Shellshock Bash

Sécurité du web: les 7 failles les plus inquiétantes de 2014

Y a pas à dire, entre vols de données, vagues de paniques, hacks, failles de sécurité et fuites diverses de photos, l’année 2014 aura été faste en cyber-frayeurs. On aura plusieurs fois frisé la datastrophe. Bruyamment relayés par les médias qui se plaisent à entretenir la méfiance vis-à-vis de la toute-puissance du web, les méfaits des hackers, toujours plus nombreux, plus sournois, plus habiles, nous incitent à la cyber-parano.

Doit-on encore confier nos données à l’aveuglette? Le cloud est-il en mesure de protéger notre vie privée? Qui peut utiliser nos photos? nos fichiers? nos mots de passe? nos comptes? En un mot, au moment où s’achève cette année 2014, qu’en est-il de la sécurité en ligne? Faisons le point.

Heartbleed

Voici sans doute un des plus grands bugs de sécurité de l’année. Heartbleed a dévoilé une faille de sécurité qui affectait la plupart des sites web. Le bug a été découvert dans la bibliothèque de cryptage OpenSSL, un répertoire open source qui protège les pseudos et les mots de passe des internautes. La faille a révélé que n’importe quel hacker interceptant une connexion potentiellement compromise (c’est-à-dire mal encryptée) pouvait récupérer votre nom d’utilisateur et votre mot de passe. Le pire, ce n’est même pas que 66% des sites web utilisaient (et utilisent toujours) le cryptage OpenSSL: c’est que la faille soit passée inaperçue pendant deux ans. En d’autres termes, les hackers ont eu le champ libre pour récolter des pseudos et des mots de passe pendant un bon moment.

Depuis sa découverte en avril, la plupart des grands sites concernés ont corrigé ce bug, redonnant une certaine (relative) sécurité à leurs sites web.

Snapchat

Bien que l’appli elle-même ait été hackée plus tôt dans l’année, dévoilant les pseudos et numéros de téléphones de plus de 4 millions de personnes, les utilisateurs de Snapchat ont tremblé lorsque le populaire site Snapsaved, édité par des tiers, a subi une faille de sécurité. Cette page web, comme son nom l’indique, permet aux utilisateurs de Snapchat de sauvegarder leurs photos et leurs vidéos. Les hackers ont dérobé plus de 200 000 images et vidéos, dont beaucoup se sont retrouvées sur les forums anonymes de 4chan, il y a de ça quelques semaines.

Snapchat est souvent utilisé pour envoyer des images plutôt, disons, “personnelles”, ce qui pose d’autant plus de problèmes que le site est populaire chez les mineurs. Snapsaved.com a depuis cessé ses activités et 4chan a retiré les photos, mais ça ne signifie pas que vous êtes complètement à l’abri. Snapsaved et des applis similaires exploitent les accès dérobés d’une API (Application Programming Interface) accessible au public pour intercepter et sauvegarder vos photos. Mieux vaut sans doute éviter les applis tierces qui communiquent avec Snapchat (ainsi que Snapchat lui-même, pas toujours irréprochable sur le plan de la sécurité) si vous ne voulez pas risquer de voir vos photos dans la nature.

iCloud

Cette fuite de photos a eu un écho considérable dans la presse, du fait de la notoriété mondiale des célébrités qui étaient visées par ces attaques. Mais la faille de sécurité expérimentée par iCloud en septembre n’a pas suffi à effrayer l’utilisateur Lambda. La fuite n’était pas vraiment liée à une vulnérabilité logicielle en soi: les hackers ont plus exactement découvert une lacune dans le système de sécurité qu’ils ont exploitée au moyen de logiciels tiers, pour accéder aux comptes de sauvegarde d’iCloud, en ciblant ceux des célébrités. La panique a été causée par le fait que n’importe qui pouvait potentiellement accéder à des photos “sensibles” stockées sur un appareil iOS. L’absence de validation en deux étapes a été pointée du doigt pour expliquer la vulnérabilité d’iCloud.

