Archives pour la catégorie Sécurité

Mozilla Firefox 33, mise à jour

firefox-256Mozilla propose avec cette mise à jour une liste de changements:
– La mise en place de l’OMTC, avec comme objectif la performance améliorée avec la création d’un deuxième processus qui doit être traitée par le GPU.
– Le support de l’OpenH264
– Une meilleure fonction de recherche dans la barre d’adresse
– Accélération de JavaScript strings
– Un nouveau Content Security Policy
– Une restauration des sessions améliorées
– Une nouvelle interface DOMMatrix
– Connexions Proxy HTTP par HTTPS.

 

 

 

Le script c99.php (c99Shell) a un backdoor

Le script c99.php permet d’avoir un accès shell sur un serveur.

c99shell
Le chercheur en sécurité Matthew Bryant a analysé ce script et s’est rendu compte qu’il comportait une vulnérabilité dans la commande extract() qui permet à n’importe qui de contourner l’authentification.
c99.php  vous demande un mot de passe, mais vous pouvez quand même y accéder simplement via cette URL :

http://domaine.ou.ip/c99.php?c99shcook[login]=0

On recommande vivement de supprimer ce script si vous l’utilisez.

 

Evernote victime d’une attaque par déni de service

evernoteEvernote a été victime d’une attaque en déni de service (DDoS) qui a entrainé une interruption de service pendant plusieurs heures.
Tout est revenu à la normale dans la nuit aux alentours de 4h du matin (heure de Paris).
Même s’il pourrait y avoir quelques coupures dans les prochaines 24 heures.

 

VeraCrypt, une alternative à TrueCrypt

VerCrypt_Encrypting_Partition

Un clone de TrueCrypt a été réalisé par la société française IDRIX en se basant sur le code de TrueCrypt et en améliorant l’algorithme pour le rendre plus résistant aux attaques par brute-force.
VeraCrypt n’est pas compatible avec les conteneurs de TrueCrypt, pour l’instant disponible pour Windows et prochainement sur Linux et OSX.

 

OpenSSL, 7 nouvelles failles de sécurité corrigées

openssl

Sept nouvelles vulnérabilités ont été découvertes dans la openssl, dont l’une comme critique.
Toutes les versions du client OpenSSL sont affectées par cette faille.
Côté serveur, seules les versions 1.0.1 et 1.0.2-beta1 sont touchées.
Deux autres vulnérabilités peuvent entrainer une attaque par déni de service. Les versions 1.0.0 et 1.0.1 où SSL_MODE_RELEASE_BUFFERS est activé sont affectées par cette faille.
Les versions d’Imingo ne sont touchées, si vous avez un serveur vous pouvez vérifier la version d’openssl avec « openssl version ».

 

Core Initiative Infrastructure, sécuriser SSL, SSH, NTP …

logo_cii

 

Suite à la faille Heartbleed, un groupe d’entreprises high-tech, dont Amazon, Cisco, Dell, Facebook, Microsoft, IBM ont créé la CII (Core Initiative Infrastructure). La CII ne va pas se limiter au protocole OpenSSL, mais également vérifier la sécurité d’OpenSSH et le NTP.

« Tout développement logiciel a besoin de logiciel et de financement. Le logiciel Open Source ne fait pas exception. Il justifie un niveau de support à hauteur du rôle dominant qu’il joue aujourd’hui dans l’infrastructure globale ». Selon lui, la Core Initiative Infrastructure va permettre de « passer des réponses réactives, de crise, à des mesures et à des méthodes proactives pour identifier et financer les projets qui ont besoin de soutien » , déclaration du directeur exécutif de la Linux Foundation.

 

 

La fin de TrueCrypt

truecrypt

Le célèbre projet TrueCrypt, la référence open source et multiplateforme pour le chiffrement de données, ne sera plus développé.
Le site truecrypt.org conseille d’utiliser BitLocker sous Windows ou les archives chiffrées de Mac OS.
On peut lire en rouge sur le site :
ATTENTION, utiliser TrueCrypt n’est pas sûr car il peut contenir des failles de sécurité non comblées.
Il est donc conseillé de ne plus utiliser TrueCrypt !

 

Renouvellement frauduleux nom de domaine

Attention,  tentative de renouvellement frauduleux de votre nom de domaine.
La société Domain Renewal Group multiplie les courriers encourageant le renouvellement de votre nom de domaine, et donc cela équivaut à les autoriser à transférer votre nom de domaine.

Quelques conseils pour éviter ce type de fraude :

  • Vérifiez  toujours le nom de la société, en-tête, signature, … et particulièrement celles hors d’Europe.
  • Ne rien signer si vous avez le moindre de doute et vous rapprochez de votre fournisseur habituel.
  • Ne tenez pas compte de ces demandes tant que vous n’êtes pas vous même l’instigateur de celle-ci au près de cette société.