Article tagué sécurité
14 fév
Qui eut cru qu’un jour Linux soit un élément politique ?
C’est pourtant le cas avec cette double actualité du jour :
En Russie, l’OS national sera une distribution GNU/Linux basée sur Fedora, une distribution libre supportée par la société Red Hat et aussi la distribution sur laquelle se base l’OS de la Playstation 3 (eh oui) !
Ce qui veut donc dire que les programmeurs russes vont se mettre à l’Open Source, une bonne nouvelle donc!
Mais là où ce point est le plus frappant, c’est à Cuba, où le gouvernement vient d’annoncer officiellement le lancement d’une distribution Linux spécialement développée pour le peuple cubain et les institutions du pays dans le but d’échapper à l’hégémonie américaine :
Présentation de Nova, l’OS made in Cuba
Baptisée Nova, cette distribution a été conçue par les étudiants de l’Université de La Havane, mais ce n’est pas la promotion du logiciel libre qui a motivé cette avancée, mais plutôt des arguments politiques :
Selon les autorités locales, l’utilisation de produits Microsoft, tel que Windows, pourrait s’avérer dangereuse: les agences de sécurité américaines ont accès aux codes sources. Et quoi qu’il en soit, l’embargo économique des États-Unis ne facilite pas l’obtention légale de ces logiciels.
Des propos d’ailleurs fort bien résumés par Ramiro Valdes (ministre de la communication) :
« il est important que nous ayons un meilleur contrôle sur le déploiement informatique »
Bon, le monde du libre peut tout de même y voir une petite victoire car le taux de pénétration de Linux serait de 20% dans la république cubaine, ce qui est largement supérieur au 0.8% à l’échelle mondiale !
Le passage aux logiciels libres en tant que réponse politique enfoncerait-il encore plus le clou de la « révolution libre » qui s’opère depuis maintenant presque un an dans nos contrées ?
C’est du moins ce que laisse penser Hector Rodriguez, doyen de l’école du logiciel libre à l’Université des Sciences informatiques de Cuba :
« le mouvement du logiciel est plus proche de l’idéologie du peuple de Cuba pour assurer une indépendance et une souveraineté »
1 fév
Voici un petit article, inspiré de celui publié par Smashing Magazine, pour sécuriser simplement et de manière efficace son blog tournant sous Wordpress :
Changer le nom du répertoire de base de Wordpress
Depuis la version 2.6 de Wordpress, il est possible de changer chemin du dossier wp-content, malheureusement, il n’est pas encore possible de bénéficier de cette fonctionnalité pour le dossier wp-admin…
Et pourtant ! Il existe en effet une petite astuce qui permet de choisir le chemin vers wp-admin :
Il suffit de mettre tous les fichiers et dossiers de Wordpress dans un dossier de votre choix, puis de changer le chemin du blog dans la page de configuration comme cela :
Une telle configuration a plusieurs avantages :
- Les fichiers Wordpress ne se retrouvent plus à la racine de votre site, c’est donc moins le bordel sur votre hébergement…
- Plusieurs instances de Wordpress peuvent être installées en même temps, avec chacune leurs spécificités et leurs réglages, sans interférer entre elles. Cela s’avère très pratique pour tester ou développer d’autres versions de votre blog.
- Le plus évident des points: La sécurité !
Wordpress n’étant plus placé à la racine du site, la page de login est beaucoup plus difficile d’accès pour les robots écumant le web à la recherche de blog à cracker…
Le fichier wp-config.php
Ce fichier, base de la configuration et de la sécurité de Wordpress, doit impérativement être renseigné de manière judicieuse :
- Les clés d’authentification : Depuis Wordpress 2.7, il y a 4 clés d’authentification, qui doivent être remplies comme il faut. Et pour vous évitez le moindre effort, une API de Wordpress vous génère même ces 4 lignes avec des clés aléatoires (API ici)
- Le préfixe de votre table Wordpress dans votre base de données est par défaut wp_, hors en cas d’intrusion au sein de votre base MySQL, un préfixe plus « crypté » peut s’avérer utile.
