Charlie Miller, que l'on connaît pour ses capacités de « hacking minute » qui ont eu raison du MacBook Air ou de Safari, présentera à la prochaine CanSecWest, qui aura lieu a la fin du mois, 30 vulnérabilités « critiques » sur Mac OS X.

Toutes ne sont pas à mettre au crédit d'Apple : Miller a testé Adode Reader, Microsoft PowerPoint et OpenOffice en plus de l'Aperçu d'Apple. Mais des 30 vulnérabilités qui lui ont permis de détourner les logiciels, 20 ont été trouvées dans Aperçu. Un chiffre qui l'a « surpris », alors qu'Adobe Reader est traditionnellement une passoire dont les failles sont régulièrement exploitées.

Il a utilisé un simple script Python pour tester les applications, trouvant plus de 1.000 manières de les faire planter, mais seulement 30 pour les détourner. Un chiffre déjà trop élevé selon Miller, qui explique que sa méthode ne requiert « que quelques connaissances et beaucoup de patience », le script ayant tourné pendant 3 semaines.

Il ne sait pas encore s'il documentera précisément ces failles à l'intention d'Apple et des autres acteurs, pensant plutôt à les garder secrètes, et à vérifier de temps en temps si elles ont été corrigées — afin de tester le sérieux des sociétés, selon lui.

Sur le même sujet :
- Pwn2own : Safari échouera-t-il pour la 4e fois ?
- Hacker Mac OS X ? Trop facile !
- Un MacBook Air hacké en deux minutes

Dans un entretien donné à oneitsecurity, le spécialiste de la sécurité informatique Charles Miller a réaffirmé que Windows 7 était plus sécurisé que Snow Leopard. Son principal grief concernant Mac OS X, c'est qu'il n'offre pas un support complet de la randomisation de l'espace d'adressage (Adress Space Layout Randomization). Ce procédé place des données de façon aléatoire dans la mémoire virtuelle, ce qui minimise les attaques se basant sur des structures fixes (lire à ce sujet : Snow Leopard moins sécurisé que Windows...).

L'autre argument avancé par Charles Miller, c'est que Windows 7 possède une surface d'attaque plus réduite. Contrairement à Mac OS X, il n'inclut pas d'emblée Java et Flash. Il insiste sur le fait que la technologie d'Adobe présente un réel danger d'un point de vue sécurité.

Pour lui, la plupart des navigateurs, à condition d'être à jour, se valent plus ou moins à ce niveau. Mais le fait d'installer ou non Flash change tout de ce point de vue… Il recommande de s'en passer…

Charles Miller, comme tant d'autres, participera fin mars au concours PWN2OWN, organisé dans le cadre de la conférence CanSecWest. Comme chaque année, des hackers seront invités à prendre le contrôle de différentes machines sur Mac OS X, Windows et Linux à l'aide de Safari, Firefox, IE et Chrome (lire : Pwn2own : Safari échouera-t-il pour la 4e fois ?).

Window Snyder a rejoint Apple hier en tant que Senior Security Product Manager. Par le passé, elle a travaillé entre autres pour Microsoft et la fondation Mozilla. Elle a notamment contribué à renforcer de manière très importante la sécurité de Firefox, quand celui-ci commençait à devenir populaire.

Elle a travaillé l'année dernière en tant que consultante indépendante. C'est la deuxième pointure en matière de sécurité que la firme de Cupertino recrute en l'espace de quelques mois. En mai dernier, Apple a embauché Ivan Krstic, lequel a notamment mis au point la plate-forme de sécurité BitFrost (lire : Apple embauche un crack en sécurité).

MacBrains attire notre attention sur un nouveau brevet déposé par Apple et qui vient juste d'être publié. Il traite de la sécurité sur l'iPhone, mais son champ d’applications concerne le Mac.
Déposé le 12 août 2008, ce brevet (US 20100042954) reproduit le fonctionnement des molettes présentes sur les coffres fort. Il vous faut effectuer une rotation de l'appareil afin d'entrer le bon code.


Apple utilisera-t-elle un jour ce procédé pour déverrouiller l'iPhone ? Quoi qu'il en soit, il est intéressant de noter qu'avec le brevet en question, un croquis montre la page d'accueil de l'iPhone avec plusieurs applications inconnues à ce jour.


Lock permettait de déverrouiller le Macintosh. Les deux appareils seraient liés comme peuvent l'être un ordinateur et un périphérique Bluetooth par exemple. Apple explique que seule la présence de l'iPhone à proximité permettrait d'accéder au Mac. Le code pourrait être une suite de chiffres ou encore une suite de mouvements… >> Lire la suite

Adobe propose au téléchargement des mises à jour de sécurité pour Adobe Reader et Acrobat. Des correctifs sont disponibles pour les versions 8.x et 9.x des deux logiciels en question.

