Hackers: on attrape toujours les derniers petits malfrats pour faire peur au gros ,......................Heartbleed Story ?

Heartbleed Story ?

Ce qu'ont disaient en 2008 sur le SSL:(sur le site de SID)

Premièrement, cette vulnérabilité n'a absolument pas fait parler d'elle ! Certes celle-ci n'est pas aussi critique que celle deOpenSSL dans Debian, mais GnuTLS est quand même très utilisée. Mais bon, il aurait sûrement suffi d'annoncer la plus grosse vulnérabilité du mois, ne pas releaser les détails, etc. pour la transformer en faille médiatisée ;) Je vous renvoie d'ailleurs sur un post plus ancien de Sid qui reprend des failles peu médiatisées et à celui de FX sur la perception des vulnérablités.

Et la,on parle pas encore de cette possible faille(non rendu publique) du https,avec plus de 360 millions d’identifiants contenant des adresses emails, accompagnées de mots de passe,provenant du DeepWeb ! A lire ICI !

Comptes en banques, réseaux d'entreprises visés ? Entre les mains des pirates, ces données sont considérées comme beaucoup plus dangereuses que les coordonnées de cartes bancaires, surtout lorsque les usagers se servent des mêmes identifiants et mots de passe, ce qui est souvent le cas. Selon Hold Security, cela pourrait notamment permettre d’accéder à des comptes en banque, des réseaux d’entreprise ou des données médicales.Il est important de souligner que ces révélations sont utilisées par Hold Security pour promouvoir son nouveau service de surveillance du web invisible ou deep web.

drean179 a dit, Posté le: 2014-04-13 06:09:52

Messages: 330Classe: User

Il y a plusieurs moyens de hacker un site internet

Voici les plus répondue:
Attaque DDOS serveur contre serveur (il y a peu de temps un tracker publique avait attaqué un tracker fermé avec une simple iframe cachée dans le code)
Attaque DDOS pc zombie contre serveur (Très utilisés par Anonymous, pour faire tomber des site du gouvernement)
Injection SQL (SI un site ne met pas de protection dans les $_GET ou $_POST ou encore $_COOKIE, il risque fortement d'avoir la base de donnée modifiée)
Incrustation de JavaScript ou de HTML dans le code, aussi appelée faille Cross Site-Scripting (Il s'agit de mettre de l'HTML ou du JS dans un élément sauvegarder dans la base de donnée, Attaque peu intrusive)
L’hameçonnage (Une fausse page web avec le même design d'un site (la page de connexion) est créé par un intéressé qui va servir pour enregistrer les identifiants d'un membre et ainsi de pouvoir en abusé.

 

 

* on attrape toujours les derniers petits malfrats pour faire peur au gros,c'est comme la Mafia, ça n'existe plus maintenant c'est la 'Ndrangheta, une mafia calabraise construite comme une immense famille sans véritable leadership (ce qui la rend plus difficile à faire tomber que leurs rivaux siciliens, la Cosa Nostra).La 'Ndrangheta, est l'équivalent d' Anonymous sur le web. Dans le monde du hacking ,ceux-ci offre des logiciels d'attaques DDNS (clef en main)prêt  a servir aux mains des script kiddies (les ados du web ou les gagnes de rue du cyberspace),on appel ça des porteux de valise ce sont eux qui font la sale besogne , et ont les mains sale pleine d'empreinte IP repérable par le FBI, NSA et Prism qui doivent avoir accès ,avec ou sans mandat aux livres IP ,des serveurs web de votre fournisseur internet.

LE 911 SYNDROME,(ont savaient ,que l'attaque arrivait,mais personne ne l'a rendu publique)........les vrai raison ? la vente d'armes militaires ? Le marché du pétrole,....la démocratisation et l'impérialisme Américain, ou un domage caulatéral a l'ingérence Américaine en Orient ? On n'a vraiment pas poigné le vrai coupable : Ben Laden,Kadhafi ou Saddam Hussein !

Paradis fiscaux ? Même estiee d'affaire !
La conscience ? 
Ça prend une éternité,et c'est invisible!

*Le problême de la faille Heartbleed,est-ce le programmeur du SSL qui a oublié de tester la faille en deux ans ou les Script kiddies du web en mal de notoriété ?

