Sommaire
1 - Exploit PDF : quand les Features tournent au Bug
2 - 670 000 euros la perte de données Outre Manche
3 - QubesOS, un noyau « Joanna certified »
1 - Exploit PDF : quand les Features tournent au Bug
La faille « par défaut » (ou de conception) du format PDF mise à jour par Didier Stevens la semaine dernière continue à faire couler beaucoup d’encre. L’exploit fonctionne aussi bien sur Acrobat Reader que sur Foxit et permet de lancer n’importe quel exécutable.
Adobe de son côté envisage d’éliminer rapidement cette « feature » qui a rapidement tourné au « bug ». En attendant, conseil est donné à tous les administrateurs et responsables sécurité de déployer rapidement un « .reg » dans HKCU, selon la recette indiquée sur son site. A l’heure où nous rédigeons ces lignes, nulle réaction du côté de Foxit, entreprise qui n’a jamais brillé par son sens de la communication en matière de sécurité.
Un malheur n’arrivant jamais seul, l’on peut se plonger avec intérêt dans le courrier des lecteurs du Sans, intitulé ce jour « Camouflage de JavaScript dans un PDF : passé les bornes, y’a plus de limite ». Comme l’explique le rédacteur du « journal intime » du Sans, cette méthode est assez efficace pour que l’attaque en question ne soit détectée que par 6 des AV sur les 39 que compte VirusTotal.
Pour achever ce petit voyage au pays des vecteurs d’attaque « Adobe All right reserved » (une valeur presque aussi sûre que les exploits Internet Explorer), l’on peut lire l’article de l’équipe sécurité de Sourcefire intitulé « principes de base de l’analyse des fichiers PDF », article qui, fait abondamment référence aux travaux de Didier Stevens.
2 - 670 000 euros la perte de données Outre Manche
C’est Graham Clueley, le sémillant DirCom de Sophos, qui a levé le lièvre : le gouvernement britannique vient d’accroître les pouvoirs de l’ ICO (Information Commissioner's Office). L’une des conséquences de cette décision est de renforcer les mesures du Data Protection Act, qui jusqu’à présent condamnait les négligences ayant entraîné une perte de données à caractère personnel d’une amende de 5000 Livres Sterling. Et le « facteur multiplicateur » cette fois est de 100 : une clef USB égarée sur le parking d’un pub, un document « top secret » brandi par un ministre en visite au 10 Downing Street, un routeur WiFi « Wep Protected » en plein cœur de la City coûtera 500 000 £ maximum, soit un peu moins de 670 000 Euros.
Cette mesure extrême ne peut que faire sourire les citoyens français, à l’abri de tels excès perpétrés par une administration trop zélée et prompte à foudroyer le contribuable. Car, chez les Enfants de Clovis, contrairement à ce qui se passe au pays de Guillaume Tell ou de Robin des Bois, nulle banque n’égare de fichier client ou se le fait dérober pour finir un jour entre les mains d’un receleur ou d’un ministre des Finances étranger. Aucun militaire n’utilise la moindre clef USB (il ne va d’ailleurs jamais au « pub »). Jamais, ô grand jamais, un fonctionnaire ou une Administration dans son ensemble, ne laisse échapper le plus petit octet. Pas une seule fois un ministre ne parlerait à un autre ministre sans utiliser un téléphone chiffré ou n’oserait s’épancher sur Internet. D’ailleurs, compte tenu du souci de transparence dont font perpétuellement preuve nos édiles, cela se saurait très rapidement.
3 - QubesOS, un noyau « Joanna certified »
Un rapide et discret papier de Joanna Rutkowska qui annonce la naissance d’un nouveau système d’exploitation baptisé QubesOS, fabriqué sur une base Xen (sur host Fedora), une interface X et des noyaux Linux. Peu d’informations techniques sur ce développement. Les applications s’exécutent chacune dans des VM isolées les unes des autres et s’affichent sur l’écran en mode « seamless ». Joanna Rutkowska laisse espérer une intégration prochaine des noyaux et applications Windows. Cette approche rappelle par certains aspects celle de Microsoft avec le projet Midori. Est-ce un noyau-hyperviseur, est-ce une architecture à micronoyau ? la différence est subtile.
Les instructions d’installation sont détaillées sur un Wiki dédié au projet
Spécial sécurité : exploit PDF, quand les « features » tournent au bug
Le 09 avril 2010 (14:18) - par La rédaction
Rubriques : Sécurité - Protection du poste de travail - Protection du réseau - Editeurs - Gestion d'identités Tags : securite - pdf - failles - grande-bretagne
Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité informatique, se penchent sur la dernière faille dans PDF avant de s'intéresser au durcissement de la loi sur la protection des données en Grande-bretagne pour finir sur l'arrivée d'un nouvel OS baptisé QubesOS.
livres blancs avec LesSourcesIT.fr
Sécuriser les terminaux mobiles des utilisateurs dans l’entreprise
Les appareils mobiles, tels que les smartphones et les tablettes tactiles, permettent à un nombre croissant d’employ…
La mise en place d’un programme de veille sécuritaire efficace au sein d’une organisation n’est pas à prendre à…
Les commentaires
Toute l'actualité
Aujourd'hui 
Sur le même
sujet Du même
auteur
Sur le mêmesujet Du même
auteur
- 1.Cisco stoppe les développements de sa tablette Cius
- 2.Mike Lynch, ex patron d’Autonomy, quitte HP
- 3.Formation de spécialistes du cloud : un nouveau mastère à l'Isep
- 4.Le FBI se dote discrètement d’une unité de surveillance d’Internet
- 5.Mobiles : plus de 8 smartphones sur 10 sont sous Android ou iOS, selon IDC
- 6.Le système de vote en ligne des français expatriés handicapé par un bug Java
publicité
Les plus populaires
Les plus lus
Les mieux
notés
Les plus
commentés
Les mieux notés
Les plus commentés
- 1.Android domine un marché des smartphones en hausse de 45%
- 2.Le smartphone, outil de tous les débordements
- 3.Les programmes de sensibilisation à la sécurité informatique ont une vraie valeur
- 4.EMC World 2012 : EMC dévoile 42 nouveaux produits
- 5.Facebook fait son entrée en bourse dans la douleur
- 6.Messagerie de santé : l’Asip estime le Saas pas assez mature et opte pour l’Open Source
publicité
Les dossiers du MagIT
-
La sécurité se met résolument au «Big Data»…
La coopération est à la mode, en matière de sécurité. Les initiatives et les appels se… -
Tablettes, le temps des applications …
Les DSI peuvent-ils encore faire le gros dos face la multiplication des tablettes et autres terminaux… -
BPM : existe-t-il une place pour les pure-players ?…
Concentration des acteurs, mutation des modèles économiques, concentration du BPM dans les flux… -
La sécurité du Cloud, un défi aux multiples facettes …
À certains égards, le Cloud Computing, dans toutes ses variantes, n’est finalement qu’une option…
Les économies de stockage à travers une architecture unifiée
Beaucoup d’organisations ont fait le choix du stockage « unifié » à travers les systèmes Multiprotocol storage systems (MPS). Avec la croissance exponentielle du nombre de d…
Virtualisation : bénéfices, défis et solutions
Alors qu’il existe différentes voies en matière de virtualisation ce document se concentre sur 3 approches : serveurs, postes de travail et appliances. L’un des motifs de cet…
livres blancs avec LesSourcesIT.fr
Recevez les newsletters du MagIT
Sans frontière
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
Tous les services du MagIT sur