Sécurité de l'information : l'insuffisance des budgets mise en cause

Microsoft alerte sur l'existence d'une vulnérabilité dans Windows Shell notamment exploitée via des clés USB.

Windows - LogoVendredi, Microsoft a publié un avis de sécurité au sujet d'une vulnérabilité déjà exploitée pour des attaques et présente au niveau du composant dénommé Windows Shell, à savoir la principale interface utilisateur graphique ( barre des tâches, menu Démarrer... ) du système d'exploitation Windows. Cette vulnérabilité affecte ainsi toutes les versions de Windows.

Notamment considérée comme hautement critique par Secunia, la vulnérabilité est due à une erreur dans Windows Shell lors du traitement de fichiers de raccourcis .lnk. Certains paramètres ne sont pas correctement validés pendant une tentative de chargement du raccourci d'une icône. Cela peut être exploité pour exécuter de manière automatique un programme via un raccourci spécialement conçu.

L'exploitation la plus plausible selon Microsoft, passe par l'insertion d'un média amovible comme une clé USB par exemple. Elle nécessite que l'utilisateur consulte le contenu de la clé USB avec un gestionnaire de fichiers à l'instar de Windows Explorer. Cette consultation est d'autant plus facilitée si l'exécution automatique à l'insertion d'un périphérique amovible est activée, ce qui n'est pas le cas par défaut avec Windows 7. Reste que la navigation manuelle dans le dossier racine du périphérique suffit à l'exploitation.

Une autre exploitation possible passe par les partages réseaux et WebDAV, mais c'est bel et bien l'exploitation par l'intermédiaire de disques USB infectés qui pour le moment génère le plus de rapports d'attaques. La charge utile a notamment été identifiée de la famille Stuxnet qui représente un ensemble de malware dont un cheval de Troie qui télécharge du code d'attaque, un rootkit qui cache les traces de l'attaque. Actuellement, des tentatives d'attaques sont essentiellement rapportées en Iran, Indonésie, Inde, Équateur et États-Unis.

La vulnérabilité a d'abord été mise au jour mi-juin par une petite société de sécurité biélorusse, VirusBlokAda. Plusieurs autres sociétés l'ont par la suite rapportée dont Sophos qui souligne que la composante rootkit permet de passer outre les mécanismes de prévention de Windows Vista et Windows 7 ( le contrôle de compte utilisateur étant cité ).

Dans son avis de sécurité, Microsoft donne quelques mesures de contournement dont la désactivation de l'affichage des icônes pour les raccourcis via une modification dans la base de registre. Le prochain Patch Tuesday est quant à lui programmé pour le mardi 10 août 2010. Rappelons au passage que le support pour Windows XP SP2 a pris fin. Pour Windows XP, le SP3 est donc indispensable afin de bénéficier de la prochaine mise à jour de sécurité.

En attendant ce correctif, le CERTA français ( Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques ) recommande de se connecter avec un compte utilisateur aux droits limités, maintenir à jour sa solution antivirale, porter une attention toute particulière à la présence inattendue de fichiers .lnk.

Selon l'enquête de Deloitte « 2010 TMT Global Security Study », près de 50% des entreprises du secteur des technologies, médias et télécommunications (TMT) s'accordent pour affirmer que les budgets restreints sont les premiers obstacles en matière de sécurité de l'information. En conséquent, ces entreprises sont de plus en plus nombreuses aujourd'hui à décider d'augmenter ce budget.


Un budget insuffisant

Cette étude explique donc que 10% des entreprises TMT ont renforcé leur budget dédié à la sécurité de l'information de plus de 10% au cours des 12 derniers mois. 36% d'entre elles l'ont augmenté entre 5 et 10%. Malgré ces chiffres, et à cause de la période de ralentissement économique récente, près de la moitié de ces entreprises estiment que les budgets restent insuffisants. Olivier Mauduit, associé et expert TMT en sécurité IT chez Deloitte, ajoute que « Compte tenu de la place centrale de l'information et des données dans le business model des entreprises du secteur TMT, leur sécurité constitue un enjeu stratégique qui va bien au-delà de l'informatique. »


Des menaces toujours plus sophistiquées

L'étude montre également que près de 50% entreprises TMT interrogées ont rencontré au moins une faille de sécurité en 2010, et 26% ont été victimes d'attaques externes provenant de logiciels malveillants. De plus, près de 37% des entreprises interrogées affirment que l'amélioration des menaces est le deuxième frein au maintien d'un bon niveau de sécurité.


Le Cloud Computing reste une bonne alternative à condition que problèmes de sécurité soient encadrés. Olivier Mauduit ajoute que « En l'absence de tests et de vérifications, seulement un tiers des entreprises TMT ont confiance en leurs partenaires. Si les problèmes de sécurité et de protection de la vie privée peuvent être résolus, nous prévoyons que le Cloud Computing deviendra le standard des applications d'entreprise ».

Le rapport ajoute également que 84% des entreprises TMT considèrent les données numériques (coordonnées bancaires par exemple) comme des éléments clés de l'entreprise et qu'elles doivent être mises sous contrôle de la direction de la sécurité de l'information. Pourtant, 27% des entreprises estiment que leurs spécialistes de sécurité ne possèdent pas toutes les compétences pour contrer les problématiques de sécurité.

Stuxnet et faille Windows : des systèmes industriels touchés




Le ver Stuxnet qui exploite une faille dans Windows Shell affectant tous les systèmes d'exploitation Windows prend pour cible des systèmes de surveillance industrielle.

Windows - LogoMicrosoft n'attendra finalement peut-être pas son prochain Patch Tuesday pour combler la >-> faille affectant Windows Shell <-<, d'ores et déjà affublée du sobriquet faille des liens Windows car liée aux processus lancés par des fichiers .lnk.

On peut en effet penser qu'une publication en urgence de la part de Microsoft est susceptible d'intervenir alors que les rapports d'attaques s'accumulent et que surtout, le ver informatique Stuxnet qui exploite ladite faille pour se répandre ( essentiellement via des clés USB ) prend pour cible des systèmes industriels.

En l'occurrence, Stuxnet est utilisé pour des attaques ciblées à l'encontre des systèmes SCADA. SCADA, pour Supervisory Control And Data Acquisition, est un système de télésurveillance et d'acquisition de données présent dans de nombreuses industries de divers domaines.

Selon ESET Virus Lab, le ver est particulièrement actif aux États-Unis et en Iran. Chef du laboratoire d'analyse des virus d'ESET, Juraj Malcho estime qu'il s'agit de l'exemple typique d'une attaque ciblée exploitant une faille 0-day et d'un " exemple de malware assisté par ordinateur pour l'espionnage industriel ".

L'espionnage industriel ne constitue pas véritablement un risque pour le particulier. Néanmoins, ESET prédit une évolution dans les familles de logiciels malveillants qui vont exploiter la faille Windows Shell.

La conservation des données coûte cher aux entreprises, selon Symantec



A l'ère de la conservation numérique des documents professionnels, les plans de conservation de l'information mis en place par les entreprises sont-il efficaces ? Une étude réalisée par Symantec dans 26 pays auprès de 1680 responsables de services juridiques et IT d'entreprises révèle qu'un grand nombre d'entre elles conservent indéfiniment et inutilement leurs données au lieu de mettre en place des règles permettant de les effacer. Un choix qui se révèle coûteux et contre-productif pour les entreprises, qui confondent souvent sauvegarde et archivage, selon Symantec. L'occasion de livrer quelques recommandations pratiques.

Gestion des données : bonne volonté, mais mauvaises pratiques :

L'étude de Symantec révèle tout d'abord que si une grande majorité des répondants (86%) est favorable à une stratégie de conservation adéquate permettant de supprimer les données superflues, peu d'entreprise mettent ces voaux en pratique (46%). S'il y a consensus sur cet enjeu, il y a pourtant une contraduction sur le moyen d'y parvenir, c'est-à-dire la mise en place d'un plan de conservation en tant que tel : ainsi 41 % des DSI interrogées n'en voient pas la nécessité, 30 % déclarent que cette responsabilité ne peut être assumée dans l'entreprise, tandis que 29 % d'entre elles jugent les coûts trop impotants pour sa mise en oeuvre. Résultat de ce paradoxe : 75% des données archivées sont conservées indéfiniment et sans justification juridique, un phénomène qui est pourtant déploré par un quart d'entre elles.