Le corps policier de la SQ a arrêté Stephen Arthuro Solis-Reyes (ti-cul de 19 ans)à son domicile de London, en Ontario, mardi. Des accusations criminelles d'utilisation non autorisée d'ordinateur de méfait concernant des données ont été portées contre lui.« M. Solis-Reyes est soupçonné d'avoir extrait des renseignements personnels détenus par l'Agence du revenu du Canada en exploitant la faille informatique Heartbleed », a précisé la GRC dans un communiqué.L'ARC a annoncé lundi que 900 numéros d'assurance sociale ont été saisis illégalement dans ses banques de données par un pirate informatique.D'autres renseignements personnels pourraient aussi avoir été détournés. L'ARC et la GRC, de même que les services de sécurité électronique du gouvernement fédéral, continuent à enquêter.M. Solis-Reyes comparaîtra à Ottawa le 17 juillet 2014.

Non ,ça prendra la tête dirigeante de la pyramide du cybercriminel , et ça ,.............ça n'arrivera jamais !

Ce sera toujours les suiveux , qui se feront prendre ,après 2 ans de cavale ,et ça finira par une pseudo-loi du web(4% DU WEB VISIBLE) ,alors que tout se passe dans le Deep Web (96% DU WEB et INVISIBLE) ! 

REF.:

Faille Heartbleed: faille inconnu des Banques depuis deux ans et plus ?

Et si la banque CIBC et autres Banques Canadienne avaient été exposé a cette faille,il y a deux ans ?(Je me souviens ?)
Personnes ne le dira,car la faille était pas connu des Banques,ni de Revenu Canada etc.......ainsi que 500,000 serveurs sur la planète web.D'ailleurs encore beaucoup de sites perso n'ont pas le HTTPS encore !
Certains adeptes du phishing (vous faire croire que vous allez sur le site de votre banque, par exemple, alors qu'il s'agit d'un site pirate), pourraitutiliser certaines des données interceptées pour vous cibler.

Mais ,beaucoup de personnes clients des Banques ont changées de cartes débits en 2012,les banques ont demandées a leurs clients de se rendre a leurs comptoir pour changer de carte débit, avec une puce ,en changeant de mot de passe ! Bizarre quand même.C'est sûr que personne ne dira qu'il y avait une faille Heartbleed en 2012 ,mais beaucoup de programmeurs le savaient,ainsi que la communauté des Pirates a chapeau blanc,la NSA ,le dernier a être au courant de cette faille a été un ingénieur en sécurité chez Google "Neel Mehta" en Avril 2014, le jour de sa découvert médiatique(c'est lui qui découvra le bug underground) !

Pourquoi Google,Microsoft sont protégé,c'est qu'ils ont des doublons,du Cloud et du back-up en miroir sur leurs serveurs ! C'est comme si vous ferez des back-up instantannés a la secondes près, et que vous garderiez des copies virtuelles et sur disques physiques en lieux sûre.Google a des sous-marins et des containners sur bateaux flottants !

Après ça, vous connaissez l'histoire ;-)

Le problême est dans la validité des certificats,....................très connu des Hackers !


Ce qu'a dit Symantec:  (Avis de sécurité - OpenSSL Heartbleed Bug )   https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AD831

En tant que premier organisme de certification dans le monde, Symantec a déjà pris des mesures pour renforcer nos systèmes. Nos racines ne sont pas en danger; Cependant, nous suivons les meilleures pratiques et avons retapées tous les certificats sur les serveurs Web qui ont les versions affectées d'OpenSSL. 

Après les entreprises ont mis à jour leurs systèmes ou recompilés, Symantec recommande que les clients remplacent tous les certificats-indépendamment de l'émetteur sur leurs serveurs web pour atténuer les risques de violation de la sécurité. Symantec offrira des certificats de remplacement gratuits pour tous nos clients. 

Enfin, Symantec demande des clients pour réinitialiser les mots de passe de leur SSL et consoles de gestion de signature de code. Encore une fois, il s'agit d'une meilleure pratique et nous encourageons les entreprises à demander à leurs clients finaux à faire de même après leurs systèmes ont appliqué le correctif. Nous continuerons à travailler avec nos clients afin de minimiser l'impact des risques de sécurité de cette vulnérabilité.

Ce qu'ont disaient en 2008 sur le SSL:(sur le site de SID)

Premièrement, cette vulnérabilité n'a absolument pas fait parler d'elle ! Certes celle-ci n'est pas aussi critique que celle deOpenSSL dans Debian, mais GnuTLS est quand même très utilisée. Mais bon, il aurait sûrement suffi d'annoncer la plus grosse vulnérabilité du mois, ne pas releaser les détails, etc. pour la transformer en faille médiatisée ;) Je vous renvoie d'ailleurs sur un post plus ancien de Sid qui reprend des failles peu médiatisées et à celui de FX sur la perception des vulnérablités.

Et la,on parle pas encore de cette possible faille(non rendu publique) du https,avec plus de 360 millions d’identifiants contenant des adresses emails, accompagnées de mots de passe,provenant du DeepWeb ! A lire ICI !

Comptes en banques, réseaux d'entreprises visés ? Entre les mains des pirates, ces données sont considérées comme beaucoup plus dangereuses que les coordonnées de cartes bancaires, surtout lorsque les usagers se servent des mêmes identifiants et mots de passe, ce qui est souvent le cas. Selon Hold Security, cela pourrait notamment permettre d’accéder à des comptes en banque, des réseaux d’entreprise ou des données médicales.Il est important de souligner que ces révélations sont utilisées par Hold Security pour promouvoir son nouveau service de surveillance du web invisible ou deep web.

**********************

Alors,si les Banques Canadienne perdent de l'argent avec le vol de mots de passe de vos cartes Bancaires,il y a aussi la fraude,le clonage de carte, mais aussi il ont le droit de légaliser leurs filiales dans des paradis fiscaux,   c'est pire !

Les banques canadiennes et leurs filiales:

Les grandes banques canadiennes ne sont pas en reste. Elles possèdent 75 filiales dans desparadis fiscaux, de la Suisse à Singapour. On trouve, par exemple, des succursales de CIBC et de Scotiabank dans les îles Vierges britanniques, des filiales de la Banque Royale sur l'île Jersey, une succursale de la Banque de Montréal au Luxembourg et la présence de TD aux Bermudes et à la Barbade.Ça prend des couilles pour faire ça ;-)

Le Canada a joué et continue de jouer un rôle de premier plan dans le développement des paradis fiscaux dans les Caraïbes et ailleurs.C’est la thèse explosive que défend l’auteur Alain Deneault dans un livre à paraître mardi, Paradis fiscaux: la filière canadienne.

Le Québec n’échappe pas non plus à la vague, lui qui subventionne les bureaux montréalais d’un des cabinets d’avocats les plus en vue aux Îles Caïmans.Environ 25% des investissements étrangers du Canada sont aujourd’hui réalisés dans des paradis fiscaux.

Selon l’auteur, le gouvernement conservateur en place à Ottawa n’a fait qu’accenter le phénomène en légalisant des pratiques qui étaient autrefois considérées comme illégales.

«Il est devenu clair que la politique fédérale canadienne consiste à lutter contre la fraude fiscale en la légalisant.»

REF.:

Heartbleed: TLS supérieure a SSL ?.................OUI !

On a médiatisé la faille SSL :

Ce qu'ont disaient en 2008 sur le SSL:(sur le site de SID)

Premièrement, cette vulnérabilité n'a absolument pas fait parler d'elle ! Certes celle-ci n'est pas aussi critique que celle deOpenSSL dans Debian, mais GnuTLS est quand même très utilisée. Mais bon, il aurait sûrement suffi d'annoncer la plus grosse vulnérabilité du mois, ne pas releaser les détails, etc. pour la transformer en faille médiatisée ;) Je vous renvoie d'ailleurs sur un post plus ancien de Sid qui reprend des failles peu médiatisées et à celui de FX sur la perception des vulnérablités.

Enfin, il est envisageable que les certificats, sorte de clé de voûte de la sécurisation des données par TLS/SSL, censés être privés et très protégés, aient été rendus accessibles par la faille. Ce qui signifie que même lorsque la faille d'OpenSSL sera corrigée et la nouvelle version appliquée aux sites vulnérables, des assaillants qui ont préalablement intercepté la clé nécessaire au déchiffrement des données protégées seront encore en mesure d'y accéder.Il est conseillé de surveiller, dans les prochains jours, les annonces des sites que vous utilisez afin de s'assurer qu'ils prennent les mesures nécessaires.Microsoft, potentiellement exposé par l'entremise de son service de stockage de données en ligne OneDrive et de sa plate-forme de jeux Xbox, a indiqué dans un communiqué qu'un « petit nombre de services continuaient à être passés en revue et mis à jour avec des protections supplémentaires ».Android étant basé sur Linux, il est potentiellement vulnérable à cette faille. Et la version d’OpenSSL actuellement disponible sur Android, la 1.0.1f, est vulnérable. La faille touche toutes les versions d’OpenSSL de la 1.0.1 à la 1.0.1f. La version 1.0.1g sortie le 7 avril a permis de supprimer le bug. Mais pour être déployée sur Android, il faudra une mise à jour de la ROM du téléphone. Il ne reste plus qu’à espérer que les constructeurs jouent le jeu mais on peut craindre que certains téléphones anciens ne soient pas mis à jour et restent alors vulnérables.Comment se prémunir de la faille ?

Si votre terminal, votre ordinateur et même le serveur se lequel vous vous connectez dispose de l’ancienne version d’OpenSSL, il y a un risque. Dans le cas de votre androphone(Android,genre Samsung S4), certains, dont des éditeurs d’antivirus, ont créé des applications dédiées pour vérifier la version d’OpenSSL sur votre terminal. C’est le cas par exemple de Heartbleed Detector. Toutefois, si votre terminal ,votre Smartphone a la faille, tout dépendra de la promptitude des constructeurs(non,si la version 4,1 a 4,3 de JellyBean ,ne peut-être upgrader a Kitkat version 4,4) ,il vous faudra acheter un autre Android version 4,4 Kitkat ou bien si votre opérateurs internet par cellulaire à délivrer un correctif,ce qui est peu probable.Pourquoi ? Parce que la version des cell Android comme le Sony Xperia ZL acheté l'année passé est de la version 4,3 Jellybean et ne peut s'upgrader,car la 4,4 appelé Kitkat viens avec un nouveau smarthphone neuf.De plus la version Open SSl est la version avec faille Heartbleed ,qui est la version 1,0,1e et devrait avoir la version sécure 1,0,1g .Donc, ce qui est inclus dans Jellybean 4,3 est non upgradable.Alors si l'usagers ne fait pas de transaction bancaire dans son smartphone ,le Heartbleed Detector vous spécifira que la fonction Open SSL n'est pas activée,dans votre smartphone , Ouffffe ! Et la on ne parle pas de d,autre smartphone Android récent avec une mise a jour système non effectuée par l'usager qui doit la faire par wifi(car forfait Data cellulaire de 200 a 500 Mo/mois) et être a l'aise pour aller dans le menu ,souvent la version Android peut être a 3,2 ,............c'est bien loin du 4,4,2 de Kitkat !

Nota: Il est recommandé d’installer la dernière version en date, c’est-à-dire OpenSSL1.0.1g. Si cela n’est pas possible alors une solution alternative est de recompiler OpenSSL sans l’extension heartbeat en utilisant l’option OPENSSL_NO_HEARTBEATS.Si jamais vous opérez un site web !

Selon Bloomberg, l'Agence de sécurité nationale (NSA) qui est spéçialisé en déchiffrement,était au courant depuis deux ans de l'existence de la faille de sécurité Heartbleed. Or, la NSA, plutôt que d'alerter le public de cette vulnérabilité, aurait plutôt régulièrement exploité la faille pour obtenir des renseignements confidentiels. Interrogé par Bloomberg, un porte-parole de la NSA a toutefois refusé de confirmer ces informations.

En cas de doute, le site Filippo.io/Heartbleed permet de tester si un site est vulnérable ou non. Une liste (non exhaustive) est disponible ici. En revanche, certaines mesures nécessaires ne sont pas détectées par ce site, comme le renouvellements des certificats ou des mots de passe des administrateurs. 

Enfin, soyez particulièrement vigilants quant aux courriels que vous recevrez dans les prochains jours. Certains adeptes du phishing (vous faire croire que vous allez sur le site de votre banque, par exemple, alors qu'il s'agit d'un site pirate), pourraitutiliser certaines des données interceptées pour vous cibler.

Certains disent que GnuTLS est une alternative compatible avec la licence GPL, ce qui n'est pas le cas d'OpenSSL. Ok qu'on cite GnuTLS comme alternative, mais pas qu'on tourne la phrase de tel manière à ce que l'on croit que la licence d'OpenSSLest mal. En plus l'info de la licence de GnuTLS n'a rien à faire sur un article consacré à OpenSSL (surtout qu'a l'époque, on ne citait même pas la licence d'OpenSSL) Epommate 26 jun 2005 à 00:31 (CEST).La licence d'OpenSSL1 a hérité de la licence du produit SSLeay d'Eric Young (dont le produit servi de base au projet OpenSSL en 1998). L'auteur de cette librairie ayant choisi une licence type BSD2, la licence du produit dérivé OpenSSL reste du même type.Les licences BSD ont la particularité d'être les plus permissives3 de toutes les licences car elles acceptent toutes les modifications du code source et toutes les utilisations des librairies finales (utilisation commerciale comprise) tout en interdisant le changement de licence contrairement à une licence Apache4, de plus, modifier les codes sources n'oblige pas son auteur à en diffuser le contenu contrairement à une licence type GNU5.

La licence OpenSSL accepte toute utilisation de ses sources ou binaires aux conditions suivantes :

• le produit doit afficher (ou la documentation doit contenir) la mention suivante : "This product includes cryptographic software written by Eric Young (eay@cryptsoft.com)"
• le produit final doit faire mention de "This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
• les codes sources peuvent être fournis mais les copyrights ne peuvent pas être modifiés
• Le produit final ne peut pas s'appeler "OpenSSL", ni contenir ce mot sans accord préalable de l'équipe OpenSSL
• Les termes "OpenSSL Toolkit" et "OpenSSL Project" ne peuvent être utilisés pour la promotion du produit final sans accord préalable de l'équipe OpenSSL.

Transport Layer Security (TLS), et son prédécesseur Secure Sockets Layer (SSL), sont des protocoles de sécurisation des échanges sur Internet, développés à l'origine par Netscape (SSL version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF à la suite du rachat du brevet de Netscape par l'IETF en 2001. Le groupe de travail correspondant à l'IETF a permis la création des RFC 2246 pour le TLS et RFC 4347 pour son équivalent en mode datagramme, le DTLS. Depuis son rapatriement par l'IETF, le protocole TLS a vécu deux révisions subséquentes : TLSv1.1 décrite dans la RFC 4346 et publiée en 2006 et TLSv1.2, décrite par la RFC 5246et publiée en 2008.

Il y a très peu de différences entre SSL version 3 et TLS version 1 (qui correspond à la version 3.1 du mécanisme SSL) rendant les deux protocoles non interopérables. TLS a tout de même mis en place un mécanisme de compatibilité ascendante avec SSL. En outre, TLS diffère de SSL pour la génération des clés symétriques. Cette génération est plus sécurisée dans TLS que dans SSLv3 dans la mesure où aucune étape de l'algorithme ne repose uniquement surMD5 pour lequel sont apparues des faiblesses en cryptanalyse.

Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS.

TLS fonctionne suivant un mode client-serveur. Il fournit les objectifs de sécurité suivants :

• l'authentification du serveur ;
• la confidentialité des données échangées (ou session chiffrée) ;
• l'intégrité des données échangées ;
• de manière optionnelle, l'authentification ou l'authentification forte du client avec l'utilisation d'un certificat numérique ;
• la spontanéité, c'est-à-dire qu'un client peut se connecter de façon transparente à un serveur auquel il se connecte pour la première fois ;
• la transparence, qui a contribué certainement à sa popularité : les protocoles de la couche d'application n'ont pas à être modifiés pour utiliser une connexion sécurisée par TLS. Par exemple, le protocole HTTP est identique, que l'on se connecte à un schème http ou https.

Sécurisation du protocole:

Le protocole TLS permet de créer un tunnel entre un ordinateur et un serveur. Ce tunnel sécurisé permet un échange d'informations en contournant les dispositifs de sécurité installés pour un serveur ou un ordinateur. Passant outre les systèmes de protection il est alors possible que des actions malveillantes soient menées au travers du point d'entrée du tunnel. Afin de limiter les risques, il est techniquement possible de filtrer les contenus d'un tunnel TLS par la mise en place d'un dispositif qui authentifie le client et le serveur. Deux tunnels sont alors mis en place, un depuis le client vers le dispositif d'authentification et le second du dispositif vers le serveur. Ce système permet alors une analyse et une sécurisation transparente des contenus transférés par le tunnel TLS5.

Merci pour Neel Mehta de sécurité de Google pour découvrir ce bogue et à 

Adam Langley et Bodo Moeller pour 

la préparation de la solution.

Alors a vous d'agir,................car nous assistons a une lutte des solutions pour l'encryptage sécuritaire ou a une mise a jour oublié ,et non tester depuis 2 ans ?