Mauvais choix : $table_prefix = ‘wp_’;. Choix meilleur : $table_prefix = ‘wp5Hzp83_’;.
- Utiliser une connexion cryptée via SSL pour la partie administration. Si votre serveur le permet, choisir ce mode de connexion est bien plus sûr, il peut être activé en rajoutant la ligne define(’FORCE_SSL_ADMIN’, true); au fichier wp-config.php.
Déplacer le fichier wp-config.php
Depuis Wordpress 2.6, ce fichier peut être déplacé à un plus haut niveau. En effet, ce fichier contient des informations sensibles et touchant directement à la sécurité du blog, plus que n’importe quels autres.
De plus Wordpress va automatiquement chercher ce fichier à partir du plus haut niveau de votre hébergement, vous pouvez donc placer ce fichier dans un dossier parent, hors de votre installation Wordpress, ce qui le rend bien plus dur d’accès.
Protéger votre fichier wp-config.php
Pour interdire l’accès à ce fichier si sensible, un petit .htaccess est parfait :
# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>
De cette manière wp-config.php ne sera accessible par personne !
Supprimer le compte admin
Si il y a un compte qui est testé par les robots et autres hackers de blog Wordpress c’est bien le compte admin ! Celui-ci est systématiquement créé à chaque installation de Wordpress, et possède les droits administrateur, ce qui en fait une cible privilégiée.
Pour le supprimer, rien de bien compliqué :
- Se loguer en admin,
- Créer un nouveau compte ayant les droits administrateur,
- Se deloguer de admin,
- Se loguer avec le nouveau compte
- Supprimer le compte admin.
Choisir des mots de passe « fort »
C’est bien connu, le maillon faible dans tout système sécurisé se situe bien souvent au niveau du mot de passe, la faute aux utilisateurs qui choisissent des mots de passe trop court, présent dans un dictionnaire, tout en minuscule…
Encore une fois : Choisissez des mots de passe « forts », comprenez par là des mots de passe compliqués.
Mes recommandations :
- Au moins 7 caractères
- Des majuscules, minuscules, nombres
- Des caractères spéciaux comme ” ^ & % ? ou $.
Il serait dommage de ne pas le faire, d’autant plus que depuis Wordpress 2.7, une indication visuelle informe de la solidité du mot de passe.
Supprimer les messages d’erreur sur la page de login
La page de login, porte de la partie administration, s’ouvre à la seule et unique condition que le couple login/password soit correct.
Et c’est là le problème de cette page: elle renvoie des informations en cas d’échec sur la nature de celui-ci. Pratique, me direz-vous, pour un utilisateur lambda, mais aussi pratique pour les robots qui testent les pages de login à la recherche d’une entrée…
Heureusement, désactiver ce retour d’info est très simple, il suffit de rajouter la ligne suivante au fichier function.php de votre thème :
add_filter(‘login_errors’,create_function(‘$a’, « return null; »));Suivre et limiter les échecs de connexion
Un autre problème de Wordpress est le fait qu’il ne limite ni ne garde de trace des « mauvaises » connexions, par conséquent l’administrateur ne peut en aucun cas être averti d’une éventuelle attaque par brute force (ou autres…)
Mais heureusement une parade existe encore une fois, grâce à l’utilisation du plug-in approprié.
Les plug-in Login LockDown et Limit Login Attempts permettent en effet d’enregistrer les essais de connexions à votre blog, et ils permettent aussi de bloquer la possibilité de connexion pour un utilisateur donné, pendant un temps donné, et après un nombre d’essais infructueux donnés… C’est pas beau la vie ?
Un dernier conseil, qui peut paraître évident pour certains : Maintenez votre blog à jour, au niveau de la version de Wordpress, des plug-in mais aussi de votre serveur si vous êtes sur votre propre hébergement.
Une faille découverte est vite propagée sur Internet, et les petits pirates sont rapides à les tester !
[Photo]
25 déc
Et voila un peu de nouveauté dans le monde des services fournis par les FAI: La vidéo surveillance.