La semaine dernière, Adobe a mis en ligne une révision de Flash qui corrigeait la même faille de sécurité. Cette dernière est jugée comme étant critique par Adobe.

Sur le même sujet :
- Mises à jour de sécurité pour Flash et AIR

Avec le retrait d'Apple, la MacWorld Expo a pris des allures de réunion d'Apple User Groups. L'expression y a été plus libre, et la critique d'Apple par ses propres aficionados semble avoir été un exercice auquel se sont livrés différents intervenants. C'est notamment le cas de l'émérite blogueur John Gruber, qui a proposé, avec plus ou moins de brio, une liste des dix défis auquel Apple doit faire face.

1) Steve Jobs : la société est trop dépendante de son grand timonier et c'est une faiblesse. D'un autre point de vue, Steve Jobs a organisé Apple comme il a organisé Pixar, qui connait un succès non démenti même sans meneur charismatique. >> Lire la suite

C'est au tour de F-Secure de travailler à la conception d'une nouvelle solution de sécurité spécialement conçue pour Mac OS X. Actuellement en bêta, F-Secure Mac Protection [1.0TP7857 - formulaire - VF - Mac OS X 10.5] comprend un antivirus et un pare-feu. Le logiciel dispose également d'un bouton "Panic" qui vous permet de bloquer instantanément le trafic réseau sur votre ordinateur.


Notez que sous Snow Leopard, il ne fonctionne pour l'heure qu'avec le kernel 32 bits activé.

Buzz, quand tu nous tiens… Grâce au bruit et à l'abondante presse générée par la sortie de l'iPad, quelques utilisateurs malveillants cherchent à infecter des ordinateurs, dans le but de faire acheter de faux-antivirus.

Websense, qui a détecté la pratique, explique que les pirates ont utilisé des mots-clefs autour de l'annonce de la tablette Apple pour faire figurer en bonne place dans les moteurs de recherche des pages menant vers un site Web proposant des anti-virus inefficaces. L'utilisateur peu informé téléchargera certainement le logiciel, se croyant infecté. Après son installation, cet "anti-virus" détectera des virus qui ne sont pas là, et si l'utilisateur clique sur le bouton "Protect", une page Web lui proposant l'achat d'un logiciel tout aussi inefficace s'ouvrira. Inefficace, oui, mais cher, entre 50 et 90 dollars.

Heureusement, sur Mac, le logiciel ne risque pas de s'exécuter du tout, puisque cette attaque frappe Windows. Mais cela ne veut pas dire qu'il ne faut pas prévenir les amis d'en face…

Il était plus que temps, mais voilà qui est fait : la faille "zero day" d'Internet Explorer, exploitée par des hackers chinois pour pirater les serveurs de Google, a enfin été corrigée. Elle concerne les versions 5.01 à 8 (ce qui représente quelques onze années en étant restée inaperçue…). Il suffit pour cela de lancer Windows Update.

On pourrait lâcher un soupir de soulagement de se savoir mieux protégés, mais sachant qu'au dernier pointage, de 15 à 20 % des internautes utilisent toujours IE 6, on ne peut pas dire que ses utilisateurs soient prompts à se mettre à jour.

Microsoft doit décidément adorer les ingénieurs de chez Google, puisqu'après qu'ils ont révélé la faille d'Internet Explorer qui a permis l'attaque des serveurs de Google depuis la Chine, l'un d'eux, Tavis Ormandy, a retrouvé dans Windows 7 une faille… vieille de 17 ans !
À la sortie de Windows 3.1, en 1993, Microsoft est passée au noyau NT, dont la principale nouveauté était son support du 32 bits. La compatibilité 16 bits ayant été cassée, il fallait passer par la Virtual DOS Machine, au savoureux acronyme VDM. C'est cette machine virtuelle, qui est présente dans toutes les versions 32 bits des systèmes d'exploitation de Microsoft, jusqu'à Windows 7, qui comporte cette fameuse faille.

Cette faille n'est pas très méchante, puisqu'elle requiert l'usage d'un logiciel 16 bits (et ils sont devenus rares), et que le plaisantin ait accès physique à la machine, et s'y connecte sur un compte utilisateur déjà existant. La faille lui permet de prendre des droits administrateurs, et donc d'exécuter tout code, y compris malveillant. Cette faille ne touche pas les versions 64 bits de Windows, et il est possible de désactiver la VDM.