Depuis, Apple a nettement modifié ses services de stockage iCloud à l’occasion de la sortie d’iOS 8. Vous recevrez notamment un email s’il y a eu accès à votre compte depuis un autre emplacement, et le système rend la tâche bien plus difficile aux hackers qui voudraient s’aventurer sur vos comptes. L’authentification en deux étapes est maintenant obligatoire, et Apple vous force à générer des mots de passe distincts pour chaque appli qui n’est pas compatible avec l’authentification en deux étapes.

eBay

En mai, eBay a annoncé que l’intégrité de son site web avait été compromise par une faille de sécurité vieille de quelques mois. Au moyen du compte d’un employé, les hackers ont pu accéder aux données des utilisateurs. Cependant, les informations dérobées ne contenaient pas de données bancaires, et concernaient essentiellement les emails et les adresses physiques des utilisateurs, ainsi que leurs mots de passe et leurs dates de naissance. Paypal, le partenaire d’eBay qui gère les transactions financières, n’a heureusement pas été frappé par cette attaque, ce qui aurait pu causer des dégâts d’une autre ampleur.

eBay a déclaré ne pas avoir détecté d’activité suspicieuse lors des mois précédant la découverte de la faille, mais il a recommandé aux 145 millions d’utilisateurs concernés de modifier leur mot de passe.

Internet Explorer

Un quart du marché des navigateurs internet a été affecté en avril, lorsque Microsoft a annoncé une faille critique de sécurité dans les versions 6 à 11 d’Internet Explorer. De fait, Microsoft a pris la menace au sérieux, au point de sortir une mise à jour de sécurité pour Windows XP, alors même qu’il avait cessé le support officiel de ce système d’exploitation, périmé depuis quelques semaines.

La vulnérabilité mettait les utilisateurs d’Internet Explorer à la merci des hackers en octroyant à ces derniers les droits d’administrateur à distance, leur permettant de s’introduire dans le système et d’installer des malwares. Heureusement, la vulnérabilité a été corrigée quelques jours après avoir été découverte.

Adobe Flash

Adobe a sorti en urgence une mise à jour de Flash cet été, après qu’une faille de sécurité ait mis les cookies du navigateur à la merci des pirates. Les cookies sont des données qui permettent au navigateur de se souvenir de votre comportement sur des sites web, afin de rendre votre expérience plus fluide, par exemple en évitant de retaper son mot de passe à chaque connexion. Cette vulnérabilité, techniquement complexe, permettait aux pirates d’intercepter ces cookies, et de se faire passer pour d’autres internautes sur les sites web concernés.

Flash étant embarqué par des milliers de sites, y compris YouTube, Google ou Tumblr, sa vulnérabilité a compromis la sécurité d’un grand nombre d’internautes. Heureusement, le patch a été mis à jour rapidement, avant que des dégâts majeurs soient détectés.

Découverte le mois dernier, Shellshock Bash pouvait potentiellement devenir la plus vaste et la plus effrayante des failles de sécurité jamais connues. Apparue sur Mac OS X, Linux et les systèmes Unix, elle donnait aux hackers la possibilité d’exécuter des commandes à distance sur des ordinateurs, des appareils et des sites web.

Bash est un interpréteur de commande largement utilisé par des PC portables, des routeurs ou des sites web. Sa vulnérabilité aurait pu affecter des centaines de millions de dispositifs. Après avoir découvert le bug de Bash, les hackers ont immédiatement testé les sites web pour savoir lesquels étaient les plus exposés. De nombreuses compagnies, dont Apple, ont rapidement corrigé le bug, mais le bug de Bash est toujours potentiellement dangereux pour les serveurs web faisant fonctionner de nombreux sites.

Cela dit, ne vous inquiétez pas. Vous êtes sans doute hors de danger, vu que la plupart des éditeurs de logiciel ont corrigé le bug. Mais comme on n’est jamais trop prudent, vous pouvez vous protéger en mettant à jour votre ordinateur et vos dispositifs, en installant la dernière actualisation logicielle.

Pas de panique

Il semblerait que les failles de sécurité sont devenues monnaie courante de nos jours, mais bien qu’elles échappent à notre champ d’action, vous pouvez vous protéger par des moyens simples à mettre en œuvre.

