Les objets connectés marquent un tournant majeur dans notre relation vis-à-vis de notre conception du quotidien.
Actuellement, nos objets ont une finalité principale et généralement unique : un thermomètre sert à donner la température. En devenant connectés, la nature des objets change.
http://www.apssis.com/#/articles-adherents/4395696
Une gestion de version détaillée se trouve à la fin de ce document.
Une vulnérabilité a été découverte dans GNU bash. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
La vulnérabilité CVE-2014-6271 consiste en une injection de commande suivant la définition d’une fonction dans une variable d’environnement. Dans certains cas, un processus peut hériter de variables d’environnement provenant d’une machine distante, ce qui rend cette vulnérabilité exploitable à distance. C’est notamment le cas de serveurs Web employant des scripts bash comme CGI-bin, de certains serveurs SSH et des clients DHCP.
Il est possible de vérifier si la version de bash est vulnérable avec la commande:
$ env VAR='() { 0; }; echo danger' bash -c "echo bonjour"
A l’heure actuelle, certains correctifs sont incomplets en raison d’une vulnérabilité résiduelle (CVE-2014-7169). Néanmoins le CERT-FR recommande d’appliquer les correctifs pour réduire la facilité d’exploitation. Les derniers correctifs des distributions Debian, Ubuntu et RedHat corrigent aussi CVE-2014-7169.
Dans le cadre spécifique de services Web vulnérables, le CERT-FR recommande de filtrer les en-têtes HTTP commençant par les quatre caractères '() {' par le biais du module Apache mod_security ou d’un pare-feu applicatif du même type.
http://www.debian.org/security/2014/dsa-3032
http://www.debian.org/security/2014/dsa-3035
http://www.ubuntu.com/usn/usn-2362-1/
http://www.ubuntu.com/usn/usn-2363-1/
http://www.ubuntu.com/usn/usn-2363-2/
http://www.ubuntu.com/usn/usn-2364-1/
https://access.redhat.com/articles/1200223
https://rhn.redhat.com/errata/RHSA-2014-1306.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6277
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6278
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7169
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7186
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7187
| Dernière version de ce document : | http://cert.ssi.gouv.fr/site/CERTFR-2014-ALE-006 |
CERT-FR
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-006/CERTFR-2014-ALE-006.html
Une gestion de version détaillée se trouve à la fin de ce document.
Une vulnérabilité a été découverte dans la version 3 du protocole SSL permettant de sécuriser les connexions entre clients et serveurs. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données, par exemple de récupérer un cookie de session HTTPS.
L’exploitation de la vulnérabilité est basée sur la négociation protocolaire entre le client et le serveur. Le client force le serveur à utiliser SSLv3 qui est une ancienne version du protocole SSL/TLS. L’attaquant sera en mesure de déchiffrer une partie du trafic réseau vers des sites sécurisés et de récupérer des cookies de session HTTPS.
Il est possible de configurer les navigateurs afin de les empêcher d’utiliser cette version du protocole :
Pour les applications basées sur l’API Cryptographique de Windows (CAPI), il est possible de modifier la clé de registre suivante :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ Protocols\SSL 3.0\Client] "Enabled"=dword:00000000
https://www.openssl.org/~bodo/ssl-poodle.pdf
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
| Dernière version de ce document : | http://cert.ssi.gouv.fr/site/CERTFR-2014-ALE-007 |
CERT-FR
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-007/CERTFR-2014-ALE-007.html
Une gestion de version détaillée se trouve à la fin de ce document.
Drupal core, versions 7.x antérieures à 7.32
Une vulnérabilité a été découverte dans Drupal. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance sans authentification préalable.
Il est recommandé de mettre à jour les installations existantes de Drupal vers la version 7.32 qui corrige la vulnérabilité.
En cas d’impossibilité de migrer rapidement vers la dernière version, il est possible d’appliquer le correctif ci-dessous fourni par le projet Drupal :
https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
De plus, en cas de suspicion de compromission, il est fortement conseillé de changer les mots de passe des utilisateurs privilégiés.
https://www.drupal.org/SA-CORE-2014-005
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3704
| Dernière version de ce document : | http://cert.ssi.gouv.fr/site/CERTFR-2014-ALE-008 |
CERT-FR
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-008/CERTFR-2014-ALE-008.html
Une gestion de version détaillée se trouve à la fin de ce document.
