Recherche
Archives
Informations
72 visites ce jour / 13883 - adresse IP : 54.196.201.241 - système : - navigateur :
Téléchargements

Archive pour la catégorie ‘Sécurité’

piratage Le nombre de victimes de fraudes à l’identité a augmenté de 12% aux USA au cours de l’année 2009 selon le cabinet d’études Javelin. Onze millions d’américains seraient concernés.
Le cabinet d’études américain Javelin chiffre à 54 milliards de dollars le coût total de la fraude à l’identité aux États-Unis en 2009. En tête, les fraudes à la carte de paiement qui coûteraient aux banques environ 4 500 $ par cas, certains atteignant même 50 000 $ ou plus.
« Le plus souvent (un tiers des cas), c’est un proche de la victime qui se sert de son identité pour ouvrir un compte à son nom » explique le président et fondateur de Javelin, James Van Dyke. Effacer ces usurpations d’identité prendrait au moins 21 heures de démarches (contre 30 heures l’an dernier).
Ces victimes, pourtant majoritairement assurées contre les fraudes à la carte, dépenseraient jusqu’à 373 $ pour résoudre leurs problèmes. « Un montant beaucoup plus bas qu’il y a sept ans » affirme le cabinet Javelin qui a lancé cette étude annuelle en 2003. Seulement la moitié des victimes poursuivrait les fraudeurs en justice.
Selon James Van Dyke , « usurper l’identité d’autrui est beaucoup plus simple que cela ne devrait l’être » , les contrôles des banques sont insuffisants. « Aujourd’hui, les fraudes à l’identité se font aussi bien par de vieilles méthodes, comme le vol de documents et de relevés bancaires, que par des méthodes plus avancées comme le piratage de comptes sur Internet ».
Le président de Javelin ne préfère pas désigner l’un de ces modes comme plus important qu’un autre, il invite simplement les consommateurs renforcer leurs défenses sur tous les plans.

Lire la suite de cette entrée »

piratageDeux nouvelles d’importances dans la lutte constante entre Pirates et Hommes de la sécurité : en effet, d’un côté l’on apprend qu’il y a de nouveau une faille dans le chiffrage quantique réputé inviolable. Si la méthode n’est toujours pas remis en cause (l’observation de la clé détruit celle ci et informe donc le destinataire de la corruption), la mise en pratique est toujours aussi complexe et sujette à piratage. Cette fois, il s’agit de l’émetteur qui, après être ébloui par un signal lumineux puissant, accepte la réinjection de la clé piraté et détruite. Normalement cette injection est impossible car il faut utiliser la même polarisation que l’émetteur – hic : après éblouissement, la photodiode réceptrice accepte tous types de polarisation.
A ce propos, lire cet article sur 01netPro…

Deuxième mauvaise nouvelle dans le monde de la sécurité, la clé RSA de 768 bits à été craqué. Il a fallu quand même 1 à 1700 cœurs sur 425 machines et  12 mathématiciens / chercheurs pour casser cette clé de 232 caractères. Casser le chiffrement RSA 1024 bit devrait prendre de 3 à 4 ans. Une clé de 2048 bits est donc maintenant recommandée pour garantir l’inviolabilité de ‘l’information (mais pour combien de temps ?)
Lire cet article à ce propos sur 01netPro…

Merci à Benoit Minvielle (Hirschmann France) pour le lien vers cet article…

Alors que la loi Hadopi impose l’obligation de sécuriser sa connexion Wi-Fi, un groupe de travail emmené par le professeur Johannes Skaar a démontré que même le cryptage quantique n’était pas parfait. Si la technique reste inviolable, en revanche le matériel ne l’est pas.

Graal de la sécurité informatique, la cryptographie quantique repose sur la mise en œuvre de la mécanique quantique afin de préserver la confidentialité et l’intégrité des données. Réputé inviolable, ce protocole technique a des retombées potentiellement énormes, notamment dans les domaines militaire et commercial. En effet, les différentes armées occidentales tiennent à sécuriser leur transmissions tandis que banques et sites commerciaux veulent assurer à leurs clients une protection complète.

