30 décembre 2011

Plus de 10 outils pour tester la sécurité de votre site web

Dans ce dossier je vais vous présenter un grand nombre d'outils pour sécuriser votre site ou votre application web. Les outils que je présente tournent sur différentes plateformes (parfois toutes) comme Windows, Linux, Mac ainsi que les navigateurs. Il en existe un paquet sur le net mais j'ai préféré vous présenter ceux qui sont récents et/ou maintenus et améliorés au fil du temps.

La majorité de ces pentools sont des scripts écrits en perl, python ou ruby. Alors ce que je vous conseille avant d'aller plus loin c'est soit d'installer une distrib Linux (genre BackTrack) sur une machine virtuelle. Mais si vous êtes trop feignant il y a quelques applications qui permettent d'exécuter ces scripts sur un environnement Windows. Vous pouvez par exemple commencer à installer Cygwin si vous voulez avoir un interpréteur de lignes de commande comme sur Linux. Sinon vous avez un tuto pour installer Ruby et Rails sur Windows ainsi que Python pour Windows et Perl pour Windows. Ça existe aussi sur Mac (un petit coup de Google).

Comme tous les dossiers que je fais, il y aura bien sûr des mises à jour effectuées afin de vous mettre au courant des dernières nouveautés en matière de pentools présents sur le net.

Et si vous avez un peu de mal à comprendre certains termes cités dans ce dossier, je vous invite à aller faire un tour sur le dossier des Termes utilisés dans le monde du hack et de la sécurité.

Comme d'habitude, toute remarque (constructive) est la bienvenue ainsi que les remerciements et problèmes que vous pourriez rencontrer bien évidemment
Ah aussi, vous pouvez cliquer sur les petites vignettes de chaque outil présenté pour agrandir l'image.

Voici la liste des outils que je vous propose pour l'instant :
v sqlsus
v The Mole
v SET (Social Engineer Toolkit)
v PHP Vulnerability Hunter
v Acunetix Web Vulnerability Scanner
v Naxsi Web Application Firewall
v w3af (Web Application Attack & Audit Framework)
v WPScan (Wordpress Security Vulnerability Scanner)
v WAVSEP
v Uniscan
v Lilith
v Joomscan Security Scanner
v WAFP (Web Application Finger Printer Tool)
v iScanner
v GoLISMERO
v WebSurgery
v Arachni
v Websecurify

Une vulnérabilité découverte dans le réseau GSM


Un expert en sécurité annonce avoir découvert une vulnérabilité au sein du réseau GSM permettant à un hacker de prendre le contrôle à distance des téléphones.

Karsten Nohl, responsable du cabinet Security Research Labs en Allemagne, explique que le réseau GSM est utilisé par 80% du marché de la téléphonie mobile et que cette faille permettrait à un individu de contrôler un téléphone en procédant à un appel ou en envoyant un SMS vers un numéro surtaxé. Dans l'une de ses dernières dépêches Reuters rapporte les propos de l'expert qui explique : « nous pouvons faire cela pour des centaines de milliers de téléphones en très peu de temps ».

M. Nohl ne publiera pas le code source de cette attaque mais estime que les hackers seront en mesure de le répliquer d'ici quelques semaines. Il devrait notamment décrire cette faille lors d'une conférence dédiée à la sécurité qui aura lieu à Berlin mardi prochain. Le chercheur a également mis au point une carte présentant le dispositif de sécurité mis en place par une trentaine d'opérateurs dans une douzaine de pays. « Le réseau mobile est de loin le maillon le plus faible dans l'écosystème mobile même en comparaison au nombre de terminaux Android ou iOS ayant subi des attaques », affirme-t-il.

Au travers du site gsmmap.org, il semblerait d'ailleurs que les opérateurs T-Mobile en Allemagne et SFR en France proposent le meilleur niveau de sécurité à leurs clients face à une personne malveillante souhaitant intercepter leurs appels ou suivre la position de leur téléphone.

Source

29 décembre 2011

Sécurité : les utilisateurs trop confiants envers leur smartphone


Les utilisateurs sous-estiment les risques de fuites de données depuis leur smartphone qu’ils considèrent à tort comme un simple téléphone. Ils sont 17% à y stocker leurs mots de passe.

Près de sept salariés sur dix utilisent leur smartphone personnel dans le cadre de leur travail, pour accéder à leur messagerie électronique et à leur agenda professionnel. Alors que cet usage se développe rapidement dans les entreprises (lire notre article : Le phénomène BYOD touche déjà deux salariés sur trois), la Commission Nationale Informatique et Liberté (CNIL) s'inquiète de l'excès de confiance des utilisateurs.