Tout d’abord, vous pouvez utiliser des générateurs de mots de passe, pour s’assurer qu’ils sont tous distincts et incassables. Utilisez l’authentification en deux étapes dès que possible, mettez à jour vos logiciels à la dernière version, car les actualisations contiennent souvent des patchs de sécurité et des corrections de bugs. Et autant que possible, évitez les applis développées par des tiers ou des services aux règles de sécurité ou aux paramètres nébuleux.

A lire aussi:

Article original de Zuzanna Blaszkiewicz– Softonic.com. Traduit et adapté de l’anglais.

Google Maps, Apple, Assassin’s Creed Identity et Windows 10 sont dans la Minute Softonic

La Minute Softonic, votre condensé d’high-tech en une minute. Toute l’actualité des logiciels, apps et jeux de la semaine avec Google Maps, Apple, Assassin’s Creed Identity et Windows 10.

Google Maps voyage en Egypte.

Il y a quelques jours, Google Maps a dévoilé une visite spectaculaire des pyramides de Gizeh. Si vous voulez découvrir tous les recoins secrets de l’Egypte ancienne sans quitter la maison, Google Street View est certainement le meilleur outil.

Shellshock, la brèche de l’année.

La faille Shellshock a été découverte. Elle permet de pirater Mac, Linux, ou tout autre dispositif tel que des thermostats connectés, des routeurs ou des caméras.

Apple a publié une mise à jour à destination des ordinateurs, mais vraisemblablement d’autres appareils seront exposés à tout jamais.

Assassin’s Creed annonce Identity 10.

Ubisoft a présenté Assassin’s Creed: identity, la première série d’aventure en 3D pour les smartphones et les tablettes. Dans Identity, vous pouvez créer votre propre meurtrier et remplir des missions en Italie au temps de la Renaissance. Le jeu sera disponible en 2015 pour les appareils iOS et Android.

Microsoft a surpris avec Windows… 10

Microsoft a annoncé de Windows 10 son nouveau système d’exploitation. Ce dernier récupère les derniers éléments clés de Windows 7 et ajoute de nouvelles fonctionnalités telles que les multiples postes de travail. Il semblerait que Microsoft aie sauté la version 9 pour éviter qu’elle soit confondue avec les anciens programmes Windows 95 et 98. Rendez-vous sur Softonic pour plus d’informations.

brightcove.createExperiences();

Des infos manquantes?

N’hésitez pas à partager vos informations dans les commentaires. Vous avez raté un épisode? Retrouvez toutes les Minutes Softonic sur notre blog.

Suivez-moi sur Twitter: @zariaurore

Apple lance son patch pour corriger la faille Shellshock dans OS X

Apple avait promis une solution. La firme de Cupertino a donc respecté sa promesse en lançant ses correctifs pour Mac OS X Mavericks, Lion et Mountain Lion.

Le patch n’est pas disponible par une mise à jour automatique de OS X. Vous devrez donc télécharger et installer manuellement le patch pour votre version respective de OS X. Assurez-vous de télécharger ce patch pour protéger votre ordinateur et éviter tout problème.

Apple précise cependant qu’il n’y aucun risque à avoir pour la majorité des utilisateurs. Seuls les utilisateurs avancés qui ont configuré manuellement les services UNIX sont en danger.

Attention, si vous utilisez les versions publiques ou développeurs de Mac OS X Yosemite, il n’y a pas encore de patch disponible.

Voici les patchs pour les différentes versions de Mac OS X:

– OS X Lion

– OS X Mountain Lion

– OS X Mavericks

Source: Engadget

A lire:

Un informaticien français découvre la faille ShellShock qui pourrait mettre l’Internet à genoux

Pourquoi Shellshock Bash est encore plus effrayant que Heartbleed

Heartbleed c’est quoi? Les 5 étapes pour protéger ses comptes

Suivez-moi sur Twitter: @pierrevitre

Pourquoi Shellshock Bash est encore plus effrayant que Heartbleed

Oubliez Heartbleed et dites bonjour à Shellshock Bash: le nouveau bug qui inquiète le web et les internautes.

Bash n’est pas une faille récente. Elle existe depuis vingt-cinq ans mais sa découverte date de quelques semaines et a le potentiel pour hacker les ordinateurs, les téléphones, les tablettes, les sites web et bien plus encore.

