Tonio's blog

La puissance de calcul réunie de 200 Playstation 3 a permis à des chercheurs de hacker les systèmes de paiement par SSL en créant de faux certificats.

Une équipe de chercheurs en sécurité informatique a mis en évidence une faille dans les sites de e-commerce. Grâce à la capacité de traitement de 200 Playstation 3, ces chercheurs américains, suisses et hollandais sont en effet parvenus à créer en trois jours de fausses versions de certificats - habituellement produits par des autorités de certification telles que VeriSign - utilisés par les navigateurs Web pour vérifier la légitimité des sites marchands et bancaires.

Cette vulnérabilité du système d'encryption des systèmes de paiment par SSL permet aux hackers d'attirer les utilisateurs sur des sites bidon pour dérober leurs données bancaires, pendant que leurs navigateurs continuent d'afficher l'icône du cadenas indiquant normalement qu'un site est sécurisé. Cette faille est connue depuis des années, mais l'équipe de chercheurs a considérablement diminué le temps nécessaire à la fabrication de ces faux certificats, démontrant une faiblesse importante du système.

Microsoft, qui édite le navigateur Internet Explorer, a demandé le 30 décembre aux autorités de certification de modifier en conséquence leurs algorithmes. Mozilla, qui édite Firefox, recommande aux utilisateurs la plus grande prudence lorsqu'ils communiquent des données sensibles. VeriSign a annoncé avoir réglé le problème pour ses certificats et prévoit de retirer son ancien algorithme d'ici fin janvier 2009.

Source : Article "Journal Du Net"

Voir aussi :
Article "HD Numerique"
Article "Clubic"

/!\ DO NOT UPDATE to PHP 5.2.7 /!\

Some more informations :

PHP 5.2.7 has been removed from distribution

07-Dec-2008 - Due to a security bug found in the PHP 5.2.7 release, it has been removed from distribution. The bug affects configurations where magic_quotes_gpc is enabled, because it remains off even when set to on. In the meantime, use PHP 5.2.6 until PHP 5.2.8 is later released.

More informations

Je vous l'annonçais depuis quelques semaines : CNIS Mag est enfin sorti de l'ombre.
Le numéro 1 est sorti au prix de 17€ et voici le sommaire.

En attendant, vous pouvez toujours aller consulter le site web.

Bonne chance à CNIS Mag !

Dans cette édition, nos partenaires s'interrogent sur la dernière affaire secouant les milieux de la sécurité : les limites supposées de la sécurité des réseaux WiFi. Avant de s'amuser des tentatives de phishing cherchant à profiter de la crise financière.

Au sommaire :

• 1 - Pour qui sonne le glas du WiFi (épisode 1)
• 2 - Pour qui sonne le glas du sans fil (épisode 2)
• 3 - Cerrudo exhume la faille « Windows token »
• 4 - La crise ? On s’en phishe
• 5 - Pertes de données : Deloitte est… touché
• 6 - Captchas, hacking IPv6, Tor torturé

Article "Le Mag IT"

Le "Mr sécurité" d'Aladdin Knowledge Systems a repéré cette offensive cyber-criminelle d'envergure mondiale. La France n'est pas épargnée.

[-- Lire la suite --]

Encore une nouvelle édition qui tend à rapprocher la date de sortie du portail !

Au sommaire :

• Chute du black hat The Analyzer
• Injections SQL et Web 2.0
• Patch Tuesday
• Secure Computing : 15M$ pour Securify
• Rutkowska sur le code sécurisé
• Netasq agréé « top secret » Européen Wireshark 1.0.3
• Cisco, trou double, doux trouble
• Morano-Kaspersky, ils sont faits l’un pour l’autre
• Netmon, regardez l’oreille de l’admin réseau
• Biométrie en un clin d’œil
• Misc numéro 39 : le fuzzing !
  
  

Article "Le MagIT"

Dans ce numéro spécial sécurité, CNIS Mag vous propose de mettre en avant les techniques et les outils de hacking en vous démontrant qu'ils sont à la portée de tous...

Au sommaire :

• OSPF - MD5
• Mémoire physique en kernel-land
• Le web, la vie, les ordinateurs et les téléphones
• Opera
• Sysinternals
  

Article "Le MagIT"

La virtualisation a la bougeotte en ce moment :

• KVM est racheté par Red Hat
• Xen sort la version 3.3 de son hyperviseur
• Virtual Box 2.0 est annoncé par Sun
  

La virtualisation est une technique utilisée, en ce moment, par les particuliers pour tester leurs nouveaux systèmes sans avoir à les installer "en dur" et par les professionnels pour faire évoluer leur architecture serveurs. La virtualisation a donc encore de beaux jours devant elle...

Ce nouveau numéro traite tout spécialement de la virtualisation : "Virtualiser n'est pas sécuriser !"

On y retrouve un guide de référence pour sécuriser ses machines virtuelles en environnement Microsoft.

Article "Le Mag IT"

Je vous rappelle que le site en question sera en ligne en septembre. Évidemment, je vous en reparlerai !

Un livre concernant le PCA dans le secours du système d'information.
Lien "Mag Securs"

Cette brèche pourrait remettre en question la confidentialité des communications. Selon le blog américain Wired, ce serait "le plus grand trou de sécurité de l'Internet".

La faille concerne le système BGP, c’est-à-dire le cœur même d’Internet. Elle pourrait permettre à des pirates d’espionner nos courriers électroniques et les informations que nous envoyons sur la toile sans que l’on s’en aperçoive.

Ce nouveau problème vient s'ajouter à la faille DNS dévoilé en juillet et dont on parlait déjà sur le blog et aux problèmes qu'ont connus les serveurs informatiques en Chine pendant les Jeux Olympiques. Atos Origin dévoile avoir intercepté plus de 100 menaces "réelles".

Notion introduite en 1918, le DEMERITE est une méthode d’évaluation de la qualité basée sur la pondération des défauts. La première étape consiste à classer les défauts en classes, chacune comprenant tous les défauts d’égale gravité que l’on est susceptible de rencontrer sur un site. La deuxième étape consiste à attribuer un poids à chacune de ces classes. Le poids affecté à une classe doit tenir compte de l’estimation du préjudice (technique et financier) causé par la présence d’une quelconque défaillance répertoriée dans cette classe.

[-- Lire la suite --]

Le CERT (Computer Emergency Readiness Team) a publié un article suite à la découverte de la possibilité d'attaquer les serveurs LINUX par des clés SSH compromises. Suite à la récupération de ces clés, les pirates auraient un accès root sur la machine et y installerait un rootkit : Phalanx2. Celui-ci permet de dérober d'autres clés SSH, permettant ainsi l'attaque de nouvelles cibles.
L'origine pourrait être une faille dans le générateur de nombre aléatoire de DEBIAN.
La vulnérabilité permet de casser en quelques heures des clés SSL générées depuis plus d'un an.

Annonce officielle

Source : Journal Du Net

Je vous avais présenté "Cnis Mag" dans un précédent article. Voilà de quoi traite ce numéro :

• Microsoft toujours fidèle à Linux
• Microsoft toujours fidèle à VISTA
• L'hyperviseur Windows
• Qu'en est-il de la faille Microsoft PowerPoint

Secunia publie une annonce sur la découverte d'une faille de sécurité modérée sur le lecteur VLC Media Player.

Lien vers l'annonce