* Open SSl: dispose que d' un développeur à temps plein et génère moins de 2000 $ en dons par an , clairement quelque chose ne va pas.Donc, ce qui explique l'écart entre le manque d'attention aux OpenSSL et la grande fortune de Linux ? Le bon vieux manque de sensibilisation , disent les experts.Des milliers de téléviseurs vendus chaque jour sont contrôlés par Linux . Quatre-vingt- deux pour cent des systèmes informatiques performants du monde fonctionne sur Linux . Il fonctionne systèmes financiers , l'Internet et les systèmes de contrôle du trafic aérien , les smartphones Android et Kindle.Le fait que OpenSSL a échappé a cette prise de conscience a été " un gâchis ", a déclaré Jim Zemlin , le directeur exécutif de la Fondation Linux . Certains défenseurs open-source dit M. Zemlin c'est exactement ce que OpenSSL a de manquant . «OpenSSL n'a tout simplement pas eu l'avantage d'un leader comme Jim autour de lui ", a déclaré Brian Behlendorf , un membre du conseil de l'Electronic Frontier Foundation et la Fondation Mozilla , un autre projet open-source , qui gère le navigateur Firefox ." Il y a un nouvel ordre mondial où les développeurs sont devenus le nouveau roi - dirigeants et je suis juste leur lobbyiste », a déclaré M. Zemlin . " Vous avez pour financer ces projets d'une manière qui est à la hauteur de leur importance pour notre société . "

Jusqu'à ce que le bug Heartbleed a été divulgué la semaine dernière , pas beaucoup de personnes avaient entendu parler du Dr Stephen Henson , le développeur qui est la seule personne à travailler à temps plein sur OpenSSL , ou le OpenSSL Software Foundation et son directeur , Steve Marquis .M. Raymond dit qu'il y a d'autres systèmes essentiels comme le Domain Name System(DNS) , une sorte de standard pour l'Internet qui est maintenu par des bénévoles à but non lucratif et des sociétés , et le protocole Internet Time Service , une caractéristique essentielle qui permet de synchroniser les horloges des ordinateurs sur l' Internet . Échanges financiers importants dépendent de la santé de protocole , mais il est actuellement géré par un programmateur bénévole dans le Maryland ."La direction est consciente de ce problème d'incitation grave ici et nous allons y remédier ", a déclaré M. Raymond .

REF.: 

*Pendant ce temps la, au Au Royaume-Uni, les données de 1,5 million d'usagers du forum Mumsnet, destiné aux mamans britanniques, ont pu être dérobées par des pirates ayant tiré avantage de la faille informatique Heartbleed.

*Le 14-04-2014:

Lundi, Revenu Canada a rapporté que les numéros d'assurance sociale d'environ 900 Canadiens avaient été soutirés de ses systèmes. Tout indique que des pirates informatiques ont pu infiltrer le système informatique grâce à une faille majeure, surnommée Heartbleed.

Ce dernier affirme qu'en plus des données personnelles qui ont été volées, «d'autres fragments de données, dont certaines pourraient se rapporter à des entreprises, ont également été soutirées des systèmes».

«Dans le pire des scénarios, les numéros d'assurance sociale pourraient être utilisés pour effectuer de la fraude. Les pirates n'ont pas nécessairement eu suffisamment d'information pour faire du vol d'identité», a mentionné le spécialiste. En plus des données personnelles des contribuables qui ont été volées, «d'autres fragments de données, dont certaines pourraient se rapporter à des entreprises, ont également été soutirées des systèmes», a mentionné le commissaire.

REF.:

Android: La fonction Verify Apps a été renforcée

Google renforce la sécurité d'Android

Jusqu'à ce jour, Android vous alertait avant l'installation d'un appli douteuse. Désormais, le comportement des applis sera surveillé en permanence.

En début d’année, une étude de Cisco désignait les terminaux sous Android comme la cible quasi unique des malwares. Aussi Google a-t-il décidé de renforcer la sécurité de son OS mobile a-t-il annoncé ce 10 avril 2014 dans un billet sur son blog officiel.

La fonction Verify Apps a donc été renforcée. En plus de protéger les utilisateurs lorsqu’ils téléchargent des applis depuis le Play store ou en dehors, elle va vérifier de manière continue le « comportement » des applis. Elles seront scannées en permanence afin de vérifier qu’elles ne sont pas en train de rooter votre téléphone, de voler vos données ou d’envoyer des messages surtaxés.

Verify Apps a été introduite dans Android en 2012 et a été utilisée plus de quatre millions de fois indique Google.

