La chasse au bug lancée à la fin du mois de juillet 2011 par Facebook a rencontré le succès auprès des développeurs et experts en sécurité. Le réseau social annonce avoir déjà versé 40 000 dollars de récompense. Un chasseur de bug a même touché plus de 7 000 dollars pour avoir signalé l’existence de six failles. En effet, si Facebook a fixé à 500 dollars la récompense versée pour la découverte d’un bug, il s’est dit prêt à augmenter la prime si l’importance de la trouvaille le méritait.

Facebook garde sous silence le nombre de personnes récompensées, ce qui rend impossible l'évaluation du nombre de failles détectées, mais le réseau indique que les chasseurs de bug sont issus de multiples pays, comme la Turquie ou la Pologne.

Source : www.01net.com

Un hacker de 25 ans est actuellement entendu par la justice pour avoir réussi à se défaire des mesures de sécurité de Facebook. Glenn Steven Mangham aurait visité plusieurs fois les serveurs du réseau social.

En Grande-Bretagne, la Cour de Westminster juge le cas de Glenn Steven Mangham. Cet étudiant de 25 ans est accusé de s'être introduit de manière frauduleuse dans les serveurs de Facebook. Ces actes répétés ont été repérés par Scotland Yard et le hacker a ensuite été arrêté par les services de police.

Concrètement, le hacker était parvenu à pénétrer plusieurs serveurs de Facebook. Dans premier temps, le hacker s'était attelé à s'introduire sur le « puzzle server » du réseau ( un serveur spécial dédié aux développeurs pour tester leurs capacités). Par la suite, Mangham avait notamment concentré ses attaques sur le serveur utilisé pour la gestion de la messagerie interne de Facebook (Mailman).

Pour sa défense, cet anglais a tenu à préciser qu'aucune donnée personnelle n'a été compromise. Toujours est-il que pour éviter que le jeune homme ne puisse à nouveau répéter ses actes, la justice a décidé de le priver de ses appareils électroniques. Selon The Telegraph, Mangham s'est donc vu interdire tout accès à un ordinateur ou même un smartphone jusqu'à ce que son procès soit terminé...

De son côté, la justice va devoir décider dans les jours à venir si elle souhaite ou non infliger une sanction à ce hacker. Elle pourrait prendre en compte la politique de sécurité du réseau social qui a ouvert la possibilité de rapporter une éventuelle faille de sécurité auprès des responsables du site. Pour sa part, Facebook a confirmé qu'aucune donnée n'avait été volée lors de ces intrusions, toutefois, la firme n'a pas non plus indiqué si une éventuelle notification de sécurité lui avait été envoyée par Glenn Steven Mangham.

Source : www.clubic.com

Si les solutions de sécurité se développent, les armes des cybercriminels aussi. Que ce soit par des moyens techniques (attaques massives, automatisées ou manuelles, ciblées ou non, nouvelles générations de malwares, vols et exploitations de données, etc.) ou par manipulation humaine (phishing, ingénierie sociale, etc.), les tentatives d’intrusion des systèmes d’information des entreprises ne cessent d’augmenter.

En témoigne le rapport Verizon Data Breach Investigations Report 2011 (DBIR), élaboré en collaboration avec les Services secrets américains et la Dutch national high tech crime unit (NHTCU), qui dresse l’état des lieux de la cybercriminalité dans le monde sur ces sept dernières années (soit quelques 1700 infractions étudiées représentant plus de 900 millions de fichiers compromis).

Pour échapper à ces attaques «peu sophistiquées», Verizon propose une série de recommandations simples et néanmoins fondamentales pour la sécurité des entreprises, quelle que soit leur taille, grands comptes comme PME :

• Se concentrer sur les contrôles essentiels : beaucoup d’entreprises font l’erreur de viser un très haut niveau de sécurité sur certains points tout en négligeant complètement les autres. On est bien mieux protégé lorsque les normes élémentaires sont appliquées dans l’ensemble de l’organisation, sans aucune exception.

• Ne conserver que les données utiles : si vous n’avez pas besoin de ces données, ne les conservez pas. En revanche, les données utiles doivent impérativement être identifiées, surveillées et stockées en lieu sûr.

• Sécuriser les services d’accès à distance : restreindre les autorisations à des réseaux et adresses IP prédéfinis, pour limiter les accès publics. Les entreprises ont aussi intérêt à restreindre l’accès aux informations sensibles au sein du réseau.

• Surveiller les comptes des employés ayant les droits les plus larges : la meilleure approche consiste à faire confiance à l’utilisateur après avoir vérifié sa probité lors de l’embauche, et en lui accordant des droits d’accès limités en fonction de son rôle ou de ses responsabilités. Les managers doivent fournir des consignes de sécurité claires et vérifier que les collaborateurs respectent effectivement les règles et procédures en place.

• Vérifier régulièrement les comptes utilisateurs : s’assurer que les comptes actifs sont valides, utiles, correctement configurés et que les droits d’accès correspondants sont adéquats (les moins permissifs possibles).

• Gérer et analyser les logs (fichiers-journaux) : il ne s’agit pas de les étudier par le menu, mais de s’intéresser aux principaux problèmes. L’important est d’abaisser le délai de détection des infractions à quelques jours seulement, contre des semaines, voire des mois. Pour protéger au mieux les données, privilégier les processus de surveillance et d’alerte les plus intelligents, efficaces et réactifs.

• Sensibiliser les employés aux méthodes d’ingénierie sociale et aux différents vecteurs d’attaques qu’elles représentent : leur apprendre à s’interroger avant de cliquer sur un lien et à se méfier des pièces jointes aux e-mails dont ils ne connaissent pas l’expéditeur.

Source : www.silicon.fr

L’éditeur Sophos alerte les internautes sur la diffusion d'e-mails invitant les utilisateurs à mettre à jour leur navigateur Firefox. C’est un piège.

L’éditeur Sophos alerte les internautes sur la diffusion d'emails invitant les utilisateurs à mettre à jour leur navigateur Firefox. C’est un piège.

La technique n’est pas nouvelle, mais elle inspire encore les pirates. Depuis ce week-end, un courrier électronique est diffusé pour prévenir les internautes de la disponibilité d’une mise à jour de Firefox visant à corriger des failles de sécurité. Le message, écrit en anglais, est signé Mozilla et propose un lien cliquable menant à une mise à jour du navigateur de la fondation. Il s’agit d’un faux, alerte l’éditeur de sécurité Sophos.

Ce lien permet bien de télécharger un installateur Firefox, mais il s’accompagne d’un programme malveillant, un cheval de Troie qui va s’installer sournoisement sur les machines de ses victimes afin de dérober des mots de passe. Le malware est référencé sous le nom TROJ/PWS-BSF par Sophos.
Ce dernier rappelle que la mise à jour de Firefox se fait depuis le navigateur lui-même et en aucun cas depuis un courrier électronique. Les dernières versions de Firefox sont également disponibles sur telecharger.com.

Source : www.01net.com

Sanford Wallace, surnommé le roi du spam, est accusé d'avoir piraté près de 500 000 comptes Facebook dans le cadre de ses activités de spammeur. Plus de 27 millions de messages indésirables ont été envoyés entre 2008 et 2009. Condamné il y a deux ans à 711 millions de dollars de dommages et intérêts dans une affaire l'opposant au réseau social, il est désormais poursuivi au pénal et risque une peine de prison.

 L'étau judiciaire se resserre autour de Sanford Wallace. Celui qui est considéré comme le "roi du spam" aux États-Unis, au point d'être surnommé Spamford Wallace, pourrait bien passer les prochaines années de sa vie en prison. En effet, l'Américain de 43 ans est accusé (.pdf) d'avoir dérobé des renseignements personnels à près de 500 000 membres du réseau social Facebook afin de générer encore plus de courriers indésirables.

Pour cela, Sanford Wallace a utilisé une technique tout à fait classique, le hameçonnage (phishing en anglais) pour récupérer ces informations. Cela consiste à faire croire à un internaute qu'il se trouve sur un site de confiance pour l'inciter à communiquer des renseignements confidentiels, comme un mot de passe ou un numéro de carte de crédit. Le phishing cible essentiellement les sites bancaires, de paiement en ligne (PayPal) ou de jeux vidéo.

Un choix judicieux, puisque Sanford Wallace a pu diffuser plus de 27 millions de messages indésirables sur Facebook entre 2008 et 2009. Un méfait qui n'est pas resté impuni. Il y a deux ans, la justice américaine a condamné le roi du spam à verser 711 millions de dollars de dommages et intérêts à Facebook, dans le cadre d'une procédure civile. Cette fois, Sanford Wallace est poursuivi au pénal.

Une somme que n'avait jamais versée Sanford Wallace, se déclarant immédiatement en faillite personnelle. En 2007, l'homme avait également été condamné au civil contre un autre réseau social très connu aux Etats-Unis, MySpace. À l'époque, le juge avait fixé le montant des dommages et intérêts à 230 millions de dollars. La justice, dans les deux cas, lui avait ordonné de ne plus accéder à ces sites.

Peine perdue, puisque l'homme a cherché à se connecter à de multiples reprises, notamment au cours d'un entre Las Vegas et New York avec Virgin Airways. En début d'année, Sanford Wallace avait également créé un faux profil sous le nom de David Sinful-Saturdays Fredericks. Autant d'éléments qui ont fini par se transformer en chefs d'accusation contre le roi du spam.

Sanford Wallace a a versé mardi une caution de 100 000 dollars afin de regagner la liberté, en attendant le début de son procès. Celui-ci doit démarrer le 22 août.

Source : www.numerama.com