Cette vulnérabilité se situe dans les lignes de commande qui fonctionnent en arrière-plan sur Mac OS X, Linux et de nombreux autres systèmes basés sur Uni. Ce bug permet notamment aux pirates d’exécuter des commandes à distance et de modifier du contenu sur des ordinateurs et des sites web.

Qu’est-ce que Bash et pourquoi tant de choses l’utilisent?

Sans être trop technique, Bash est fondamentalement un interprète pour les ordinateurs, permettant aux utilisateurs d’exécuter des commandes sur les systèmes Unix et Linux. Il est utilisé sur une variété de dispositifs car le logiciel est open source et constitue la norme pour les serveurs web dans l’industrie.

Image credit: Netcraft

Plus de la moitié des serveurs web du monde entier tourne sous Apache, une application de serveur Web responsable pour le protocole de transfert hypertexte (HTTP).

Comment Bash est-il exploité?

Bash permet aux hackers d’exécuter du code arbitraire sur les systèmes affectés sans aucune forme d’authentification. Ce type d’attaque est appelée “injection de code“.

Comme mentionné précédemment, de nombreux sites web s’exécutent sur des serveurs web qui sont vulnérables au bug Shellshock Bash. Cela signifie que ses sites web entiers pourraient théoriquement être hackés.

Pire encore, des milliers d’appareils supportent Bash, comme les appareils photo et les routeurs. Des outils domestiques comme les ampoules et les thermostats connectés pourraient aussi être affectés.

Heureusement, j’utilise Windows

Bien que le système d’exploitation Windows n’est pas directement touché par le problème, les périphériques que vous connectez à votre ordinateur peuvent utiliser Bash. Le routeur que vous utilisez pour connecter votre ordinateur Windows à Internet par exemple utilise certainement un système d’exploitation qui est vulnérable.

Est-ce aussi mauvais et dangereux que Heartbleed?

Le bug Shellshock Bash attire de nombreuses comparaisons avec la faille Heartbleed découverte il y a quelques mois. Et pour cause, car même si les vulnérabilités sont complètement différentes, les effets des deux attaques sont comparables.

Cependant, Heartbleed n’affectait que les sites et services web tandis que Shellshock Bash peut affecter les sites, les ordinateurs et de nombreux autres dispositifs.

Les hackers connaissent et utilisent évidemment déjà la faille. Nos confrères d’Ars Technica ont ainsi trouvé plus de 2 milliards de sites qui “correspondent au profil du bug Shellshock.”

Toutefois, on ignore dans quelle mesure les pirates vont profiter du bug. Ces derniers pourraient notamment créer des vers passant à travers les pare-feux et se multiplier sur un réseau sans que les utilisateurs ne s’en aperçoivent. Les pirates pourraient alors même espionner et voler vos données personnelles une fois votre machine compromise en utilisant le bug.

Que puis-je faire pour me protéger?

Si vous êtes un utilisateur Mac et que vous voulez savoir si vous êtes vulnérable, vous pouvez exécuter le script suivant dans l’application Terminal (situé dans le dossier Utilitaires).

$ env x='() { :;}; echo vulnerable’ bash -c ‘echo hello’

Si la commande lit “vulnérable” et “hello”, alors votre machine est sensible au bug Shellshock. Apple travaille actuellement sur un correctif pour vous mettre à l’abri de ce dernier.

Pour la plupart des utilisateurs, la meilleure chose que vous pouvez faire maintenant est de vous assurer que vous utilisez la dernière version des logiciels sur TOUS vos appareils (y compris votre routeur).

Au-delà de garder vos appareils à jour, restez vigilant et faites également attention aux spams et autres emails qui vous proposeront un patch ou une solution miracle. Les serveurs et sites web corrigeront d’eux-mêmes la faille. Patience donc et prudence.

Sources: Red Hat | Troy Hunt

A lire:

Heartbleed c’est quoi? Les 5 étapes pour protéger ses comptes

Quels sont les principaux sites affectés par la faille Heartbleed?

Piratage: le vol de données en ligne en forte hausse aux États-Unis

Suivez-moi sur Twitter: @pierrevitre