18/11/2024

Sécurité

Actu Cybersécurité

Le point sur le dernier Patch Tuesday de 2013

Microsoft sort aujourd’hui le Patch Tuesday du mois de Décembre, qui est bien entendu le dernier de l’année 2013. Il intègre 11 bulletins dont 5 classés critiques par Microsoft. Les 5 bulletins critiques sont destinés à corriger des failles permettant d’exécuter du code à distance sur une machine Windows et affectent les principaux OS clients Microsoft : du bon vieux Windows XP à Windows 8.1 en passant par Windows 7 et Windows 8. On ajoutera à cette liste Office 2013, Lync 2010 et Exchange. Les 6 autres bulletins de ce patch sont classés comme important et concernent 5 failles d’élévation des privilèges et une dernière faille d’exécution de code à distance. Les mêmes versions de Windows sont touchées, avec en plus Windows Server. Internet Explorer subira également une mise à jour permettant de corriger la vulnérabilité découverte par les chercheurs en sécurité de McAfee, le mois dernier. Ce dernier patch de l’année apportera donc un bon nombre de correctifs touchant

Lire cet article
Actu Cybersécurité

Vulnérabilités : OpenJPEG, Ruby et Chromium

Depuis ce début décembre, les paquets OpenJPEG, Ruby et Chromium ont reçus une mise à jour permettant de corriger des failles de sécurité. Voici plus d’informations : – OpenJPEG : Ce logiciel permet d’encoder et de décoder des images au format JPEG 2000, il contient une vulnérabilité pouvant mener à un déni de service grâce à une surconsommation de mémoire, voir même à l’exécution de code et de récupération d’information. Référence CVE : CVE-2013-1447, CVE-2013-6045, CVE-2013-6052, CVE-2013-6054. La version 1.3 corrige ces vulnérabilités. – Ruby 1.8 : L’interpréteur de langage Ruby contient plusieurs vulnérabilités ayant pour référence CVE : CVE-2013-1821, CVE-2013-4073, CVE-2013-4164. L’une d’entre elle permet un déni de service sur la machine en consommant toute la mémoire de l’hôte, d’après Ben Murphy. D’autre part, William Snow Orvis a découvert que dans la vérification du nom d’hôte dans le client SSL de Ruby, il est possible qu’un attaquant effectue une attaque de type man in the middle afin d’usurper un

Lire cet article
AutresCybersécurité

Lamp Security 5 : Solution et explications

I. Présentation : Qu’est-ce que Lamp security Le projet LampSecurity est un ensemble de machines virtuelles destinées à l’entrainement, la compréhension et l’apprentissage de la sécurité de l’information et de ses systèmes. Il s’agit plus clairement de plusieurs VM volontairement construites avec des vulnérabilités. Le but du « jeu » étant de les faire démarrer puis de les attaquer. Dans un premier temps, on apprend comment attaquer pour savoir comment mieux se défendre. Le SourceForge du projet se trouve sur ce lien : http://sourceforge.net/projects/lampsecurity/files/CaptureTheFlag/ La sécurité est un élément important dans tout système d’information. Pour bien sécuriser un environnement, il faut connaitre son fonctionnement, sa configuration et ses failles. C’est dans ce but que l’ensemble des machines LampSecurity ont été créées. LampSecurity sont un ensemble de « Capture the flag » qui ont pour but d’initier ceux qui s’y attaquent aux bases de la sécurité. Il s’agit de machines contenant le service basique LAMP (Linux – Apache – MySQL – Php) volontairement

