Assiste.com
cr 01.04.2012 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Sommaire (montrer / masquer) |
---|
Sécurité informatique - Vie privée - Neutralité |
Il n'existe pas de logiciel 100% sans erreur (sans « bug »). Tout programmeur honnête avec lui-même l'admettra.
Lorsque le logiciel est une usine à gaz, ce sont des milliers d'erreurs qui s'y trouvent. Certaines erreurs sont anodines, sans importance et sans conséquence, mais d'autres erreurs se traduisent par une Vulnérabilité, ou « Failles de Sécurité ».
Des correctifs sont publiés sans cesse pour colmater les brêches, encore faut-il faire des « Windows Update » et autres « Secunia PSI » pour détecter l'existence de ces correctifs et les installer.
Lorsqu'une Failles de Sécurité est découverte par un Cybercriminel, elle va lui permettre de pénétrer l'ordinateur (Drive-by Download, etc. ...) et d'en prendre le contrôle avec des privilèges administratifs, voire des privilèges SYSTEME.
Lorsqu'un hacker découvre une faille de sécurité mais n'a pas les moyens de l'exploiter lui-même, il la vend !
17.01.2013 - L'exploitation d'une faille Java vendue 5 000 dollars
Une faille « Zero-day » dans Vista a été mise en vente 50.000 US$ selon Trend Micro. Le prix moyen de vente d'informations sur la découverte d'une faille de sécurité non patchée (non corrigée/à exploiter) se situe entre 20.000 US$ et 30.000 US$ selon la popularité du logiciel faillible et la fiabilité du code de l'attaque.
En décembre 2005, Kaspersky découvre que l'exploit permettant l'attaque WMF (Windows Metafile) était proposé par un groupe de Hacker Russe pour 4.000 US$. Ces ventes d'exploits se faisant des milliers de fois pour chaque exploit, Gene Raimund (directeur des technologies chez Trend Micro) est aller jusqu'à dire que « Le marché du malware fait plus d'argent que le marché des anti-malwares ».
Lire Le marché lucratif des ventes de failles de sécurité et services pour cybercriminel.
A titre d'exemples, voici une toute petite liste d'environ 200 types de Failles de Sécurité, parmi plusieurs milliers (fiches de Metasploit, un outil de recherches de Vulnérabilités, ou « Failles de Sécurité ») :
|
À peu près tous les logiciels contiennent des « Vulnérabilités » ou « Failles de Sécurité », mais les plus universellement utilisés (et qui communiquent avec l'extérieur de l'ordinateur) sont l'objet de toutes les attentions des Cybercriminel, car l'exploitation de la « Vulnérabilités » va permettre de compromettre le plus grand nombre d'ordinateurs (plusieurs centaines de milliers à plusieurs centaines de millions d'ordinateurs). Par exemple :
|
Les Hackers et les Cybercriminels sont de très bons informaticiens. La découverte de Failles de Sécurité relève de méthodes d'essais et erreurs, ou de méthodes d'observation du comportement des logiciels, ou de l'analyse des codes source lorsqu'ils sont disponibles ou volés, ou obtenus par rétro ingénierie etc. ...
L'un des moyens rapide de découvrir des Failles de Sécurité et d'auditer, en sécurité des systèmes d'information, une installation, avec des logiciels automatiques d'audit, qui testent toutes les Failles de Sécurité connues et les types et techniques d'attaques connus. Ces logiciels vont faire, tout simplement, la liste des Failles de Sécurité actuelles d'une machine ou d'un réseau.
Les outils suivants sont des logiciels d'audit de sécurité. Ils sont utilisés pour découvrir des Vulnérabilités ou "Failles de Sécurité". Ils sont utilisés par des auditeurs en sécurité. Ils peuvent également être entre de mauvaises mains, celles de Cybercriminels, exactement pour les mêmes usages : révéler les Failles de Sécurité !
D'autre part, les Cybercriminels développent des outils d'exploitation des failles. De tels outils, paramétrables, d'un usage simplissime, sont mêmes commercialisés, entre 150 et 1500 €, et utilisables par des quasi béotiens.
Les outils suivants sont des outils d'exploitation de Failles de Sécurité.
|
Dans le monde non criminel des « gentils » Hackers, (parfois appelés les « Chapeaux blancs » ou « White Hats » pour les distinguer des « vilains » Hackers, les « Chapeaux noirs » ou « Black Hats »), la découverte de « Failles de sécurité » se traduit généralement par un avis adressé à l'éditeur du logiciel faillible. Une fois la faille corrigée, le Hacker se fait connaître et reconnaître et rend public son travail.