Une récente étude réalisée par Médiamétrie auprès de 2 315 utilisateurs de smartphones pour le compte de la CNIL indique que 89 % des utilisateurs de smartphones y stockent les coordonnées de leurs contacts et 86 % des données multimédias (photos et vidéos). Jusque-là, rien d'anormal. En revanche, 52 % des utilisateurs y stockent également leur agenda, 41 % des notes qui peuvent être à caractère professionnel, 17 % des mots de passe, 17 % des codes d'accès à des bâtiments et 7 % des coordonnées bancaires.

La prochaine génération de virus s'attaquera aux données stockées sur le téléphone


En cas de vol ou de perte, ces données seront très facilement exploitables : dans trois cas sur dix, l'accès au smartphone n'est pas protégé par un code secret. Et même sans incident, il est très facile d'infecter un smartphone avec un cheval de Troie ou un virus : 64 % des utilisateurs ne voient pas l'intérêt ou pensent qu'il n'est pas possible d'installer un antivirus sur leur smartphone. Or, selon la CNIL, la prochaine génération de virus s'attaquera aux données stockées sur le téléphone. Il n'est d'ailleurs pas nécessaire d'aller aussi loin puisque 71 % des utilisateurs ne lisent pas ou rarement les conditions d'utilisation avant d'installer une nouvelle application. Les applications installées peuvent donc exploiter des données personnelles en toute légalité !

Les adolescents de la génération internet plus alertés que leurs ainés

Etonnamment, la plupart des utilisateurs n'ont pas encore pris conscience que leur smartphone est un véritable ordinateur connecté à internet. Et qu'il est encore plus exposé qu'un ordinateur car sept personnes sur dix n'éteignent jamais leur smartphone. Seulement un quart des utilisateurs l'éteignent la nuit. Ils ignorent également les pratiques légales des opérateurs de téléphonie mobile. La moitié pensent que leurs données ne sont pas enregistrées ni transmises sans leur accord et 46 % que les informations de localisation ne sont pas transmises sans leur accord.

Heureusement, les adolescents de la génération internet sont plus alertés sur ces problématiques que leurs ainés. Ils sont par exemple 82 % (contre 76 %) à considérer qu'il est dangereux d'enregistrer ses codes secrets sur son téléphone. Résultat : 37 % (contre 31% en moyenne) utilisent un code de verrouillage spécifique.

Accès à l'ordinateur d'un salarié en vacances : que dit le droit ?

Jusqu'où l'employeur peut-il forcer les mots de passe personnels de ses salariés en vacances ?

La crainte d'une inspection des ordinateurs des salariés pendant les vacances fait chauffer les souris avant les départs. Les PC sont débarrassés des moindres poussières de vie privée, rangées dans un dossier fermé à double tour. Mais rien n'est vraiment à l'abri du pouvoir de contrôle de l'employeur.

Au quotidien, les règles sont claires : "Les fichiers créés, envoyés ou reçus depuis le poste de travail mis à disposition par l'employeur ont par principe un caractère professionnel", dit la jurisprudence. Ils peuvent donc être librement consultés en l'absence du salarié. En revanche, certaines précautions doivent entourer la consultation des fichiers estampillés "personnels". "C'est l'intitulé de l'objet du message ou du nom du répertoire dans lequel il est stocké qui permet de déceler la nature personnelle du message", explique Christiane Féral-Schuhl, avocate spécialisée en droit des technologies de l'information, bâtonnière au barreau de Paris.

Circonstances particulières

L'employeur ne peut consulter ces messages qu'en présence du salarié ou si celui-ci a été convoqué, mais ne s'est pas présenté. À moins que l'employeur ne justifie de "circonstances particulières" pour y accéder. Exemple : il suspecte son salarié d'avoir transmis des informations stratégiques à un concurrent et d'avoir "couvert" cet envoi par la mention "personnel", ce qui constitue une faute autorisant l'employeur à forcer la barrière de la vie privée.

La Cour de cassation a déjà jugé qu'un employeur pouvait demander à un juge de l'autoriser à mandater un huissier de justice pour prendre connaissance et enregistrer des messages électroniques échangés entre un salarié et deux personnes étrangères à l'entreprise. "La Haute Cour a estimé que cette mesure était justifiée par le fait que l'employeur avait des motifs légitimes de suspecter des actes de concurrence déloyale", précise Me Féral-Schuhl. La notion de "circonstances particulières" est donc une porte ouverte sur le domaine réservé des salariés.

Fixer les règles dans une charte informatique

Reste qu'en période de vacances, la vie privée du salarié s'oppose à ce que l'administrateur réseau communique à l'employeur les identifiants et mots de passe - par nature personnels - des salariés, sans raison particulière, et ce, même si les fichiers qu'il souhaite consulter ont un caractère professionnel. C'est tout au moins ce qu'affirme la Cnil.

