vendredi 29 janvier 2010

L'Acta : le traité qui menace le web

39 Etats entament ce mardi de nouvelles négociations sur un accord secret visant à lutter contre la contrefaçon, en particulier le téléchargement illégal sur Internet.
Acta. Ces quatre lettres font frémir le web. L'acronyme de l'Anti-Counterfeiting Trade Agreement, un projet de traité international "anti-contrefaçon", entame sa septième phase de négociations ce mardi 26 janvier au Mexique.
Très peu d'informations ont filtré sur les précédentes négociations, le projet d'accord dit "commercial" négocié entre 39 Etats ayant été classé "secret défense" par les Etats-Unis.

Lire l'article complet L'Acta : le traité qui menace le web
Lire la suite »

jeudi 28 janvier 2010

Nuit du Hack à Paname

La prochaine Nuit du Hack de Paris se déroulera dans la nuit du 19 au 20 juin 2010, de minuit à 7 heure du matin.
Le Challenge " Capture The Flag " (CTF) de la Nuit Du Hack 2010 permet aux passionnés de sécurité informatique de tester leurs connaissances au niveau offensif et défensif sur un LAN dédié à cet effet.

Le principe de ce CTF est classique : il s'agit pour chaque équipe de protéger son propre serveur et d'attaquer le serveur des autres équipes. Ce challenge est avant tout un jeu, dont l'issue dépendra des compétences informatiques de chaque équipe.

Chaque équipe se verra remettre un serveur identique à ceux des équipes adverses. Il est important d'ajouter qu'une plate-forme communes contiendra des vulnérabilités exploitables par tous les participants et que cette plate-forme proposera des vulnérabilités plus simples pour les participants n'étant pas familiers avec les challenges de la Nuit du Hack et le principe du CTF.

Les articles ci-dessous listent les règles appliquées à ce challenge. Cette liste n'est pas exhaustive, et peut changer en fonction du comportement des participants. Les organisateurs se donnent le droit de modifier ces règles jusqu'au jour de l'évènement.

Règlement

-Art 1
Chaque équipe est composée de 5 personnes maximum. Il est interdit de changer, ajouter ou retirer un membre de l'équipe au cours du challenge. De ce fait, toute communication autre qu'entre membres d'une même équipe est interdite.

-Art 2
Chaque participant doit amener son propre poste client (ordinateur portable ou fixe) afin de participer au challenge. Le poste doit être équipé d'une carte réseau de type Ethernet et pré-installé avec tous les outils que le participant juge adapté à la bonne réussite du challenge.

-Art 3
Il est interdit d'attaquer toute machine autre que les serveurs et ordinateurs des équipes adverses. Il est donc formellement interdit d'attaquer le serveur du staff, le sites ne faisant pas partie du réseau local (sites Internet), etc...1

-Art 4
Il est interdit d'interagir physiquement sur l'équipement informatique autre que les ordinateurs des participants pendant toute la durée du challenge.

-Art 5
Si un service (épreuve) est stoppé/inaccessible sur un serveur, l'équipe responsable du serveur se verra attribuer un décomptage de points par minute. Voir " Décomptage des points " pour plus de précisions.

-Art 6
Les attaques sur les ordinateurs des équipes adverses sont autorisées. De ce fait, nous ne sommes pas responsables de la confidentialité, l'intégrité et la disponibilité des données stockés sur les ordinateurs des participants.

-Art 7
Les participants s'engagent à ne pas mettre en place des techniques empêchant une équipe adverse d'accéder à un service (épreuve) en dehors des patchs validés par les arbitres du challenge. Il est possible en dehors des patchs d'installer des systèmes de détection d'intrusion ou autres ne bloquant que les attaques et non pas des connections légitimes. Seuls les patchs permettent d'obtenir des points de défense.

-Art 8
Les DoS (dénis de service) sont autorisés afin de rendre un service / épreuve adverse inaccessible. Il est par contre formellement interdit de cibler le système de monitoring du staff.

-Art 9
Il est formellement interdit d'effectuer des attaques réseau (ARP spoofing, ARP Flooding, etc...) sur le sous réseau hébergeant le serveur du staff et les serveurs des équipes.

-Art 10
Chaque équipe aura un accès à Internet, où elle pourra rechercher des informations et télécharger ce qu'elle souhaite. Conformément à l'Art. 1, toute communication avec des personnes extérieures (forum, chat, etc...) à son équipe est formellement interdit.

-Art 11
Le challenge débutera à 0h (minuit) et se terminera à 7h du matin. Le classement final sera déterminé grâce au nombre de points obtenus avec les épreuves communes et celles du CTF.

