Une société allemande vient de mettre au point un nouveau procédé d'identification sur un site internet. Elle part du constat que pour beaucoup de personnes, se souvenir de ses identifiants multiples est souvent difficile, et que les chevaux de Troie peuvent capter les mots de passe entrés.

C'est pourquoi elle a mis au point un procédé d'identification par téléphone portable, via le mobile Tag (ou code 2D). Il faut pour cela avoir un téléphone portable capable de lire un tel tag et disposant de la bonne application (en fait, un mobile Iphone ou sous Androïd), et connecté au réseau.
Dès lors, au lieu d'entrer ses identifiants, il suffit de photographier le tag avec son mobile.

L'application conserve en mémoire les identifiants liés au site (qu'il a sans doute fallu entrer une fois au moment de la configuration), et les envoie au serveur du site, identifié par le tag.
Et quelques instants après, la page web se charge, vous êtes identifiés comme si vous aviez entrés manuellement vos logins.
Open Sesame

La société cherche des webmasters prêt à essayer ce système. Bon, je ne sais pas si c'est vraiment plus pratique.

Des hackers ont utilisés les codes de Google Analytics pour masquer les codes malicieux qu'ils ont pu insérer dans des pages web via des failles de serveur.

Le problème a été identifié dans le forum d'assistance de Google Analytics, et a enflammé la sphère Twitter. Il s'agit d'une insertion de code qui renvoit le trafic vers un autre domaine. Le code malicieux s'insère dans les codes de GA, ce qui le rend difficile à identifier, et crée du trafic par l'insertion d'iframe ou d'autres procédés similaires.

Le hack utilise une regex pour modifier le code GA de htttp://www.google-analytics.com/ga.js en http://91.212.65.148/ga.js. Difficile d'y voir un code malicieux. Ce code javascript lance en fait le script http://91.212.65.148/image/pfgt.php qui execute un script exploitant une faille d'Adobe Reader (BID27641 et BID 34169, appelée par Symantec Bloodhound.Exploit.196), qui vise à son tour tous les fichiers ayant des noms identifiés par des mots celfs comme login, index, default, home et des extensions comme PHP, ASP ou HTML.

Comment font-ils ? Ils utilisent des failles de sécurité des serveurs appache HTTP et de mots de passe non cryptés sauvegardés par des CMS open source populaire comme Joomla au autre. Une fois la machine client infectée, des outils classiques sont utilisés pour moissonner d'autres mot de passes non cryptés et répandre encore l'attaque.

Le premier signalement de l'attaque date du 16 juin 2009. Comment savoir si vous êtes infectés vous aussi ? Regarder dans votre source la forme du tag GA, et vérifiez qu'il ne contienne pas des caractères étranges, ou quelque chose comme "document.write("<"+"i"+"f"+"ram"+"e"...

cf. immeria

L'Assemblée a adopté ce mardi 31 mars 2009 un amendement qui prévoit un label officiel pour identifier les sites Internet proposant des offres légales (gratuites ou non). Cet amendement entre dans le cadre de l'examen du texte «Création et Internet». La future Haute Autorité pour la Diffusion des Œuvres et la Protection des Droits sur Internet (Hadopi) aura la charge d'attribuer ce label permettant d'identifier clairement le caractère légal de ces offres.

Ce qui amuse les commentateurs, c'est surtout cette phrase du texte :

l’Hadopi devra «aussi veiller à la mise en place [...] d’un système de référencement [des offres labellisées ] par les logiciels permettant de trouver des ressources sur les réseaux de communication électroniques».

Sous-entendu : ces sites labelisés devront être mieux placés sous Google que les sites non labelisés. La première réponse est de faire un annuaire de ces sites labelisés, car personne ne sait trop comment demander à Google de mettre en valeur ces sites dans leurs résultats.

Selon Secuserve (éditeur de filtres anti-spam), l'envoi de spams a bondi de 400 % en France entre novembre 2007 et novembre 2008, d'après les données recueillies auprès de 1 500 entreprises. L'éditeur estime que plus des deux tiers des tentatives d'attaques informatiques par e-mail sont faites par Spam. (il y aurait donc un tiers des attaques par mail qui seraient autre chose que des spam ??)