Méthodes inadaptées de gestion de conservation des documents :

A l'origine de ce souci de conservation : la contrainte juridique, et la volonté de se protéger contre d'éventuels litiges et contentieux. Les entreprises consultées ont ainsi déclaré que 45 % des sauvegardes représentent des contraintes légales, alors même que 40 % des données conservées pour ces raisons ne sont pas nécessairement pertinentes en cas de litige. Une perception erronnée donc de l'utilité des sauvegardes, qui s'accompagne d'une mauvaise utilisation des logiciels de restauration des données pour la moitié d'entre elles. Ces mauvaises pratiques sont notamment illustrées par le fait que 65% des entreprises interrogées laissent leurs salariés créer leurs propres archives, bien que la moitié le leur interdisent formellement.

Un stockage coûteux et contre-productif :

Première conséquence néfaste : l'augmentation des coûts de stockage. Aux nouvelles ressources informatiques allouées au volume croissant de données s'ajoutent les difficultés d'accès à la base des fichiers sauvegardés pour y effectuer des recherches, et la réalisation de plus en plus complexe d'inventaires. Côté technique, le volume de données pèserait de plus en plus sur les procédures de sauvegarde, de plus en plus longue. Des conséquences qui selon Symantec, démontrent que les règles de suppression des données superflues et des fonctions de recherche efficaces sont essentielles pour les entreprises.

Ne pas confondre sauvegarde et archivage :

Parmi les recommandations formulées par Symantec en guise de conclusion de l'étude : la nécessité pour les entreprises de séparer toiut d'abord les opérations de sauvegarde et d'archivage, la première opération ne devant pas excéder une durée de deux mois, pour ne pas affecter les ressources informatiques. Une méthode de sauvegarde à court terme qui permettrait notamment de restaurer les données beaucoup plus rapidement après un incident. Deuxième point important : la nécessité d'élaborer un une politique de conservation plus "sélective", en séparant les types de données qui peuvent être effacées automatiquement et celles qui doivent être conservervées. Enfin, la mise au point d'un système d'archivage notamment plus adapté aux environnemnent de sauvegarde pour la recherche efficace de données.

Mozilla : les découvreurs de failles ne sont pas vénaux




En dépit de l'existence d'un programme de rétribution pour les failles de sécurité rapportées, de nombreux découvreurs ne sont pas intéressés par l'argent.

mozilla-logoEn 2004, Mozilla a lancé un programme de rétribution pour la découverte de vulnérabilités de sécurité dans ses produits. Le montant des récompenses a été réévalué le mois dernier afin de motiver les troupes. Une tendance rapidement suivie par Google pour Google Chrome et Chromium, tandis que de son côté Microsoft demeure réfractaire à cette idée de payer pour des failles rapportées.

Pour quantité non négligeable de découvreurs de failles, l'appât du gain n'est cependant par une réelle source de motivation. Responsable du développement de Firefox, Johnathan Nightingale a en effet livré cette statistique selon laquelle depuis le lancement du programme Security Bug Bounty, entre 10 et 15 % des vulnérabilités critiques rapportées l'ont été sans rétribution en échange.

Jonathan Nightingale a écrit:

" Beaucoup de gens nous disent ne vous souciez pas de cela. Donnez cet argent à la EFF ( Electronic Frontier Foundation ) ou envoyez-moi juste un T-shirt "

, a déclaré Jonathan Nightingale à IDG News Service.

Sous l'égide de son programme de rétribution, 120 bugs de sécurité ont été rapportés à Mozilla depuis 2004 par près de 80 chercheurs. Un programme qui selon Mozilla garde toute son importance car incitant des chercheurs en sécurité à faire le bon choix en matière de divulgation.

Apple comble la faille de sécurité sur ses iPhone, iPod Touch et iPad



Apple a publié mercredi la mise à jour logicielle destinée à combler la faille de sécurité du système d'exploitation iOS qui équipe ses iPhone, iPod Touch et iPad. Cette faille était liée à la vulnérabilité du navigateur Safari lors de la lecture de fichiers PDF malveillants.

La mise à jour logicielle 4.0.2 est disponible via iTunes pour les iPhone 3G, 3GS, 4 ainsi que l'iPod Touch de deuxième génération, tandis que la version 3.2.2 du correctif concerne la tablette numérique iPad.

Les logiciels espions en nette augmentation, selon GData



Selon le rapport de sécurité semestriel de l'éditeur de logiciel antivirus GData, le nombre de logiciels malveillants aurait augmenté de 51% au premier semestre 2010 par rapport au premier semestre 2009. Un bond largement imputable à la diffusion croissante de spywares, qui indique que le vol de données est au centre des activités cybercriminelles cette année.