Or, le groupe de travail de l’université norvégienne de sciences et de technologie dirigé par le professeur Johannes Skaar ont trouvé une méthode pour contourner le cryptage quantique. Car si la technique en elle-même est théoriquement inviolable, le matériel lui ne l’est pas. Et ce sont justement ces failles qui sont exploitées par les scientifiques.

Dans sa présentation, l’équipe explique s’appuyer sur une technique d’aveuglement des détecteurs de photons permettant d’obtenir la clé secrète sans jamais se faire détecter. Selon eux, cette procédure n’est absolument pas théorique puisqu’ils ont conçu un dispositif d’écoute et attaqué avec succès leur propre matériel de cryptage quantique.

Et pendant ce temps là, la loi Hadopi impose une obligation de sécuriser son accès à Internet…

Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Lire l’article sur : NUMERAMA.com…

 

DNS C’est parti ! L’Icann, l’organisme qui gère les noms de domaine, et l’opérateur VeriSign ont décidé de mettre les bouchées doubles dans l’implémentation du protocole DNSSEC (DNS Security Extensions) avec, à la clé, une feuille de route précise pour le déploiement sur les serveurs racine. Ensuite, Verisign implémentera ce protocole sur les domaines .com et .net, dont il est responsable.

DNSSEC est un protocole qui, grâce à un système de signature électronique, permet de vérifier l’authenticité de la réponse d’un serveur DNS. Son fonctionnement est hiérarchique. Chaque serveur d’une zone DNS (.fr, .com, inria.fr, etc.) disposera d’une paire de clés de signature à chiffrement asymétrique, appelée Zone Signing Keys (ZSK). L’une des clés est publique, l’autre privée. Cette dernière sert à signer les données DNS que délivre le serveur de zone. Un client DNS qui reçoit une réponse signée d’un de ces serveurs pourra déchiffrer la signature au moyen de la clé publique et vérifier, ainsi, la provenance et l’intégrité des données.

Pour autant, ce système de clés ne permet pas de savoir à 100 % si le serveur lui-même est réellement digne de confiance : un usurpateur pourrait se substituer à lui et diffuser ses propres ZSK. C’est pourquoi les serveurs de zone disposent d’une deuxième paire de clés asymétriques. Appelées Key Signing Keys (KSK), elles servent à signer les ZKS des zones inférieures (01net.com, afnic.fr, etc.), créant ainsi une chaîne de confiance sur l’ensemble des URL. Un navigateur n’obtiendra la confiance d’une zone de niveau n (01net.com), que s’il a obtenu la confiance des zones de niveau supérieur (.com).

Une paire de clés maître pour sécuriser tout l’Internet

Lire la suite de cette entrée »

 

securite Pour les hackers aussi, le cloud computing ouvre de nouvelles perspectives intéressantes, comme le montre le cabinet de conseil en sécurité Electric Alchemy. A la demande d’un client, cette société américaine a voulu trouver le mot de passe d’un fichier ZIP chiffré en PGP (Pretty Good Privacy). Elle a donc installé, sur un PC Windows 7 à double cœur, le logiciel Distributed Password Recovery de l’éditeur russe Elcomsoft, qui permet de trouver des mots de passe par attaque en force brute (c’est-à-dire en testant toutes les combinaisons possibles).

D’abord, ce fût la déception : le logiciel a indiqué un délai de 2 100 jours pour casser le chiffrement, soit plus de cinq ans. Electric Alchemy a donc commencé à déployer des instances Elcomsoft sur Amazon Web Services. Avec une dizaine de machines virtuelles en option high CPU, le délai s’est retrouvé ainsi réduit à 122 jours. Avec un tarif horaire de 30 cents par instance virtuelle, le coût total de l’attaque est, dans ce cas, de 8 784 dollars.

Dix millions de dollars pour casser 10 caractères

Mais pas de panique, il ne s’agit là que d’un exemple. Cette attaque s’est révélée relativement peu onéreuse car le mot de passe en question était simple. Le cabinet a réitéré toute une série d’attaques par force brute sur différents types de mot de passe. Conclusion : même en utilisant Amazon Web Services, il faudrait dépenser 10 millions de dollars pour casser un mot de passe d’une longueur de 10 caractères ASCII.

Lire l’article sur : 01net Pro…

Mots clés Technorati : ,,,,

cisco Cisco a proposé cette semaine un patch afin de mettre à jour ses routeurs et ses commutateurs contre des attaques par Déni de Service (DOS ou Denial Of Service).
La faille permet aux hackers de manipuler l’état des connexions TCP, selon Cisco. Conséquence, la connexion TCP peut rester active longtemps, voire indéfiniment. En conservant suffisamment de connexions TCP actives, cela consomme des ressources sur la machine, empêchant d’ouvrir de nouvelles connexions TCP, aboutissant à un début de DOS.
Le bug avait été découvert il y a un an, par un fournisseur de sécurité suédois. Les produits concernés sont :
– les routeurs et les commutateurs fonctionnant sous IOS, IOS-XE, et CatOS,
– les appliances ASA et Cisco Pix dans leurs versions 7.0, 7.1, 7.2, 8.0 et 8.1,
– certaines configurations de produits sous NX-OS tels que les commutateurs Nexus 5000 et 7000,
– les produits de Scientific Atlanta (modem câbles) et Linksys (produits pour la maison et les PME).

Lire l’article complet sur : Réseaux & Télécoms…

Mots clés Technorati : ,,,,,

security C’est ce qui s’appelle mettre les bouchées doubles. Les chercheurs japonais Toshihiro Ohigashi et Masakatu Morii viennent de montrer une nouvelle technique qui permet de briser le chiffrement WPA/TKIP des communications Wi-Fi en une minute, montre en main.

Cette nouvelle technique s’appuie sur l’attaque dite de « Beck-Tews », qui a été découverte en novembre 2008 par deux chercheurs allemands et qui permettait déjà d’intercepter en clair quelques paquets Wi-Fi et de les modifier.

Plus rapide et mieux applicable

En couplant cette technique avec une interception de type « man-in-the-middle » (1), les deux Japonais arrivent à réduire le temps d’exécution de l’attaque de quinze minutes à quelques minutes, voire à seulement soixante secondes.

Ils arrivent également à élargir le cadre d’application. L’attaque Beck-Tews ne fonctionnait qu’avec des équipements supportant certaines fonctions de qualité de service du WPA. Toshihiro Ohigashi et Masakatu Morii, au contraire, sont capables de cibler toutes les implémentations du WPA/TKIP. Les deux chercheurs donnent les détails de leur attaque dans un article scientifique.

Il faut souligner que le chiffrement basé sur WPA/AES ou WPA2 n’est pas concerné par cette attaque. Les entreprises qui utilisent des réseaux Wi-Fi ont donc tout intérêt à délaisser le WPA/TKIP et à s’orienter vers ces deux technologies alternatives.

Lire l’article sur : 01net Pro…

Mots clés Technorati : ,,,,,

spam  Le spam, souvent lié à des fraudes ou des attaques de phishing, représente aujourd’hui 92 % des e-mails, selon le ‘Rapport des menaces du second trimestre 2009’ de McAfee. Une autre firme de sécurité, MX Logic, annonce que 94,6 % des e-mails envoyés seraient du spam.
Le rapport de McAfee annonce que "Juin a produit la plus grande quantité de spams jamais vu, dépassant le précédent record (Octobre 2008) de presque 20 %."
Pour les deux firmes de sécurité, c’est le ‘spam pharmaceutiques’ qui représente presque 90 % du spam, avec notamment ‘Canadian Pharmacy’, le spam indiscutablement le plus répandu.
Les criminels qui envoient du spam s’appuient sur un ordinateur piraté, baptisé ‘Zombie’, dont des codes malveillants ont pris le contrôle. On estime que le nombre de ‘zombies’ dans le monde augmente de 150 000 chaque jour. McAfee estime que 14 millions d’ordinateurs sont sous le contrôle de botnets.
Pour McAfee comme pour MX Logic, les Etats-Unis sont vus comme le premier pays en termes de quantité de spams produits. D’autres pays comme le Brésil, la Chine, la Russie, la Pologne ou l’Inde sont aussi de d’importantes sources de spams

Lire l’article sur : Reseaux et Telecoms…

Mots clés Technorati : ,,,,,

foLa récupération des données concerne des cas très particuliers et ne remette pas en cause la technique mais plutôt son implémentation qui, elle, peut être faillible.

Cinq ans après être sortie des laboratoires, avec la création du premier réseau sécurisé aux Etats-Unis, la cryptographie quantique reste totalement d’actualité. A la fin du mois de mai 2009, SmartQuantum, l’un des producteurs de cette technologie, a annoncé qu’il conduisait un projet de sécurité en collaboration avec le CNRS, Femto-ST et le CHU de Besançon. Ce projet porte sur une solution complète de sécurisation des transmissions de données sur support optique entre deux serveurs (dans un même bâtiment), entre deux bâtiments d’une même zone (un cabinet de praticien et un hôpital, par exemple) et enfin une liaison longue distance (entre le CHU de Besançon et le centre hospitalier de Belfort-Montbéliard, par exemple).

Présentée comme l’une des technologies les plus fiables au monde, elle n’est pourtant pas infaillible. C’est la conclusion à laquelle sont arrivés des universitaires qui ont testé ces dernières années des systèmes de cryptographie quantique. Plus exactement, ce n’est pas la cryptographie quantique dont ils ont démontré la vulnérabilité, mais son implémentation.

4 % des communications espionnées

En 2008, l’équipe de chercheurs dirigée par Hoi-Kwong Lo de l’université de Toronto, au Canada, était parvenue pour la première fois à modifier un système de cryptage quantique commercial ID-500 vendu par ID Quantique, le leader mondial dans ce domaine.

La faille était minime puisqu’elle était de quelques picosecondes, soit le temps de retard à l’allumage des deux détecteurs de photons utilisés pour recevoir la clé quantique. Un laps de temps très court mais suffisant pour rendre le système un peu moins sûr : Hoi-Kwong Lo avait été capable d’espionner 4 % environ des communications « sécurisées ».

« Ce système ID-500 est destiné à une clientèle de chercheurs. Il s’agit d’une version simplifiée et elle est complètement paramétrable. Les travaux du professeur Lo sont intéressants mais n’ont qu’une faible valeur pratique », nous a répondu Grégoire Ribordy, CEO d’ID Quantique.

Lire l’article complet sur : 01Net Pro…

Mots clés Technorati : ,,,,

hadopi

24 juillet 2009 : les députés ont voté tous les articles

L’Assemblée a eu à discuter de 894 amendements, dont une grande partie présentée par l’opposition. En fin de compte, le texte n’est pas dénaturé, il est surtout aménagé. Parmi les mesures essentielles, on retiendra le fait que les communications électroniques (donc les courriels), ne pourront pas être surveillées. La coupure de l’accès à Internet pourra intervenir dans deux cas : soit parce qu’il y a eu récidive en matière de téléchargement illégal, soit parce que la connexion à Internet n’a pas été sécurisée après un premier message d’avertissement de la Hadopi.

Les débats ont également validé le mécanisme de l’ordonnance pénale. L’internaute mis en cause pourra être sanctionné au cours d’une procédure rapide avec un juge unique, sans qu’il soit présent et sans contradiction. Il écopera dans ce cas d’une amende mais pourra toujours demander une procédure classique.

Le texte étant néanmoins différent de celui voté par le Sénat, il va falloir ensuite passer par une commission mixte paritaire (CMP), qui harmonisera les deux versions. Avant, peut-être, plus tard, un passage par le Conseil constitutonnel si l’opposition remet ça… Elle a déjà promis de le faire.

Lire l’article d’origine sur : 01 net…

21 juillet 2009 : report d’Hadopi 2 en septembre pour signature

21 juillet 2009 : une filiale de la poste chargée d’alerter les contrevenants

C’est Extelia, une filiale de La Poste, qui a été retenu par le Ministère de la Culture pour identifier et alerter les internautes ayant téléchargé illégalement, selon une information dévoilée le 21 juillet par Les Echos.Un prototype sera mis en place dès l’automne.

Ce prototype, qui fonctionnera à l’automne pour une durée de "dix à douze mois", sera alerté par les ayants droits si ces derniers constatent une infraction sur la Toile. Extelia devra ensuite identifier les internautes fautifs grâce aux adresses Internet (ou adresses IP) fournies par les fournisseurs d’accès, puis leur envoyer un premier e-mail d’avertissement, et, en cas de récidive, une lettre recommandée.

Selon Les Echos, Extelia traitera de façon semi-automatisée un millier d’e-mails d’avertissements par jour en phase de démarrage, soit 10% du volume total que devrait atteindre à terme la Haute autorité administrative (Hadopi). C’est cette dernière qui financera le dispositif d’identification et d’alerte des pirates.
Le ministère de la Culture réfléchit par ailleurs à faire certifier ces envois de messages par des procès-verbaux d’huissier de justice, ajoute le quotidien économique.

La loi contre le téléchargement illégal, récemment retoquée et désormais surnommée Hadopi 2, doit retourner dès ce mardi 21 juillet devant l’Assemblée nationale. La première version du texte avait vu son volet répressif censuré par le Conseil constitutionnel le 10 juin dernier. Les sages du Conseil avaient en effet estimé que la coupure d’un abonnement Internet ne pouvait pas incomber à un organisme administratif (l’Hadopi), mais à la justice.

Elle fait déjà l’objet d’attaque ciblé par injection de code sur son site car ce dernier site contient des failles, permettant à des internautes d’injecter du code dans ses pages Web.

25 juin 2009 : Hadopi 2 – une loi encore plus dure ?

Un projet de décret d’application de Hadopi 2 aurait été soumis au Conseil d’Etat en début de semaine selon La Tribune. En plus de la déconnexion, qui devra être prononcée par un juge et non plus par l’Hadopi, comme le cadre le « texte bis », le gouvernement envisage d’après le quotidien économique des amendes de 5e catégorie, allant jusqu’à 1 500 euros (3 000 euros en cas de récidive).

Ces amendes, jusqu’ici catégoriquement écartées par Christine Albanel, concerneraient l’internaute qui, après réception de courriels d’avertissement, continuera de se livrer à du téléchargement illégal ou aura « laissé par négligence, au moyen de son accès Internet, un tiers commettre une contrefaçon ». Une mention qui renvoie à l’obligation de surveillance de la ligne prévue par la loi initiale et permet donc l’envoi d’amende à un internaute, même si la culpabilité de ce dernier n’est pas avérée.

Traitement de masse

Le gouvernement semble donc avoir trouvé une solution pratique – et qui évacue les contraintes techniques – pour traiter en masse les infractions. On se retrouve ici dans le cas des infractions de la route, où c’est le propriétaire du véhicule qui reçoit la contravention.

Est-ce de la présomption de culpabilité ? Oui, clairement, mais le Conseil constitutionnel avait laissé ouverte cette possibilité dans sa décision du 10 juin dernier : « Il en résulte qu’en principe le législateur ne saurait instituer de présomption de culpabilité en matière répressive ; que, toutefois, à titre exceptionnel, de telles présomptions peuvent être établies, notamment en matière contraventionnelle », sous certaines conditions (droit de contestation, respect des droits de la défense…)

Une riposte graduée à trois détentes

En clair : le Conseil dit non à la présomption de culpabilité pour déconnecter un internaute, mais oui s’il s’agit de simples contraventions. En revanche, la déconnexion ne pourrait être prononcée que par un juge après des faits de piratage avérés et donc une enquête.

On s’oriente donc vers un régime de sanction à trois détentes : des courriels d’avertissement, des amendes et la déconnexion. La riposte graduée a changé de nature et s’en trouve durcie.

Le texte de loi complémentaire Hadopi 2 devrait être présenté aujourd’hui en Conseil des ministres. L’occasion pour Frédéric Mitterrand, qui succède officiellement à Christine Albanel d’étrenner ses habits de ministre de la Culture. Il n’aura pas le droit à un tour de chauffe, certains opposants comme la Ligue Odebi lui promettant déjà un « enfer médiatique » s’il continue le travail mené jusqu’ici dans ce dossier

Lire l’article complet sur : 01net…

12 juin 2009

la loi Hadopi a été promulguée et publiée samedi au «Journal Officiel». La volonté de la ministre de la Culture «d’aller vite» reste donc intacte. Qu’importe les censures émises par le Conseil Constitutionnel, Christine Albanel veut respecter son calendrier et envoyer les premiers mails d’avertissement «dès cet automne» !
Comme prévu toujours, la loi a été inscrite sans les articles jugés inconstitutionnels par les Sages du Conseil. Pour pouvoir attribuer le pouvoir de sanction à la justice, un nouveau texte sera présenté rapidement en Conseil des ministres, sans doute le 24 juin prochain. Le texte sera ensuite soumis au Parlement dès début juillet, et on espère au ministère de la Culture, qu’il sera examiné en un jour seulement…

Aujourd’hui, le site PCInpact relève deux points intéressants dans la réponse du Conseil Constitutionnel… D’abord, pour témoigner de sa bonne foi et faire savoir à l’Hadopi que nous ne sommes pas responsables de tel ou tel téléchargement, une simple attestation sur l’honneur suffirait !

Ensuite, concernant le logiciel de sécurisation, une simple preuve d’achat du logiciel suffirait également à prouver sa bonne foi !
Voilà de quoi remettre en question tout le système de riposte graduée. Ou quand HADOPI rime de plus en plus avec DADVSI… et oubli…

Source : la newsletter de www.aduf.org et PCInpact.com

10 juin 2009 : Hadopi vidé de sa substance par le Conseil constitutionnel

C’est un coup de tonnerre qui vient de la rue de Valois. Le Conseil constitutionnel vient de censurer la principale disposition de la loi Création et Internet, dite Hadopi.

Saisis par les députés de l’opposition, les Sages ont assimilé l’accès à Internet à la liberté de communication et d’expression, partageant ainsi la position adoptée à plusieurs reprises par les eurodéputés – notamment avec l’amendement 138. En conséquence, le juge suprême considère que la loi dont il est saisi, en ce qu’elle permet à un juge administratif de prononcer la suspension de l’abonnement à Internet – donc de restreindre l’exercice d’une liberté fondamentale -, n’est pas conforme à la Constitution.
Le gardien de la Loi fondamentale relève également que le texte dont il était saisi comporte des éléments violant le principe de la présomption d’innocence, remplacée par une présomption de culpabilité. Cet argument de longue date des opposants à la loi présentée par la ministre de la Culture s’appuie sur le fait que « seul le titulaire du contrat d’abonnement à Internet pouvait faire l’objet des sanctions [prononcées par l’Hadopi], explique le Conseil constitutionnel. Pour s’exonérer, il lui incombait de produire des éléments de nature à établir que l’atteinte posée au droit d’auteur procède de la faute d’un tiers. »

De cette analyse découle la censure, par le Conseil, de « toutes les dispositions relatives au pouvoir de sanction de la commission de protection des droits de l’Hadopi ». En clair, la Haute autorité ne pourra qu’envoyer des avertissements aux internautes s’adonnant à des téléchargements illicites.

En aucun cas, en revanche, elle ne sera autorisée à prononcer des sanctions. En d’autres termes, la loi Création et Internet se trouve vidée de tous ses éléments les plus importants et ne constitue plus la moindre arme dans la lutte contre le téléchargement. Aucun recours contre une décision du Conseil constitutionnel n’étant possible, la loi Hadopi peut donc désormais être considérée comme mort-née.

Cela n’empêche pas Christine Albanel d’afficher une étonnante satisfaction. La ministre « se félicite » en effet que le Conseil ait validé le dispositif de prévention – les messages d’avertissement – mis en place par la loi. En évoquant, sans la citer, la censure des Sages, elle « regrette de ne pouvoir aller jusqu’au bout de la logique de "dépénalisation" du comportement des internautes ». Christine Albanel indique qu’elle proposera prochainement à l’exécutif une nouvelle loi chargée de confier au juge judiciaire « le dernier stade de la réponse graduée ».

Lire l’article sur : Reseaux et Telecoms…

26 mai 2009 : 11 points déposés au Conseil constitutionnel pour savoir si la loi est conforme ou non – Le gouvernement ne chôme pas en attendant et surveillent près de 100 cas de téléchargements illégals par jour.

Une semaine [après le vote définitif de la loi à l’assemblée : NDLR], les opposants à la loi déposaient à travers 11 points, un recours devant le Conseil constitutionnel.
Onze points détaillés ici : http://www.pcinpact.com/actu/news/50966-recours-conseil-constitutionnel-liberte-droit.htm.

Lire la suite de cette entrée »