Selon une récente étude publiée par Yahoo, de nombreux internautes ne se méfient pas suffisamment de ces mails. Les internautes français recevraient en moyenne cinq spams par semaine concernant de fausses loteries, s'apparentant à du phishing, et un quart d'entre eux estime que ces messages sont honnêtes.

Pour ma part, j'ai reçu ces quinze derniers jours 1 à 2 mail par jour m'annonçant que mon compte Ebay subissait des modifications et qu'il fallait que je m'y connecte en suivant le lien donné pour rétablir l'accès au compte avant sa suppression. L'aspect massif de ces envois finissent toujours pas jeter un doute, même quand on est bien averti. Il est curieux qu'il n'existe toujours aucun moyen d'identifier et d'empêcher ces mails de passer les serveurs des FAI ! (quand ils sont toujours identiques...)

IE8 est déjà en bêta 2, et il propose de plusieurs nouveautés, dont une qui ne réjouit pas du tout les publicitaires. IE8 sera en effet sécurisé de telle façon que les internautes pourront contrôler les informations qu'ils laissent sur leurs PC mais aussi empêcher les sites qu'ils visitent de collecter des informations à leur insu.

Les internautes pourront en effet demander à ouvrir de manière temporaire des sessions de navigation « privée », baptisées « InPrivate Browsing », pendant lesquelles ils ne laisseront aucune trace. Une icône « InPrivate » s'affichera alors au début de la barre d'adresse.
Dans ce mode, activée par défaut, le navigateur ne conservera aucune donnée qui pourrait révéler le contenu des pages ou la nature des sites consultés par les internautes. Cache, cookie, historiques, données saisies dans les formulaires, mots de passe... rien de tout cela ne sera conservé sur le disque dur de l'ordinateur.

« Le mode InPrivate sera utile sur un ordinateur partagé à la maison ou au bureau lorsque l'on ne veut pas que les autres utilisateurs sachent sur quels sites on s'est rendu, lorsque l'on prépare une surprise ou pour des utilisations plus crapuleuses... Il sera aussi très recommandé pour se connecter dans un cybercafé ou dans tout autre lieu public », explique Fabrice Milhoud, responsable stratégie de Microsoft France.

Mais il y a pire : ce mode analyse aussi en permanence le code des pages HTML afin d’y trouver les sites externes différents du site qu’on a choisi de visiter. Il permet ainsi de bloquer automatiquement des scripts en provenance de sites tiers, comme l'affichage de bannières publicitaires, ou les javascript de Google Analytics « http://www.google-analytics.com/urchin.js » par exemple.
Et là, les publicitaires, les sociétés de marketing direct et les annonceurs montent au créneau ! Ils craignent en effet de ne plus pouvoir maîtriser l’efficacité - et la rentabilité - de leurs campagnes. C'est que ces sites tiers réalisent discrètement différentes actions comme la diffusion et le suivi de campagnes publicitaires, la diffusion de flux RSS ou encore la fourniture d’informations financières.

« Le problème est que ces sites tiers accèdent à votre insu aux données de votre navigateur et notamment à votre historique et à vos cookies et peuvent étudier vos habitudes de navigation. La fonction Inprivate Blocking permet de les identifier et éventuellement de bloquer leur accès aux données gérées par votre navigateur. Vous n’êtes alors plus 'observés' que par le site que vous visitez » explique Fabrice Milhoud, responsable stratégie de Microsoft France

Selon lui, ces nouvelles fonctions n'altéreront pas du tout la navigation.

« Les cookies sont indispensables sur de nombreux sites mais les mécanismes mis en oeuvre (durée de vie du cookie limitée à la session en cours) permettent de continuer à naviguer normalement. IE8 permet par exemple de se connecter à sa messagerie sans problème en mode InPrivate Browsing »

En mode automatique (par défaut), le blocage intervient quand IE8 détecte plus de dix fois l’URL d’un même site tiers. En mode manuel, l’utilisateur peut décider lui-même quels sites tiers doivent être bloqués. Enfin, IE8 permet de s’abonner à des listes noires ou blanches au format XML mises à jour par la communauté Internet. Celles-ci pourront à terme contenir les sites jugés trop intrusifs et inversement ceux s’engageant à respecter une charte de respect de la vie privée digne de confiance. Et c'est ce point que craignent les publicitaires. Les internautes pourraient très bien se mettre à utiliser systématiquement la navigation privée et s’abonner à des listes bloquant tous les sites tiers dédiés à la publicité

« L’objectif n’est pas de bloquer les publicités mais de donner aux internautes le moyen de contrôler quels sites les observent lorsqu’ils sont sur un site donné. Microsoft n’a aucunement l’intention de se priver de ce mode de revenu » se défend en effet Fabrice Milhoud.

Par ailleurs, les navigateurs Safari, Firefox et Opera sont eux aussi en train de développer des outils semblables.

De nombreux Freenautes signalent depuis début Octobre des problèmes de factures de téléphonie Free très élévée (500 à 2000 euros). Free fait pour l'instant la sourde oreille à ces plaintes, et il semblerait que ce soit le compte SIP qui soit piraté (il s'agit su service "Freephonie" permettant de téléphoner avec un téléphone Wifi ou avec un logiciel compatible SIP depuis n'importe quel poste relié à Internet, les appels étant facturés au Freenaute possèdant le compte SIP) . Il y aurait eu en effet une récupération frauduleuse de certains mots de passe d'accès aux consoles de gestion Free, console qui permet de paramètrer l'accès au service SIP de la Freebox.

Si vous êtes abonné Free, je vous conseille donc de changer votre mot de passe (Rubrique "Modifier mon mot de passe Freebox" dans la console) et de désactiver le service SIP si vous n'en avez pas l'utilité (Rubrique "Gestion de mon compte SIP", le service étant activé par défaut) afin d'éviter ce genre de problèmes

Source : 01net.com

Banana Security est un logiciel assez surprenant qui remplace votre mot de passe pour accéder à vos sessions Windows. Le logiciel utilise tout simplement votre webcam et un algorithme mathématique de pointe pour reconnaître votre visage. Dès que vous installerez devant votre ordinateur verrouillé, le logiciel reconnaîtra votre visage et ouvrira la session Windows correspondant à l'utilisateur (ainsi plusieurs visages et leurs profils associés sont identifiables). Dès que l'ordinateur n'identifie plus d'activité (pendant un laps de temps que vous déterminez), il se verouille et attend à nouveau votre visage devant la webcam.

Lire la suite >>

Signal-Spam a ouvert hier ses portes !...

Il s'agit d'une association créée en novembre 2005 et qui regroupe l'ensemble des acteurs de la lutte contre le spam, aussi bien les autorités publiques (comme la Fevad, la Cnil, ou la Directin Centrale de la police judiciaire) que des organisations professionnelles ou entreprises privées. C'est la Direction du développement des médias (DDM), dépendant du Premier ministre, qui a créé ce groupe de travail en 2004, fondé aujourd'hui en association loi 1901.

Le but de ce site est simple : permettre à toutes les victimes de référencer les spams reçus dans un site unique (gratuitement), qui se chargera de les traiter. La procédure peut se faire soit en copiant collant les spams dans les formulaires du site, soit en cliquant sur un bouton de votre lecteur de mails si vous installez un petit plug-in (pour Outlook et Thunderbird, et bientôt pour vos navigateurs).

Le site s'est doté de moyens oncséquent pour ne pas subit le même échec que la CNIL, qui avait été victime de son succès. Ils estiiment pouvor traiter un million de mail par jour (est-ce suffisant ???).