Toutefois, il existe des éditeurs laxistes qui ne réagissent pas, ou pas assez vite, aux avis que les « gentils » Hackers leur adressent. Certains Hackers leur forcent alors la main en rendant publiques leurs découvertes au bout d'un certain délai. Ceci va permettre à des cybercriminels de s'engouffrer dans la faille et de l'exploiter, et va forcer l'éditeur à réagir avec célérité. Cette démarche est sujette à des polémiques sans fin sur le bien-fondé ou l'irresponsabilité de telles démarches.
Enfin, il existe des Hackers qui publient leurs découvertes le jour même de la découverte, sans laisser aucun délai aux éditeurs. Voir Failles de sécurité et Attaques Zero Day.
|
Appliquer, au moins une fois par semaine, ou, mieux, paramétré pour que cela s'exécute de manière automatique, sans délais, tous les points relatifs aux failles de sécurité du protocole :
Dont, entre autres choses :
Avoir un très bon pare-feu activé
Arrêter ET désactiver les services (Windows et non Windows) inutiles.
Outils d'analyse détectant si un document (Flash, JavaScript, PDF, etc. ...) tente d'exploiter une faille de sécurité dans le lecteur de ce documents (Flash Player, Acrobat Reader, etc.)
|
Certains éditeurs à l’affût des failles de sécurité dans leurs produits, et cherchant à les conduire vers un état « error free » (sans erreur), offrent une récompense aux hackers qui découvrent une nouvelle faille, prouvée, et la signale confidentiellement, sans l'exploiter. Cette démarche dite « Bug Bounty » (« prime aux bugs » ou « chasse aux bugs ») a commencé par être une rémunération, chez Netscape (Netscape Navigator (Mosaic Netscape)), dès 1995. Par exemple, l'éditeur de Rails, qui fait partie de la démarche dominante mondiale des offreurs de récompenses en espèces (hackerone (The Internet Bug Bounty - IBB)) aux découvreurs de failles de sécurité et autres bugs dans les logiciels à source ouverte (open source), écrit (version du 22 mars 2022) :
Prime de qualification
Rails est utilisé pour alimenter certains des sites les plus importants du Web et sa popularité croissante en a fait un élément essentiel de l'infrastructure Internet. Si vous avez trouvé un bogue de sécurité qui pourrait potentiellement avoir un impact sur la sécurité de ces sites, vous avez nos remerciements et pourriez être éligible à une récompense en espèces.
L'Internet Bug Bounty récompense la recherche en sécurité sur Ruby on Rails. Si votre vulnérabilité répond aux critères d'éligibilité, vous pouvez soumettre les informations post-correction à l'IBB pour paiement. Comme l'IBB prend en charge l'ensemble du cycle de vie des vulnérabilités, ces primes sont attribuées sous la forme d'une répartition 80/20, où 80 % iront à vous, le découvreur, et 20 % seront attribués à Ruby on Rails pour continuer à soutenir les efforts de remédiation des vulnérabilités.
Pour soumettre des vulnérabilités éligibles pour un paiement, rendez-vous sur https://hackerone.com/ibb pour obtenir des instructions de soumission une fois que les responsables du projet ont résolu la vulnérabilité.
Les mainteneurs du projet ont la décision finale sur les problèmes qui constituent des vulnérabilités de sécurité. L'équipe IBB respectera sa décision, et nous vous demandons de faire de même.
Bonus de 500 $ pour un patch valide
Si votre rapport inclut un correctif correctement formaté pour le problème que vous avez découvert, vous pouvez être éligible à un bonus de 500 $ lorsque le rapport est accepté et résolu.
Veuillez noter que votre correctif devra également être considéré comme une solution acceptable par les responsables du projet.
Les conditions d'éligibilité aux correctifs sont les suivantes :
Fichier de correctif créé avec git format-patch ou un format équivalent.
Inclut une solution pour toutes les versions Rails prises en charge pertinentes. Détails sur les versions prises en charge disponibles ici.
Inclut des tests de régression pour le problème signalé.
Le correctif est accepté et adopté par les mainteneurs du projet
Les correctifs risquent d'être inéligibles si l'une des exigences énoncées n'est pas remplie.
Vous pouvez en savoir plus sur la façon de contribuer à Ruby on Rails ici.
Safe Harbor (sphère de sécurité)
Toute activité menée conformément à cette politique sera considérée comme une conduite autorisée et nous n'engagerons aucune action en justice contre vous. Si une action en justice est intentée par un tiers contre vous dans le cadre d'activités menées dans le cadre de cette politique, nous prendrons des mesures pour faire savoir que vos actions ont été menées conformément à cette politique.
|
Listes des alertes et avis, au jour le jour
|
Failles de sécurité (security breach)
Les encyclopédies |
---|