Powered By Blogger

Rechercher sur ce blogue

dimanche 26 octobre 2014

Les Banques vulnérables a la faille Poodle Attaque(faille SSL) ?

SSL désuet depuis 18 ans: Voici la vulnérabilité POODLE(ouf ouf ouf)



Dans le cas où vous n'avez pas entendu, les boffins que Google ont découvert une vulnérabilité qui est assez grave.

Ce n'est pas aussi mauvais que Heartbleed ou le bug Shellshock Bash, mais ce n'est pas le genre de chose que vous voulez pas qu'un pirate malveillant peut exploiter n'importe où près de chez vous.

C'est ce qu'on appelle la vulnérabilité POODLE, ou comme j'aime à penser que c'est "le bug POODLE".

En savoir plus dans la vidéo suivante: ICI 

POODLE signifie «Padding Oracle On Downgraded Legacy Encryption", et c'est un moyen d'intercepter les communications SSL soi-disant sécurisées entre votre ordinateur et un site Web(attaque man in the middle).

Si tout fonctionne correctement, SSL doit être l'une des façons dont vos communications sur Internet sont sécurisées.

Mais POODLE fournit un moyen pour les attaquants, l'imperfection de votre ordinateur de ne pas utiliser le cryptage la plus récente et de ses communications Internet, mais utilisent le désuet SSL 3.0 à la place. Et SSL 3.0 est âgé d'environ 18 ans, il contient des bugs, et a été depuis longtemps supplanté par des technologies plus fortes.

Les bonnes nouvelles est que, contrairement a Heartbleed ou Shellshock, tous ceux qui veulent utiliser la faille POODLE ,ils doivent passer entre votre ordinateur et un site Web que vous êtes en visite. La façon la plus probable qu'ils vont faire est si vous accédez au Web en utilisant le WiFi gratuit dans un café, et ne remarquez pas le pirate assis dans le coin de la pièce - qui est en train de renifler vos données comme il vole à travers les ondes .

Ce qu'ils ne peuvent pas faire(hackers) est de vous attaquer de l'autre côté du monde.

PoodleFurthermore, il semble qu'une attaque réussi de POODLE (un caniche mord ?),est plus susceptible d'être en mesure de voler vos cookies de session, plutôt que de tout ce que vous transmettez-et-qui provient du Web

 Mais si un pirate parvient à saisir ceux-ci, ils pouvaient encore lire vos messages webmail, ou les poster tweets en votre nom, et causer toutes sortes d'autres méfaits.

 

Alors allons vérifier la vulnérabilité au SSL Poodle Attaque, avec les Banques Canadienne et la Caisse Desjardins:


Les banques suivantes sont celles à service complet :


Plusieurs Banques Canadienne sont vulnérables a la faille poodle :
Dont, la Banque de Mtl, http://www.bmo.com/principal/particuliers
ou le site suivant:
 https://www1.bmo.com/onlinebanking/cgi-bin/netbnx/NBmain?product=2
 , la banque de Mtl
La ScotiaBank :
http://www.scotiabank.com/gls/en/index.html#about
ou le  http://www.scotiabank.com/ca/fr/0,,1650,00.html

Caisse Desjardins:
http://www.desjardins.com/
https://accesd.desjardins.com/fr/accesd/




Toute les autres grandes Banques Canadienne , Non !

Le bug internet vulnérabilité du POODLE ! Regardez cette vidéo puis vérifiez votre navigateur.comme je expliqué dans la vidéo, vous pouvez tester votre navigateur par des sites comme le www.poodletest.com toujours aussi mignon et de tester les sites visiter avec www.poodlescan.com

La plupart d'entre nous ont deux ou plusieurs navigateurs installés sur nos systèmes. Contrairement à une solution Windows, il n'y a pas un patch qui permettra de protéger nos navigateurs de caniche. Au lieu de cela, nous devons faire des ajustements au sein de chaque navigateur, avec Firefox, il faut aussi télécharger et utiliser un compte Mozilla Add-on jusqu'à ce qu'une nouvelle version de Firefox arrive dans un mois ou deux.
Soyez conscient: Après avoir effectué ces réglages, vous trouverez peut-être que les sites Web des entreprises ne fonctionnent pas correctement. Donc, je recommande de faire les ajustements suivants à un navigateur et en laissant un autre navigateur pour les sites qui sont toujours en attente pour les changements nécessaires pour se protéger de caniche. (Encore une fois, le correctif pour cette faille doit se faire sur les deux extrémités de connexions Internet -. Le client et le serveur)
Les modifications suivantes forcer votre navigateur à ne pas utiliser SSL 3.0. Voici ce qu'il faut régler dans les trois premiers navigateurs.
Chrome: le navigateur de Google, modifier le raccourci qui lance le navigateur, l'ajout d'un drapeau à la fin du chemin de raccourci. Commencez par sélectionner l'icône normalement utilisé pour lancer Chrome. Faites un clic droit sur ​​l'icône et sélectionnez Propriétés. Sous l'onglet Raccourci, trouver la case "Cible" et insérer --ssl-version-min = TLS1 immédiatement après chrome.exe "(voir Figure 1). Il devrait ressembler à ceci (notez l'espace entre .exe" et --ssl-):
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" --ssl-version-min = TLS1
(Remarque: Si votre chemin de Chrome original ne commence ni ne finit avec des guillemets, ne pas ajouter un après chrome.exe.)
Chrome TLS flag
Figure 1. Désactivez SSL 3.0 soutien dans Chrome en ajoutant un drapeau à la fin du chemin Propriétés / cible.
A partir de maintenant, lancer Chrome seulement avec ce raccourci édité. Lancement du navigateur de toutes les icônes de lancement inédites ne protège pas de caniche. Envisager cliquant sur ​​l'onglet Général dans la boîte de dialogue Propriétés Chrome et donner le raccourci édité un nom unique - comme «Chrome - pas SSLv3" ou quelque chose de semblable. Ensuite, vous saurez toujours vous utilisez le raccourci droit.
Firefox: Comme indiqué dans le 14 octobre Mozilla blogue poste , Firefox 34, qui devrait être publié le 25 novembre, permet de désactiver SSL 3.0. En attendant, Mozilla recommande d'installer le (add-on site de téléchargement ), "SSL contrôle de version 0,2" (voir la figure 2), qui vous permettra de contrôler le support de SSL dans le navigateur. (Certains sites ont recommandé d'ajuster les paramètres de Firefox dans le fichier de configuration, mais Mozilla recommande l'utilisation de l'add-on à la place.)
Firefox SSL add-on
Figure 2. Pour désactiver SSL 3.0 soutien dans Firefox, Mozilla propose un navigateur add-on.
Internet Explorer: Dans IE, cliquez sur l'icône d'engrenage (Paramètres), cliquez sur Options Internet, puis sélectionnez l'onglet Avancé. Faites défiler la liste des paramètres pour la catégorie Sécurité, et ensuite chercher SSL 3.0. Décochez la case (voir Figure 3), cliquez sur OK, puis relancer IE.
administrateurs de réseau peuvent faire ce changement à tous les ordinateurs sur le réseau local via la politique du Groupe de Windows. Accédez aux paramètres d'Internet Explorer et de modifier l'objet de soutien de cryptage Éteignez (Panneau de configuration Composants Windows \ Internet Explorer \ Internet \ page Avancé).
Disable SSLv3 in IE
Figure 3. Dans IE, décochez la case "Utiliser SSL 3.0" dans la boîte de dialogue des paramètres avancés.
Microsoft a publié une sécurité initiale consultatif sur ce sujet; attendre à voir des indications supplémentaires dans un proche avenir.
Comment tester la protection TLS / SSL de votre navigateur
Plusieurs sites tester si votre navigateur prend en charge actuellement ouvert SSL 3.0. Pour un test simple, Poodletest.com affiche un caniche si votre navigateur prend en charge encore SSL 3.0, et un terrier Springfield si elle ne le fait pas.Donc vaut mieux un Terrier (TLS),qu'un vulnérable Caniche (SSL).
D'autre part, Qualys SSL Labs ( le site ) fournit une analyse plus détaillée des protocoles SSL que votre navigateur prend en charge.
Comme indiqué plus haut, certains sites commerciaux tels que les services bancaires en ligne peuvent encore besoin SSL 3.0. Encore une fois, je recommande de laisser SSL 3.0 support sur ​​un navigateur; ça va être plus rapide et plus sûr que d'ajuster à plusieurs reprises les paramètres du navigateur. Si vous utilisez un serveur Web ou un serveur de petite entreprise, vous devez désactiver le support de SSL 3.0 pour mieux protéger les postes de travail connectés et les téléphones basés sur Internet.
Une forums InfoSec communautaires Incidents.org pages listes Comment faire pour bloquer SSL 3.0 sur différentes plates-formes basées sur le Web.
Par exemple, dans Windows Server, créer (ou modifier) ​​une valeur DWORD du Registre comme suit:
  • Dans votre éditeur de registre, allez dans:
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ \ SecurityProviders SCHANNEL \ Protocols
  • Selon les protocoles, créer une clé appelée "SSL 3.0". Puis, sous cette clé, créez une autre clé appelée "serveur".
  • Créez un DWORD nommée "Enabled" et lui donner une valeur de 0.
  • Redémarrez le serveur; vous et tous les clients connectés bénéficieront désormais du Poodle/caniche exploits.
  •  
  •  
    Poodle/Caniche est une indication claire que le système TLS / SSL nous nous appuyons sur les besoins fonctionne. En fait, l'ensemble du système des protocoles et des certificats de sécurité pourrait bien être un château de cartes. Par exemple, HP a récemment annoncé que l'un de ses certificats a été utilisé pour signer des malwares. Comme indiqué dans une Krebs sur la sécurité après , HP révoquer le 21 octobre le certificat qu'il a utilisé pour une partie du logiciel fourni avec des produits plus anciens. Malheureusement, HP est pas complètement sûr de ce que l'impact que le changement sur ​​la capacité de restaurer certains ordinateurs HP. Regardez pour mes futures mises à jour sur ce sujet.
    Un autre tour dans le duel sur la sécurité d'Internet. Comme il a été largement mentionné, Poodle/Caniche tue efficacement le protocole SSL 3.0.  Cependant, il ya une lueur d'espoir à ce dernier gâchis de sécurité - il faut maintenant forcer tout le monde sur l'Internet pour finalement abandonner, un protocole non sécurisé désuet.
  •  
  • SOURCE.: 

Guide : installer un SSD dans son MacBook


Plus rapide qu’un disque dur, un SSD augmente les performances de votre ordinateur. Voici comment réaliser facilement son installation sur un MacBook d'Apple.


Si votre vieil ordinateur portable manque de répondant, vous avez deux moyens simples de lui redonner un petit coup de jeune. Le premier consiste à augmenter la quantité de mémoire vive. Le second, de rend le stockage plus rapide en remplaçant le disque dur par un SSD, c'est-à-dire par de la mémoire flash capable d’offrir des débits élevés. Les SSD étaient jusqu'à présent handicapés par leurs prix élevés, mais ce n’est plus le cas avec l’arrivée de modèles bons marchés et performants tels que le MX100 de Crucial, l’Ultra II de SanDisk ou l’ARC 100 d’OCZ Storage Solutions. Comptez environ 100 euros pour 256 Go et 200 euros pour 512 Go. Après avoir réalisé le remplacement sur un ordinateur portable sous Windows, nous nous attaquons au monde Apple avec, comme cobaye, un MacBook Pro commercialisé fin 2011. Nous allons remplacer son disque dur de 500 Go par un SSD de 256 Go.
 

1. La checklist préliminaire

Adaptateur USB pour le SSD
agrandir la photo
Vous devez tout d’abord faire le ménage dans vos fichiers pour que la quantité de données stockée sur le disque dur soit inférieure à la capacité du SSD. Nous vous conseillons de laisser un peu d’espace libre, par exemple 10 Go pour un SSD de 256 Go. Cliquez sur l’icône du disque sur le bureau, ou ouvrez la fenêtre du Finder adéquate via le menu Aller/Ordinateur pour l'afficher. La combinaison de touches Cmd + i permet de connaître la taille utilisée. Il vous faudra à un moment transférer les données de votre disque dur sur votre SSD. Pour ce faire, le plus simple est de brancher temporairement le SSD en USB sur l’ordinateur pour transférer les données. Les SSD étant bien entendu dépourus d'interface USB, vous pouvez acheter un boîtier 2,5 pouces USB 3.0 (environ 20 à 30 euros) ou un kit de migration tel que celui vendu par Crucial (environ 20 euros). Prévoyez également des tournevis Phillips #00 et Torx T6 pour le démontage. Pour le transfert des données, il est possible de le réaliser avec l’Utilitaire de disque de Mac OS mais l’opération manque de simplicité. Nous vous conseillons plutôt d’utiliser des programmes de clonage gratuit : Carbon Copy Cloner de Bombich Software et surtout l’excellent SuperDuper! de Shirt Pocket, que nous avons utilisé ici.
 

2. Transférez les données

Transfert des données avec SuperDuper!
agrandir la photo
Branchez le SSD sur l’ordinateur avec l’adaptateur ou le boîtier USB. Une fenêtre apparait avec le message « Le disque que vous avez inséré n'est pas lisible par cet ordinateur ». Cliquez alors sur le bouton « Initialiser... » pour lancer le programme Utilitaire de disque. Sélectionnez le SSD dans la liste puis allez dans l'onglet Effacer et cliquez sur le bouton « Effacer... ». Une icône de disque USB marqué « Sans titre » apparait alors sur le bureau et le SSD est prêt pour le transfert des données. Installez et lancez SuperDuper!, puis sélectionnez le disque dur comme source de la fonction Copy et le SSD comme destination. Cliquez sur le bouton « Copy Now… » et le transfert démarre. Il faut alors s’armer de patience car si l’opération est très simple, elle est aussi très longue. Il nous a fallu 3 h 40 min pour transférer environ 250 Go de données.
 

3. Remplacez le disque dur

Remplacement du disque dur par le SSD
agrandir la photo
Une fois le transfert effectué, débranchez le SSD et éteignez l’ordinateur. Retournez-le et retirez les 10 vis avec le tournevis Philips. Attention car les vis ne sont pas toutes de la même longueur. Il faut donc se souvenir précisément de leurs emplacements. Une fois le couvercle enlevé, vous devez retirer une petite barre en plastique noir qui est placée juste contre le disque dur et maintenue par deux vis. Le disque se déboite alors facilement en tirant sur la languette en plastique transparente. Retirez ensuite le câble SATA et les quatre vis Torx qu’il faut ensuite mettre sur le SSD. Ces quatre vis maintiennent le SSD en place, ce qui évite d’avoir à augmenter son épaisseur pour le modèles 7 mm (le logement fait environ 10 mm de profondeur). Pensez à coller la languette en plastique sur le SSD puis branchez le câble SATA et insérez le boîtier dans son logement. Il ne reste plus ensuite qu’à remette la barre de fixation puis le couvercle avec ses 10 vis. Nous vous conseillons de redémarrer l’ordinateur au moins deux fois, puis de laisser faire la fonction d’indexation automatique des fichiers par Spotlight, qui peut prendre environ 45 minutes.
 

4. Faites « TRIMer » votre SSD

Trim Enabler active la fonction TRIM
agrandir la photo
Un SSD n’a pas besoin de défragmentation, opération qu’il ne faut surtout pas effectuer. En revanche, il a besoin de faire régulièrement le ménage dans ses cellules mémoire. Lors de la suppression d’un fichier, le système d’exploitation doit lui indiquer quels blocs de données sont désormais libres, ce qui est le rôle de la fonction TRIM. Pour savoir si cette fonction est activée dans Mac OS, cliquez sur l’icône de la pomme, appuyez sur la touche Alt et sélectionnez « Informations Système ». Dans la section SATA, vous trouverez la ligne « Prise en charge de TRIM ». Si elle est suivie de Oui, tout va bien. Sinon, il faut activer la fonction avec l’utilitaire gratuit Trim Enabler. Installez-le dans le dossier Applications, puis lancez-le et positionnez l’interrupteur qui s’affiche sur On. Redémarrez ensuite l’ordinateur et vérifiez que la fonction TRIM est bien active.
Nous vous conseillons de conserver cet utilitaire car la fonction peut être parfois à nouveau désactivée lors de la mise à jour de Mac OS. C’est le cas avec la nouvelle version Yosemite mais heureusement Trim Enabler a été mis à jour en conséquence. Il faut juste bien suivre les instructions du logiciel et redémarrer deux fois. Pour plus d’informations, vous pouvez consulter cette FAQ.
 

Bilan de l’opération

Gains obtenus avec le SSD
agrandir la photo
Qu’avons-nous gagné à remplacer le disque dur par un SSD ? Tout d’abord le chargement de Mac OS est un peu plus rapide. Ordinateur éteint, il faut 43 secondes pour démarrer puis 4 secondes pour afficher le bureau après avoir entré le mot de passe de l’utilisateur. Avec le disque dur, comptez 51 secondes puis 15 secondes. Nous avons ensuite utilisé le test de performances NovaBench. Si le gain global n’est pas très élevé (l’indice passe de 558 à 640), celui du disque est énorme (on passe de 10 à 54). Cela est confirmé par le programme AJA System Test qui mesure spécifiquement les débits du disque dur. La vitesse globale de lecture est multipliée par six tandis que celle d’écriture est multipliée par cinq. Enfin, nous avons voulu voir l’impact du SSD, nettement moins gourmand en énergie qu’un disque dur, sur la batterie grâce au programme Coconut Battery. Lors de la lecture d’une vidéo haute définition 720p de deux heures, nous avons consommé 11% de batterie en moins. Ce n’est pas énorme mais le gain n’est pas négligeable si vous utilisez votre MacBook surtout en déplacement.
 
 
Source.:

Faille dans le PowerPoint 2007, 2010 et 2013

Une faille zero day dans Powerpoint : attention aux fichiers ppt !

Le logiciel de présentation de la suite bureautique la plus populaire au monde souffre d’une faille inconnue jusqu’alors. Microsoft propose heureusement un patch en téléchargement.


En 2010, l’armée américaine et l’OTAN arrivaient à une constatation indiscutable. Les « PowerPoint nous rendent stupides », déclarait même un de ses très sérieux généraux. Et comme l’armée ne plaisantent pas, les PowerPoint se sont retrouvés interdits de séjour sous les drapeaux peu de temps après… Grand bien leur a pris, apparemment.
Microsoft vient en effet de publier un correctif temporaire à une faille zero-day découverte dans toutes les versions de Windows qui est exploitée via PowerPoint, l’outil de présentation du géant américain, qui fait partie de sa suite Office.
La faille est activée en ouvrant un fichier corrompu contenant un objet OLE, qui permet de modifier un élément PowerPoint depuis un document Word, par exemple. L’attaque peut arriver sur la machine cible par mail, dans lequel figurerait un fichier corrompu. L’attaquant peut également tenter de convaincre l’utilisateur visé d’aller sur un site dangereux. Mefiance, donc, avec les fichiers Powerpoint que vous recevez ! 
Une fois active, cette vulnérabilité permet à une personne mal intentionnée de posséder les mêmes droits que l’utilisateur qui l'a malencontreusement actionnée, ce qui peut lui permettre d’installer des logiciels en douce. Les risques sont donc plus grands si on l'active depuis un compte administrateur.

Le correctif est destiné aux versions 32 et 64 bits de PowerPoint 2007, 2010 et 2013. Ce patch temporaire est recommandé si vous utilisez beaucoup Powerpoint, notamment si vous recevez de nombreux documents par mail.
 
Source.:
A lire aussi :
Faille zero day : Microsoft corrige Internet Explorer, y compris sur Windows XP – 02/05/2014

Windows 10 a un mécanisme d'authentification par deux facteurs

Windows 10 : authentification par deux facteurs et BYOD en natif


Microsoft annonce que Windows 10 sera l'occasion de protéger davantage les informations des utilisateurs avec l'implémentation par défaut de divers dispositifs de sécurité.


Windows 10 logo
Sur l'un de ses blogs, Microsoft explique vouloir renforcer la sécurité de son système et qu'en ce sens, Windows 10 embarquera plusieurs dispositifs de protection. Jim Alkove, responsable de la sécurité au sein de la division Interactive Entertainment Business chez Microsoft, rappelle que les serveurs de plusieurs sociétés listées sur Fortune 500 ont été piratés et qu'un groupe de hackeurs a réussi a récupérer 1,2 milliard de combinaisons identifiants et mots de passe.

Pour faire face à la multiplication des intrusions, avec Windows 10, Microsoft a développé nativement un mécanisme d'authentification par deux facteurs. En plus du mot de passe, l'utilisateur devra soit saisir un code, soit valider une empreinte digitale. Microsoft précise qu'une fois connecté à sa session, l'utilisateur pourra d'emblée être identifié sur les services Web de Microsoft. Et d'ajouter : « cette technologie a été conçue afin d'être adoptée plus largement sur diverses plateformes, sur le Web et sur d'autres infrastructures ».

L'ordinateur portable volé ou perdu ne pourra donc être utilisé simplement avec le mot de passe de son propriétaire. M. Alkove ajoute que les données d'accès générées lorsque l'utilisateur est authentifié seront, pour leur part, stockées au sein d'un conteneur sécurisé.

Windows 10 passera également à l'heure du BYOD comme ont déjà pu le faire les constructeurs de smartphones. Il sera donc possible d'apporter son ordinateur personnel pour travailler de manière sécurisée au sein d'une entreprise. Actuellement, BlackBerry Balance et Samsung Knox proposent de cloisonner les deux environnements. Microsoft explique que le processus sera différent avec la prochaine mouture de son OS.

« Vos utilisateurs n'auront pas besoin de changer de mode ou d'applications pour protéger les données professionnelles », est-il ainsi expliqué. Les données professionnelles, qu'il s'agisse des applications, des e-mails ou des documents, seront d'emblée chiffrées dès lors que l'ordinateur est connecté sur le réseau d'entreprise. A la création d'un nouveau document, l'utilisateur pourra choisir de lui attribuer ce mode de protection ou non.

Cette solution est jugée plus souple que les chiffrements effectués via BitLocker et sera nativement implémentée au sein de Windows 10. Elle sera d'ailleurs également disponible directement au sein de Windows Phone. L'administrateur disposera en outre d'une gestion du VPN pour autoriser l'accès à distance à certaines applications professionnelles.


REF.:

Le ministre fédéral de la Sécurité publique n'est pas toujours informé par le SCRS

Mécanismes pour informer le ministre

Le CSARS préoccupé


Le CSARS préoccupé
Crédit photo : Archives Reuters
Par Charles-Antoine Gagnon | Agence QMI
À lire également:
Le ministre fédéral de la Sécurité publique n'est pas toujours informé par le Service canadien du renseignement de sécurité (SCRS) lorsqu'une mission qui implique le Service pourrait avoir un impact négatif sur le Canada.
Le Comité de surveillance des activités de renseignements de sécurité (CSARS) s'est dit préoccupé par cette situation dans son rapport annuel 2013-2014 présenté vendredi au Parlement.
Les instructions ministérielles stipulent que le directeur du SCRS «doit rendre compte au ministre quand une activité du SCRS peut avoir un impact négatif important sur les intérêts canadiens, notamment en discréditant le Service ou le gouvernement du Canada», précise le Comité.
«Le CSARS estime que les activités qu'il a étudiées comportent souvent des éléments qui pourraient donner lieu à des controverses publiques. Pourtant, il a constaté que le ministre de la Sécurité publique n'était pas toujours systématiquement informé de ces activités, et qu'il n'était pas tenu au courant de manière continue», est-il signalé dans le rapport.
Le gouvernement conservateur de Stephen Harper a éliminé en 2012 le bureau de l'inspecteur général du SCRS, qui était les yeux et les oreilles du ministre de la Sécurité publique à l'endroit du Service.
Dans sa réponse au CSARS, le SCRS a dit qu'il continuera à suivre son protocole actuel «selon lequel il informe le ministre que lorsque cela s'avère nécessaire», car «c'est le directeur du SCRS qui détient le pouvoir d'approbation en ce qui concerne cette activité».


Source.: