Tout le monde se souvient du scandale TJX et des millions d'informations personnelles dérobées à cette occasion.
Les sites recensant ces incidents relatifs aux pertes de données disposent aujourd'hui d'une forte visibilité, en particulier Attrition et PrivacyRightsClearinghouse.

Nous tenions à souligner la mise en ligne récente par David Shettler d'un site compilant ces bases, à l'adresse : http://etiolated.org :

On notera surtout la présence d'un agent de recherche évolué dont les détails se trouvent ici.
En effet, celui-ci dispose de nombreux opérateurs pour affiner une recherche en particulier sur un domaine d'activité, le type de faille de sécurité exploitée, la zone géographique de l’entreprise impactée par le vol, etc... et propose la capacité de réaliser des représentations visuelles des résultats.

Enfin, il est également possible de créer un flux RSS personnalisé d'après ses critères de recherches préférés (exemple: piratage ET institutions financières)

La sécurité des périphériques nomades fait de plus en plus parler d'elle ces dernières années avec l'utilisation grandissante des assistants numériques personnels ("PDA"), téléphone intelligents ("smart phones") et autres Blackberry en tout genre. Ceux-ci obligent les responsables informatiques à repenser la sécurité de leurs systèmes, en raison des nouveaux dangers et du périmètre flottant induits par cette informatique nomade. Un message publié sur la liste de diffusion Full-Disclosure rappelle à quel point la sécurité de ces périphériques laisse encore à désirer.

Sur certains téléphones de marque Nokia, une sauvegarde complète de la mémoire du téléphone réalisée avec le logiciel PC Nokia Suite fournit en effet une suite de fichiers ".dat" (ou un unique fichier ".nbu" selon la version du téléphone) contenant, entre autres, les SMS envoyés... y compris ceux qui ont été effacés ! L'analyse forensique de la carte SIM n'est donc même plus nécessaire.

De fait, le problème n'est pas nouveau, il est juste amusant de voir qu'une simple sauvegarde du téléphone avec des utilitaires fournis par le constructeur suffit. Dans le même ordre d'idée, les cartes Flash, utilisées par exemple pour les appareils photos numériques, fonctionnent d'une telle manière qu'il est aussi possible de récupérer des photos qui auraient été malencontreusement effacées. Dans ce cas, par contre, une (simple) analyse forensique se révèle nécessaire.

Faites donc plus attention que jamais avant de revendre votre portable avec votre carte SIM à un inconnu sur eBay...

Dans le cadre du renforcement de nos activités, nous sommes actuellement à la recherche de deux profils pour rejoindre le département de Veille Technologique Sécurité du CERT-LEXSI, historiquement connu sous l'acronyme CSI : Motivé par la sécurité informatique, passionné d'études de malwares ou de recherche en vulnérabilités, cet emploi et ce stage sont peut-être faits pour vous !

Les produits BEA font pas mal parler d'eux ces derniers temps. Le 11 mai dernier, BEA a ainsi émis un bulletin concernant WebLogic Portal 10 indiquant qu'une erreur d'implémentation dans la routine de vérification de la licence avait pour effet sa prétendue expiration le 14 mai.

Les serveurs lancés avant cette date continueront de fonctionner une fois la date passée, à ceci près qu'il ne sera plus possible d'effectuer des changements de politique depuis la console. Par contre, un serveur Weblogic démarré ou redémarré après cette date refusera de se lancer, provoquant de fait un déni de service... BEA a publié un correctif (Ref Lexsi 8537).

De plus, BEA vient de publier 18 (!) bulletins de sécurité, concernant principalement Weblogic et Tuxedo.

Microsoft a publié ses correctifs mensuels ; on n'y recense que des failles qualifiées de "critiques". On y trouve en particulier un correctif pour la faille concernant un service RPC sur le serveur DNS, mise au jour à la mi-avril, ainsi qu'une faille Word datant du mois de décembre.

Voici un aperçu des vulnérabilités colmatées :

MS07-023 : trois vulnérabilités dans Excel peuvent être exploitées grâce à un fichier malicieusement forgé afin d'exécuter du code arbitraire (Ref. Lexsi 8501).

MS07-024 : trois vulnérabilités dans Word peuvent être exploitées grâce à un fichier malicieusement forgé afin d'exécuter du code arbitraire (Ref. Lexsi 8154 et Ref. Lexsi 8502).

MS07-025 : une vulnérabilité dans Office peut être exploitée grâce à un fichier malicieusement forgé afin d'exécuter du code arbitraire (Ref. Lexsi 8503).

MS07-026 : une vulnérabilité sur OWA (Outlook Web Access) peut être exploitée afin d'injecter des scripts arbitraires. Trois vulnérabilités sur Exchange peuvent permettre à un attaquant de provoquer un déni de service ou d'exécuter du code arbitraire avec les droits du serveur de messagerie (Ref. Lexsi 8505).

MS07-027 : cinq vulnérabilités sur Internet Explorer peuvent être exploitées afin d'exécuter du code arbitraire ou d'écraser des fichiers (Ref. Lexsi 8504).

MS07-028 : une vulnérabilité dans le composant ActiveX CAPICOM.Certificates peut être exploitée afin d'exécuter du code arbitraire (Ref. Lexsi 8506).

MS07-029 : une vulnérabilité du service DNS de Windows peut être exploitée afin d'exécuter du code arbitraire (Ref. Lexsi 8425).

Ce sont ainsi pas moins de 18 vulnérabilités qui sont corrigées.

Depuis quelques semaines, de plus en plus d'actions boursières présentes sur les places de marché allemandes sont ciblées dans des campagnes "pump-and-dump".

Tout le monde sait qu'il ne faut pas prêter attention à ces messages qui vous promettent l'envolée prochaine d'une petite action. Dans un cas récent identifié par un blogueur allemand, les spams étaient d'ailleurs envoyés avec la mention: "Mittwoch 30 APRIL startet die Hausse" (La hausse démarre le mercredi 30 avril)

Le problème est que le 30 avril était LUNDI dernier!
Il n'y pas eu de mercredi 30 avril depuis 2003, et le prochain ne sera qu'en 2008. Des scammeurs très en avance sur leur temps...

Bref du "pump-and-DUMB".