La mise à jour de sécurité 2010-001 qu'Apple a rendu disponible au téléchargement hier a permis de régler de nombreux problèmes de sécurité, comme on pouvait s'y attendre. Ainsi, Flash est mis à jour en v10.0.42, ce qui permet de boucher la faille qui pouvait permettre l'exécution de code arbitraire lors de la visite d'un site malintentionné. Pas d'améliorations de performances à attendre, il faudra pour cela patienter jusqu'à Flash 10.1 (lire : Flash 10.1 tire moins sur le CPU).

Parmi les autres problèmes réglés, on notera la fermeture d'une faille dans CoreAudio qui permettait une attaque au moyen de fichiers MP4, d'une autre dans le serveur d'impression cups, ou encore la disparition de vulnérabilités avec les protocoles SSL et TLS.

Communication de crise chez Microsoft qui doit faire face aux recommandations de différents organismes comme le CERTA en France ou le BSI en Allemagne, qui conseille aux internautes de se détourner temporairement d'Internet Explorer (lire : Google piégé par une faille d'Internet Explorer). Le butineur de Microsoft a eu un rôle majeur dans l'attaque de Google.

Des propos qui ont fortement déplu à l'éditeur. Interrogé par le Nouvelobs.com, Bernard Ourghanlian, le directeur technique de Microsoft France, estime pour sa part que « cette recommandation est inutilement effrayante ». Microsoft recommande à ses utilisateurs de migrer sur Internet Explorer 8. Cette version comporterait bien la faille qui a servi à l'opération Aurora, mais elle ne serait pas exploitable sur ce dernier.

De son côté, Cliff Evans, responsable de la sécurité chez Microsoft UK, n'y va pas par quatre chemins. Selon lui, le risque qu'une faille soit exploitée avec Internet Explorer est minime comparé à Firefox ou à d'autres navigateurs web concurrents.

Avec le recul, il sera intéressant de voir si cette affaire a eu un impact quelconque sur la part d'utilisation d'Internet Explorer 6. À suivre…

Internet Explorer est au coeur d'une polémique, suite aux attaques chinoises sur les serveurs de Google, et d'une vingtaine de sociétés américaines (lire : Google et le syndrome chinois). Il semble que les hackers se sont appuyés entre autres sur une faille d'Internet Explorer, qui affecte quasiment toutes les versions du navigateur de Microsoft, y compris les plus récentes.

Cette vulnérabilité due à une référence à un pointeur non valide permet à une personne malintentionnée d'exécuter du code arbitraire à distance. Concrètement pour exploiter cette faille, il faut parvenir à emmener un internaute sur une page "malicieuse". Dès qu’il s'y rend, son agresseur se retrouve avec le même niveau de droit que lui. Le hacker n'a plus ensuite qu'à se servir ou à provoquer l’installation sur la machine attaquée de virus ou Chevaux de Troie.

L'opération Aurora - c'est le nom de code qui a été donné à cette opération - se serait déroulée plus ou moins de la sorte, selon McAfee Labs. Elle a été menée avec le souci du détail. Les courriels envoyés contenant les liens vers les pages piégées ressemblaient comme deux gouttes d’eau à des messages provenant d’une personne de confiance.

Contrairement aux attaques traditionnelles, cette opération a été menée de manière très ciblée. Tout au plus, les e-mails piégés ont été adressés à quelques dizaines de personnes.

À l'heure des premiers bilans, Microsoft qui conseille à ses utilisateurs d’élever au maximum le niveau des paramètres de sécurité d’Internet Explorer, se retrouve au coeur d'une polémique, qui devrait ternir un peu plus la réputation de son navigateur web. Des organismes le CERTA (Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques) en France et plus ou moins son équivalent allemand, le BSI, recommandent aux citoyens d'utiliser des navigateurs alternatifs, le temps que Microsoft révise sa copie.

Le manque de réactivité d'Apple en matière de sécurité commence à en agacer certains. Dernier exemple en date : des chercheurs de SecurityReason ont publié une preuve de concept d'une faille de sécurité répertoriée au mois de mai. Celle-ci concerne le code open source libc/gdtoa qui est employé dans Mac OS X, OpenBSD, NetBSD, FreeBSD ainsi que dans Firefox, KDE et K-Meleon.

Si cette faille a été corrigée sur FreeBSD et OpenBSD, Apple n'a rien fait pour sa part pour ses systèmes d'exploitation. En utilisant une fonction de conversion, il est possible de provoquer un débordement conduisant à un déni de service ou à l'exécution de code. Cette faille présente un risque « élevé » selon SecurityReason.

Sur le même sujet :
- Java sur Mac se traine des failles depuis six mois