En effet, Free propose depuis peu le « Service Vision« : Une offre de vidéo surveillance à domicile, en partenariat avec EPS (numéro 1 de la télésurveillance de résidence en France avec plus de 160 000 abonnés).
Service Vision
Quelles fonctions ?
Le service Vision regroupe 3 fonctionnalités principales:
Mode Live
Le Mode Live :
La fonction la plus basique de la vidéo: Elle permet de rester en contact avec les personnes situées à votre domicile, la caméra étant accessible sur Internet via un ordinateur ou un téléphone mobile compatible.
Mode Information
Le Mode Information :
Ce mode vous permet d’être alerté lors de la détection d’une présence attendue. la caméra enregistre la séquence, puis vous êtes alerté par SMS et email, avec la vidéo en pièce jointe.
Libre à vous de vous connecter ensuite à la caméra pour espionner les nouveaux arrivants. 
Mode Vigilance
Le Mode Vigilance :
La fonctionnalité la plus complète, qui relève pleinement de la vidéo surveillance:
- Détection de présence anormale.
- Enregistrement de la séquence vidéo.
- Envoi d’une alerte au centre de sécurité.
- Appel de vérification au domicile (avec code de vérification, tout ça..) pour éviter les fausses alertes.
- Si personne ne répond (ou si le code de réponse est erroné), vous êtes alerté par message vocal et email.
- Si vous ne donnez pas suite aux appels, le centre de sécurité relance une série d’alerte à un tiers de confiance que vous aurez désigné, et peut, selon la formule choisie, envoyer un agent à votre domicile.
De quoi rassurer les plus paranoïaques non ?
Quel matériel ?
La caméra fournie est une caméra sur IP Panasonic, Wifi ou Ethernet, contrôlable en rotation, inclinaison et zoom via une interface web.
Quels tarifs ?
Plusieurs offres de télésurveillance sont proposées exclusivement aux Freenautes, à partir de 9.90€/mois :
- Avec une caméra de télésurveillance Ethernet :
14.90€/mois + Caméra facturée à 1€ (engagement de 24 mois)
9.90€/mois + Caméra facturée à 119€ (engagement de 24 mois)
9.90€/mois + Caméra facturée à 159€ (engagement de 12 mois)
- Avec une caméra de télésurveillance Ethernet et Wifi :
19.90€/mois + Caméra facturée à 31€ (engagement de 24 mois)
9.90€/mois + Caméra facturée à 149€ (engagement de 24 mois)
9.90€/mois + Caméra facturée à 189€ (engagement de 12 mois)
De plus les frais d’installation sont offerts.
Pour plus d’information, rendez vous ici.
C’est une bonne initiative de la part de Free, en espérant que les clients ne soient pas uniquement les maris jaloux voulant surveiller leur compagne
15 déc
Une importante faille de sécurité a été découverte suite à la traditionnelle mise à jour mensuelle, très conséquente ce mois-ci.
Cette faille touche toutes les versions de IE (Internet Explorer) et permet l’exécution de code à distance, tel que l’installation d’un logiciel malveillant, et cela de manière totalement transparente pour l’utilisateur.
Une simple visite sur un site web infesté et c’est le drame.
De plus, cette faille est déjà largement exploitée, puisque le nombre de sites infectés a dépassé les 6 000 ce Week-End, et la progression continue…
Le seul début de parade est fourni par un communiqué de Microsoft, indiquant que le mode protégé d’Internet Explorer 7 permet de « limiter l’impact de la vulnérabilité ». Mais bon, rien de concret quoi !
[Troll]
Comme je suis gentil, je vais vous fournir la vraie solution pour contourner cette faille: Laissez tomber IE, et téléchargez Mozilla Firefox
[/Troll]
12 déc
Pas de chance pour les égyptiens!