-Art 12
Seuls les capitaines d'équipe sont autorisés à communiquer avec les arbitres du challenge. Les arbitres sont là pour résoudre les problèmes de fonctionnement du CTF ainsi que la validation des épreuves et des patchs.

-Art 13
Les insultes et la violence sont proscrites. Cela reste un jeu avant tout.

-Art 14
Les 3 meilleurs équipes, se verront remettre divers prix à la fin du challenge: hardware, certifications etc. Chaque joueur de l'équipe pourra passer sa certification dans le centre Sysdream pendant un délai d'un an.

-Art 15
Le non-respect de ce règlement entrainera des pertes de points conséquentes (déterminées par les arbitres du challenge), voire la disqualification totale de l'équipe fautive.

Visitez le site la nuit du hack pour plus d'informations
Lire la suite »

mardi 19 janvier 2010

Colloque FRANCOPOL sur la cybercriminalité

Le réseau international de formation policière inaugurera les 28 et 29 avril 2010 la première édition de son Colloque sur la cybercriminalité sous le thème "Cybercriminels sur la toile francophone". Cet événement très attendu se tiendra au centre de congrès de l'hôtel Mortagne dans la ville de Boucherville, province de Québec (Canada).

Pour souligner ce grand moment, les organisateurs ont préparé un programme riche en nouveautés. Le Colloque proposera un grand choix d’ateliers et de conférences. Ainsi, tous les participants, peu importe leurs secteurs d’activités, pourront enrichir leurs connaissances dans des domaines qui les touchent de près ou bien s’informer sur d’autres sujets grâce aux nombreuses présentations.

La version 2010 du Colloque FRANCOPOL sur la cybercriminalité propose plus d'une trentaine d'ateliers et conférences, de quoi répondre à tous les besoins d’information des divers spécialistes en cybercrime.

Source : www.francopol.org
Lire la suite »

lundi 18 janvier 2010

La France et l’Allemagne recommandent de ne pas utiliser Internet Explorer

Après la confirmation que le piratage dont a été victime Google a été mené en exploitant une faille dans Internet Explorer, les autorités françaises et allemandes conseillent aux internautes de choisir un autre navigateur.

Conséquence directe des révélations sur le rôle d'Internet Explorer dans le piratage de grande ampleur que Google a rendu public la semaine dernière, la France et l'Allemagne appellent leurs internautes à la prudence.

Lire l'article complet La France et l’Allemagne recommandent de ne pas utiliser Internet Explorer
Lire la suite »

samedi 16 janvier 2010

Hadopi : et revoilà la présomption de culpabilité


Un député a interrogé le ministère de la Culture sur le problème de l’identification des adresses IP. La loi HADOPI se satisfait de l'adresse IP « pour identifier les personnes qui procèderaient à des téléchargements illégaux sur Internet via des réseaux de « pear to pear » » (sic !).

Le député explique au ministre que « force est de constater qu'il est très simple, pour un utilisateur moyennement confirmé, de falsifier sa propre adresse IP en prenant celle d'un autre ordinateur. Ainsi, une personne ne téléchargeant pas illégalement des oeuvres sur Internet pourrait être sanctionnée à tort. »

La question est alors simple : « quelles sont les mesures qu'il entend mettre en oeuvre pour remédier à ce problème » ?

Lire l'article complet Hadopi : et revoilà la présomption de culpabilité sur PCinpact

Des pratiques de contournement limitées ?
« Elles nécessitent en effet, pour certaines d'entre elles, des connaissances informatiques inconnues du plus grand nombre »
Inconnues?? Les outils et tutoriels sont librement et gratuitement disponibles sur le net, et pirater un wifi n'est qu'une question de temps, quelques minutes à peine suffisent par exemple pour une livebox inventel configurée par défaut (testé dernièrement avec la mienne).

Tout cela donne plus que l'impression de vouloir faire payer l'utilisateur lambda qui n'aura n'y les connaissances pour se protéger, n'y celle de démontrer qu'il s'est fait pirater son wifi par exemple.
Lire la suite »

mercredi 13 janvier 2010

Sortie de Backtrack 4 finale

BackTrack est une distribution GNU/linux reconnue par les professionnels comme complète et efficace en matière d’analyse réseau et de test d’intrusion.

BackTrack est disponible sous forme de live CD. Il est également possible de l'installer sur un disque dur ou sur une clé USB.

Basé sur Ubuntu, Backtrack peut être facilement personnalisé par l'utilisateur pour inclure des scripts personnels, des outils supplémentaires etc...

