Powered By Blogger

Rechercher sur ce blogue

dimanche 22 décembre 2013

Windows XP ne disparaîtra pas après avril 2014 ?

Technologie : Les techniciens IT semblent eux aussi attachés à Windows XP dont le support prendra fin le 8 avril prochain. D’après une étude de Spiceworks, 33% prévoient de conserver au moins un terminal sous XP. Et lorsqu'ils migrent, c'est largement vers Windows 7.


La fin du support étendu de Windows XP est connue de longue date. Elle interviendra en avril 2014. Après cette date, l’éditeur cessera de diffuser gratuitement des mises à jour de sécurité pour l’OS. Ce qui, assure Microsoft, exposera les utilisateurs se maintenant sur ce système à des risques sérieux de sécurité.
Cet argument ne convainc cependant pas tous, y compris parmi les professionnels avertis de l’IT comme les administrateurs systèmes. D’après une étude réalisée sur Spiceworks, et relayée parThe Register, 33% des techniciens interrogés prévoient ainsi de conserver Windows XP après sa fin de vie sur au moins un de leurs terminaux.
Les faveurs vont à Seven, pas Windows 8 
A maintenant quelques mois de la fin du support, ils sont par ailleurs 76% de répondants à indiquer toujours disposer d’un ordinateur tournant sur la plate-forme de Microsoft lancé il y a maintenant plus de 12 ans.
Si Microsoft espère pousser les retardataires à entreprendre cette migration, il devra vraisemblablement tirer un trait sur l’espoir de voir Windows 8 en bénéficier directement. En entreprise, c’est Windows 7 qui est privilégié.
Auprès des administrateurs systèmes de Spiceworks, Seven fait pratiquement l’unanimité avec 96% d’entre eux exécutant au moins une copie de l’OS sur leur réseau, contre 42% pour Windows 8 ou 8.1 - et 30% pour OS X d’Apple.


Microsoft prédit 8 menaces majeures en 2014 dont Windows XP

Sécurité : L'année 2014 sera - comme chaque année - pleine de menaces et d'espoirs pour la sécurité informatique. Microsoft fait un tour des prédictions parfois convenu.


Microsoft a publié un billet de blog collectif pour détailler les différents points qui, à son avis, méritent attention au niveau de la sécurité des systèmes informatiques pour l'année 2014. Il s'agit de "ce que [Microsoft] anticipe" dans le paysage des menaces, notamment sur les réseaux.
Un exercice à la fois compliqué - on peut se tromper - et sans grand risque - personne n'ira vérifier dans un an et la marge d'erreur reste relativement faible. Mais voici ce qui marquera l'année prochaine selon l'éditeur :
  • Les efforts de régulation vont appeler plus d'harmonisation - Les Etats-Unis comme l'Union européenne vont publier les grandes trajectoires de leur politique en matière de sécurité informatique. D'après Paul Nicholas, directeur en charge de la stratégie de sécurité de Microsoft au niveau global, il est nécessaire de faire en sorte que cela ne débouche pas sur des centaines d'approches différentes dans le monde. Il pense donc que les législateurs, les éditeurs et les distributeurs vont "commencer à voir le besoin impératif d'harmonisation".
  • Les interruptions massives de services en ligne vont se poursuivre - Vous vous souvenez des interruptions de services globaux au cours de l'année 2013 ? Ne vous attendez pas à ce que le problème soit réglé pour l'année prochaine. Pour le responsable de la stratégie de fiabilité, David Bills, "cette tendance va se poursuivre". L'adoption de bonnes pratiques devrait aider à les réduire, mais cela ne suffira pas à les éradiquer.
  • La coupe du monde de football va apporter sa dose d'actes criminels en ligne - "Les criminels suivent l'argent et en 2014, l'économie du Brésil devrait prendre un coup de chaud." Pas besoin d'en dire beaucoup plus, comme à chaque événement sportif majeur, les "cybercriminels" trouvent des moyens de gagner de l'argent. Les attaques de phishing et de spam devraient pleuvoir, des malwares devraient se faufiler autant que possible, etc. Et les "argumentaires" des pièges envoyés par les réseaux devraient largement tirer partie de la coupe du monde de football.
  • La montée des clouds régionaux - Chacun son cloud ? "Dans le sillage des questionnements autour de l'accès non autorisé aux données, nous allons voir l'émergence et la promotion plus large d'offres de clouds régionaux. Une opportunité de marché qui se basera sur les startups et sur les fournisseurs existants.
  • L'intégration d'une sécurité "dev-ops" de plus en plus critique - Flame a montré que les différences de perception entre une équipe de développeurs et une équipe opérationnelle avait des chances de laisser des failles d'autant plus grosses. Une sécurité mieux alignée sur les besoins de l'entreprise devra s'atteler - et elle le fera, prédit Microsoft - à trouver et combler ces trous. L'éditeur estime que le travail a commencé il y a longtemps, et qu'on approchera du but en 2014.
  • Les logiciels ne bénéficiant plus de support serviront de vecteur aux attaques - Vous avez encore Windows XP , ou cracké ? Bouuuuh. A cause de vous, les méchants pirates auront un boulevard pour leurs activités. Microsoft ne prendra plus en charge Windows XP à partir d'avril 2014. Aussi les systèmes n'auront-ils plus de mises à jour... notamment de sécurité. Un "problème" pour lequel Microsoft à évidemment la solution : migrez vers "un OS moderne". Red Hat Enterprise Linx ? Ah non, Windows 7 ou Windows 8. Seul problème, les machines tournant sous XP sont encore très nombreuses, plus de 30% du parc selon les derniers chiffres... Malgré les années, Windows XP fait de la résistance, notamment en entreprise où il est souvent encore le standard. Sauf surprise, beaucoup d'entre elles seront à découvert au printemps prochain, les projets de migration étant loin d'être une priorité.
    Parts de marché 2013 des principales versions d'OSpour PC (%)Windows7WindowsXPWindowsVistaWindows8Mac OS X10.8Jan-2013Fév-2013Mar-2013Avr-2013Mai-2013Juin-2013Juill-2013Août-2013Sept-2013Oct-2013Nov-2013015304560Source NetMarketShare - via ZDNet.fr/chiffres-cles

  • Les beaux jours du social engineering - C'est connu : "l'ingénierie sociale" est souvent l'un des filets les plus efficaces d'attaquants pour repérer des failles. Le compte Twitter d'Obama, certains des "hacks" les plus célèbres... ont été réalisés avec un peu d'imagination et les faiblesses humaines. Bref, Microsoft fait la pub de ses récentes améliorations en matière de double authentification.
  • Les ransomwares vont toucher plus de gens - Ces "rançongiciels" vont monter en puissance. Traditionnellement plus faibles, ils devraient servir de base au modèle économique de plus de criminels, selon l'éditeur. Une "prédiction" basée sur des chiffres de Microsoft, et qui pourrait causer des dégâts si l'on n'est pas préparer. Pour Microsoft, préparation signifie des outils anti-virus à jour, et une sauvegarde dans le cloud. Le cloud Microsoft, s'entend.

Un faux plugin Firefox crée un botnet de 12 500 machines



Sécurité : Le site spécialisé KrebsOnSecurity dit avoir découvert un botnet de 12 500 machines qui scannaient, via un plugin Firefox, les sites visités à la recherche de failles.

Un botnet aux techniques "inhabituelles". Un add-on "Microsoft .NET Framework Assistant" pour le navigateur Mozilla Firefox, a priori légitime, a infecté 12500 systèmes, les transformant en machines zombies au sein d'un réseau découvert, selon ses dires, par le site spécialisé en sécurité KrebsOnSecurity.
Le botnet lui-même prend le nom de "Advanced Power", et même si l'on ne sait comment l'infection initiale a eu lieu, il a pu se développer grâce à l'inclusion d'un malware au sein qui installait un plugin pour Firefox appelé "Microsoft .NET Framework Assistant". Le même nom quece module complémentaire développé par Microsoft...
Qui fonctionne avec : ClickOnce est la technique Microsoft qui permet à l'utilisateur d'un système Windows d'installer et de lancer une application en cliquant sur un lien dans une page web. ClickOnce est un composant du framework Microsoft .NET, à partir de la version 2.0 de celui-ci. Il permet de déployer des applications développées avec Windows Forms ou avec Windows Presentation Foundation (WPF). Ces applications sont souvent appelées clients intelligents. ClickOnce est similaire aux techniques Java Web Start de la plate-forme Java et Zero Install de Linux.
Un faux plugin nommé comme un vrai 
Le système infecté n'y voyait donc que du feu - et ce, même s'il faut souligner que ce n'est pas le module distribué directement par Mozilla qui est en cause - et participait d'un botnet de taille convenable destiné à trouver des vulnérabilités sur les sites visités.
Les systèmes infectés scannaient donc des sites web à la recherche de vulnérabilités aux attaques par injection SQL. Le botnet aurait permis de trouver 1800 pages susceptibles d'accueillir des failles, sur l'ensemble des pages visitées par les utilisateurs touchés.
Au-delà de cette information, rien n'est vraiment certain. Il semble que le botnet ait été actif depuis mai 2013, et que ses créateurs soient originaires de République tchèque. Si cela n'a pas de conséquence pour l'add-on légitime édité par Microsoft, Mozilla a bloqué le module homonymesur les machines infectées. Selon le site de l'éditeur, il est "automatiquement désactivé et [ne sera] plus utilisable". 
Tout l'intérêt de l'information réside dans l'existence d'un plugin officiel et légitime. Il est à noter qu'un module légitime de vérification des failles SQL existe - mais que celui-ci ne fait pas remonter les informations vers un serveur où elles pourraient être utilisées pour nuire au site visité.
Par ailleurs, le faux module incriminé disposait selon KrebsOnSecurity d'une fonctionnalité de vol de mots de passe et d'identifiants de connexion. Il semble cependant que la fonction n'a pas été activée par ses créateurs. "Advanced Power" n'a touché que des PC tournant sous Windows.






REF.:

Surveillance gouvernementale : Microsoft annonce des mesures

Sécurité : Microsoft est inquiet : ses clients sont préoccupés par la surveillance d'Internet. Lui aussi, assure-t-il, qui annonce plusieurs actions à venir.

Microsoft est préoccupé. La surveillance organisée par la NSA l'inquiète. C'est mauvais pour ses clients, et donc mauvais pour son business. Dans un billet de blog, il affirme "partager" l'inquiétude de ses clients, et donc "prendre des mesures pour s'assurer que le gouvernement passe par la voie légale plutôt que la force technologique brute pour accéder aux données des consommateurs".
Si le géant englobe la surveillance globale dans son discours, il s'intéresse surtout aux voies illégales. Pas question d'élargir la problématique aux méthodes de collaboration "volontaires" mises en lumière par le traitement de l'affaire initiale PRISM.
Extension du domaine de la lutte
Microsoft s'en prend notamment aux récentes allégations d'une collecte de données lorsqu'elles transitent sur les réseaux de fibre privés des géants du numérique. Google et Yahoo sont visés par ce programme MUSCULAR, mais Microsoft craignait dès le mois dernier d'être la cible potentielle d'une telle manoeuvre.
L'entreprise a donc décidé de "réaliser des actions immédiates et coordonnées dans trois domaines" :
  • "Nous étendons le chiffrement sur nos services"
  • "Nous renforçons les protections légales pour les données des utilisateurs"
  • "Nous améliorons la transparence de notre code" pour prouver qu'il ne contient pas de backdoor.
Côté chiffrement, on est dans le classique. Microsoft cherche à viser tous les niveaux, entre les utilisateurs et les services, mais aussi au niveau des données stockées, ou dans les communications avec d'autres fournisseurs de services lors d'échanges d'informations. Le déploiement débute maintenant et sera finalisé en 2014, assure le géant.
Un bon pas insuffisant ? 
La partie légale n'est pas particulièrement ébouriffante, Microsoft promettant de signaler une demande d'informations personnelles à un utilisateur ou une entreprise concernés, et promet d'aller devant les tribunaux lorsqu'un ordre contraignant contraire lui sera donné. Idem dans les pays étrangers (aux Etats-Unis), où Microsoft compte "lever des objections juridiques" à chaque fois que ce sera possible.
Le point le plus intéressant est évidemment le troisième. Ouverture du code ? Tiens, tiens... Ah non. En fait il s'agit d'étendre le programme permettant aux clients gouvernementaux de vérifier l'absence de backdoors dans le code. Des "centres de transparence" seront ouverts en Europe, en Amérique et en Asie. Un bon pas... Peut-être insuffisant.

Une énorme faille de l’Internet permet de détourner du trafic à volonté

L’aiguillage des flux sur la Toile est faillible. Des experts ont observé, pour la première fois, des détournements massifs permettant de siphonner des données en toute tranquillité. Mais leur origine reste mystérieuse.

Si vous envoyez des données de Paris à Marseille, sachez qu’il est possible de siphonner ce trafic ni vu ni connu, sans avoir besoin d’accéder à une quelconque fibre optique ou à un serveur dans le cloud (comme le fait par exemple la NSA). Une énorme faille de l’Internet permet, en effet, à des organisations malveillantes d’aiguiller n’importe quelles données de telle manière à ce qu’elles passent par des routeurs d’espionnage, avant qu’elles n’arrivent à destination. Comme un train que l’on ferait passer par une voie parallèle pour détrousser les passagers, avant de le remettre sur le trajet initial.
Cette faille a été décrite en 2008 par les deux chercheurs en sécurité MM. Pilosov et Kapela, mais n’était jusqu’à présent que théorique. De récentes observations tendent à prouver qu’elle est désormais exploitée de manière active... et inquiétante. Dans un article de blog datant de novembre, la société Renesys, spécialisée dans l’analyse réseau, a montré pour la première fois de vrais détournements de trafic, avec à la clé une quantité importante de données apparemment siphonnées. Parmi les victimes: des organisations gouvernementales, des institutions financières, des fournisseurs de services, etc.

Une manipulation qui n’est pas à la portée de tous

Ainsi, en février 2013, des flux de données ont été détournés presque quotidiennement pour passer par l’opérateur biélorusse GobalOneTel avant d’arriver à destination. En mai 2013, la société observe une série de détournements où les données passent systématiquement par un opérateur islandais, alors qu’une telle route ne devrait pas exister dans la pratique.
En effet, le routage des données Internet est basé sur le protocole BGP. Son principe est simple : un routeur informe les autres quelles destinations il est capable de desservir rapidement, en diffusant des messages appelés « annonces BGP ». Le problème, c’est que ce système n’est pas du tout sécurisé, mais uniquement basé sur une confiance réciproque. Si quelqu’un falsifie les annonces BGP d’un routeur, les routeurs voisins ne s’en inquiètent pas : les données sont bêtement transférées selon la nouvelle route indiquée.
Mais usurper les annonces BGP n’est suffisant. Pour réaliser un « bon détournement », il faut également faire en sorte que les données siphonnées arrivent à bon port, pour ne pas éveiller des soupçons côté destinataire. Et ça, c’est beaucoup plus compliqué. « Ce n’est pas à la portée du premier lycéen venu. Il faut une équipe de spécialistes et un certain budget pour pouvoir réaliser cette opération », explique Stéphane Bortzmeyer, ingénieur réseau.
Bizarre, bizarre: pour aller de Denver à Denver, les données passent par l\'Islande.
Bizarre, bizarre: pour aller de Denver à Denver, les données passent par l'Islande.
agrandir la photo

Il manque la preuve d’une malveillance

En effet, pour assurer l’acheminement vers le destinataire final, il faut une connaissance approfondie des routes empruntées par les données sur Internet, une sorte de carte IGN pour la Toile. «  Pas la peine d’être un génie, mais c’est un travail long et ennuyeux. C’est facile à faire pour un état. C’est également à la portée d’une entreprise si elle dispose des compétences adéquates », ajoute Stéphane Bortzmeyer. Pour une organisation telle que la NSA, ce serait certainement un jeu d’enfant. On sait d’ailleurs, depuis quelques semaines, que le service secret américain dispose d’une carte mondiale de l’Internet, appelée « Treasure Map ».
Toutefois, la communauté des ingénieurs réseau reste divisée sur la réelle malveillance des détournements observés par Renesys. Aucune preuve n’a été mise en évidence permettant de dire que les annonces BGP ont été intentionnellement modifiées. Cela pourrait être aussi le résultat d’une erreur configuration, estiment certains, même si la probabilité est faible. Et même si on arrive à démontrer une malveillance, il n’est pas du tout certain que l’on puisse remonter aux auteurs, qui pourraient très bien avoir trouvé un moyen pour trafiquer le routeur BGP d’un fournisseur parfaitement innocent.  
Dans ce cas, comment peut-on se prémunir contre ce type d’attaque ? En tant qu’utilisateur d’Internet, le seul moyen actuel est de chiffrer ses échanges de données, par exemple au travers d’un VPN. Même détournées, elles resteraient illisibles. Quant à l’élimination de la faille elle-même, c’est beaucoup plus compliqué. Pour empêcher l’usurpation des annonces BGP, il faudrait introduire un système d’authentification à base de signature électronique. Ce qui suppose une coordination assez poussée entre les différents acteurs de l’Internet. Il n'est pas certain que cela arrive un jour.


REF.: