Le surf au bureau est qualifié de professionnel

Vous travaillez avec un ordinateur et vous avez un accès à internet au bureau. Il vous arrive également de prendre des pauses de temps à autre durant lesquelles vous surfez sur divers sites de manière personnelle. Sachez qu’un arrêt rendu le 9 juillet 2008 par la Cour de cassation estime que ce surf revêt en réalité un caractère professionnel et que votre employeur a tout droit de scruter votre ordinateur une fois que vous avez quitté le bureau. C’est du beau…

Source : JdN

Faille DNS de Kaminsky : L’exploit est disponible

Comme l’a dit Olivier Dembour que je citais hier (voir Dan Kaminsky découvre une faille dans le protocole DNS), l’exploit devait arriver. C’est une réalité puisque je viens de tomber dessus. Il a été développé hier et est déjà très largement diffusé à travers la toile. J’aurais bien cité l’en-tête du fichier mais je vais éviter car cela accélèrerait sa diffusion, même si tout le monde devrait à l’heure qu’il est être protégé grâce au patch correctif dont je vous parlais également hier.

Unicode-bidi : Orientation bidirectionnelle de texte en CSS

Je viens de découvrir quelque chose d’assez fort. Il est possible de modifier l’orientation d’un texte en CSS via la propriété unicode-bidi. En écrivant les quelques lignes suivantes :

<span style="unicode-bidi: bidi-override; direction: rtl;">
	uohCiT ed golB
</span>

On obtient :

uohCiT ed golB

Le truc exceptionnel est qu’en copiant le Blog de TiChou ci-dessus et le collant n’importe où, l’orientation initiale sera conservée et que vous l’aurez donc toujours à l’envers. Au final, un bon moyen de protéger un texte contre la copie.

Dan Kaminsky découvre une faille dans le protocole DNS

Dan Kaminsky, chercheur en sécurité informatique travaillant pour IOActive, découvre une faille dans le protocol DNS (Domain Name System) il y a près de six mois. C’est en fait le cache de ce dernier qui pose problème. Techniquement, le cache correspond à une copie de la correspondance adresse IP/nom de domaine qui est conservée un certain temps par les serveurs DNS afin d’éviter de les solliciter constamment et optimiser le trafic. Seulement voilà, via une attaque par DNS cache poisoning, il est possible de modifier ses données en mémoire.

Un petit exemple pratique pour clarifier les choses. Vous souhaitez aller sur le site de votre banque ou n’importe quel site que l’on pourrait qualifier de sensible. Vous ouvrez votre navigateur web (Firefox, Firefox !)  et précisez l’adresse dans la barre prévue à cet effet. C’est à ce moment là que votre navigateur va interroger les serveurs DNS afin d’obtenir l’adresse IP. A ce moment, deux possibilités :

• le serveur DNS n’a pas encore traité cette correspondance ou l’enregistrement dans le cache DNS est périmé. Il n’y a pas de risque dans ce cas-là.
• le serveur DNS contient l’enregistrement demandé et il est toujours valide. C’est ici qu’intervient la faille. Si le contenu de ce cache a été modifié, on peut être redirigé vers n’importe quel site. Le risque est donc avant tout de divulguer des informations (mots de passe, numéro de carte de crédits, etc.) à des sites copiés qu’on prend pour sites officiels. Il s’agit de phishing (d’où le nom de filtre anti-hameçonnage sous Internet Explorer 7).

Dan a donc travaillé dans la plus grande discrétion afin de développer un patch correctif capable de combler cette faille critique. Il a même mis à disposition sur son blog (doxpara.com) un petit outil capable de détecter si ce patch a été appliqué à nos serveurs DNS.

DNS Checker

Recently, a significant threat to DNS, the system that translates names you can remember (such as www.doxpara.com) to numbers the Internet can route (66.240.226.139) was discovered, that would allow malicious people to impersonate almost any website on the Internet. Software companies across the industry have quietly collaborated to simultaneously release fixes for all affected name servers. To find out if the DNS server you use is vulnerable, click below.

En cliquant sur Check My DNS, on a pour des DNS sains :

Your name server, at 84.103.237.142, appears to be safe, but make sure the ports listed below aren’t following an obvious pattern. Requests seen for a89595f4ae5e.toorrr.com:
84.103.237.142:63445 TXID=31219
84.103.237.142:41980 TXID=9621
84.103.237.142:4377 TXID=4574
84.103.237.142:26595 TXID=18467
84.103.237.142:1028 TXID=57898

Côté des hébergeurs, le patch a bien été appliqué chez OVH ainsi que les autres je suppose. Le risque encouru est bien trop grand pour se permettre de ne pas prendre cela avec le plus grand sérieux.

Faille de sécurité dans le service DNS (FS#2310)

Suite à l’annonce il y a deux jours de la découverte d’une faille importante de sécurité dans le service DNS. Nous mettons à jour les binaires dns sur l’ensemble du parc mutualisé. Aucune indisponibilité n’est prévue !

Mais tout ceci s’est passé trop parfaitement, il fallait que quelqu’un bourde. C’est là qu’intervient Matasano, spécialiste américain de la sécurité. Ce charmant monsieur a publié lundi des détails techniques sur ladite faille. C’est bien évidemment arrivé par erreur, comme il a pu le dire, et a quasi-immédiatement retiré le billet de son blog. Malheureusement les bots Google étaient passés par là et le cache Google faisait effet. Olivier Dembour, consultant en sécurité informatique chez Hervé Schauer consultants, explique :

L’exploitation de cette faille nécessite un minimum de compétence pour développer un outil. Mais il est à parier qu’un exploit public utilisant l’hypothèse de Matasano sera disponible dans les jours prochains.

Dan Kaminsky devrait finalement faire part des détails de sa découverte ainsi que des techniques d’attaque lors de la prochaine Black Hat Conference qui aura lieu le mois prochain, c’est-à-dire en août 2008.

Source : GNT, 01net et OVH

Wuapi : Le YouTube haute définition

La qualité des vidéos sur YouTube sont souvent très médiocres, malheureusement pour nous. Afin d’être certain d’avoir un contenu de qualité, rendez-vous sur Wuapi qui permet d’uploader (envoyer) des fichiers pouvant atteindre pas moins de 4Go. Mais ceci a bien évidemment un coût pour ceux qui ne disposent que d’une maigre bande passante.