Plus d'informations sur le site remote-exploit.org
Téléchargement au format *.iso ou vmware sur cette page
Lire la suite »

mardi 12 janvier 2010

Forum International sur la Cybercriminalité 2010

Tous les informations sur www.fic2010.fr
Un programme de conférences et ateliers sur mesure et adapté aux besoins des visiteurs
Les conférences et ateliers seront organisés autour de trois pôles distincts :

* - Justice sécurité défense :
pour informer et réfléchir sur les réponses institutionnelles nationales et internationales.
* - Entreprises : pour sensibiliser aux risques numériques et développer un partenariat public-privé. Il sera l'occassion de la diffusion du «guide pratique du chef d'entreprise face au risque numérique».
* - Collectivités : pour déterminer les enjeux du développement de la société numérique (e-démocratie, libertés publiques...)

Un forum exposants
Pour découvrir des solutions adaptées, développées par des entreprises françaises et des grands groupes internationaux.

Le plateau TV
«Ensemble pour un espace numérique plus sûr»
Mercredi 31 mars 2010 : 14H00 - 18H00
Jeudi 1er avril 2010 : 09H00 - 18H00
Lille Grand Palais

Conférence d'ouverture (31/03/10) : «La mobilisation européenne et internationale pour la lutte contre la cybercriminalité»
Conseil de l'Europe, Commision européenne, Europol, Eurojust...

Conférence plénière (01/04/10) :«La protection des sytèmes d'information : véritable enjeu de sécurité nationale»

Atelier n°1 :«Essor du nomadisme : une sécurité suffisante ?»
Moyen d'accès grandissant aux vulnérabilités encore mal maîtrisées. Quelles solutions pour réduire les risques d'intrusion, de vols de données...? Recommandations comportementales en situation de nomadisme.

Atelier n°2 :«Cyberdéfense : quelles coopérations public/privée dans le cadre du livre blanc sur la défense et la sécurité nationale ?»
Mise en avant des aspects de la coopération européenne public/privée concernant le volet cyberdéfense des cinq fonctions stratégiques : la connaissance et l'anticipation, la prévention, la dissuasion, la protection et l'intervention.

Atelier n°3 :«Cyber infiltration»
Cadre légal national et international, spécificité de cette mission.
Différence de conception avec le monde anglo-saxon (exemple américain : Child predator units et l'émission TV «to cach a predator»).

Atelier n°4 :«Etablissements bancaires : gestion de la sécurité des opérations en ligne»
Vols d'identité, piratage informatique, systèmes de sécurité informatique.

Atelier n°5 :«Colloque OSCE : Une approche globale de la cyber-sécurité»
Les moyens mis en oeuvre, ou souhaitables, pour améliorer la sûreté de la toile, en mettant l'accent sur, entre autre et par exemple, l'approche globale mise en oeuvre par l'OSCE et ses bonnes pratiques, les tendances à venir dans le domaine, les partenariats privé-public, le cadre légal international, etc...

Atelier n°6 :«Le commerce du futur : sécurisation des données et confiance du consommateur»
Sécurisation des informations : cryptologie des données, transmission sécurisée, traçabilité. Analyse en sciences humaines et sociales du comportement du consommateur vis-à-vis des nouvelles technologies.

Atelier n°7 :«Web 3.0, Web objet : quel avenir pour le Net»
Présentation de ces nouvelles étapes, enjeux, risques...

Atelier n°8 :«Jeux d'argent en ligne : nouvel «ELDORADO» du blanchiment»

Atelier n°9 :«Lutte anti-virale en environnement informatique»
Infection virale et les aspects juridiques. Etude épidémia, diffusion de code malveillant.

Atelier n°10 :«Présentation des outils de sensibilisation aux dangers d'Internet»
Panel d'outils existant : La prévention en famille. Jeune et éducation : présentation d'un programme national de sensibilisation «serious game 2025 machina» sorti pour février 2010. Pédagogie et utilisation d'Internet par les jeunes. Protection de l'enfance : logiciels de contrôle parental , animation quizz interactif. Sensibilisation des adultes aux dangers d'Internet auxquels leurs enfants peuvent être victimes. AFA présentation du partenariat européen.

Atelier n°11 :«Traitement du téléchargement illégal»
Problèmatique et législation française comparée à celles d'autres pays de la communauté européenne. Etat de l'art des moyens techniques : détection, filtrage, ou blocage sélectif. Constat à distance pour une riposte graduée ou autre (avec démonstration). Prospective, difficultés techniques et juridiques attendues.