Lire cet article
Actu Cybersécurité

D-link sort des correctifs pour ses routeurs

D-Link a publié des correctifs pour ses routeurs, afin de rattraper des erreurs de développement qui permettait à un attaquant de changer à distance les paramètres de certains modèles de routeurs via l’interface web. Craig Heffner, un chercheur en sécurité affirme que l’on peut accéder à l’interface web de certains routeurs D-Link en paramétrant notre navigateur pour qu’il envoie la chaîne « xmlset_roodkcableoj28840ybtide » pour le user agent. Cette chaîne de caractères fait penser à une back door intentionnellement insérée dans le firmware. Pourquoi ? Simplement car si vous lisez cette chaîne à l’envers, vous obtenez : « edit by 04882 joel backdoor ». Étant donné que l’exploitation de cette faille passe par l’utilisation du chaîne particulière pour le user agent, la gestion à distance doit être activée sur le routeur (fonctionnalité désactivée par défaut). Craig Heffner indique également que le problème a pu être découvert il y a longtemps par quelqu’un d’autre… Il a trouvé cette chaîne particulière pour le user agent sur

Lire cet article
Web

Attaque DNS sur Bitcointalk.org

Un forum de discussion populaire sur le sujet Bitcoin avertis que suite à une attaque DNS, des mots de passe utilisateurs ont pu être interceptés. Grâce à cette attaque sur le DNS, l’attaquant peut rediriger le trafic destiné sur le site Bitcointalk.org vers un site qu’il contrôle. Même si l’utilisateur saisit la bonne adresse dans son navigateur, puisqu’il le DNS est corrompu pour cet enregistrement. Cela permet d’effectuer une attaque de type man-on-the-middle, dans le but d’intercepter les mots de passe envoyés pendant les sessions, les cookies, les messages privés, etc. Des utilisateurs ont remarqués ce changement de DNS et l’ont indiqués dans le forum. Ils ont conseillés d’ajouter l’enregistrement « 109.201.133.195 bitcointalk.org » dans le fichier hosts de leur machine afin d’interroger le bon serveur. Dans le même temps, Bitcointalk.org était la cible d’une attaque DDoS, ce qui fut probablement en rapport avec l’attaque sur le DNS. Le site a été perturbé plusieurs heures à cause de ces attaques. Source :

Lire cet article
Actu Cybersécurité

Les smartphones Nexus vulnérables aux SMS flash

Bogdan Alecu, un chercheur en sécurité, a identifié une faille pouvant redémarrer sauvagement un smartphone à distance par l’intermédiaire de plusieurs SMS flash. Le Galaxy Nexus, le Nexus 4 sont ciblés mais également le tout nouveau Nexus 5. Ce même chercheur a testé la faille sur une vingtaine de smartphones, seuls les trois cités ci-dessus. Le bug est valable pour Android 4.x, que ce soit sur Android Ice Cream Sandwich ou Android Kit Kat, il reste le même. Un SMS flash c’est quoi ? Un SMS flash, appelé aussi Class 0 SMS, est un type de message qui s’affiche automatiquement à l’écran et demande une action à l’utilisateur. Rien de bien méchant, sauf que, si l’on en envoie une trentaine en très rapidement sur un smartphone Nexus ce dernier va redémarrer. Dans une moindre mesure, s’il ne redémarre pas il perdra la connexion au réseau. Exploiter cette vulnérabilité ne peut pas aller au delà du déni de service du smartphone.

Lire cet article
Antivirus

Kaspersky SC 10 – Organisation des ordinateurs

I. Présentation Il est possible d’organiser les ordinateurs administrés dans des groupes principaux pouvant chacun contenir des sous-groupes pour créer une véritable hiérarchie. Ainsi, les groupes « secondaires » peuvent hériter des tâches, des stratégies et du paramétrage définit sur les groupes principaux. Il est à noter que le groupe de plus haut niveau « Ordinateurs administrés ». II. Explications On peut voir l’héritage dans les propriétés d’un groupe ou dans l’onglet « Stratégies » et « Tâches » du groupe. L’héritage des paramètres étant actif lorsque la case est cochée : Pour voir les stratégies – ou tâches héritées, il faut cocher la case dans l’onglet correspondant en cliquant sur « Afficher les stratégies héritées » :   Par défaut, les ordinateurs non-administrés ne sont pas rangés dans un groupe d’ordinateurs administrés. Ils sont stockés dans une sous arborescence bien spécifique : Tous les ordinateurs stockés dans la section « Ordinateurs non définis » ne sont pas administrés c’est-à-dire qu’aucune stratégie,

Lire cet article
Antivirus

Kaspersky SC 10 – Ajouter un proxy dans la configuration

I. Présentation Si vous utilisez un serveur Proxy pour accéder à internet à partir des postes clients et qu’il n’est pas déclaré dans la configuration du serveur Kaspersky Security Center 10, le téléchargement des mises à jour sur les serveurs de Kaspersky ne s’effectue pas correctement. De ce fait, les bases virales ne sont pas mises à jour et celles des clients ne le sont pas non plus puisqu’ils se mettent à jour sur le serveur d’Administration. Vous pouvez obtenir des erreurs du type « Erreur de connexion à la source de mise à jour ‘http…’ ». Une fois la configuration effectuée, le serveur d’Administration peut enfin se mettre à jour correctement sur Internet et proposer aux postes clients qu’il gère des bases virales à jour. II. Configuration Accédez à la console d’Administration c’est-à-dire « Kaspersky Security Center » afin d’effectuer le paramétrage. Une fois que la console est exécutée faites clic droit sur la racine de votre serveur, intitulée

Lire cet article
HP

Définir un mot de passe sur HP ProCurve

I. Présentation La mise en place d’un mot de passe pour protéger un accès est la base de la sécurité. De ce fait, il est important de définir un mot de passe, c’est le strict minimum. Il y a deux types d’utilisateurs différents, appelés « Manager » et « Operator » qui disposent tous deux de permissions différentes. Faisons le point. o Manager : Contrôle total. Il peut effectuer des changements de configuration et utiliser l’intégralité des commandes. o Operator : Accès limité. Il peut visualiser les statuts, les compteurs, les journaux et voir les commandes ainsi qu’en utiliser certaines. En fait, c’est un accès en lecture seule au commutateur. II. Configuration Pour définir un mot de passe, on utilise la commande « password » qui doit être exécutée en mode de configuration. Ensuite, la commande doit être suivie de « manager » pour définir le mot de passe Manager, « operator » pour définir le mot de passe Operator

Lire cet article
Actu Cybersécurité

Problème de sécurité dans Nginx

Le serveur web Nginx, contient une vulnérabilité qui autorise un attaquant à passer outre les restrictions de sécurité en utilisant une requête spécialement conçue. Cette découverte est l’œuvre d’Ivan Fratric qui travaille dans l’équipe de sécurité Google. Il est recommandé de mettre à jour vos paquets Nginx pour profiter d’une version où la faille est corrigée. Les versions de Nginx non vulnérables sont 1.5.7+ et 1.4.4+, à l’inverse celles qui sont vulnérables sont 0.8.41-1.5.6 Source : Debian Security

Lire cet article
Commandes et SystèmeNetfilterServices

Débannir une IP bannie via iptables par Fail2ban

I. Présentation Dans un précédent tutoriel, nous avons vu comment fonctionnait Fail2ban et comment l’installer et le configurer pour une utilisation basique. Nous savons que Fail2Ban peut, entre autre, bannir des IP selon certains critères via le manager de pare-feu Linux. Il peut arriver que nous souhaitions dé-bannir une IP qui a été bannie par Fail2ban en utilisant iptables. C’est ce que nous allons voir ici. II. Afficher l’IP bannie dans iptables La première étape pour dé-bannir une IP bannie via iptables est de repérer la ligne à laquelle elle se trouve dans iptables. On utilise pour cela la ligne de commande suivante : iptables -L Nous aurons alors la sortie suivante : On voit donc plusieurs IP dans la chaine « fail2ban-ssh » qui est le nom par défaut de la chaine où sont indiquées l’état et les IP bannies. On repère donc la ligne sur laquelle se trouve notre IP (par exemple la ligne 2 pour l’IP « 192.168.21.10 » puis ont

