BLOGUE - Securité des systèmes

Filter the input and Escape the output!

Deux règles si simples à formuler mais si difficiles à mettre en œuvre. Les possibilités d’attaques de cross-site scripting ou XSS sont si nombreuses qu’il faut croire qu’elles ne peuvent être évitées.

Lire la suite

Un ordinateur personnel infecté permet de recueillir des informations personnelles d’au plus quelques personnes.

Un ordinateur personnel infecté permet de propager des logiciels, courriels ou tous autres trafics malveillants à quelques centaines de kilobits par seconde.

Cela ne représente qu’une goutte dans l’océan de l’Internet.

Maintenant pensez à des dizaines de milliers (voire des millions, mais cela reste toujours à démontrer) d’ordinateurs infectés travaillant à l’unisson dans un but précis. De tels réseaux auraient une capacité extraordinaire pour mener des attaques à de grandes échelles. Il serait simple pour un tel réseau de générer des gigabits de trafic malveillant à la seconde.

Lire la suite

L’actualité est la meilleure agence de publicité pour les cours de sécurité.

En août dernier, la Justice américaine a déposé une accusation contre M. Albert Gonzalez pour une fraude informatique d’une ampleur sans précédent. M. Gonzalez est accusé d’avoir volé plus de 130 millions de numéros de carte de crédit. Il aurait réussi ces vols grâce à des attaques du type SQL injection. Au moins trois organisations ont été la cible de ces vols : Heartland Payment Systems, une firme du New Jersey traitant les paiements par cartes de crédit; 7-Eleven Inc., une grande chaîne de dépanneurs aux É.-U.; et Hannaford Brothers, une chaîne de supermarchés du Maine.

Pourtant, les attaques du SQL injection sont bien connues. De nombreux cas ont été documentés et de nombreuses solutions ont été proposées. Malgré cela, ces attaques semblent toujours aussi efficaces et peuvent rapporter beaucoup d’argent (ou des peines de prison importantes) à ses auteurs.

Pour plus de détails, consultez une ancienne entrée de ce blogue : SQL Injection

Deux études ont été rendues publiques la semaine dernière. Chacune de celles-ci représente une première.

Débutons par celle qui nous touche de près. Benoît Dupont, titulaire de la Chaire en sécurité, identité et technologie du département de criminologie de l’Université de Montréal, a mené une enquête en septembre 2007 (!) afin de déterminer quelles sont les diverses formes de la cybercriminalité au Québec.

Lire la suite

En avril 1992, Ron Rivest publiait un nouvel algorithme de hachage appelé MD5 (voir les RFC de l’IETF 1320 et 1321). Cet algorithme était une amélioration de l’algorithme MD4 présenté deux années auparavant lors de la prestigieuse conférence annuelle de cryptographie de Santa Barbara.

Lire la suite

Le 23 octobre dernier, Microsoft diffusait exceptionnellement une rustine corrigeant une vulnérabilité (débordement de tableau) du Server Service de ses systèmes d’exploitation (voir l’article de ce blogue sur le sujet).

Lire la suite

Afin de produire des logiciels fiables et robustes, il est primordial de bien connaître les pièges à éviter tout au long du cycle de développement. Que cela soit lors de la conception ou de la mise-en-œuvre d’un logiciel, il existe un certain nombre de points cruciaux auxquels il faut faire particulièrement attention.

Le développement d’une brève liste pouvant s’appliquer aux divers environnements de développement permettrait de mieux former les divers acteurs du développement logiciels et de guider les revues de code et le développement des plans de tests.

Lire la suite

L’analyse et la rétro-ingénierie de logiciels malveillants nécessitent des connaissances très spécifiques et l’utilisation d’outils très variés. Ce travail est fait quotidiennement dans les laboratoires des compagnies proposant des outils tels qu’anti-virus, pare-feu et systèmes de détection et de prévention d’intrusions pour combattre ces logiciels malveillants.

Lire la suite

Le hasard fait bien les choses! Au beau milieu du dernier laboratoire pourtant sur les pourriels de mon cours de sécurité, un jugement sans précédent a été rendu par le juge Jeremy Fogel de la U.S. District Court de San José en Californie. Ce juge a condamné un montréalais, M. Adam Guerbuez, à une amende de 873,277,200 USD pour avoir utiliser Facebook pour envoyer plus de 4 millions de pourriels.

Selon ce jugement, M. Guerbuez aurait contrevenu à la loi CAN-SPAM. Pour plus de détails sur cette loi, consultez une entrée antérieure de ce blogue.

Chaque semaine semble nous apporter un nouvel exemple de dispersion de logiciels malveillants par des sites web légitimes mais infectés (drive-by download).

La semaine dernière, The Registry rapportait qu’entre 2,000 et 10,000 serveurs web avaient été infectés et cherchaient à infecter à leur tour leurs visiteurs. Selon les chercheurs du Kaspersky Labs, ces serveurs auraient pu être infectés par des injections SQL, mais ce n’est que des spéculations pour le moment.

Lire la suite

Les entreprises se doivent de manipuler les informations liées aux cartes de crédit de façon responsable afin d’éviter des fraudes à grande échelle.

TJX est devenu un cas type d’une entreprise n’ayant pas su protéger les informations personnelles de ses clients. Des millions de dossiers ont été obtenus par des pirates informatiques. Pour plus de détails, recherchez les autres entrées de ce blogue traitant de TJX.

Lire la suite

Des chercheurs du RSA FraudAction Research Lab ont révélé cette semaine l’existence d’un cheval de Trois malveillant du nom de Sinowal qui infecte des machines afin de récupérer des informations personnelles permettant d’effectuer des fraudes bancaires. Ce logiciel malveillant œuvrerait depuis près de trois ans et aurait obtenu des informations de près de 500,000 comptes bancaires ou cartes de crédit. Les victimes de cette fraude sont réparties à travers la planète (Amérique du Nord, Europe (Royaume Uni, France, Espagne, Allemagne, Pays-Bas, Italie, …), Asie Pacifique (Australie, Chine, Malaysie, …) et en Amérique du Sud. Après tout ce temps, les chercheurs n’ont toujours pas pu trouver un moyen de parer à ce logiciel malveillant. Voir l’article original du blog de RSA ainsi que l’article de la BBC.

Lire la suite

Le 23 octobre dernier, Microsoft diffusait exceptionnellement une rustine corrigeant une vulnérabilité du service Windows SMB file sharing – offert sur les ports 139 et 445 (voir Microsoft Security Bulletin, Microsoft Security Vulnerability Research & Defense blog et Microsoft Security Response Center). Les systèmes Windows 2000, Windows XP SP2 et Windows Server 2003 sont particulièrement vulnérables. Les systèmes Windows Vista et Windows Server 2008 le sont aussi mais moindrement. Se faisant, Microsoft dérogeait de leur calendrier habituel. Depuis 2004, il distribue les correctifs le second mardi de chaque mois – Patch Tuesday.

Lire la suite

La semaine dernière, de nombreux sites ont présenté les résultats des chercheurs Martin Vuagnoux et Sylvain Pasini du laboratoire de sécurité de l’EPFL. Ce laboratoire universitaire sous la supervision de Serge Vaudenay est un des centres de recherche de pointe en sécurité et cryptographie en Europe.

Lire la suite

Alan Turing (1912-1954), mathématicien anglais de génie, a joué un rôle primordial lors de la naissance de l’informatique. Sa machine théorique (Machine de Turing) a permis de formaliser les concepts d’ordinateur universel et de programme.

Lire la suite