Atelier n°12 :«SSI : rôle et responsabilité du chef d'entreprise»
Question de la délégation au RSSI, responsabilité pénale (protection des données personnelles / contenu des STAD / agissements illicites des employés) mais aussi question des modalités de management comme facteur de sécurité. Une bonne politique de sécurité nécessiterait une prise de conscience débouchant sur des actions concrètes positives de l'ensemble des collaborateurs d'une entreprise. Multiplication des prodécures de contrôle et de surveillance (course à la sophistication). Notion de confiance dans les relations internes de l'entreprise (passage du contrôle à la confiance).

Atelier n°13 :«La révélation des failles de sécurité, risques et enjeux»
Quel cadre légal et contractuel pour les tests ? (Etude comparée européenne).
Quid de l'obligation de dénonciation ?

Atelier n°14 :«Sécurité des chaînes de production et des services généraux informatisés»
Sensibilisation sur la sécurité des systèmes de contrôle de processus. Prise de contrôle, chantage au sabotage.

Atelier n°15 :«E-démocratie : opportunités et menaces pour les collectivités territoriales»
Enjeu, développement et protection. Manipulation de données sensibles, de l'expression publique...

Atelier n°16 :«Contrefaçon sur le Net : quelles solutions ?»
La contrefaçon outre son impact économique présente également des risques pour la sécurité des personnes, Internet facilite la dispersion mondiale de ces productions, quelle responsabilité pour les e-commerçants ?

Atelier n°17 :«Cybersécurité, entre frein et support à la créativité et à la performance dans l'entreprise»
Problématique de l'ouverture de l'entreprise sur le monde, se laisse découvrir et pénétrer au risque de se voir piller ses atouts et savoirs faire. Jusqu'où une entreprise doit-elle s'ouvrir dans la conquête des marchés mondiaux ? Est-il encore judicieux de se protéger (brevets, procédures contentieuses) alors que les progrés techniques rendent les process caducs très rapidement ? Réflexion et interrogation dans le domaine de la cybersécurité pour éviter de se préparer à la guerre d'hier.

Atelier n°18 :«Plate-forme de signalement de contenus illicites : vers une plate-forme européenne»
Présentation de la plus value de ces plates-formes et incitations des états membres de l'Union européenne à adopter cette solution conformément aux conclusions du Conseil prises sous la Présidence Française de l'Union européenne en 2008.

Atelier n°19 :«E-réputation et Social engineering : nouvel enjeu de société»
Importance de la veille pour préserver son image contre des atteintes par la rumeur ou la désinformation facilitée par les réseaux sociaux.
Perte de frontière entre vie privée et vie professionnelle.

Atelier n°20 :«Quel profil pour les futurs responsables sécurité des systèmes d'information»
Recrutement des futurs RSSI : Quels profils ? Quelles compétences ? Quelles formations ?

Atelier n°21 :«Données sensibles : quelles solutions de stockage sécurisé»
Enjeux et risques de l'externalisation.

Atelier n°22 :«Haine et intolérance sur le Net : quelle réponse ?»
Courants extrémistes qui se développent en Europe et les problèmes d'intolérance à l'immigration. Développement de réponses légales ou autres.

Atelier n°23 :«La cybercriminalité s'intéresse à votre santé»
Organisation du secteur SSI Santé (initiative d'une certification professionelle) afin de se préserver contre les atteintes cybercriminelles alors que le monde de la santé effectue sa révolution numérique. La santé publique est un domaine impacté par la cybercriminalité (vente/contrefaçon de médicaments, autodiagnostic médical, escroquerie à l'assurance maladie et sécurité sociale, informations de santé...)

Atelier n°24 ou conférence plénière de clotûre :«Droit à l'oubli sur le Web : ultime protection de l'identité numérique»
Phénomène : perte de contrôle des informations mises sur les réseaux, voire leurs modifications à des fins de nuire ou de faire chanter. La fin du droit à l'oubli, les moteurs de recherche assurant le maintien des informations (en contradiction avec le droit à la réinsertion et à l'erreur).
Lire la suite »

IAWACS - Concours antivirus édition 2010

Information fournie par Philippe de securiteoff.blogspot.com (voir son article concours-antivirus-edition-2010)

La deuxième édition du concours IAWACS (International Alternative Workshop on Aggressive Computing and Security) aura lieu à Paris, à l'ESIEA, du 12 au 14 mai 2010.

L'objectif sera de passer outre la protection du logiciel antivirus dans un environnement Windows 7 en mode utilisateur, sans connexion internet et avec les applications communes installées (Suite Microsoft, Suite OpenOffice, Pdf reader...).