A quoi ça sert ? C'est la question que je me pose. Apparemment, lorsque l'émissaire du spam sera un abonné à un FAI français, celui-ci pourra réagir. (mais nous savons tous que les émissaires sont souvent des ordinateurs infectés qui ne sont pas coupables de ces spams). Un système d'empreinte des messages et des URL permettra également de détecter, derrière des centaines d'e-mails, l'origine de la campagne de spam. Oui, bon, et après ? En général, il suffit de lire le nom de produit que l'on cherche à nous vendre, ou le thème du spam s'il est politique. Apparemment, la seule véritable action sera entreprise quand le spam est une arnaque ou une fraude (pensent-ils au phishing ??), auquel cas la police pourra réagir. En tout cas rien ne signale que des actions pourront être prises contre les spammeurs ni que cela nous aidera à éviter les suivants...

Disons que cela constitue un observatoire intéressant. Si l'on s'y incorpore...

Les Captcha sont ces petites boîtes qu'on nous demande souvent de remplir après une inscription ou l'envoi d'un commentaire pour vérifier que nous ne sommes pas des robots. Il nous est simplement demandé de recopier une série de chiffres et de lettres dessinés bizarrement (tordus, moirés, barrés etc.), ce qui est censé prouver au système que nous avons bien deux yeux pour voir ce dessin et l'interpréter.
Mais les robots sont de plus en plus performants et parviennent de mieux en mieux à lire ces dessins. La solution consiste alors à les complexifier pour rendre leur lecture de plus en plus difficile par les robots... mais du coup pour les humains aussi.

Les captcha commencent ainsi à trouver leur limite. Alors Microsoft a imaginé un nouveau modèle : la reconnaissance de forme, partant d'un constat insolite : à ce jour, seul l'homme sait distinguer le chien du chat !

Lire la suite >>

Windows Vista recommence à faire couler de l'encre.

D'une part le nouveau système est déjà dans le collimateur de Bruxelles qui l'accuse de risque d'abus de position dominante et de non respect des règles de concurrence fixées par l'Union Européenne , vis vis des briques de sécurité de Vista qui permettront de se passer de logiciels Anti-Virus, Anti-Spyware, ... . Microsoft assure que si ces composants sont retirés les utilisateurs européens seront moins bien protégés, alors que la Comission Européenne et les éditeurs de logiciels assurent que ces composants conduiront à un manque de concurrence et d'innovation dans le secteur de la sécurité, entraînant ainsi une moins bonne protection des utilisateurs. Une des phrases qui résume bien ceci et à laquelle j'adhère et celle de Pierre-Yves Bonnetain, consultant en sécurité informatique pour B&A Consultants : "Celui qui fait et celui qui contrôle ne doivent pas être les mêmes".

D'autre part suite au retard de la sortie de Vista et afin d'essayer de capter plus de futurs-utilisateurs de Vista, Microsoft va déployer via les constructeurs de PC des stickers "Windows Vista Capable" sur les nouveaux PC afin d'informer l'utilisateur que Vista pourra tourner sur son ordinateur, lui "garantissant" ainsi son investissement.


Microsoft souligne q'un PC estampillé "Windows Vista Capable" ne signifiera pas que Vista sera gratuit et ne signifiera pas non plus "Windows Vista Ready" ! C'est à dire que Vista pourra tourner mais pas forcément avec le nouveau système graphique Aero qui nécessite une carte graphique assez puissante.

Concernant la migration vers Vista, suivant la version du système actuel et la version de Vista souhaitée il faudra soit faire une simple mise à jour soit faire une réinstallation complète de Vista et des applications avec une sauvegarde préalable des fichiers.
Et pour s'assurer que Vista peut tourner sur un PC Microsoft publie un petit utilitaire chargé de vérifier la compatibilité :
http://www.microsoft.com/france/windowsvista/getready/upgradeadvisor/default.mspx
Autant dire que la migration vers Vista s'annonce assez difficile tant sur le plan logiciel que sur le plan matériel surtout si on souhaite profiter de toutes les nouvelles fonctions graphiques.

Sources :
http://solutions.journaldunet.com/0609/060914-securite-vista-ue.shtml
http://www.01net.com/article/311423.html
http://www.01net.com/article/323212.html