La justice apporte néanmoins quelques bémols à ce principe, en autorisant l'employeur à prendre connaissance du mot de passe d'un salarié absent si celui-ci stocke sur son poste informatique des informations "nécessaires à la poursuite de l'activité de l'entreprise" et si l'accès à ces informations ne peut se faire par d'autres moyens. Par exemple, un remplaçant doit pouvoir ouvrir le fichier de clients indispensable à la prospection de son secteur, dès lors que le salarié absent est le seul détenteur de ce fichier.

Fixer les règles du jeu en amont est donc indispensable. "Il convient, pour garantir les droits de chacun, de préciser dans une charte annexée au règlement intérieur les conditions dans lesquelles l'employeur peut accéder aux postes de travail de ses salariés pendant les vacances ou en cas d'arrêt maladie qui se prolonge", conseille Christiane Féral-Schuhl.
Source

Le gouvernement américain dresse sa liste des sites pirates


Le bureau du Représentant américain au commerce vient de classifier de nombreux services comme permettant la consultation ou le téléchargement de contenus protégés par le droit d'auteur. L'USTR dresse donc une liste de plateformes contre lesquelles les autorités pourront tenter d'agir.

L'USTR est le bureau chargé de la protection du commerce au sein même de la Maison-Blanche. Dans un rapport, le département fait la liste de l'ensemble des outils et services permettant de télécharger ou de consulter de manière illégale un contenu (film, musique, évènements sportifs…). L'objectif de l'USTR est de lutter contre le marché noir et le développement de la contrefaçon. Dans le cadre de son action, il cible donc également les services en ligne.

Dans son rapport, la division considère que certaines plateformes ont déjà été visées par des mesures et que d'autres « mériteraient d'être sujettes à des enquêtes plus poussées pour viol des droits de propriété intellectuelle ».

On retrouve dans cette liste des plateformes bien connues comme The Pirate Bay ou encore MegaUpload. Toutefois, l'USTR classe ces services en 9 catégories distinctes. Voici la liste des supports identifiés par les autorités américaines :

§   Paiement par téléchargement : le site basé en Russie Allofmp3 et ses clones.
§   Sites de liens : Sogou MP3 et Gougou. Ces sites proposent des liens profonds vers des contenus hébergés sur un serveur tiers.
§   B2B et B2C : Taobao, Modchip.ca et Consolesource sont des sites qui vendent des biens contrefaits aux internautes.
§   Indexation BitTorrent : The PirateBay, IsoHunt, Btjunkie, Kat.ph (anciennement kickasstorrents) et torrentz.eu.
§   Trackers BitTorrent : Rutracker, Demonoid, Zamunda.
§   Réseaux sociaux : le réseau russe vKontakte est clairement accusé de « faciliter l'accès » à de tels contenus.
§   Plateformes de stockage : Megaupload et Putlocker.
§   Blogs, forums et newsgroups : Warez-bb, un forum basé au Luxembourg, en Suisse et en Suède.
§   Retransmissions non-autorisées : le service P2P chinois TV Ants.

Facebook Timeline : 10 conseils pour protéger son Journal

Timeline : le Journal de sa vie
Avec l’arrivée du nouveau profil Timeline (Journal en français), les utilisateurs de Facebook se sont rendu compte qu’il était bien plus facile qu’avant de remonter dans leurs anciennes publications. Si certains outils comme Timehop, permettaient déjà de remonter dans ses statuts vieux d’un an, la frise chronologique désormais présente sur chaque profil propose de trouver une date très précise. Comment limiter l’accès de ses contacts à ses contenus ? C’est l’objet des conseils suivants.
La vérification des identifications
Tout le monde peut désormais vous identifier sur une publication, qu’il s’agisse d’un statut, d’un lieu ou d’une photo. Ces identifications apparaissent non seulement sur le mur de la personne qui la fait, mais aussi sur le vôtre. Il est dans ce cas possible de vérifier chaque identification afin de l’approuver avant qu’elle soit effective. Pour cela, allez dans Paramètres de confidentialité > Fonctionnement des identifications > Modifier les paramètres. Si le paramètre est activé, les identifications faites par tout le monde seront soumises à votre approbation. S’il est désactivé, seules celles faites par les personnes avec qui vous n’êtes pas amies vous seront soumises.
Ne pas suggérer votre nom
Autre technique pour ne tenter personne à vous identifier, il est possible de désactiver la suggestion de son nom. Ainsi quand un ami saisira les premières lettres de votre nom, celui-ci ne sera pas suggéré. Rendez-vous pour cela dans Paramètres de confidentialité > Fonctionnement des identifications > Suggestions d'identification.

La sauvegarde des données en ligne

Sommaire
1. Sécuriser les données de son entreprise grâce à la télésauvegarde
2. Interview - Nous avons récupéré 100% de nos données informatiques après une erreur de manipulation
3. Ce qu’il faut savoir pour mettre automatiquement ses données en sécurité grâce à la télésauvegarde
4. Les règles d'or de mise en oeuvre
5. Quels bénéfices pour quels coûts ?

1. Sécuriser les données de son entreprise grâce à la télésauvegarde
Avec l’avènement de l’Internet haut débit, la télésauvegarde est aujourd’hui une méthode efficace pour mettre ses données informatiques à l’abri et pour les récupérer après un accident, un vol ou un crash informatique.

Il ne viendrait à personne l’idée d’acheter un coffre-fort plutôt que d’aller à la banque pour déposer son argent. Parce que, d’une part, un coffre-fort c’est encombrant, et d’autre part, dans une banque l’argent y est en sécurité. Pour les données informatiques d’une entreprise, c’est la même chose : on peut désormais confier ses données informatiques via Internet à un prestataire spécialisé dans la conservation et, surtout, la restitution de ces données.

Un enjeu vital

Coordonnées clients, études, comptabilité, rapports, plans, images… Pour chaque type d’activité, ces documents, électroniques pour la plupart, valent de l’or. Et leur destruction peut entraîner une paralysie, voire la mort pour une entreprise qui ne s’est pas donnée les moyens de les protéger. Et les circonstances pouvant amener à la destruction ou à la perte de ces données informatiques ne manquent pas : vol d’ordinateur portable, effraction, destruction involontaire, virus informatiques, crash de disque dur, incendie… Malheureusement, on ne mesure la valeur de ces données qu’une fois qu’elles ont définitivement disparu. Mais le mal est fait. De façon classique, la sauvegarde des données d’une entreprise se fait directement sur le poste de travail, sur un serveur dédié ou sur des unités de stockage indépendantes comme des disques durs amovibles ou des bandes magnétiques. Mais, quelle que soit la solution envisagée, elle exige soit des compétences informatiques dans le domaine du réseau, soit une attention permanente pour penser à sauvegarder ses données, soit les deux.

Des offres complémentaires simples et abordables

Désormais, avec la télésauvegarde ou la sauvegarde de données en ligne, c’est à dire par Internet, il existe des offres simples et abordables pour conserver de façon automatique ses données et être capable de les récupérer après un incident, et ce sans aucune compétence informatique particulière.

Maya Dan
Article complet

Piratage: Le ministère de la Culture accusé de téléchargements illégaux

  Capture d'écran du blog anti Hadopi Nikopik, qui accuse l'Elysée et
 le ministère de la Culture de télécharger illégalement en peer-to-peer.
HIGH TECH - Le blog anti Hadopi Nikopik.com affirme, adresses IP à l'appui, que des téléchargements illégaux ont eu lieu depuis la rue de Valois...

Après avoir inspecté plusieurs adresses IP utilisées par le ministère de la Culture, des internautes accusent la rue de Valois de pirater des longs-métrages, séries, morceaux de musique et jeux vidéo.  Une affirmation bien embarrassante, alors qu’une loi Hadopi 3 est dans les cartons du gouvernement, qui ne cesse de répéter aux internautes que télécharger c’est mal, tout comme regarder des films en streaming sur des plateformes non légales.

Pour savoir si des fichiers étaient téléchargés illégalement par le ministère de la Culture, les lecteurs du blog Nikopik.com ont utilisé le site YouHaveDownloaded, hébergé en Russie, qui permet d’afficher l’historique des téléchargements des Torrents publics qui ont transité via une adresse IP. Cette même méthode est utilisée par Trident Media Guard (TMG), la société privée en charge de surveiller les échanges en peer-to-peer pour le compte des ayants droit et de transmettre les adresses IP des pirates à l’Hadopi.

«Sur les 65.025 adresses IP officiellement attribuées au ministère, plus de 250 ont été repérées comme faisant transiter du contenu illégal durant les deux derniers mois», peut-on lire sur Nikopik.com.  Parmi les fichiers téléchargés, figurent les films Jurassic Park, Minuit à Paris, Captain America, le single de Justin Bieber ft Usher «Somebody to Love», un morceau de David Guetta, un album du groupe The Verve, des épisodes de la série «Big Bang Theory», de «Terra Nova», de «Beverly Hills» ou encore les jeux Deus Ex et Call of Duty…

Quelle fiabilité pour une adresse IP?

«Soit il y a véritablement des téléchargements illégaux qui ont été effectués depuis le ministère de la Culture, soit l’utilisation des adresses IP pour identifier d’éventuels cas de téléchargement illégal n’est pas du tout fiable», estime Nicolas Perrier, auteur de l’article sur le blog anti Hadopi. Dans le deuxième cas, cela signifierait que la méthodologie de la Haute autorité pour traquer les pirates ne serait pas du tout au point et pourrait mener à de nombreuses erreurs… Quelle que soit la vérité, l’Hadopi aura donc beaucoup de mal à se justifier sans se décrédibiliser.

Il y a deux semaines, l’Elysée était accusé par le même blog de télécharger illégalement de la musique et des films sur les réseaux peer-to-peer, après utilisation de l’outil YouHaveDownloaded. Un représentant de la résidence présidentielle avait alors expliqué à RTL: «L’Elysée dément qu’un de ses collaborateurs ait pu se livrer à de telles pratiques, les adresses IP ne sont pas fiables car elles peuvent être piratées».  Après ces accusations, un responsable du site YouHaveDownloaded avait également affirmé que les adresses IP n’étaient pas fiables à 100%: «Je pense qu'il s'agit d'une machine personnelle qui utilise l'adresse IP du Palais, pas d'un ordinateur gouvernemental  (...) Une adresse IP n'est pas une donnée fiable pour identifier un internaute. Celle-ci peut être usurpée ou détournée.» Comment se fait-il alors que les adresses IP envoyées à l’Hadopi par TMG soient utilisées comme des preuves dans le cadre de procédures pénales?
Source

28 décembre 2011

Les grands thèmes de l’année 2012 en matière de sécurité informatique


Actuellement, les failles en matière de sécurité informatique continuent à faire couler de l’encre, tandis que les attaques commises par le biais d’Internet se développent et se complexifient, se faisant toujours plus sophistiquées. Quelle que soit leur envergure, les entreprises sont donc amenées à réévaluer leur stratégie de gestion du risque en prenant en considération l’émergence de nouvelles tendances technologiques et en analysant différents critères au préalable.
Sur la base de ses recherches et des retours de ses clients, Check Point a décelé quelques grandes évolutions, qui guideront ses activités en 2012.

La sécurité mobile : un sujet qui interpelle les entreprises autant que les hackers
Dans le domaine de la communication, l’informatique mobile est désormais un outil très prisé des entreprises et les responsables IT ont résolument admis cette tendance. Toutefois, ces derniers doivent relever le défi de sécuriser de nombreux terminaux, ainsi que les différents systèmes d’exploitation qui se connectent au réseau de l’entreprise, mais également de définir une politique d’accès appropriée en matière de mobilité et de réseau. Ainsi, une étude Check Point révèle que, dans 78% des entreprises, le nombre de connexions de terminaux au réseau a au moins doublé par rapport à 2009, tandis que 63% d’entre elles estiment que cette tendance n’est pas sans lien avec l’augmentation des incidents observés en termes de sécurité.
Offrant également aux hackers un nouveau vecteur de menace, les terminaux mobiles leur permettent de dérober des informations et d’avoir accès à des données sensibles. Si les précautions qui s’imposent n’ont pas été prises, un pirate peut télécharger un cheval de Troie sur un terminal mobile et, après un court instant, il sera en mesure d’obtenir des captures d’écran de ce terminal toutes les 20 secondes pour s’emparer de données sensibles : il peut s’agir de messages SMS, d’e-mails, de l’historique du navigateur ou de votre localisation, par exemple. Les logiciels malveillants basés sur les technologies mobiles disposent de nombreuses variantes et leur quantité pourrait doubler, ce qui devrait renforcer dans les années à venir la nécessité d’être attentif et la sensibilisation aux enjeux sécuritaires liés aux menaces qui pèsent sur ces technologies mobiles.

Des codes QR très populaires
Vous reconnaissez ce visuel ? Récemment, de plus en plus de magasins et d’annonceurs ont eu recours aux codes QR (pour « Quick Response »), afin d’inciter les utilisateurs à scanner des codes-barres à l’aide de leur téléphone mobile pour obtenir des informations sur un produit. D’après Check Point, cette tendance gagnera encore du terrain, mais les utilisateurs devraient se méfier de certains codes QR, qui pourraient s’avérer dangereux. En effet, par un simple scan depuis votre smartphone, un hacker peut exploiter un code QR et vous rediriger vers une URL, un fichier ou une application qui seraient malveillants.
L’essor des informations personnelles partagées publiquement et des attaques par Social Engineering
Il est important de souligner que l’évolution de la sécurité en matière de systèmes d’exploitation a atteint une certaine maturité : ainsi, en mettant en place la bonne stratégie et une protection adaptée, les entreprises peuvent résister à un grand nombre de menaces. En 2012, les hackers rechercheront donc de nouveaux moyens de s’infiltrer dans les entreprises… en ciblant les individus.
Habituellement, les attaques par Social Engineering (ou attaques d’ingénierie sociale) ciblent des personnes disposant implicitement d’une connaissance ou d’un accès à des informations sensibles. En quelques minutes seulement, des hackers peuvent ainsi obtenir une quantité de données sur un individu, en se basant sur les informations que les utilisateurs de réseaux sociaux partagent publiquement via ces moyens de communication (c'est-à-dire Facebook pour connaître votre nom, votre date de naissance et votre cercle d’amis ; Twitter pour en savoir plus sur vos centres d’intérêt et la communauté de personnes qui vous suit ; LinkedIn pour obtenir des informations sur votre parcours professionnel, votre ancienneté à votre poste ou encore votre formation ; ainsi que FourSquare ou Yelp pour analyser vos faits et gestes en fonction de votre utilisation de services basés sur la géolocalisation, pour n’en citer que quelques-uns). Ces attaques reposant sur des informations personnelles relatives à un individu peuvent sembler plus légitimes.
Cependant, une étude Check Point a démontré que la motivation première des attaques par Social Engineering était l’appât du gain financier (51%), suivi de l’accès à des informations confidentielles (46%), de la possibilité de prendre l’avantage sur ses concurrents (40%) et de la vengeance (14%). De plus, chaque incident sécuritaire engendré par ces attaques peut coûter 25 000 à 100 000 $ à une entreprise. Pour se prémunir contre ce type de menace, il faut donc s’appuyer sur la technologie, mais aussi sur la sensibilisation aux questions de sécurité au sein de l’entreprise, à tous les échelons.

Les logiciels malveillants font recette
Etre un hacker aujourd’hui : est-ce rentable ? Les cybercriminels ne sont plus des amateurs isolés, mais appartiennent à des organisations bien structurées, qui ressemblent à des cellules terroristes : elles ont des moyens financiers, des motifs d’action et des objectifs. Elles peuvent ainsi consacrer un savoir-faire, un temps et des ressources considérables, afin de mettre en action des botnets (réseaux de robots informatiques communiquant entre eux), qui causent des dommages pouvant coûter des millions aux entreprises. Bien souvent, les agresseurs ne s’en prendront à une cible que si cela vaut la peine d’y passer du temps et, généralement, ce ne sera le cas que si l’incident peut se monnayer.
Il faut souligner que les informations financières ne sont pas les seules à intéresser les cybercriminels. En effet, ils ont tendance à rechercher de plus en plus d’informations générales, plutôt que des données comptables spécifiques ou relatives à une carte de crédit. De telles informations peuvent s’avérer très lucratives pour les hackers et leur permettre de personnaliser de futures attaques ou campagnes de spams, tout en augmentant leurs chances de succès. Dans certains cas, les informations relatives à l’identité ont plus de valeur pour les pirates que vos cartes de crédit elles-mêmes. Facebook dénombrant plus de 800 millions d’utilisateurs, dont la plupart sont actifs et se connectent chaque jour, les outils proposés par les réseaux sociaux ouvrent de nouvelles perspectives aux cybercriminels.

Les botnets ou comment pénétrer dans les entreprises de façon détournée
L’année prochaine, les botnets devraient constituer l’une des plus grandes menaces auxquelles les entreprises seront confrontées dans le domaine de la sécurité des réseaux. Pouvant compromettre de quelques milliers à plus d’un million de systèmes de par le monde, ils sont utilisés par les cybercriminels pour prendre le contrôle d’ordinateurs et réaliser des opérations illégales ou préjudiciables : voler des données, accéder à des ressources protégées en réseau, initier des attaques par déni de service (ou attaques « DoS » pour « Denial of Service ») ou encore diffuser des spams.
Auparavant, les botnets les plus couramment utilisés étaient réputés pour ne fonctionner que sur des machines Windows, mais ce n’est plus le cas aujourd’hui : les systèmes Linux et Mac ne sont pas protégés. En 2012, les botnets évolueront vers une association de Social Engineering et d’exploits 0 day (programmes engendrant des virus informatiques, qui se propagent rapidement de par le fait qu’ils sont nouveaux et que les utilisateurs ne sont pas encore protégés), tout en bénéficiant de la prolifération des terminaux mobiles et des outils liés aux réseaux sociaux. De plus, leurs nouvelles variantes s’adapteront à des plates-formes multiples et les entreprises pourraient voir se multiplier les botnets se basant sur Apple, Android et d’autres technologies mobiles, notamment lorsqu’elles communiquent via des serveurs C&C (pour « Command and Control ») s’appuyant sur des réseaux 3G ou Wi-Fi.

Une migration vers l’IPv6 de plus en plus courante dans les entreprises
Le dernier lot d’adresses IPv4 ayant été affecté le 31 janvier 2011 par l’ICANN Assigned Numbers Authority (IANA), le nombre de celles qui peuvent encore être allouées se réduit à grande vitesse. En raison d’une pénurie imminente, l’IPv6 commence donc à se déployer à plus grande échelle. Sur le plan de l’architecture, cette technologie dispose de caractéristiques qui lui sont propres en termes de sécurité, comme des tronçons de protocoles différents de l’IPv4, de même que des mécanismes de transition dédiés à son déploiement. Toutefois, si certaines entreprises peuvent déjà faire migrer leur réseau vers l’IPv6 sans avoir à faire appel au savoir-faire d’un spécialiste, cette technologie est susceptible d’être utilisée comme un canal indirect par les hackers et les botnets. L’année prochaine, les entreprises seront de plus en plus nombreuses à migrer vers l’IPv6 et, pour assurer une transition en toute sécurité, elles devront analyser attentivement leurs besoins.

La virtualisation comme outil de défense en matière de sécurité
A ses débuts, la virtualisation servait principalement à consolider des serveurs et des ressources informatiques pour des raisons de budget, de gain d’espace et d’économie d’énergie. Mais, depuis, elle a trouvé de nombreuses autres utilisations et applications. Ainsi, les entreprises commencent à avoir recours aux technologies de virtualisation comme à un levier de défense supplémentaire. Grâce à Check Point Go ou WebCheck, par exemple, elles peuvent protéger leur réseau et leurs points de terminaison, via une technologie de virtualisation du navigateur unique : celle-ci leur permet d’isoler leurs données par rapport au réseau Internet et de les sécuriser. Les utilisateurs peuvent donc surfer librement sur Internet, tout en bénéficiant d’une protection complète contre les infections par drive-by-download (qui permet de toucher un ordinateur lors d’une simple visite sur un site Internet), les tentatives d’hameçonnage et les logiciels malveillants.
L’émergence des socialbots
Un socialbot (ou robot social) est un programme qui contrôle un compte sur un réseau social déterminé et qui peut réaliser des opérations élémentaires, comme poster un message ou envoyer une demande à un ami. Le succès de ce type de logiciel malveillant se mesure à sa capacité à reproduire le comportement humain, ce qui le rend unique. Si un utilisateur accepte une demande d’ami provenant d’un socialbot, ce dernier a alors accès à son cercle de connaissances et à ses informations personnelles, qui peuvent être utilisées pour usurper son identité. Et, si de nombreux utilisateurs calés en informatique synchronisent les multiples comptes dont ils disposent sur différents réseaux sociaux au sein d’un seul, ce processus peut donner aux socialbots la possibilité de toucher des audiences multiples en une simple attaque.

Les grands rendez-vous de 2012 : sources de menaces basées sur les techniques d’optimisation des moteurs de recherche
L’année prochaine, particuliers comme entreprises devront se préparer à subir de nombreuses attaques dites de Black Hat SEO : il s’agit pour les hackers de manipuler les résultats des moteurs de recherche pour faire apparaître leurs liens (malveillants) avant les résultats légitimes, afin de générer un plus grand nombre de clics sur des sites Web également malveillants. Pour ce faire, ils exploitent généralement des événements incontournables, comme le Cyber Monday (journée durant laquelle les internautes ont accès à des promotions en ligne, très populaire aux Etats-Unis) ou les périodes correspondant aux échéances des impôts, afin d’inciter les internautes à cliquer sur des liens les renvoyant vers des sites malveillants ou des escroqueries par hameçonnage. En 2012, des rendez-vous majeurs feront les gros titres, à grand renfort d’annonces publicitaires : les Jeux Olympiques à Londres, les élections présidentielles américaines et françaises ou la 46e édition du Super Bowl aux Etats-Unis, par exemple. L’année ne fera pas exception, mais nous devons nous attendre à ce que les hackers tentent d’exploiter les mots clés les plus accrocheurs, qui seront relayés par de nombreux canaux d’information et se propageront au sein des moteurs de recherche, ainsi que des sites des réseaux sociaux. Aussi, afin de minimiser les risques, les entreprises auront intérêt à prendre toutes les précautions nécessaires, puis à s’assurer qu’elles disposent des outils appropriés en termes de filtrage d’URL et de protection de leurs applications.

Alors que les entreprises s’efforcent de lutter contre les menaces traditionnellement associées à l’utilisation du réseau Internet, les questions de sécurité que soulèvent le Web 2.0, les terminaux mobiles et le cloud computing contribuent à allonger la liste des priorités du responsable informatique. Un sujet de plus en plus complexe, qui pousse les entreprises à modifier leur façon d’aborder la sécurité et qui les encourage à envisager sécurité informatique et besoins métiers comme allant de pair.
Source

ANONdroid un proxy sur Android

ANONDroid est un proxy basé sur JonDonym et conçu pour les smartphones tournant sous Android. Pour info, JonDonym est un programme qui garantit votre anonymat sur Internet en cryptant et routant votre requête à travers plusieurs proxies distribués à travers le monde.
Cette application est en cours de développement par le projet AN.ON de l'Université de Dresde. Le chef de projet de ce petit bijou est le Dr Stefan Köpsell. ANONDroid utilise donc les librairies et bibliothèques de JonDo avec une interface conçue spécialement pour nos smartphones.