Voici la liste des antivirus retenus pour le concours :
- Avast
- AVG
- Avira
- BitDefender
- DrWeb
- FSecure
- GData
- Kasperky
- McAfee
- Microsoft AV
- NOD 32
- Norton Symantec
- Trend Micro

Lien vers le règlement [en] au format PDF
Lire la suite »

lundi 11 janvier 2010

Douze suites de sécurité au banc d'essai

Qui dit nouvelles menaces dit nouvelles parades… La cybercriminalité ne cesse de progresser. Plus que jamais, vous devez vous protéger. Nous avons passé au banc d'essai les douze principales suites de sécurité estampillées « 2010 ».
Le risque d'être victime d'un accident de voiture est de 1 sur 3 000. Celui d'être cambriolé de 1 sur 30. Celui de subir un acte de cybercriminalité de 1 sur 5 ! Autant dire que l'enjeu des nouvelles suites de sécurités estampillées « 2010 » n'est pas des moindres.

Lire l'article complet sur 01.net : Douze suites de sécurité au banc d'essai
Lire la suite »

dimanche 10 janvier 2010

Firefox une plateforme d'audit de sécurité?

C'est possible grâce à FireCAT (Firefox Catalog of Auditing extension) qui est un catalogue des extensions Firefox les plus utiles et efficaces orientées évaluation et audit de sécurité. Il est édité par Security-Database.

Au programme :
- Fingerprint
- Enumeration
- Sniffer
- Système de détection d'intrusion (IDS)
- Malware scanner
- Exploit
- ...

Il peut être intéressant d'associer ces extensions à une version Firefox portable placée sur une clé USB qui nous suivra dans tous nos déplacements.

Plus d'informations sur FireCAT [en]
Téléchargement du pack d'extension FireCAT 1.5
FireCAT 1.6 : version du catalogue en ligne
Lire la suite »

jeudi 7 janvier 2010

Recommandations Microsoft sur les Antivirus

Cet article contient des recommandations qui peuvent vous aider à protéger un ordinateur exécutant Microsoft Windows Serveur 2008 R2, Windows Serveur 2008, Windows Serveur 2003, Microsoft Windows 2000, Windows XP, Windows Vista, ou Windows 7 contre les virus. Il contient également des informations vous permettant de réduire l'impact des logiciels antivirus sur les performances du système et du réseau.

Source Microsoft [en] : Virus scanning recommendations for computers that are running Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista, or Windows 7

Un article Microsoft qui s'est vu contester, plus d'information dans cet article : Un éditeur d'antivirus conteste des recommandations faites par Microsoft

Cet article contient des informations sur la modification du Registre. Sauvegardez le Registre avant de le modifier.
Démarrer >> Exécuter >> taper "regedit" >> puis entrée >> cliquer sur l'icône Poste de travail >> fichier >> exporter >> Choisir un emplacement et un nom pour le fichier
Pour restaurer la sauvegarde double-cliquez sur le fichier et acceptez.

N'analysez pas les fichiers et les dossiers ci-dessous. Ces fichiers ne courent aucun risque d'infection. Si vous analysez ces fichiers, de sérieux problèmes de performances peuvent se produire en raison du verrouillage des fichiers. Lorsqu'un ensemble spécifique de fichiers est identifié par son nom, excluez uniquement ces fichiers à la place du dossier complet. Parfois, le dossier complet doit être exclu. N'excluez aucune de ces extensions de nom de fichier. Par exemple, n'excluez aucun fichier présentant l'extension *.dit. Microsoft n'a aucun contrôle sur les autres fichiers qui peuvent utiliser les mêmes extensions que les fichiers ci-dessous.

Microsoft Windows Update ou les fichiers en relation avec la mise à jour automatique

- Fichier de base de données de Windows Update ou de la fonctionnalité Mises à jour automatiques. Ce fichier se trouve dans le dossier suivant :
%windir%\SoftwareDistribution\Datastore
Excluez le fichier Datastore.edb.
- Fichiers du journal des transactions. Ces fichiers se trouvent dans le dossier suivant :
%windir%\SoftwareDistribution\Datastore\Logs
Excluez les fichiers suivants :
Edb*.log
* : Remarque Le caractère générique indique la présence possible de plusieurs fichiers.