D’après New York Times, la commercialisation de l’iPhone 3G d’Apple serait soumis à une condition pour le moins étonnante:
L’état égyptien aurait demandé à la firme à la pomme de désactiver la fonction GPS du téléphone pour des raisons de « sécurité »…
Cette nouvelle rejoint la politique de l’état qui réserve l’utilisation du GPS pour les applications militaires uniquement, tout comme la Corée du Nord et la Syrie d’ailleurs…
Moi j’dis, organiser une attaque avec son iPhone, il faut quand même oser
(Image)
5 déc
Tout le monde connaît la base de la sécurité, qui consiste à mettre une session avec un mot de passe… et tout le monde en connaît évidement les limites.
D’autres, plus paranos, utilisent peut-être même un lecteur d’empreintes digitales pour ouvrir leur session, mais plusieurs expériences ont montré qu’une empreinte et un peu de Patafix suffisaient à tromper le système…
Et c’est aujourd’hui le tour des systèmes de sécurité à reconnaissance faciale d’être mis en défaut!
Reconnaissance faciale
Utilisé sur certains ordinateur Toshiba, Asus et Lenovo, ce système permet la gestion de mot de passe via une reconnaissance faciale de la personne présente devant la webcam.
Mais un centre de sécurité vietnamien, BKIS, à réussi a tromper le système avec une « simple » photo légèrement modifiée:
Une photo trompeuse
La photo n’a même pas besoin d’être de bonne qualité, et quelques minutes suffises pour modifier les zones clés avec un algorithme spécifique, ensuite il ne reste qu’à l’imprimer et à la présenter devant la webcam pour ouvrir la session…
Vous tremblez de peur hein ?
(Source)
26 nov
Si vous utilisez Gmail, faites attention à vous: une faille de sécurité dans Gmail permet la création de filtres sans être connecté au compte correspondant!
Un filtre? Et alors? Je vois pas le problème!
Bin imaginez 2 secondes un filtre du genre:
Filtre Gmail
Dans le cas présent, le filtre :
– Cherche les mail qui vous sont envoyés provenant d’une adresse précise (votre banque, hébergeur internet…) en l’occurrence « support@godaddy.com ».
- « Saute » la boîte de réception, donc vous ne verrez jamais le mail arriver, il se classe directement dans les mails archivés…
– Transfert le mail vers une autre adresse, celle du pirate, ici « tipiak@hacker.com ».
– Et finalement, supprime le mail de vos messages archivés, de manière à être le plus indétectable possible…
Au final le pirate peut vous espionner pendant un certain temps, demander à votre banque (ou autres) de renvoyer vos identifiants par mail… et s’en servir comme bon lui semble 
Alors c’est bien beau, mais comment est-ce possible ?
1. Analyse d’une requête de création de filtre sur Gmail:
Pour créer le filtre, le navigateur envoie une requête au serveur gmail:
http://mail.google.com/mail/
?ui=2
&ik=ad7df7dc23 *Identifiant de compte (unique)*
&at=xn3j35svndkg48yp2qgmpt99ivcqdc *Clé d'autorisation de session*
&view=up
&act=cf
&rt=h
&zx=pjo6fg-k2ljzh&search=cf
&cf1_from=support%40godaddy.com
&cf2_emc=true&cf2_email=tipiak%40hacker.com
&cf2_tr=true
Le pirate a donc besoin de 2 variables: Le code utilisateur « ik » et la clé « at« .
2. Récupération des variables:
- La variable ik est récupérable via quelques astuces un peu complexes, mais sans trop de difficultés (une recherche un peu poussée sur google vous donnera la réponse)
- La variable at est un peu plus dure à obtenir:
La variable est présente sous un autre nom dans un autre cookie de Gmail nommé « GMAIL_AT » et un « simple » code malicieux sur un site malveillant permet le vol de la variable présente dans ce cookie…
3. Création du filtre:
Une fois les variables récupérées, le site malveillant envoie une requête de création de filtre sur votre compte Gmail, et le tour est joué.
Comment Google pourrait corriger le problème ?
Simplement en faisant en sorte que la création de filtre ne se fasse pas directement via une adresse internet (Méthode GET).
Comment se protéger ?
Pour se protéger, pas de miracle…
- Faire attention aux sites sur lesquels on surfe.
- Désactiver l’exécution des scripts, via le plugin NoScript dispo pour Firefox.