REF.:

Faille Heartbleed : testez la vulnérabilité de vos services en ligne

Plusieurs sites proposent des outils d’analyse gratuits pour savoir si un service en ligne est correctement sécurisé vis-à-vis de l'inquiétante faille OpenSSL. A consulter si vous êtes du genre anxieux.Mais vous auriez dû paniquer ,il y a deux ans ,gagne de zoufffe!

C'est une question extrêmement grave , qui touche quelque 500 000 serveurs , selon Netcraft , une firme de recherche sur Internet . Voici ce que vous pouvez faire pour vous assurer que votre information est protégée , selon les experts de sécurité contactés par CNET :Gardez un oeil sur les états financiers pour les prochains jours . Parce que les attaquants peuvent accéder à la mémoire d'un serveur d'information de carte de crédit , il ne serait pas mal d'être à l'affût des frais inconnus sur vos relevés bancaires .La réponse naturelle serait de vouloir changer les mots de passe immédiatement, mais les experts en sécurité suggérer attendre la confirmation d'un correctif , car outre l'activité sur un site vulnérable pourrait exacerber le problème .

Même après avoir suivi ces lignes directrices , il ya encore du degré de risque en surfant sur le Web à la suite de l'insecte . Heartbleed dit même d'affecter les cookies du navigateur , qui permettent de suivre l'activité des utilisateurs sur un site , de sorte que même la visite d'un site vulnérable sans se connecter pourrait être risqué .

Révélée hier par un groupe de chercheurs en sécurité, l’énorme faille « Heartbleed » a créé un véritable branle-bas de combat parmi les administrateurs système, pour patcher au plus vite leurs serveurs. Car, évidemment, personne n’a envie d’être épinglé sur Twitter pour avoir des services en ligne mal sécurisés. C’est d’ailleurs ce qui est arrivé à Yahoo, qui s’est fait hacker en beauté par Fox-IT, une société spécialisée en cybersécurité. Preuve, d'ailleurs, que l'exploitation de cette faille n'est pas si compliquée. Depuis, Yahoo a mis à jour ses serveurs. 

Pour savoir si les services en ligne que vous utilisez sont bien sécurisés, c’est simple : il suffit de faire le test. Plusieurs développeurs ont créé des analyseurs protocolaires taillés sur mesure pour détecter une éventuelle vulnérabilité. L’italien Filippo Valsorda a créé le pagefilippo.io/Heartbleed. Il suffit de rentrer une URL pour savoir si le serveur associé est vulnérable ou non. La société lituanienne Possible a également créé un outil d’analyse (possible.lv/tools/hb/). Il est légèrement plus complet quant au bilan de vulnérabilité. Enfin, la société française Qualys a également intégré un test de vulnérabilité Heartbeat dans son outil d’analyse SSL Server Test. Celui-ci fait un check-up complet de la sécurité SSL d’un site web.

Les géants du web - Google, Facebook, Twitter, Amazon... - sont tous protégés. Le web français a également bien réagi. Nous avons testé toute une série de sites français dans le domaine bancaire, de l’e-commerce ou de la messagerie. Tous ont été patchés. Bravo. Certains sites Web qui semblent avoir été touchés inclus Yahoo et OKCupid.Imgur , le site de partage de photos fréquentées par les utilisateurs de Reddit aussi.

Un avis de Cisco publié jeudi la liste de 11 produits et services que les deux vulnérables à la faille , ainsi que plus de 60 autres considérés comme « victime» que l'enquête de la faille continuer . La plupart des produits de la liste concernent des produits de collaboration de Cisco tels que les téléphones IP et les serveurs de communication . Les services de messagerie réputés vulnérables - enregistré enveloppe service de Cisco ( CRES ) et Webex Messenger Service - ont déjà été patché , a indiqué la compagnie .Oui,car le 7 avril 2014, la société de sécurité CODENOMICON Defensics découvre la très importante faille Heartbleed2,3 qu'elle dévoile à travers le site dédié2. La faille permettrait de récupérer le contenu de la mémoire du serveur, entre autre des messages sécurisés (par exemple des transactions bancaires), mais aussi des clés de chiffrement SSL primaires et secondaires elles-mêmes, en ne laissant aucune trace numérique4. Les certificats de sécurité seraient aussi mis en danger, puisque des pirates pourraient les intercepter et s'en servir même après que les sites aient réparé la faille5. De nombreux sites internet grand public, entre autres Wikipédia, Yahoo! et Flickr, sont affectés et recommandent à leurs utilisateurs de ne pas se connecter à leurs services le temps que des mises à jours soient effectuées6.

