois-ci, je suis excité à l'Donnez votre avis sur un autre livre étonnant - «BackTrack 5 Penetration Testing sans fil». Écrit par Vivek Ramachandran - fondateur de SecurityTube - qui est bien connu pour sa découverte du fil Caffe Latte attaque, ce livre est au-delà des mots.
Voici les informations essentielles au sujet du livre,
Titre: BackTrack 5 Penetration Testing sans fil
Auteur: Vivek Ramachandran
Editeur: Packt Publishing
Pages: 220
Date de sortie: Septembre 9, 2011

Voici la table des matières

Chapitre 1: Configuration sans fil Lab
Chapitre 2: WLAN et les insécurités inhérentes
Chapitre 3: Contournement de l'authentification WLAN
Chapitre 4: Les failles de cryptage WLAN
Chapitre 5: attaques contre les infrastructures WLAN
Chapitre 6: Combattre le Client
Chapitre 7: Attaques avancée WLAN
Chapitre 8: Attaquer WPA-Enterprise et RADIUS
Chapitre 9: Pénétration WLAN Test Méthodologie
Annexe A: Conclusion et voie à suivre
Annexe B: Réponses Quiz Pop

Le premier chapitre commence avec la fameuse ligne de "Abraham Lincoln" en appuyant sur ​​l'importance de la mise en place du terrain de jeu,

Si j'avais huit heures pour abattre un arbre, je serais passent six heures à aiguiser ma hache.

Il énumère à la fois matérielle / logicielle avec 2 ordinateurs portables Wi-Fi activée, un injectable carte Wi-Fi (Alfa AWUS036H) et un point d'accès. Quelques annonces plus d'alternatives injectable cartes Wi-Fi aurait été mieux si. Il est souvent difficile d'obtenir la bonne surtout pour ceux qui sont hors Etats-Unis / Royaume-Uni. Dans mes premiers jours de wardriving, je me souviens d'attente pour l'année entière pour obtenir mon premier dongle USB injectables. Et sans la bonne carte, vous êtes sur le pied arrière que vous ne pouvez pas effectuer la plupart des attaques.

Restant partie du premier chapitre montre comment installer BackTrack, Mise en place d'un point d'accès sans fil et les cartes en détail avec des screenshots. Suivant explique en bref au sujet des trames sans fil et montre comment capturer les paquets Wi-Fi dans l'air et injecter vos paquets à l'aide de la carte Alfa.

Il va plus intéressant avec le chapitre 3, montrant la façon de contourner diverses restrictions de sécurité sans fil tels que SSID cachés, défaisant les filtres MAC, WEP en contournant l'authentification etc Ensuite, il montre comment vraiment craquer les clés WEP 128 bits en utilisant aircrack-ng outil. Enfin, il décrit comment nous pouvons utiliser ces craqué WEP / WPA pour décrypter les paquets de données sans fil et de se connecter directement au WEP / WPA du réseau.

Le chapitre 5 explique diverses Déni de Service (DoS) dont De l'authentification, Dis-Association, la CTS-RTS attaque et le brouillage du spectre. Il montre également comment on peut effectuer l'attaque "Evil Twin" contre le point d'accès légitime et la façon de configurer un point d'accès malhonnêtes pour gagner l'entrée de porte dérobée dans le réseau.

Souvent, le point le plus faible se trouve au côté du client, de sorte que le chapitre 6 va à décrire toutes ces attaques, on peut effectuer sur les clients sans fil, y compris Honeypot et Mis-Association des attaques, Caffe Latte attaque, De-Authenticaton et Dis-Association des attaques, l'attaque Hirte, AP-less etc fissuration WPA-Personal Suivant montre comment effectuer sans fil basé Man-in-the-Middle (MITM) attaques et ensuite l'utiliser pour renifler et le détournement de sessions utilisateur.

Le chapitre 8 porte sur le WPA-Enterprise attaques basées telles que l'exploitation de la faiblesse de PEAP, EAP-TLS. Elle se termine avec la recommandation sur la configuration sans fil sécurisé à l'aide "WPA2-PSK avec un fort mot de passe ' pour les petites / moyennes organisations et «WPA2-Enterprise avec EAP-TLS" pour les grandes organisations.

Dernier chapitre aborde très brièvement sur les méthodologies de test stylo et puis va plus dans les tests stylet sans fil utilisant les attaques expliqué dans les chapitres précédents. Il commence par étape par étape de découverte des périphériques sans fil, trouver des clients non autorisés, points d'accès pirates et la fissuration du cryptage sans fil utilisant les attaques ont démontré dans les chapitres précédents.

Ce livre est entièrement écrit du point de vue pratique et pour obtenir le meilleur de ce livre vous devez parallèlement le suivi avec votre propre configuration, comme indiqué dans le chapitre premier. Et à la fin de celui-ci, il n'y aura plus une connexion Wi-Fi de ninja dans l'air.

Faits saillants du Livre

        ·         Très bien écrit et agréable à lire
        ·         Pratique et comprend derniers trucs de terrain sans fil
        ·         Chaque technique d'attaque est très bien illustrée avec détails techniques complets et des screenshots d'illustration.
        ·         Comprend des éléments d'action pour le lecteur à explorer davantage et d'acquérir davantage d'expertise
        ·         Pop Quiz à la fin de chaque chapitre assure que vous n'étiez pas s'assoupir

Après avoir lu ce livre complètement, une chose est sûre que vous aimeriez changer son titre de "Guide du débutant" à "Non seulement Guide du débutant". Même si son premier livre, je suis étonné par son style d'écriture et de "connexion avec le lecteur" mentalité qui rend plus facile à saisir et agréable à lire.

Et voici le verdict final,
Écrit par des experts sans fil, ce livre va au-delà des mots et fortement recommandé à toute personne souhaitant maîtriser Wi-Fi de Kung Fu.

Avertissement: J'ai reçu ce livre de l'éditeur d'un examen spécial. Et l'auteur est bon ami à moi. Toutefois, l'examen reste authentique et impartiale.

31 octobre 2011

Sécurité : malgré tout, les entreprises sont encore en retard

Si l'attrait des évolutions technologiques est indéniable pour les sociétés (cloud, terminaux mobiles, réseaux sociaux), ces dernières ne parviennent pas à adapter leur stratégie sécuritaire liée à ces nouveaux outils.

Les entreprises essayent de rattraper leur retard en matière d'adoption des nouvelles technologies mais en viennent à négliger l'aspect sécuritaire. C'est en tout cas ce que rapporte la 14e étude internationale sur la sécurisation des informations réalisée par Ernst & Young auprès de 1,700 sociétés reparties dans 52 pays différents. Ainsi, 61% d'entre elles envisagent d'avoir recours à des services de cloud computing ou ont déjà franchi le pas. Ce chiffre monte à 80% en ce qui concerne l'utilisation des tablettes mobiles. L'objectif principal est avant tout de s'adapter rapidement à un paysage économique et fonctionnel en pleine évolution.

Des mesures insuffisantes sur le cloud
Mais c'est au niveau de la protection des données que le bat blesse, et ce, à tous les niveaux. Si 59% des firmes interrogées déclarent que leur priorité de financement sur l'année à venir sera d'augmenter leur budget pour renforcer la sécurité sur le cloud, elles ne sont que 51% à disposer d'une stratégie documentée à cet effet. Plus de la moitié n'ont installé aucun système de contrôle pour diminuer les dangers liés aux services dans les nuages et 20% seulement effectuent une surveillance accrue de la gestion des contrats avec les fournisseurs de cloud. "En l'absence de directives claires et explicites, de nombreuses organisations semblent prendre des décisions mal avisées, soit en passant au cloud prématurément, soit en passant outre les risques encourus", explique Paul van Kessel, responsable du risque informatique et technologique chez Ernst & Young.

Absence de formation pour les salariés
Un problème équivalent se retrouve au niveau de l'utilisation des smartphones, des tablettes et des réseaux sociaux au sein de l'entreprise. Alors que 72% considèrent que les attaques externes (phishing par exemple) seront le risque le plus élevé dans les 12 prochains mois, seulement 49% d'entre elles estiment que les mesures de sécurité envisagées par leur société répondent correctement à leurs besoins. Plus de la moitié n'utilisent pas de techniques de codage pour protéger les données mobiles. 53% des firmes interrogées préfèrent tout simplement bloquer l'accès aux réseaux sociaux plutôt que de planifier une stratégie globale les intégrant au fonctionnement de l'entreprise, tout en informant et en responsabilisant les employés sur leur bonne utilisation. Ainsi, seules 12% des sociétés ont proposé de placer à l'ordre du jour des discussions sur la sécurité des données lors des conseils d'administration.
Source