Res1.log. Le fichier est nommé Edbres00001.jrs pour Windows Vista, Windows 7, Windows Server 2008, and Windows Server 2008 R2.
Res2.log. Le fichier est nommé Edbres00002.jrs pour Windows Vista, Windows 7, Windows Server 2008, and Windows Server 2008 R2.
Edb.chk
Tmp.edb
Les fichiers suivant contenus dans le dossier %windir%\security devraient être ajoutés à la liste d'exclusion:
*.edb
*.sdb
*.log
*.chk
Remarque : Si ces fichiers ne sont pas exclus, les bases de données de sécurité sont généralement corrompus, et la stratégie de groupe ne peuvent pas être appliquées lorsque vous analysez le dossier. Plus précisément, vous devez exclure les fichiers suivants:
Edb.chk
Edb.log
*.log
Security.sdb dans le dossier :\windows\security\database


Fichiers en relation avec les stratégies de groupe

* Registre de stratégies de groupe utilisateur. Ces fichiers sont localisés dans le dossier suivant:
%allusersprofile%\
Excluez les fichiers suivants :
NTUser.pol
* Fichier client de paramètre de stratégie de groupe. Ces fichiers sont localisés dans le dossier suivant:
%Systemroot%\system32\GroupPolicy\
Excluez les fichiers suivants :
registry.pol


Pour les contrôleurs de domaine Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 et Windows 2000

Comme les contrôleurs de domaine fournissent un service critique aux clients, le risque d'interruption de leurs activités provenant du code malveillant d'un virus doit être réduit. Le logiciel antivirus est la méthode généralement acceptée pour réduire le risque d'infection par un virus. Installez et configurez le logiciel antivirus afin que le risque sur le contrôleur de domaine soit réduit au maximum et que les performances soient affectées au minimum. La liste suivante contient des recommandations vous permettant de configurer et d'installer le logiciel antivirus sur un contrôleur de domaine Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 et Windows 2000.

Avertissement : Microsoft vous conseille d'appliquer la configuration spécifiée ci-dessous sur une configuration de test pour vous assurer qu'elle n'introduit pas de facteurs inattendus, ni qu'elle compromette la stabilité du système dans votre environnement spécifique. Le risque lié à un nombre excessif d'analyses entraîne l'indication incorrecte de modification des fichiers, provoquant une réplication excessive dans Active Directory. Si les tests vérifient que cette réplication n'est pas affectée par les recommandations suivantes, vous pouvez appliquer le logiciel antivirus à l'environnement de production.

Remarque : Les recommandations spécifiques des fournisseurs de logiciels antivirus peuvent remplacer les recommandations de cet article.
- Le logiciel antivirus doit être installé sur tous les contrôleurs de domaine de l'entreprise. En premier lieu, essayez d'installer ce logiciel sur tous les autres systèmes serveur et client qui doivent interagir avec les contrôleurs de domaine. Il est souhaitable d'intercepter le virus au point le plus avancé, tel qu'au niveau du pare-feu ou du système client, là où le virus s'introduit en premier. Cela l'empêche définitivement d'atteindre les systèmes d'infrastructure dont les clients dépendent.
- Utilisez une version de logiciel antivirus qui est conçue pour fonctionner avec les contrôleurs de domaine Active Directory et qui utilise les API (Application Programming Interfaces) correctes pour accéder aux fichiers sur le serveur. Les versions antérieures de la plupart des logiciels de constructeur modifient de façon incorrecte les métadonnées de fichier lors de leur analyse, entraînant la reconnaissance d'une modification de fichier par le moteur Service de réplication de fichiers (FRS, File Replication Service) et, par conséquent, la planification de la réplication du fichier. Les dernières versions empêchent ce problème.
- N'utilisez pas de contrôleur de domaine pour parcourir le Web ou pour exécuter toutes les autres activités qui peuvent introduire un code malveillant.
- Lorsque c'est possible, n'utilisez pas le contrôleur de domaine comme serveur de partage de fichiers. Les logiciels d'analyse antivirus doivent être exécutés sur tous les fichiers dans ces partages et cela peut appliquer une charge peu satisfaisante sur le processeur et les ressources mémoire du serveur.
- Ne stockez ni Active Directory, ni la base de données FRS, ni les fichiers journaux sur les volumes compressés du système de fichiers NTFS.
- N'analysez pas les fichiers et les dossiers suivants. Ces fichiers ne risquent pas d'être infectés et si vous les ajoutez, cela peut provoquer de graves problèmes de performances à cause du verrouillage de fichier. Lorsqu'un jeu spécifique de fichiers est identifié par son nom, excluez uniquement ces fichiers au lieu du dossier complet. Parfois, le dossier complet doit être exclu. N'excluez pas tous ceux qui sont basés sur l'extension de nom de fichier. Par exemple, n'excluez pas tous les fichiers avec une extension *.dit. Microsoft ne dispose d'aucun contrôle sur les autres fichiers qui peuvent utiliser la même extension que ceux qui sont indiqués ici.

Active Directory et les fichiers relatifs à Active Directory :
- Principaux fichiers de base de données NTDS. L'emplacement de ces fichiers est spécifié dans la clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
L'emplacement par défaut est %windir%\ntds. Excluez les fichiers suivants :
Ntds.dit
Ntds.pat

- Fichiers du journal des transactions Active Directory. L'emplacement de ces fichiers est spécifié dans la clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
L'emplacement par défaut est %windir%\ntds. Excluez les fichiers suivants :
EDB*.log (le caractère générique indique la présence possible de plusieurs fichiers)
Res1.log
Res2.log
Ntds.pat

Remarque Microsoft Windows Server 2003 n'utilise plus le fichier Ntds.pat.
- Le dossier de travail NTDS qui est spécifié dans la clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
Excluez les fichiers suivants :
Temp.edb
Edb.chk


Fichiers SYSVOL :
- Le dossier de travail du service de réplication de fichiers (FRS) qui est spécifié dans la clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
Excluez les fichiers suivants :
FRS Working Dir\jet\sys\edb.chk
FRS Working Dir\jet\ntfrs.jdb
FRS Working Dir\jet\log\*.log
- Les fichiers journaux de la base de données FRS qui se trouvent dans la clé de Registre suivante :
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\DB Log File Directory
L'emplacement par défaut est %windir%\ntfrs. Excluez les fichiers suivants :
FRS Working Dir\jet\log\*.log (si la clé de Registre n'est pas définie)
FRS Working Dir\jet\log\edbres00001.jrs (Windows Server 2008, and Windows Server 2008 R2)
FRS Working Dir\jet\log\edbres00002.jrs (Windows Server 2008, and Windows Server 2008 R2)
DB Log File Directory\log\*.log (si la clé de Registre est définie)
- Le dossier intermédiaire qui est spécifié dans la clé de Registre suivante et tous les sous-dossiers du dossier intermédiaire :
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
L'emplacement actuel du dossier intermédiaire et de tous ses sous-dossiers est la cible d'analyse du système de fichiers des dossiers intermédiaires du jeu de réplicas. Valeurs par défaut intermédiaires à l'emplacement suivant :
%racine_système%\sysvol\staging areas

L'emplacement actuel du dossier SYSVOL\SYSVOL et de tous ses sous-dossiers est la cible d'analyse du système de fichiers de la racine du jeu de réplicas. Le dossier SYSVOL\SYSVOL par défaut à l'emplacement suivant :
%racine_système%\sysvol\sysvol

- Le dossier de préinstallation FRS qui se trouve à l'emplacement suivant :
racine_réplica\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
Le dossier de préinstallation est toujours ouvert lorsque FRS est en cours d'exécution.

En résumé, la liste des dossiers ciblés et exclus d'une arborescence SYSVOL qui est placée à son emplacement par défaut ressemblerait à ce qui suit :
1. %racine_système%\sysvol Exclure
2. %racine_système%\sysvol\domain Analyser
3. %racine_système%\sysvol\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory Exclure
4. %racine_système%\sysvol\domain\Policies Analyser
5. %racine_système%\sysvol\domain\Scripts Analyser
6. %racine_système%\sysvol\staging Exclure
7. %racine_système%\sysvol\staging areas Exclure
8. %racine_système%\sysvol\sysvol Exclure
Si l'un de ces dossiers ou fichiers a été déplacé ou stocké à un emplacement différent, analysez ou excluez l'élément équivalent.

- DFS
Les mêmes ressources qui sont exclues pour un jeu de réplicas SYSVOL doivent également être exclues lorsque FRS est utilisé pour répliquer des partages qui sont mappés à la racine DFS et pour lier les cibles sur les ordinateurs membres ou les contrôleurs de domaine Windows 2000 ou Windows Server 2003.

- DHCP
Par défaut, les fichiers DHCP qui devraient être exclus sont présent dans le dossier suivant sur le serveur.
%systemroot%\System32\DHCP
L'emplacement des fichiers DHCP peuvent être changés. Pour déterminer l'emplacement courant des fichiers DHCP sur le server, vérifiez les paramètres DatabasePath, DhcpLogFilePath, et BackupDatabasePath dans  la clé de registre suivante:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\DHCPServer\Parameters

For Windows Server 2008, Windows Server 2003, and Windows 2000 domain controllers
* DNS: Vous devriez exclure tous les fichiers et tous les sous-dossiers qui existent dans le dossier suivant:
%systemroot%\system32\dns
* WINS: Vous devriez exclure tous les fichiers et tous les sous-dossiers qui existent dans le dossier suivant:
%systemroot%\system32\wins
Lire la suite »

mercredi 6 janvier 2010

Réseau de Botnet à partir d´iPhone débloqués


Retour des iPhones jailbreakés sur le devant de la scéne pirate. Découverte d´un réseau de Botnet à partir d´iPhone débloqués.

Silicon revient sur une annonce faite par des chercheurs du SRI International Malware Threat Center. Les ingénieurs de cette entreprise auraient mis la main sur un réseau de botnets, des robots pirates, qui s'installeraient dans iPhones jailbreakés.

Les téléphones zombies peuvent être utilisés pour lancer des attaques dès que le pirate en donnera l'ordre. Les téléphones portables d'Apple modifiés sont attaqués par un ver baptisé iKee.B. Le code malveillant a été découvert il y a un mois.

Le ver exploite une faille dans le service SSH (Secure Shell). Selon le SRI International Malware Threat Center, le vilain microbe serait contrôlé par un serveur central situé en Lituanie.

Source : Réseau de Botnet à partir d´iPhone débloqués
Lire la suite »

lundi 4 janvier 2010

Sécurité informatique, quelle perspective pour 2010 ?

Ces dernières années le cybercrime s’est organisé en un marché parallèle établi. Une professionnalisation qui explique en partie le nombre croissant de nouveaux malware apparus en 2009 : une partie des bénéfices est investie afin d’améliorer l'infrastructure et les nouvelles techniques d'attaque. Dans cette perspective, il y a peu d'espoir d’une amélioration en 2010. Prudence des utilisateurs et réactivité des acteurs de la sécurité informatique restent donc les maîtres mots.

G Data profite de cette fin d’année pour livrer son analyse des futures tendances possibles en terme de sécurité :

· Les applications du Web 2.0 seront la cible d’attaques variées
· Le nombre de sites Web intégrant des logiciels malveillants progressera
· Bien que moins axé sur les banques, l’hameçonnage restera une source de collecte de données et d’argent de premier ordre.
· Windows 7 sera la nouvelle cible des attaques
· Des rootkits plus complexes feront leur apparition
· L'expansion des services de Cloud Computing attirera de plus en plus de cybercriminels

 Lire l'article complet Sécurite informatique quelle perspective pour 2010 sur Zataz
Lire la suite »

samedi 2 janvier 2010

Les dangers de la clé USB

Aujourd'hui, les clés USB sont devenues très courantes dans l’échange de données (confidentielles ou non), aussi bien dans le cadre personnel que professionnel . Mobiles, elles suivent l'utilisateur et se branchent sur tous les ordinateurs auxquels ce dernier à accès et disposent d’une quantité de stockage de plus en plus importantes.
Ce type de périphérique présente des dangers que l’on peut classer en 2 catégories :
- Dangers provenant du contenu de la clé
- Dangers s’attaquant au contenu de la clé


Dangers provenant du contenu de la clé

- La clé peut contenir un fichier infecté qui une fois exécuté compromettra la sécurité de la machine.
Une banque américaine a fait réaliser en 2006 une expérimentation qui a consisté à abandonner vingt clés infectées à des endroits fréquentés par les employés de la banque. Quinze de ces clés ont été ramassées puis branchées sur des ordinateurs de l'entreprise. Plusieurs utilisateurs ont ensuite activé un fichier malicieux (avec l'apparence d'une photo) présent sur la clé  et ont ainsi involontairement infecté leur poste de travail. Article complet en anglais.
- La clé peut contenir des applications permettant de perpétrer un vol d’information (mot de passe etc…) par exemple Cofee le logiciel Microsoft destinés aux policiers du monde entier.

Dangers s’attaquant au contenu de la clé

- La clé peut facilement être perdue ou bien volée.
- Le contenu de la clé peut être automatiquement copié si elle est branchée sur un ordinateur disposant d’un logiciel comme USB Dumper (logiciel permettant de sauvegarder le contenu d’une clé dès qu’elle est connectée à la machine, il permet aussi d’ajouter ou de modifier le contenu de la clé avec par exemple des macros sur les fichiers word ou excel).
- Il est aussi possible de récupérer tout ou partie du contenu effacé d’une clé.

Quelques conseils de sécurité

- Considérer comme suspecte toute clé que l’on vous prête.
- Chiffrer le contenu de la clé.
- Placer les données sensibles dans une archive (zip par exemple) avec un mot de passe. Des logiciels permettent de cracker les mots de passe des archives, pour leur rendre la tâche plus difficile utiliser un mot de passe de plus d’une dizaine de caractères contenant des caractères spéciaux, chiffres et majuscules.
- Utiliser un compte utilisateur sur votre machine et non un compte administrateur, cela limitera l’infection à la session de l’utilisateur et permettra de ne pas compromettre toute la machine.
- Utiliser un antivirus à jour.

Pour plus d’information sur le sujet, je vous invite à lire l’article du CERTA sur les risques associés aux clés USB.
Lire la suite »