ICI la liste des sites patché ou sécuritaire !

Vous pouvez rechercher des applications de cloud computing d'entreprise spécifiques de l'index de Netskope qui restent vulnérables ici .

Etes-vous vulnérable ?

Beaucoup de petits sites web sont vulnérables!

Plusieurs sites Internet proposent de saisir l’url du site que vous souhaitez vérifier afin de vous indiquer s’ils sont vulnérables ou non.

Nous attirons toutefois votre attention sur le fait qu’il est important de ne pas tester la sécurité de vos sites par des outils en ligne non maitrisés (aucune garantie ne peut être faite sur les données récoltées). C’est la raison pour laquelle Lexsi propose un outil de test adapté dans le cadre de service de gestion des vulnérabilités Argos.

Recommandations

Il est recommandé d’installer la dernière version en date, c’est-à-dire OpenSSL1.0.1g. Si cela n’est pas possible alors une solution alternative est de recompiler OpenSSL sans l’extension heartbeat en utilisant l’option OPENSSL_NO_HEARTBEATS.

De plus, le changement des données d’authentification HTTP (Basic / Digest) est vivement conseillé ainsi que le changement des mots de passe des comptes applicatifs.

Enfin, il est également recommandé de régénérer tous les certificats par précaution.

Note : Les plateformes telles que Google, Facebook ou encore Twitter ne semblent pas affectées par cette vulnérabilité à l’inverse de Yahoo qui était vulnérable le mardi 8 Avril 2014 (corrigé le lendemain). Certains sites comme Paypal, Amazon ou Yahoo ont par ailleurs décidé d’expliquer à leurs utilisateurs les contremesures déployées pour lutter contre Heartbleed, là ou d’autres sites tels que CloudFlare ou Tumblr ont simplement signalés avoir patché OpenSSL.  Quoique Revenu Canada a fermé son site internet(ah oui,.......comme la dernière faille précédente,non corrigée),Strike deux,.............  !$!

Ce qu'ont disaient en 2008 sur le SSL:(sur le site de SID)
Premièrement, cette vulnérabilité n'a absolument pas fait parler d'elle ! Certes celle-ci n'est pas aussi critique que celle deOpenSSL dans Debian, mais GnuTLS est quand même très utilisée. Mais bon, il aurait sûrement suffi d'annoncer la plus grosse vulnérabilité du mois, ne pas releaser les détails, etc. pour la transformer en faille médiatisée ;) Je vous renvoie d'ailleurs sur un post plus ancien de Sid qui reprend des failles peu médiatisées et à celui de FX sur la perception des vulnérablités.


Le 01 Mars 2014:
Le spécialiste en cybersécurité Hold Security affirme avoir découvert sur divers marchés noirs en ligne un stock de 360 millions d’identifiants obtenues suite à plusieurs cyberattaques qui n’auraient pas encore été rendues publiques.

Comptes en banques, réseaux d'entreprises visés ? Entre les mains des pirates, ces données sont considérées comme beaucoup plus dangereuses que les coordonnées de cartes bancaires, surtout lorsque les usagers se servent des mêmes identifiants et mots de passe, ce qui est souvent le cas. Selon Hold Security, cela pourrait notamment permettre d’accéder à des comptes en banque, des réseaux d’entreprise ou des données médicales.  REF.:

Au Royaume-Uni, les données de 1,5 million d'usagers du forum Mumsnet, destiné aux mamans britanniques, ont pu être dérobées par des pirates ayant tiré avantage de la faille informatique Heartbleed.

Le 14-04-2014:


Lundi, Revenu Canada a rapporté que les numéros d'assurance sociale d'environ 900 Canadiens avaient été soutirés de ses systèmes. Tout indique que des pirates informatiques ont pu infiltrer le système informatique grâce à une faille majeure, surnommée Heartbleed.



Ce dernier affirme qu'en plus des données personnelles qui ont été volées, «d'autres fragments de données, dont certaines pourraient se rapporter à des entreprises, ont également été soutirées des systèmes».
«Dans le pire des scénarios, les numéros d'assurance sociale pourraient être utilisés pour effectuer de la fraude. Les pirates n'ont pas nécessairement eu suffisamment d'information pour faire du vol d'identité», a mentionné le spécialiste. En plus des données personnelles des contribuables qui ont été volées, «d'autres fragments de données, dont certaines pourraient se rapporter à des entreprises, ont également été soutirées des systèmes», a mentionné le commissaire.

REF.: