Sécuriser son blog sous Wordpress

Wordpress, la plateforme de blog la plus répandue et exploitée par les blogueurs est aussi la plateforme qui subit bon nombre d'attaques. Afin de réduire les chances aux hackers de s'infiltrer sur votre blog, je vais vous donner quelques astuces qui vous seront utiles.

Je rajouterai de temps en temps des nouveautés relatives à la sécurité sous Wordpress.

En attendant cet article traite des points suivants :

Pour les administrateurs :

Préfixe de tables en base de données

Akismet pour la protection contre le spam

Utiliser un SALT

Limiter le nombre de tentatives de connexion qui ont échoué

Restreindre les mots de passe trop simples

Ne pas utiliser l'utilisateur "admin" par défaut

Protéger le fichier de configuration wp-config.php

Cacher le numéro de version de Wordpress

Exploits via les URLs

Protection des répertoires

Pour les développeurs :

Autorisations et intentions d'accès

Gérer les autorisations sous Wordpress

Gérer les intentions sous Wordpress

Préfixe de tables en base de données (admin)

Quand vous installez Wordpress, vous avez la chance de créer votre propre base de données avec un préfixe définit par vous-même pour les tables. Par défaut le préfixe sous Wordpress est wp_.

Si vous ne le changez pas, cela pourrait fortement aider les hackers à corrompre votre base de données en cas de faille. Vous pouvez pour cela utiliser des plugins (on verra juste après) pour le changer ou bien en modifiant le fichier wp-config.php durant l'installation manuelle.

Ouvrez le fichier wp-config.php avant de commencer l'installation de Wordpress et remplacez :

1 $table_prefix = 'wp_';

Par :

1 $table_prefix = 'votreprefixe_';

 Si votre blog est déjà en place, il y aura deux étapes supplémentaires après celle-ci.

Connectez-vous à votre base de données (le plus souvent via phpMyAdmin) et modifiez tous les noms des tables de la base de données avec votre préfixe.

Une fois fait, vous devez maintenant rechercher les lignes contenant wp_ dans les tables options et usermeta. Pour cela nous allons exécuter la requête suivante sur phpMyAdmin (onglet SQL) :

1 SELECT * FROM `myprefix_options` WHERE `option_name` LIKE '%wp_%'

2 SELECT * FROM `myprefix_usermeta` WHERE `meta_key` LIKE '%wp_%'

Une fois la requête exécutée, celle-ci affichera les lignes. Vous n'aurez plus qu'à remplacer wp_ par votre préfixe.

On a vu pour la partie manuelle. Il faut savoir qu'il existe un plugin qui effectue la même action que ci-dessus.

Pour cela téléchargez WP Security Scan. Une fois le plugin en place, un menu devrait apparaître sur la gauche.

Cliquez sur Database puis mettez votre préfixe dans le menu Change database prefix et validez.

Suite de l'article

4 astuces qu'utilisent les spammeurs pour passer vos filtres

De nos jours, à peu prés toutes les organisations qui utilisent le courrier électronique ont des solutions pour se protéger du spam avec des solutions de filtrage bien rodées. Si ce n'est pas le cas leurs employés crouleraient sous une avalanche de mails indésirables qui par exemple pourraient promouvoir des produits pharmaceutiques miraculeux.

D'autres pourraient trouver des emails contenant des liens qui mènent vers des sites web malveillants ou bien des emails avec des pièces jointes contenant des logiciels malveillants qui serviraient par exemple à prendre le contrôle de l'ordinateur.

Entre les sociétés de sécurité qui sont à la recherche de moyens pour rendre le filtrage toujours meilleur et les spammeurs, voir aussi des agences de publicité, qui sont sans cesse à la recherche de moyens pour contourner ces solutions de filtrage c'est une véritable guerre qui coûterait prés de 13,5 milliards euros!

Faisons un tour d'horizon des astuces employées par les spammeurs pour contourner vos filtres.

Les botnets

La plupart des filtres anti-spam permettent d'identifier certains adresses IP qui sont coupables d'envoyer du spam afin que les futurs messages envoyés soient bloqués. Mais en contrôlant des dizaines de milliers d'ordinateurs zombies (botnet) qui ont autant d'adresses IP c'est un vrai cauchemar.

Astuces sur les mots employés

Durant un certains temps, les spammeurs utilisaient des chiffres et des symboles à la place des lettres pour éviter les filtres anti-spam qui ont certains mots sur liste noire. Par exemple, Gagnez à la loterie devenait Gagnez à la l0terie en remplaçant la lettre o par 0.

Finalement les filtres anti-spam ont commencé à reconnaître cette technique et cela a rendu plus difficile le travail des spammeurs pour contourner les filtres. Toutefois, les spammeurs ont trouvé mieux et ainsi au lieu d'utiliser des chiffres ou des symboles ils se tournent vers des alphabets étrangers comme celui utilisé en Russie, l'alphabet cyrillique.

Certaines lettres dans l'alphabet cyrillique se rapprochent fortement de certaines lettres latines et vous feriez difficilement la différence en les regardant. Suite à ça, les filtres ne lisent plus les messages mais regardent les codes de caractères employés pour déterminer le nombre de langues et jeux de caractères spéciaux utilisés dans le message.

Une salade de mots

Trouver certains mots suspicieux et envoyer automatiquement le message dans la boîte à spam n'est plus suffisant. Si tel était le cas, le nombre de faux positifs exploserait pour n'importe qui.

C'est pourquoi un système de ratio permettant de mesurer le rapport entre les "bons" et les mauvais mots a été mis en place sur les filtres. Si le ratio est acceptable, alors le message ne va pas dans la boîte à spam. Et donc pour aider à garder ce rapport, les spammeurs mettent un tas de bonnes paroles dans leur message. Même si ces mots n'ont rien à voir avec le message, ils sont tout de même inclus pour battre le filtre anti-spam.

Les URLs raccourcies

L'URL shortening comme on l'appelle est idéal pour des services comme Twitter où le nombre de caractères est limité mais peut être aussi utilisé dans les emails.

Les filtres ont appris depuis un certains temps à analyser les URLs en allant les visiter pour voir si ce n'est pas un site malveillant. Mais avec les URLs raccourcies qui sont des URLs déguisées en quelque sorte, certains filtres laissent passer les messages. D'autres par contre suivent ces liens mais avec un nombre de redirections limitées.

Source

Facebook : les employeurs n'ont pas à demander les accès aux comptes de leurs employés

En matière de protection de la vie privée, Facebook n'en finit pas de faire parler de lui : après la polémique autour des modifications apportées à sa déclaration des droits et responsabilités, le réseau social met en garde les entreprises qui jugeraient bon de réclamer les identifiants des comptes Facebook de leurs éventuels futurs employés.

Tantôt intrusif, tantôt protecteur ? En matière de vie privée, Facebook joue sur les deux tableaux et cette fois-ci, le réseau social n'est pas celui qui est pointé du doigt, mais celui qui dénonce. Depuis quelques jours circulent sur la Toile des informations concernant certains employeurs qui réclameraient les identifiants et mots de passe des postulants à leurs offres d'emploi. Une pratique dévoilée par l'Associated Press, qui explique que si certaines des personnes refusent purement et simplement cette condition, d'autres acceptent dans l'espoir de décrocher un emploi.

Si Facebook a, en premier lieu, refusé de commenter auprès de l'agence de presse, le réseau social se rattrape aujourd'hui en postant un long message sur son groupe Facebook and Privacy. Ce dernier est rédigé par Erin Egan, avocate recrutée par le site l'année dernière au poste de responsable de la confidentialité.

Selon cette dernière, ce genre de pratique aurait cours depuis plusieurs mois et « porte atteinte à la vie privée de l'utilisateur et de ses amis. » Par ailleurs, « il expose aussi potentiellement l'employeur qui a une responsabilité légale imprévue avec cet accès. »

En pratique, l'employeur est bien évidemment en tort, mais l'utilisateur aussi puisque la fameuse déclaration des droits et responsabilités qui fait tant parler d'elle ces derniers jours stipule bien, à destination des inscrits : « Vous ne communiquerez pas votre mot de passe (ou, dans le cas des développeurs, votre clé secrète), ne laisserez personne accéder à votre compte ou ne ferez quoi que ce soit qui puisse compromettre la sécurité de votre compte. » Néanmoins, ce sont bel et bien les employeurs que vise Facebook, qui explique qu'une telle pratique peut, entre autres, « causer des problèmes que les employeurs ne peuvent pas anticiper. Par exemple, si un employeur voit sur le site que quelqu'un est membre d'un groupe protégé, il peut s'ouvrir à des allégations discriminatoires qui vont entrainer la non-embauche de cette personne » explique Erin Egan, ajoutant que les recruteurs ne sont souvent pas formés pour traiter des informations privées.

Des actions en justice contre les entreprises

Outre le simple constat, le réseau social annonce son intention de « prendre des mesures pour protéger la vie privée et la sécurité des utilisateurs ». Le réseau social entend par là, d'une part, entamer des actions en justice ciblant les entreprises qui pratique ce genre de démarche à l'encontre de leurs postulants. D'autre part, Facebook affiche son intention de mobiliser des décideurs politiques pour sensibiliser les hautes sphères autour de cette situation délicate. « Il est important que tout le monde comprennent que sur Facebook, c'est un droit de conserver son mot de passe pour soi, et nous ferons de notre mieux pour conserver ce droit » conclut Erin Egan.
Source

Deux arnaques ciblent les anciens utilisateurs de Megaupload

Deux arnaques aux méthodes différentes ont été récemment relevées par le site Torrent Freak autour de l'affaire Megaupload. Deux tentatives de phishing qui ciblent précisément l'Allemagne.

Les escrocs du Net sont imaginatifs quand il s'agit de pousser les internautes à passer à la caisse pour des choses illégitimes : les deux arnaques relevées hier par le site TorrentFreak le prouve une nouvelle fois. En l'occurrence, ce sont nos voisins allemands qui sont ciblés dans les deux cas.

La première des arnaques cible directement les anciens utilisateurs de Megaupload, et se présente comme un courrier amenant d'un cabinet d'avocat de Munich, censé représenter des majors du divertissement comme Sony, Universal Music, Warner Music, DreamWorks ou encore Paramount Pictures. Adressé par mail, le document intègre une liste d'adresses IP et accuse l'internaute d'avoir téléchargé du contenu sous copyright, sans néanmoins donner le détail des éléments en cause. Il finit par souligner qu'il encourt une amende de 10 000 euros mais qu'il peut s'y soustraire en payant immédiatement 147 euros.

Si la démarche n'est pas sans rappeler les méthodes en cours aux Etats-Unis où des cabinets d'avocats sont chargés par les ayant-droits de traquer les contrevenants pour les faire passer à la caisse avant d'éventuelles poursuites judiciaires, ici, il s'agit bel et bien d'un scam visant à arnaquer les internautes, sous couvert de la peur de représailles. Le site Online Kosten indique qu'à en croire les informations de paiement, l'arnaque pourrait prendre sa source en Slovaquie.

La seconde arnaque est d'un tout autre registre puisqu'elle se base sur l'installation d'un malware qui détourne le navigateur de l'utilisateur vers un faux site, l'accusant une fois encore de partager des contenus sous copyright. Le faux site se présente comme étant celui du groupe anti-piratage allemand GVU, et réclame le règlement immédiat d'une amende de 50 euros via le service PaySafe Card. GVU a confirmé dans un communiqué qu'il s'agissait d'une escroquerie, mais ne donne pas de détail concernant le malware utilisé et si son installation sur l'ordinateur de l'utilisateur est en lien avec l'arnaque en elle-même.

Ces scams semblent pour le moment limités à l'Allemagne mais on imagine que de tels stratagèmes alambiqués pourraient donner des idées à des escrocs dans d'autres pays.

Source

Nicolas Sarkozy souhaite condamner pénalement la consultation de sites terroristes La suite sur Clubic.com : Nicolas Sarkozy souhaite condamner pénalement la consultation de sites terroristes

Suite aux meurtres perpétrés à Toulouse et Montauban ainsi qu'à l'action des forces du RAID contre l'assassin présumé de plusieurs personnes, le chef de l'Etat a annoncé plusieurs mesures. Nicolas Sarkozy a notamment indiqué qu'il souhaitait que la justice condamne pénalement les personnes qui se rendront sur des sites faisant l'apologie du terrorisme.

Le Président de la République a tenu une conférence de presse suite à la mort de Mohamed Merah. Dans son discours prononcé depuis l'Elysée, Nicolas Sarkozy a indiqué qu'il comptait proposer de nouvelles mesures destinées à lutter contre le terrorisme. Il n'a, par contre, pas donné de plus amples détails sur les manières de mettre en place ses idées.

Parmi ces propositions, le candidat à l'élection présidentielle annonce que : « Toute personne qui consultera de manière habituelle des sites qui font l'apologie du terrorisme ou qui appellent à la haine et à la violence sera punie pénalement ». Cela signifie donc qu'un internaute pourrait, si la mesure est acceptée par l'ensemble des acteurs concernés (techniques, politiques…), être accusé d'avoir une conduite contraire au bon fonctionnement de la société.

Toutefois, le chef de l'Etat ne donne aucun détail sur la mise en œuvre d'une telle mesure. Tout d'abord, il ne précise pas comment qualifier juridiquement ces sites « qui font l'apologie du terrorisme ». En effet, certaines organisations politiques (par exemple) peuvent être considérées comme terroristes par certains Etats et être acceptées par d'autres. Il ne donne pas non plus de précisions sur la fréquence de consultation de ces plateformes et parle seulement de navigation « de manière habituelle ».

Par contre, le Droit français dispose déjà d'armes juridiques pour des infractions relatives à des sites jugés contraires à l'ordre public et relevant par exemple de la pédopornographie. L'article 5 de la Loppsi 2 condamne à 3 ans d'emprisonnement et 75 000 euros d'amende le fait de diffuser y compris par Internet des messages « à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger » lorsque ce message est susceptible d'être vu ou perçu par un mineur. Il est donc possible que le chef de l'Etat puisse demander aux élus de réfléchir à une extension du champ de la Loppsi aux sites considérés comme terroristes.

Reste la question de la manière selon laquelle tout internaute pourrait être surveillé. Là encore, le manque de précisions de la part du Président de la République peut laisser la porte ouverte à toutes les suppositions. Toutefois, l'implémentation de solutions lourdes comme le DPI (Deep Packet Inspection) pourrait être sévèrement critiqué non seulement par une partie de la classe politique mais surtout par la justice constitutionnelle et européenne.

En effet, en novembre dernier, la Cour de Justice de l'Union européenne (CJUE) a rendu un jugement au sujet du filtrage de contenus par un FAI. Elle a considéré que cette obligation était contraire au droit communautaire lorsqu'elle imposait à l'opérateur la mise en place d'un système de surveillance généralisée de son réseau. Un FAI ou un réseau social (selon une seconde décision de la CJUE) ne peuvent donc pas filtrer de manière générale l'activité de leurs abonnés. A jurisprudence constante, la juridiction pourrait donc invalider ce type de régulation généralisée des communications en ligne.

Source

Le piratage des livres numériques se développe à petits pas

Agatha Christie est l'auteur la plus présente sur les plateformes de téléchargement illégal.

De 3 000 à 4 000 livres, en plus de 8 000 à 10 000 bandes dessinées, sont aujourd'hui disponibles illégalement, selon l'étude EbookZ du Motif, l'observatoire du livre et l'écrit de la Région Ile-de-France, rendue publique à l'occasion du Salon du livre. Les auteurs Agatha Christie et Charlaine Harris sont celles ayant le plus de titres piratés actuellement disponibles en ligne.

Les auteurs principalement concernés sont Agatha Christie et Charlaine Harris, avec douze titres recensés sur des plateformes de téléchargement illégal. Frédéric Lenormand, le premier auteur français, complète le podium (9 titres). Suivent Bernard Werber et Laurell K. Hamilton (7). Dans le Top 20 figurent également Frédéric Beigbeder, Jean‐Christophe Grangé, Paulo Coelho, Ken Follett ou encore Gilles Deleuze. Au total, le Motif a identifié 500 auteurs piratés. Plus étonnant, au chapitre des titres les plus piratés, Le Petit Larousse des conserves et salaisons devance Le Courage d'éduquer de Lee Lozowick.

Cette étude a été menée sur les principaux circuits de diffusion de contenus piratés (en P2P, Torrent, téléchargement direct, newsgroup, etc.). L'observatoire précise que d'une façon générale, à l'exception de quelques best‐sellers très diffusés, il est assez fastidieux de trouver sur Internet la version pirate d'un livre.

Selon le Motif, les 10 à 20 principaux sites de téléchargement direct (direct download ou DDL) proposent chacun jusqu'à 2 000 titres d'e-books différents, majoritairement disponibles au format Pdf (dans 75,7% des cas). Mais sur ces sites de partage, ce sont surtout les journaux qui sont proposés.

Source

Un outil DDOS trafiqué pour piéger les fans d'Anonymous

Selon Symantec, des cybercriminels ont ciblé les partisans du groupe d'hacktivistes Anonymous en diffusant un outil de déni de service modifié dans lequel ils ont intégré le malware Zeus.

Les cybercriminels ratent rarement une occasion pour infecter les ordinateurs avec des logiciels malveillants, même s'ils doivent pour cela cibler d'autres soi-disant contrevenants à la loi. C'est ce qui ressort d'une recherche effectuée par l'éditeur de solutions de sécurité Symantec. Récemment, ces cybercriminels ont modifié Slowloris, un outil pour mener des actions de déni de service distribué (DDOS) pour y inclure un client Zeus, un bout de code malveillant bien connu capable de subtiliser logins et mots de passe de connexions à des services bancaires en ligne notamment. Selon Symantec, les cybercriminels destinaient spécifiquement le malware aux supporters d'Anonymous.

Le groupe d'hacktivistes, bien connu pour ses campagnes anti-gouvernementales et anti-entreprises, a pour habitude soit de divulguer des données sensibles après le piratage des sites visés, soit de perturber les sites Internet des organismes ciblés en les saturant de trafic. Pour ces actions, le groupe s'appuie souvent sur le support d'internautes partout dans le monde qui utilisent des outils DDOS recommandés par Anonymous. En mai 2011, sur le site Pastebin, les Anonymous avaient encouragé leurs supporters à télécharger un outil DDOS  du nom de Slowloris. Leur message avait rapidement fait le tour de l'Internet, at avait été relayé jusque sur Twitter.

Un outil trafiqué pour tromper les internautes 

Mais Symantec a découvert que les cybercriminels avaient recopié mot pour mot le message et l'avaient reposté à nouveau le 20 janvier. Sauf que cette fois, le lien vers l'outil DDOS Slowloris préconisé par les Anonymous dirigeait les internautes vers une version malveillante de Slowloris. L'opération a été réalisée le jour même où le site de partage de fichiers Megaupload a été bloqué par les agences fédérales de plusieurs pays et où Anonymous a lancé une campagne de protestation pour défendre le site de téléchargement illégal. « Le lien redirigeant vers la version trafiquée de Slowloris est également apparu dans un mode d'emploi qu'Anonymous a publié pour expliquer comment mener des attaques par déni de service, lequel a également été relayé sur Twitter, » a déclaré Symantec. Le vendeur de solutions de sécurité a constaté que dans le cas où l'internaute téléchargeait et exécutait l'outil modifié Slowloris, le malware tentait ensuite de dissimuler l'infection en téléchargeant la vraie version de l'application.

Non seulement le pirate qui prend le contrôle de la machine infectée vole les informations de connexion aux sites bancaires de ses victimes, ses cookies et ses identifiants de messagerie, mais il mène aussi depuis la machine des attaques DDOS contre les pages web en soutien à Anonymous. « D'un côté, les partisans du groupe d'hacktivistes enfreignent la loi en participant à des attaques DDOS sur des cibles désignées par Anonymous, mais ils prennent aussi le risque de se voir subtiliser leurs codes de connexion aux services en ligne de leur banque et leurs identifiants de messagerie », écrit encore Symantec.

Source

La sécurité IT de la NASA encore pointée par un rapport interne

Le rapport publié cette semaine par un inspecteur général de la NASA sur la sécurité informatique de l'agence spatiale américaine montre que celle-ci doit améliorer ses pratiques. En 2010 et 2011, plus de 5 400 incidents de sécurité ont été répertoriés.

Des ordinateurs portables au contenu non chiffré, des logiciels en défaut de mise à jour et des intrusions avancées risquent de mettre en danger le savoir-faire des techniciens américains si la NASA ne renforce pas sa sécurité IT. C'est ce que pointe un rapport publié mercredi dernier par l'inspecteur général de l'agence spatiale, Paul K. Martin. La National Aeronautics and Space Administration est la cible régulière de cyber attaques. Ses plus de 550 systèmes renferment des informations très recherchées par les criminels, souligne l'inspecteur général. 

Son témoignage, devant un sous-comité du Comité des Sciences, de l'Espace et de l'Aéronautique de la Chambre des représentants des Etats-Unis, a récapitulé les précédents audits de l'inspecteur général sur la sécurité IT de la NASA et propose des recommandations pour l'agence spatiale. En 2010 et 2011, celle-ci a signalé 5 408 incidents de sécurité informatique, découlant de logiciels malveillants installés sur ses systèmes ou d'intrusions, écrit Paul K. Martin. Le vol de données a coûté à l'agence plus de 7 millions de dollars, poursuit-il en ajoutant que la NASA doit améliorer la surveillance de l'ensemble de ses actifs IT.

48 terminaux mobiles perdus ou volés en deux ans

L'un des problèmes concerne les ordinateurs portables. Seulement 1% de ceux de la NASA et des terminaux portables bénéficient du chiffrement. Entre avril 2009 et avril 2011, 48 terminaux mobiles contenant des données sensibles ont été perdus ou volés. Selon un audit de mai 2010, seulement 24% des ordinateurs utilisés sur le réseau d'une mission étaient surveillés pour bénéficier des mises à jour critiques sur les logiciels, et seulement 62% étaient contrôlés pour détecter des failles techniques.

Au cours de l'exercice fiscal 2011, la NASA a également été la cible de 47 menaces avancées répétées ou de cyber attaques qui n'avaient pas été détectées pendant longtemps et qui visaient à voler des données. Treize de ces attaques ont réussi à compromettre des ordinateurs de l'agence, a indiqué Paul K.Martin. L'une d'entre elles a permis aux intrus de dérober les certificats de plus de 150 employés de la NASA qui auraient pu être utilisés pour récupérer des données dans les systèmes de l'agence.

Des ordinateurs mal reformatés avant leur mise en vente

Une autre attaque, perpétrée à partir d'une adresse IP basée en Chine, ciblait le Jet Propulsion Laboratory. Ceux qui l'ont mené ont eu un accès complet à des systèmes JPL clés et à des comptes utilisateurs sensibles. « Les attaquants ont eu un contrôle fonctionnel total sur ces réseaux », mentionne le rapport.

Dans un autre domaine encore, les auditeurs ont découvert que la NASA n'avait pas correctement supprimé les données sur les ordinateurs ayant été utilisés pour le programme de la navette spatiale avant de mettre les machines en vente. Les enquêteurs ont également trouvé quantités de disques durs dans une benne non sécurisée accessible au public dans l'un des centres.

Source

Une majorité de webmasters ignorent comment leur site a été piraté

Selon un rapport publié par StopBadware et Commtouch, la plupart des propriétaires de sites web ayant subi des attaques ne savent pas comment ceux-ci ont été piratés. Et seulement 6 % d'entre eux parviennent à détecter eux-mêmes une activité malveillante.

Le rapport intitulé « Piratage de sites web : le point de vue d'un propriétaire » repose sur une enquête menée pendant plusieurs mois auprès de plus de 600 administrateurs de sites web et de propriétaires. Elle a été réalisée par le vendeur en sécurité Commtouch et par l'association StopBadware, qui aide les webmasters à repérer, trouver des solutions et éviter le piratage de leur site.

La principale raison pour laquelle un site est piraté est dûe, semble t-il, au logiciel de gestion de contenu (CMS) obsolète. En effet, 20% des personnes interrogées invoquent ce motif. 12 % des webmasters concernés par l'enquête déclarent par ailleurs que l'ordinateur utilisé pour mettre à jour leur site web était infecté par des logiciels malveillants. 6 % pensent que leurs identifiants ont été volés. Enfin, 2 % admettent qu'ils se sont connectés à leur site via des hotspot publics ou des ordinateurs publics. Reste 63 % des personnes interrogées, qui disent n'avoir aucune idée de la manière dont leur site web a été piraté.

D'après les réponses des personnes interrogées, la plate-forme CMS la plus souvent installée dans les sites web piratés est celle de WordPress (28%). Cependant, WordPress représente plus de 50 % de l'ensemble du marché CMS, selon les données de w3techs.com, de sorte que le pourcentage de sites WordPress piratés par rapport à la base installée de la plate-forme est plus bas que pour les autres plates-formes CMS comme Joomla ou osCommerce.

Une résolution épineuse des problèmes

Près de la moitié des personnes interrogées - 49% - ont été informées que leurs sites web avaient été piratés par des alertes du navigateur ou du moteur de recherche. 18 % ont été avertis par des collègues ou des amis, 10 % par une entreprise de sécurité et 7 % par leur hébergeur. « Seulement 6 % des personnes interrogées ont découvert par elles-mêmes le piratage, remarquant une activité suspecte ou plus sur leurs sites web, » indique le rapport.

Un tiers des personnes interrogées ne savaient pas dans quelle mesure les données de leurs sites avait été compromises après le piratage. Les autres - 25 % et 18 %,  respectivement - ont mentionné parmi les formes les plus courantes d'abus, soit l'hébergement de logiciels ou des scripts malveillants. Beaucoup de webmasters - 46% - ont réussi à corriger eux-mêmes la faille à partir d'informations récoltées sur les forums d'aide et autres sites web. 20 % sont parvenus à corriger le problème en suivant les instructions reçues par des entreprises de sécurité et 14 % avec l'aide de leur hébergeur. Cependant, plus d'un quart des personnes interrogées ont indiqué qu'après plusieurs tentatives de réparation, elles avaient laissé leurs sites web en l'état.

Environ 28 % des webmasters ont déclaré qu'ils envisagaient de changer d'hébergeur après leur expérience de piratage. L'enquête a révélé que les webmasters avaient trois fois plus de chance de quitter les hébergeurs qui facturaient l'aide apportée pour résoudre ce problème, et a fortiori ceux qui refusaient d'apporter leur soutien.

Avoir une bonne hygiène sécuritaire

Le rapport conclut que de nombreux webmasters ne sont pas tout à fait conscients des menaces qui pèsent sur leurs sites Web, ni comment faire face à d'éventuels piratages. Selon StopBadware et Commtouch, il faudra un certain temps avant qu'ils sachent prévenir les incidents liés au piratage de leurs sites et prendre des précautions de sécurité de base comme la mise à jour des logiciels CMS et des plug-ins, l'utilisation de mots de passe forts et variés, ou encore ne pas conserver les mots de passe sur des machines locales, et scanner régulièrement les ordinateurs pour repérer les logiciels malveillants.

Par ailleurs, toujours selon ce rapport, en plus des alertes des navigateurs et des moteurs de recherche, il serait nécessaire d'améliorer les méthodes pour prévenir les webmasters de façon proactive que leurs sites Web ont été piratés. Les hébergeurs de site pourraient aussi en profiter pour améliorer leur réputation en informant et en aidant les clients dont les sites ont été piratés.

Source

Nouvelle variante du malware Duqu découverte

Des chercheurs de Symantec ont découvert une nouvelle variante du malware W32.Duqu qui a été conçu pour échapper à certaines détections d'antivirus. C'est la première version modifiée de Duqu trouvée en 2012.

Le fichier analysé contient seulement une des composantes de la menace Duqu. Cependant le fichier du chargeur permet de charger le reste du malware lorsque l'ordinateur redémarre.

Après analyse du rapport, la date de compilation sur le nouveau composant est du 23 Février 2012 donc cette nouvelle version n'est pas restée très longtemps dans la nature.

Cette nouvelle variante est livrée avec un nouvelle algorithme de cyptage pour crypter un autre composant sur le disque dur de la victime. Une autre différence notable est que cette variante a été signé avec un certificat valide alors que l'original en possédait un volé. A ce niveau là, il fait semblant d'être un pilote Microsoft Class.

Cette découverte nous indique clairement que les auteurs de Duqu poursuivent toujours leur opération.

Source

Sécurité : l'éditeur Mykonos veut se jouer des hackers

Un nouvel éditeur spécialisé dans la sécurité des sites Internet a décidé de repenser la manière d'interagir avec les hackers et souhaite s'amuser avec eux afin de leur faire perdre leur temps.

La plupart des sociétés proposant des solutions permettant de sécuriser un serveur web tentent de parer n'importe quel type d'intrusion afin de se prémunir au mieux contre un hacker souhaitant de récupérer des données ou encore accéder à un panneau d'administration. La société Mykonos Software fait parler d'elle en adoptant une stratégie bien différente, laquelle vise à en leurrer l'intrus vers de fausses portes d'entrée.

« Si vous forcez votre passage, alors je veux jouer avec vous », déclare David Koretz, PDG de Mykonos, dans un entretien recueilli par le magazine TechnologyReview. Plus précisément, lorsque le dispositif de sécurité mis en place par Mykonos détecte une tentative d'intrusion, un mécanisme génère de fausses vulnérabilités ainsi que de faux mots de passe. Mykonos cible en particulier les hackers faisant usage d'outils scannant les sites Internet à la recherche de failles pouvant être exploitées.

La société injecte des petits bouts de code directement au sein des pages web d'un site. Dans le cas où une personne scannerait ce site à la recherche d'une vulnérabilité, le code en question sera systématiquement modifié. Mykonos est alors capable de récupérer l'adresse IP du hacker. Par ailleurs, si ce dernier fait usage d'un navigateur, Mykonos lui injectera un supercookie. Si le hacker utilise un autre logiciel alors les caractéristiques précises de sa machine seront enregistrées. Ainsi le mécanisme de sécurité est en mesure de déployer ses outils de défense pour cette personne en particulier.

« Nous interceptons leurs scans puis leurs retournons plein de fausses valeurs », explique M. Koretz, en précisant qu'il s'agit-là de faire croire au hacker qu'il progresse. Mykonos est également capable de laisser le hacker passer outre le chiffrement pour lui présenter une fausse page de connexion. M. Koretz conclut : « Nous avons les moyens de hacker le hacker ».

L'équipe affirme que n'importe qui peut utiliser un système de scan automatique et qu'en déjouant ces derniers il devient alors bien plus difficile de localiser précisément une vulnérabilité. Un hacker bloqué tentera simplement de trouver une autre porte d'entrée. En revanche, Mykonos souhaite leur faire perdre leur temps et donc augmenter indirectement les coûts liés à ces tentatives d'attaque.

Source

Les données personnelles de 541 policiers diffusées au nom d'Anonymous

Les données personnelles (nom, email, téléphone, statut et département d'affectation) de 541 policiers français ont été publiées sur le Net dans la nuit de vendredi à samedi, suite au piratage d'une base de données du site du syndicat Unité SGP Police -FO. Les auteurs revendiquent leur appartenance au mouvement Anonymous.

Le syndicat Unité SGP Police -FO a confirmé samedi à l'AFP le piratage d'une des bases de données de son site Web, ayant conduit à la divulgation, sur Pastebin, des coordonnées de 541 de ses adhérents. Nom, adresse email, numéro de téléphone, statut syndical et département d'affectation ont ainsi été rendus publics dans la nuit de vendredi à samedi, et l'étaient encore lundi matin. Les auteurs revendiquent leur appartenance au courant Anonymous, et posent cette action comme « la réponse à la déplorable tentative de répression et de censure que cautionne l'État français ».

« À l'heure où nous écrivons ces mots, le monde sombre dans la censure. Internet est investi par les gouvernements et les puissances financières qui veulent le transformer en supermarché virtuel contrôlé. Le 26 janvier dernier, 22 membres de l'Union Européenne, dont la France, signaient l'accord ACTA à Tokyo. Cet accord nous promet un avenir où Liberté ne sera plus qu'un mot, où la censure sera la nouvelle règle », écrivent-ils sur une page adressée aux « citoyens français ».

Surmontée du désormais célèbre logo associé au mouvement, celle-ci diffuse en fond le discours du Dictateur de Charlie Chaplin, et comporte des liens permettant d'accéder aux données concernées. « Notez bien que ce n'est qu'une portion de ce que nous avons et que nous nous réservons le droit d'en diffuser un plus grand nombre », avertissent les auteurs.

Nicolas Comte, secrétaire général d'Unité SGP Police, a confirmé à France Info que les données publiées émanaient de la liste des abonnés à la lettre d'information du site. « Je condamne totalement. Je condamne d'autant plus que les gens qui font ça se prétendent défenseurs des libertés individuelles. Je crois que c'est totalement l'opposé », a-t-il commenté, disant espérer que les auteurs de l'attaque soient rapidement identifiés.

La loi du talion à l'heure du numérique ? « Par crainte, suite à nos dernières attaques, les forces de l'ordre se sont empressées d'agir, procédant à des arrestations bâclées et sans preuve tangible. Nous percevons ces poursuites comme une tentative désespérée du gouvernement d'atteindre le mouvement par la peur et l'intimidation. Ceci est une caractéristique typique des dictatures », défendent pour leur part les responsables de cette action. Ils font vraisemblablement allusion ici à la mise en examen récente d'un supposé partisan d'Anonymous, qui aurait été impliqué dans des attaques par déni de service menées à l'encontre du site d'EDF en juin 2011.

Source

Wikileaks publie 5 millions de données du cabinet de renseignements Stratfor

Le portail Wikileaks annonce la publication d'une série de documents baptisée « Global Intelligence Files ». Ces dossiers regroupent pas moins de 5 millions d'e-mails de Stratfor, un cabinet privé américain de renseignement.

Wikileaks accuse le cabinet américain Stratfor de fournir des informations d'ordre privé à des agences gouvernementales (la Défense américaine, le corps des Marines…) ainsi qu'à plusieurs sociétés comme Lockheed Martin, Northrop Grumman ou encore Raytheon. Le portail publie 5 millions d'e-mails envoyés entre 2004 et décembre 2011 par le cabinet et considère que cette entité dispose de plusieurs réseaux d'informateurs chargés de livrer diverses informations à d'autres organes de renseignements.

Wikileaks ne livre pas le contenu de ces courriers électroniques mais explique que ces données sont la preuve que « cette société cultive des liens très proches avec les agences gouvernementales américaines et d'anciens membres du gouvernement du pays ». Ces données ont, semble-t-il, été obtenues suite à une attaque informatique dirigée contre les installations du cabinet de renseignements lors des dernières fêtes de Noël.

Des hackers avaient en effet revendiqué avoir mené une attaque à l'encontre des serveurs hébergeant le site de ce cabinet privé américain de renseignement (Stratfor). Ils indiquaient avoir découvert de nombreuses adresses e-mail de responsables britanniques et américains mais également d'autres données non-chiffrées. A l'époque, des spécialistes en sécurité précisaient que certaines informations publiées devaient être qualifiées de sensibles et pouvaient jouer en la défaveur des responsables en cause.

Selon Owni, l'un des partenaires de Wikileaks, Stratfor aurait mis en place un système de qualification des informations qu'il publie. « La note A sanctionne une information qu'on ‘ne peut trouver nulle part ailleurs' et la note B une information disponible uniquement dans des cercles limités », commente le site. De son côté, Wikileaks annonce que la signification de certains de ces e-mails sera connue dans les prochaines semaines.

Source

Gmail améliore encore la gestion du spam

Ceux qui ont connu l’heure de gloire d’Hotmail par Microsoft savent de quoi il est question ici : la gestion des spam par sa messagerie électronique.

Si la décennie 1990-2000 vous a laissé un souvenir impérissable de tri fastidieux entre les pilules de fertilité et le compte rendu transféré par votre patron la veille au soir, c’est avec un brin nostalgie que l’on se surprend à en oublier l’existence même du dossier SPAM de nos jours.

Et s’il y a bien une chose qui a su séduire les utilisateurs de Gmail, le service de messagerie de Google, c’est certainement pour l’efficacité de son système anti-spam. Bien que perfectible à ses débuts, il est parvenu au fil des améliorations tout aussi efficace en détection pure que des solutions dédiées ou intégrées aux antivirus.

C’est l’une des raisons pour lesquelles Google souhaite capitaliser sur ces performances, en agrémentant sa messagerie d’une fonctionnalité subtile et pédagogue.

En effet, à partir d’aujourd’hui, les utilisateurs pourront prendre connaissance à l’aide d’un ruban situé avant l’en-tête du message des raisons pour lesquelles le présent courriel a été considéré comme indésirable.

L’information reste succincte, se limitant à retranscrire en langage parlé les règles de tri du courrier indésirable. La démarche de Google est avant tout didactique puisque la société explique sur son blog officiel que cette fonctionnalité permettra à tout un chacun de prendre connaissance des risques liés aux messages indésirables et de savoir reconnaître un SPAM.

Pas une grande révolution en soi même si le geste est à saluer, de plus en plus de personnes restent vulnérables face à ce genre de contenus malveillants et si les bonnes pratiques ne se perdent jamais, un petit rappel ne peut faire de mal.

Source