15 avril 2008
L'iPhone vulnérable
Le fournisseur de solutions intégrées de distribution d’applications
pour les réseaux orientés métier, Radware, annonce que l’équipe de
recherche spécialisée de son centre de sécurité opérationnelle a
découvert une vulnérabilité de type déni de service dans le navigateur Safari de l’iPhone version 1.1.4 d’Apple.
Une protection immédiate est disponible dans le cadre du service des mises à jour de sécurité de Radware, pour préserver les infrastructures des clients avant la divulgation publique de la faille.
Pour être victime de cette faille, l’utilisateur d’un iPhone doit
ouvrir une page HTML contenant du code JavaScript qui contient
l’attaque.
La divulgation de cette page peut être due à un
campagne d’ingénierie sociale (par exemple, e-mail ou SMS de spam).
L’utilisateur est alors confronté à un déni de service au niveau
applicatif qui se traduit par un plantage du navigateur Safari et qui
peut même aboutir à un arrêt complet de l’appareil iPhone.
Itzik Kotler, directeur du centre de sécurité opérationnelle de Radware, estime que
"dans leur course pour lancer de nouveaux produits et applications, les
fournisseurs négligent de toute évidence la priorité que doit être la
sécurité. Les pirates continuent à détourner les logiciels d’autres
personnes et leur tâche s’avère facilitée par des failles de conception
que ces produits intègrent."
Le navigateur iPhone Safari d’Apple est vulnérable à des attaques DoS en raison d’une faille de conception.
Cette dernière peut être exploitée suite à une série d’opérations d’allocation dans le 'pool' de mémoire dynamique, ce qui peut déclencher un 'bug' dans le gestionnaire de corbeille.
Aucun
correctif n’existe actuellement pour cette faille de sécurité; les
propriétaires d’iPhone restent donc vulnérables face à de possibles
attaques tant qu’Apple ne publie pas une mise à jour de sécurité.
(Source: silicon.fr)
Exploité pour détourner Gmail
Les escrocs ont de
l'imagination. Ils ont trouvé une parade très efficace pour détourner
Captcha (Completely automated public turing test to tell computers and
humains apart). Exploitée notamment par Google, cette solution a été
retenue pour protéger les comptes de son Webmail, Gmail.
Pour finaliser
l'ouverture d'un compte, l'internaute doit en effet retaper des
caractères insérés dans une image.
Cette procédure est censée bloquer les
logiciels-robots, utilisés par les spammeurs, qui sont incapables de
répondre à ce genre de requête d'authentification en retapant
correctement la suite de caractères. Mais des petites mains peuvent le
faire ! C'est ce que viennent de révéler Websense et Trend Micro.
Selon ces éditeurs de sécurité, les spammeurs
exploitent en Inde des personnes payées quelques euros par jour pour
seconder ces logiciels analphabètes ! Ce pays n'est pas le seul à être
utilisé par les spammeurs.
« Nous avons repéré de la documentation en
ligne sur des sites russe qui fournissent des instructions détaillées
sur la manière de procéder », nous a précisé Rik Ferguson, Solutions Architect de Trend
Micro.
La méthode se déroule en quatre étapes.
Premièrement, un logiciel se connecte automatiquement à la page
d'inscription de Gmail et remplit le formulaire avec des données
aléatoires. Lorsque le message Captcha apparaît, le logiciel envoie la
page à l'atelier indien où une personne saisit la combinaison de
lettres et de chiffres et renvoie l'information au logiciel. Ce dernier
n'a plus qu'à terminer le processus d'enregistrement. Les spammeurs
disposent ainsi d'un nouveau compte gratuit. Aussitôt après, ils
peuvent envoyer plusieurs millions de spams par l'intermédiaire de ce
compte Gmail.
Cette méthode est plus efficace que celle
reposant uniquement sur des logiciels-robots développés pour remplir de
façon aléatoire le code Captcha. Le taux d'erreurs approcherait les 70
à 80 %. Avec la procédure manuelle, le taux de réussite frôle le 100 % ! « Ces développements vont certainement jeter
le doute sur l'efficacité de tout système qui repose sur la technologie
Captcha pour authentifier ses abonnés », estime Rik Ferguson.
Le détournement de cette protection utilisée par de très nombreux services Web, produit déjà ses premiers effets négatifs. Le trafic d'e-mails généré par des comptes Gmail a doublé en un mois, selon le spécialiste de la sécurité MessageLabs. Face à cette multiplication des spams issus de comptes créés dans ces ateliers, les éditeurs de logiciels antispam commencent à durcir leur filtrage des adresses Gmail...
(Source: 01net.com)
7200 jeunes piègés par le site Celbel.be
En une dizaine de jours, quelque 7.200
jeunes se sont faits piéger par le Centre de recherche et d’information
des organisations de consommateurs (CRIOC) qui a mis en ligne un site
internet factice afin de sensibiliser aux atteintes à la vie privée que
subissent les jeunes sur internet. Sur ce site, l’organisation tente,
via une fausse offre commerciale, de soutirer aux jeunes internautes
des données personnelles ainsi que les adresses e-mail de leurs amis.
Concrètement, les jeunes internautes de moins de 21 ans qui se rendent sur le site internet www.celbel.be se voient présenter une offre des plus alléchantes : téléphoner et envoyer des SMS pendant une année entière sans devoir payer un sou, à condition toutefois que le jeune communique sur le site l’ensemble de ses données personnelles et invite quelques amis ou amies à profiter à leur tour de cette offre fantastique.
« Mais souvent, il ne faut pas se fier aux apparences. C’est également le cas ici car à la fin du procédé arrive une douche froide ! Pas de communication gratuite, pas de SMS… Mais bien une information utile sur le respect (ou manque de respect) de la vie privée sur internet fournie par le site informatif www.web4me.be, vers lequel le jeune est référé à la fin du parcours », explique le CRIOC dans un communiqué, précisant avoir voulu « tester à quel point les jeunes sont négligents avec la divulgation d’informations personnelles sur le net ».
Le site internet celbel.be a été lancé le 1er avril, dans le cadre du Programme européen « Safer Internet », afin de sensibiliser les jeunes aux risques qu’ils courent sur internet. « Un des problèmes les plus fréquents est le manque de protection de la vie privée », estime le CRIOC.
Selon une étude, 85 % des sites internet pour jeunes ne se conforment pas à la législation sur le respect de la vie privée.
(Source: lesoir.be)
Suite du sabotage de câbles sous-marins au Moyen-Orient
2 bateaux ont été stoppés à Dubai après la révélation par images
satellite de leur présence exactement au moment et à l’endroit où
prennent origine les connexions Internet de toute une région qui ont
brutalement cessé.
Les images ont permis d’identifier le MV Hounslow et le MV Ann qui auraient, suite à une tempête, cherché l’abri dans une zone interdite et jeté l’ancre là où il fallait pas.
Le premier vaisseau a été relâché après que son propriétaire coréen ait accepté de régler une forte amende. Mais les marins du deuxième d’origine irakienne risquent la prison.
(Source: theinquirer.fr)
14 avril 2008
Le site de Freedom2Choose et Forces International piraté
Les sites de deux organisations britanniques, Freedom2Choose et Forces
International, on été redirigés pendant 11 heures vers un site anti
tabac. La méthode utilisée était une faille au niveau DNS.
Les deux associations clament que l'interdiction de fumer dans des
lieux publics est basée sur des affirmations scientifiques frauduleuses
à propos des fumeurs passifs. D'après eux, 5 études sur 6 expriment que
la "deuxième fumée" est complètement inoffensive et veulent du coup
pouvoir continuer à exercer leur liberté de s'époumoner en paix.
(Source: informaticien.be)
Couper le net aux "Pirates" n'est pas la bonne solution
Faut-il couper l'accès internet des usagers qui
téléchargent illégalement des contenus créatifs sur la Toile?
Non, a
répondu le Parlement européen, remettant en cause l'approche choisie
par la France pour punir les pirates, jugée disproportionnée.
Lire la suite ici
(Source: lesoir.be)
300.000 euros dans les égouts
Le propriétaire d'un centre de lavage de voitures de
Saint-Pétersbourg a découvert cette semaine un diamant en pendentif
d'une valeur de 300.000 euros alors qu'il nettoyait le système
d'évacuation des eaux.
"Je ne savais combien il pouvait valoir, alors j'ai demandé à un joaillier de venir le voir et il m'a dit qu'il valait près de 300.000 euros", a raconté à Reuters Vladimir Shapiro.
"Quand il m'a dit sa valeur, ma mâchoire s'est décrochée. Ça se remarque quand on perd quelque chose comme ça."
Shapiro s'est refusé à donner plus de détails sur le bijou afin qu'il puisse le restituer à son vrai propriétaire.
(Source: reuters.fr)
ebuddy.com filtré par MSN
Après avoir bloqué tous les noms de domaines portant l'extension ".info", jugés de sources peu fiables, Microsoft s'en prend désormais à ses concurrents directs.
En effet, il est maintenant impossible d'envoyer le lien http://www.ebuddy.com/ à un de ses correspondants via Messenger.
Certaines personnes auraient pu être dérangées par le petit message envoyé lors de l'utilisation de eBuddy : "I'm using eBuddy.com!", et donc utilisé le formulaire d'abus pour se plaindre de ce message.
Une autre hypothèse parait quand à elle beaucoup plus évidente si on se réfère aux précédents événements de censure intempestive par Microsoft.
Concurrent de MSN WebMessenger, eBuddy est une messagerie Web qui grimpe et qui est utilisée pour chatter via plusieurs comptes, dont MSN, Yahoo ou encore AIM.
La
soif de monopole de la part de Microsoft aurait pu pousser les équipes
en charge du SPAM de WLM à signaler le site de eBuddy comme
indésirable voire nuisible.
Aucune déclaration publique de la
part de Microsoft ou de eBuddy n'a été faite pour le moment.
(Source: msncreative.net)
1 million de No Life sur WOW
La société THE9 Ltd qui héberge les
serveurs de World of Warcraft en Chine, annonce qu’un million de
joueurs s’affrontaient en ligne en même temps ce week-end.
C’est le plus grand nombre de No Life jamais enregistré simultanément
depuis le lancement du jeu en 2005. Et probablement de toute l’histoire
des jeux ou des No Life.
(Source: theinquirer.fr)
Un appelle au boycott de Microsoft ?
Heidi Ruhle, une députée européenne du groupe des Verts, a appelé les organisations
à boycotter les licences logicielles Microsoft tant que l’éditeur ne se
sera pas ouvert à la concurrence. La députée allemande a demandé au
Parlement européen pourquoi l’UE continuait d’acheter des produits à
Microsoft alors que ce dernier n’a toujours pas daigné fournir des
informations à ses concurrents concernant l’interopérabilité.
Microsoft s’était engagé à ouvrir son code aux développeurs rivaux,
mais l’UE a exprimé ses doutes quant à ses intentions réelles et a
imposé à l’éditeur une amende de 899 millions d’euros pour le
non-respect d’une de ses décisions.
(Source: vnunet.fr)