Une vulnérabilité a été découverte dans le composant qui permet l’établissement des sessions SSL/TLS sur la plateforme Microsoft Windows. Une attaque réussie permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).
https://technet.microsoft.com/fr-fr/library/security/ms14-066.aspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6321
| Dernière version de ce document : | http://cert.ssi.gouv.fr/site/CERTFR-2014-ALE-010 |
CERT-FR
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-010/CERTFR-2014-ALE-010.html
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-011/CERTFR-2014-ALE-011.html
Une gestion de version détaillée se trouve à la fin de ce document.
Une vulnérabilité a été découverte dans l’implémentation du KDC Kerberos de Microsoft Windows. Elle permet à un attaquant d’altérer certaines propriétés d’un ticket de service sans que ces modifications soient détectées. L’attaquant peut ainsi éléver ses privilèges au niveau administrateur de domaine. Microsoft a indiqué avoir connaissance d’attaques limitées et ciblées exploitant cette vulnérabilité.
Le CERT-FR recommande d’appliquer le correctif du bulletin de sécurité Microsoft MS14-068.
https://technet.microsoft.com/en-us/library/security/ms14-068.aspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6324
| Dernière version de ce document : | http://cert.ssi.gouv.fr/site/CERTFR-2014-ALE-011 |
Le Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA) vient de publier une alerte de sécurité relative à une vulnérabilité dans le noyaux Linux.
Une vulnérabilité a été corrigée dans le noyau Linux. Elle permet à un attaquant de provoquer une élévation de privilèges. Un code d’exploitation est disponible publiquement et activement utilisé.
En attendant que votre distribution intègre le correctif, il est possible de contourner le code d’exploitation en utilisant un noyau durci tel que grsecurity ou les fonctionnalités processeurs :
Il est aussi possible de :
Plus d’information sur le site du CERTA : http://www.certa.ssi.gouv.fr/site/CERTA-2013-ALE-005/CERTA-2013-ALE-005.html
Une vulnérabilité a été découverte sur des terminaux équipés du composant «Exynos 4» (Exynos 4210 ou Exynos 4412) de Samsung. Le pilote de ce composant permet à une application d’élever ses privilèges sur le système et d’exécuter du code en tant qu’administrateur (root).
La liste des systèmes affectés pourrait potentiellement être étendue à des terminaux d’autres marques équipés du composant «Exynos 4» et du pilote Samsung correspondant.
Contournement provisoire
En attendant la publication d’un correctif par le constructeur, le CERTA recommande de ne pas installer d’application non vérifiée sur ces terminaux.
Plus d’informations : http://www.certa.ssi.gouv.fr/site/CERTA-2012-ALE-008/CERTA-2012-ALE-008.html
ANSSI/CERTA
CERTA-2012-AVI-234 :Multiples vulnérabilités dans Mozilla
Quatorze vulnérabilités ont été corrigées dans les produits Mozilla. La majorité permettent d’exécuter du code arbitraire à distance. Trois permettent de contourner des protections contre les attaques par « injection de code indirecte à distance » (XSS). Enfin, une vulnérabilité permet d’obtenir le nom de fichiers utilisés par l’application.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-234/index.html
======
CERTA-2012-AVI-235 :Multiples vulnérabilités dans Firefox Mobile
Dix-neuf vulnérabilités ont été corrigées dans Mozilla Firefox Mobile. Toutes proviennent de corruptions mémoires et peuvent potentiellement être exploitées à distance.