Comme pour JonDonym, ANONDroid se chargera de transférer le traffic Internet de votre smartphone vers des proxies avec une connexion cryptée. Si vous comptez l'utiliser avec un navigateur, je vous recommande d'utiliser Orweb qui est un navigateur normalement conçu pour Orbot mais peut être utilisé avec ANONDroid. Après l'installation du navigateur vous aurez juste à changer les paramètres du proxy vers localhost:4001


Un outil pour gérer le fichier Hosts de Windows

Le fichier Hosts est un fichier utilisé par le système d’exploitation d’un ordinateur lors de l’accès à Internet. Son rôle est d’associer des noms d’hôtes à des adresses IP. Lors de l’accès à une ressource réseau par nom de domaine, ce fichier est consulté avant l’accès au serveur DNS et permet au système de connaître l’adresse IP associée au nom de domaine sans avoir recours à une requête DNS (Wikipédia).

Mais son utilité ne s’arrête pas là, puisqu’il peut aussi permettre de filtrer l’accès à Internet pour bloquer certains sites, par exemple la régie DoubleClick spécialisée dans le traçage des publicités en ligne. Il suffit de ne pas attribuer d’adresse à un nom de domaine dans le fichier Hosts
(exemple : 0.0.0.0 ad.doubleclick.net) ou de lui attribuer une adresse locale (127.0.0.1).

Cela peut vite devenir très chiant de gérer ce fichier manuellement quand les sites à bloquer se multiplient ou que vous avez peur d’aller trifouiller à la main dans les fichiers systèmes de Windows.

Voici un outil qui va vous simplifier la tâche .

Host Mechanic vous permet d’éditer très facilement le fichier Hosts de Windows, d’ajouter des sites à bloquer (redirection vers 127.0.0.1) ou à envoyer vers l’adresse IP de votre choix.
Vous avez aussi la possibilité de restaurer le fichier Hosts par défaut si vous avez fait une manipulation de trop, voire même de l’effacer (ce que je ne vous conseille guère).

Host Mechanic est téléchargeable gratuitement pour Windows XP, Vista, 7 et 8 à cette adresse.

Pour Noël, Anonymous pirate un cabinet de renseignement

Les pirates disent avoir obtenu les informations bancaires et de 
90 000 clients et les avoir utilisées pour distribuer plus d'un million de dollars.

REUTERS
Le collectif de hackers Anonymous a joué les robins des bois en faisant des donations à des organisations caricatives à partir des données piratées des cartes de crédit des clients du cabinet privé américain de renseignement Stratfor.

Un cadeau de Noël anonyme. Le collectif de pirates informatiques Anonymous a affirmé ce dimanche avoir piraté le cabinet privé américain de renseignement Stratfor, obtenant les courriels et les données des cartes de crédit de ses clients.

Les pirates ont publié sur Twitter un lien vers ce qui serait la liste des clients de Stratfor, notamment le ministère américain de la Défense, l'armée de Terre, l'armée de l'Air, d'autres agences publiques, des sous-traitants du secteur de la sécurité et des géants des hautes technologies, tels qu'Apple ou Microsoft.

Ils ont également posté des images présentées comme les reçus de donations faites à des organisations charitables en utilisant les comptes de clients de Stratfor. L'un de ces paiements, d'un montant de 494 dollars, aurait été fait à l'ONG CARE avec l'argent du ministère américain de la Défense, et affecté à un fonds achetant des fournitures scolaires à des élèves pauvres.
En tout, les pirates disent avoir obtenu les informations bancaires et de 90 000 clients et les avoir utilisées pour distribuer plus d'un million de dollars.

Le cabinet a reconnu avoir été la cible d'une attaque ayant résulté de la publication sur internet d'une liste d'institutions clientes de Stratfor.

Anonymous s'est fait connaître par de très nombreux piratages partout dans le monde. En août, le site internet du ministère syrien de la Défense avait notamment été piraté pour protester contre la répression du mouvement de contestation. 
Source

SSLyze - Un scanner SSL rapide & complet

Les partenaires d'iSEC nous ont concocté un bon outil, SSLyze!

Cette application stand-alone écrite en Python va scanner la configuration SSL afin de détecter une mauvaise configuration tout en fournissant à l'utilisateur la possibilité de personnaliser l'application via une interface simple. Cet outil est open source / multi-plateforme va permettre d'identifier les mauvaises configurations comme par exemple une version du protocole périmé sur les serveurs SSL.

Je ne vais pas tarder à rajouter cet outil dans ma grosse liste d'outils pour sécuriser son site web afin de vérifier sa propre configuration.

Et si vous avez du mal à le configurer, c'est que vous n'avez pas lu leur tuto .