Services
Deux chercheurs de la société israélienne Radware ont décelé une faille majeure dans la sécurité des systèmes de mise à jour automatique des logiciels. Ils ont développé Ippon, un outil qui facilite le travail des pirates pour exploiter ces failles.
La faille rend possible une technique de piratage qui passe par le processus de mise à jour dans le but d'y joindre des logiciels malveillants (vers, virus, chevaux de Troie ou spywares).
La méthode est relativement simple: Ippon utilise les adresses des sites web des éditeurs. Cet outil décèle ensuite les propositions de mise à jour d'un logiciel et se fait passer pour le site de l'éditeur. Ainsi, l'internaute dupé télécharge le logiciel malveillant et non pas la réelle mise à jour.
Ippon a été élaboré par les deux chercheurs, qui ont fait une démonstration de leur technique de piratage lors de la conférence DefCon à La Vegas, dédiée au hacking.
Plusieurs applications seraient visées par cette technique de piratage, dont le logiciel VoIP de Skype.
Les mises à jour de Microsoft et plus spécifiquement Windows Update seraient épargnées. Ces dernières sont protégées du fait qu'elles ont recours à un mode sécurisé (HTTPS) utilisant des signatures numériques.
Les pirates mettent même le public en garde: «Les gens doivent se montrer prudents quand ils utilisent des réseaux publics Wi-Fi et éviter de lancer des mises à jour quand ils sont connectés à un hotspot. Vous devez assumer le fait, quand vous utilisez un réseau public et non protégé, que celui-ci puisse être attaqué», rapporte CNET.
(Sources: ZDNet, ITEspresso et CNET)
par Aude Boivin Filion
Oh wow, grosse trouvaille! Fin du sarcasme.
J'écris rarement ce genre de commentaire, mais cette méthode est connue depuis longtemps.
Et ça vise des logiciels sous quel OS : OSX ? Windows ?
Jean: Ca vise tous les systèmes de mises à jours (automatiques ou pas dailleurs) qui n'utilisent pas une méthode d'authentication des mises à jours. En effet, Microsoft utilise un système à clé publique pour authentifier les mises à jour... Mises à jour téléchargées de site web sécurisés en plus. La plupart des grandes entreprises, espérons-le, doivent utiliser un système suffisament fiable à ce niveau. Ce sont les plus petites entreprises qui ne font pas d'efforts pour rendre ces procédures sécuritaires qui sont visées et il doit y en avoir beaucoup! Je pense entre autre à plusieurs logiciels de comptabilités qui sont très probablement à risque.
@Jean
Comme DS l'indique, l'OS n'as plus rapport avec ce type d'attaque, car si tu dupe une mise a jour pour un logiciel pour linux, évidement tu vas envoyer un spyware pour linux (ou windows ou osx...) bref tu vas addapter ta technique au logiciel que tu veux duper et donc l'os également.
donc je mets pas à jours j ai des problèmes de sécurité , je mets à jours je prends le risque d avoir des problèmes de sécurité :)
internet c est chouette
@jesersarien
«donc je mets pas à jours j ai des problèmes de sécurité, je mets à jours je prends le risque d avoir des problèmes de sécurité :)
internet c est chouette»
Ce n'est pas tout à fait cela. Comme le dit DS, «Ca vise tous les systèmes de mises à jours qui n'utilisent pas une méthode d'authentication des mises à jours.» Généralement, les logiciels qui sont mis en marché par des compagnies reconnues ne sont pas à risque. Par contre, il y a fort à parier que beaucoup de logiciels gratuits téléchargeables sur le net ne sont pas munis d'un système adéquat de sécurité.
Il ne faut jamais perdre de vue que la gratuité n'existe pas vraiment sauf dans les cas de logiciels de type «open source». Mais encore là , est-ce que la programmation du dit logiciel «open source» est vraiment fiable à tout point de vue ? Est-ce que le logiciel en question a subi des modifications par une personne malveillante ? etc... La prudence est toujours de mise, peu importe le OS et les systèmes de sécurités mis en place.
Permettez-moi de faire une petite blague. «Tiens! Tous les OS sont à risque ? Même les inviolables MacOS et Linux?» ;-)
@Kheiron :
Je crois qu'une rectification de tir est de mise... Oui il faut s'informer avant de télécharger un logiciel Open Source... comme il faut le faire avec chaque logciel ;-)
L'Open Source n'est pas plus risqué que d'autres logiciels gratuits, cependant c'est ce que l'on ressent dans ton message. Je voulais simplement réajuster les choses.