http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-235/index.html
============
SÉCURITÉ
Washington remet en cause le projet de loi sur la cybersécurité
======
Nissan se fait pirater des comptes utilisateurs
======
Anonymous : des codes sources et des e-mails de VMWare volés en Chine
======
Sécurité : Firefox 14 n’affichera plus les favicon dans la barre d’adresses
http://www.pcinpact.com/news/70471-firefox-favicon-suppression-securite-phishing.htm
======
Des serveurs relais mis en place par le FBI bientôt débranchés
======
UFC-Que Choisir saisit le Conseil d’Etat sur les compteurs Linky
======
VMware tente de rassurer après le vol du code source de son hyperviseur
======
La sécurité du Bring Your Own Device au menu d’InfoSec Europe
============
LIBERTÉS PUBLIQUES
WikiLeaks : le juge refuse d’abandonner les charges contre Bradley Manning
======
SURPRISE – 48 000 personnes s’invitent à un anniversaire sur Facebook
&& http://www.pcinpact.com/news/70511-usurpation-identite-facebook-loppsi-evenement.htm
======
Le blocage par défaut des sites pornos refait débat au Royaume-Uni
http://www.pcinpact.com/news/70470-online-safety-bill-pornographie-blocage.htm
======
Numérique : PS et UMP peinent à faire entendre leurs différences
======
« On ne peut pas pirater ces images sans quelque chose en échange »
http://www.pcinpact.com/news/70507-csa-bref-extrait-video-internet.htm
============
DÉVELOPPMENTS INFORMATIQUES, USAGES ET LOGICIELS
Silicon Valley 2012 : Ctera combine NAS, sauvegarde cloud et gestion centralisée
======
PAIX 2.0 – Un réseau social pour anciens terroristes
http://bigbrowser.blog.lemonde.fr/2012/04/26/paix-2-0-un-reseau-social-pour-anciens-terroristes/
======
PDA à l’ancienne pour équiper les commerciaux de Hama
======
Les ventes de tablettes devraient doubler en 2012 selon GFK
============
BREVETS, HADOPI & CO
Guerre des brevets : victoire partielle de Motorola contre Apple
======
Parlement européen : les démocrates et libéraux (ALDE) rejettent ACTA
http://www.pcinpact.com/news/70494-alde-acta-parlement-europeen.htm
======
Le procès Google/Oracle révèle la stratégie du moteur de recherche
======
Entre 2009 et 2010, Hadopi a coûté 390 000 euros à la SCPP
http://www.pcinpact.com/news/70485-hadopi-scpp-contrats.htm
======
ACTA, encore et toujours la stratégie de l’usure
http://www.pcinpact.com/news/70518-acta-cjue-ppe-commission-rapport.htm
============
APPLE
Apple défie la Bourse avec d’excellents résultats
======
Apple est-elle une entreprise éthique : la grande illusion du dividende.
======
Apple ne croit pas à la convergence MacBook et iPad
======
Un analyste chinois prédit la fin du MacBook Pro 17″ chez Apple
======
Trimestriels Apple : CA en hausse de 58% et profits doublés
============
SÉCURITÉ
Microsoft coupe une partie des botnets Zeus
&& http://www.ecrans.fr/Cybercriminalite-Microsoft-joue,14351.html
======
Utilisation de systèmes « hardware » pour les audits de sécurité : une autre voie ?
======
Sarko et l’E-terro : virage loupé
======
Comment j’ai pourri le web
http://www.laviemoderne.net/lames-de-fond/009-comment-j-ai-pourri-le-web.html
============
LIBERTÉS PUBLIQUES
Le Parti Pirate gagne des sièges supplémentaires en Allemagne
http://www.pcinpact.com/news/69808-parti-pirate-allemagne-berlin-sarre.htm
======
La Federal Trade Commission veut améliorer la confidentialité sur le Web
======
ACTA sera soumis au Parlement européen sans attendre l’avis de la CJUE
http://www.pcinpact.com/news/69829-acta-commission-inta-parlement-cjue.htm
======
Affaire Orange/MU/Cogent : l’ARCEP demande au FAI plus de transparence
http://www.pcinpact.com/news/69833-affaire-orange-megaupload-cogent-arcep.htm
======
Données des passagers européens vers les Etats-Unis : un accord en transit
======
HADOPI /BREVETS
La Hadopi s’attribue une baisse du téléchargement illégal
&& http://www.pcinpact.com/news/69826-hadopi-p2p-megaupload-election-presidentielle.htm
======
La HADOPI décloisonnée depuis le 1er trimestre 2012
http://www.pcinpact.com/news/69832-hadopi-syseme-information.htm
============
LOGICIELS, USAGES ET DÉVELOPPEMENTS
Comment « Harry Potter » pourrait changer la donne du marché du livre électronique
======
Tablettes et e-book autorisés au décollage et à l’atterrissage des avions ?
======
Les e-acheteurs sur tablettes plus prolifiques que sur smartphones selon Adobe
============
APPLE
Quand Apple brouille les signaux boursiers
======
Carte nano-SIM : Apple propose un brevet avec licence gratuite
======
Apple bloque les apps identifiant les utilisateurs
&& http://www.pcinpact.com/news/69816-apple-udid-applications-blocage.htm
======
Des critiques infondées sur la batterie de l’iPad HD ?
======
iPad 4G : l’Australie souhaite sanctionner Apple pour publicité mensongère
http://www.pcinpact.com/news/69830-ipad-4g-australie-apple-publicite.htm
============