Lire cet article
Actu Cybersécurité

Failles de sécurité corrigées dans Icedove

Icedove, la version de Mozilla Thunderbird pour Debian, contenait plusieurs failles de sécurité qui sont désormais corrigées. Elles permettaient d’exécuter du code arbitraire en exploitant des erreurs d’implémentation ainsi que des erreurs au niveau mémoire. La version pour Debian Squeeze n’est plus supportée, vous n’aurez donc pas les mises à jour de sécurité si vous êtes sous cette version de Debian. Cependant, les failles de sécurité corrigées affectent seulement les installations d’Icedove où le scripting et les mails HTML sont actifs. Concernant la version stable en cours, Debian Wheezy, le problème est corrigé dans la version 17.0.10-1~deb7u1. Pour Debian Sid, toujours en cours de développement, vous devez utiliser la version 17.0.10-1. Les références CVE correspondantes sont : CVE-2013-5590, CVE-2013-5595, CVE-2013-5597, CVE-2013-5599, CVE-2013-5600, CVE-2013-5601, CVE-2013-5602, et CVE-2013-5604. Source : Debian Security

Lire cet article
Antivirus

Kaspersky SC 10 – Mise en place d’une hiérarchie

I. Présentation Kaspersky Security Center permet la mise en place d’une hiérarchie dans les serveurs d’administration. Qu’est-ce qu’une hiérarchie ? Une hiérarchie est la mise en relation de plusieurs serveurs d’Administration sous la forme « serveur maître – serveur secondaire ». Ainsi, chaque serveur maître peut avoir plusieurs serveurs secondaires et, chacun de ces serveurs secondaires peuvent avoir leurs propres serveurs secondaires et ainsi de suite puisque le nombre de niveaux hiérarchique est « illimité ». Des groupes d’ordinateurs administrés d’un serveur d’administration « maître » contiennent les ordinateurs clients connectés à tous serveurs secondaires de tous niveaux. Ainsi, différentes parties d’un réseau peut-être régis par des serveurs d’administration différent, qui sont tous régis par un serveur d’administration de niveau supérieur. Pourquoi mettre en place une hiérarchie de serveurs ? Permet de répartir la charge (load balancing) entre plusieurs serveurs d’administration plutôt que de centraliser la charge sur un seul et même serveur.   Réduit le trafic réseau interne et facilite les communications entre les sites

Lire cet article
Actu Cybersécurité

Vulnérabilité VMware sous Linux

VMware a mit à jour ses deux applications VMware Player et Workstation pour Linux car elles contenaient une vulnérabilité. Cette dernière permettait de profiter d’une élévation de privilège en root sur la machine hôte. Workstation 10 et Player 6 ne sont pas affectés alors que les anciennes versions à savoir Workstation 9.x et 5.x le sont, vous devez les mettre à jour respectivement vers les versions 9.0.3 et 5.0.3. Référence CVE : CVE-2013-5972 Source : VMware.com

Lire cet article
LogicielsWindows Client

Effacer l’historique des connexions USB sous Windows

I. Présentation Dans un précédent tutoriel, nous avons vu qu’il était possible de lister tous les périphériques qui ont été connectés à un poste avec un outils comme « Usb History Viewer ». Nous allons ici voir qu’il est possible d’effacer cette liste pour qu’elle ne soit plus consultable du tout. II. Explication En effet, à chaque fois qu’on l’on connecte une périphérique à nos ports USB, Windows enregistre plusieurs informations sur cette connexion comme le type de périphérique, son nom, le port USB sur lequel il a été branché, la lettre qui lui a été affecté, etc. C’est, entre autre, ce qui permet à Windows de ne pas réinstaller le périphérique à chaque reconnexion de celui-ci. III. Procédure – USB Oblivion Il faut commencer par télécharger l’exécutable « USB Oblivion » sur ce lien : Téléchargement d’USB Oblivion Une fois téléchargé, il suffit d’exécuter le programme puis nous verrons cette fenêtre apparaitre :   Nous allons ensuite cocher la case « Nettoyer réellement » puis

Lire cet article