Blog Story

En voici une vraie...

Concernant le conflit entre la mise à jour KB951748 de Microsoft et l'utilisation de ZoneAlarm causant la perte de connexion Internet, voici le "pop-up" que vous recevrez de la part de ZoneAlarm.

Si jamais vous n'obtenez pas ce "pop-up", voici les liens pour télécharger les versions gratuites anglaises et françaises de ZoneAlarm 7.0483.

Français : dl4.zonealarm.com/u/dlr/bin/free/3301_fr/zlsSetup_70_483_000_fr.exe

Anglais : download.zonealarm.com/bin/free/1025_zl/zlsSetup_70_483_000_en.exe

Microsoft a encore réussit à bousiller le fonctionnement de milliers d'ordinateurs. La dernière mise à jour (KB951978) entre en conflit avec le très populaire logiciel de "firewall" ZoneAlarm, causant une perte de connexion Internet suite à la modification de certains fichiers utilisés par ZoneAlarm.

Check Point, le fabricant de ZoneAlarm, suggère de désinstaller la mise à jour KB951748 de Microsoft en attendant une solution de leur part ou de la part de Microsoft.

Une autre solution envisageable à très court terme est de diminuer les réglages Internet à "Medium" dans ZoneAlarm. Je ne recommande pas cette solution à long terme car le risque d'exposer votre ordinateur aux pirates est plus grand que de fonctionner avec la mise à jour désinstallée et ZoneAlarm avec ses réglages à "High"

Ultimement, vous pouvez désinstaller ZoneAlarm et n'utiliser que le "firewall" de Windows à condition que vous possédiez le service pack SP3 de Windows XP car la version de son "firewall" est efficace dans les deux sens contrairement à celui contenu dans SP2.

Au cas où, vous connaissiez quelqu'un qui vit ce genre de problème avec cette mise à jour de Microsoft, il existe une procédure complète ici afin de désinstaller la mise à jour de sécurité

Ah! Ha! Vive les mises à jour de Microsoft. Pensez-vous à Linux en ce moment?!

Update 12/07/2008 : Le site en français de Check Point Software suggère une nouvelle version de ZA :

http://download.zonealarm.com/bin/free/pressReleases/2008/LossOfInternetAccessIssue_fr.html

Update 11/07/2008 : Le site en anglais de Check Point Software suggère une nouvelle version de ZA :

http://download.zonealarm.com/bin/free/pressReleases/2008/LossOfInternetAccessIssue.html

Mon employeur comme bien d'autre utilise des appareillages afin de bloquer les polluriels.
Imaginez, 6 200 000 polluriels pour 115 000 courriels légitimes en 24 heures.
Cela semble un gros chiffre, mais les "spammers" sont capables de bien pire.

Voici le communiqué du service informatique résumant la situation.

Veuillez prendre note que la tempête de polluriels en provenance d'Internet est maintenant terminée.

Nous avons franchi un nouveau record de plus de 6 200 000 polluriels reçus en 24 heures. Ce nombre dépasse de 100 000 du précédent record établi le 23 avril 2008 dernier.

Vous trouverez, ci-bas, un rappel des dates importantes démontrant la progression constante du nombre de polluriels bloqués quotidiennement par nos équipements depuis le mois de juillet 2007 :

Moyenne journalière depuis février 2008 : entre 2,6 et 3,6 millions :

3,7 millions le 8 janvier 2008 !
2,8 millions le 10 octobre 2007
2.6 millions le 12 septembre 2007
2.2 millions le 11 septembre 2007
2.1 millions le 10 septembre 2007
2 millions le 9 septembre 2007
1,1 millions le 7 septembre 2007
660 000 le 29 juillet 2007
40 000 le 16 juillet 2005 ((lors de la mise en place des antipolluriels)

Quantité reçue dans ma boite courriel au travail? Zéro!

Certains d'entre vous ont des anecdotes similaires à ce sujet?

Google Desktop, l'excellent outil d'indexation de document pour ordinateur vient d'ajouter une corde à son arc. En effet, il filtre maintenant les sites WEB malicieux et potentiellement dangereux pour votre ordinateur. Lorsque le logiciel découvre que vous tenter d'accéder à un tel site, il affiche un écran avec un message clair comme quoi le site que vous tenter d'accéder est malicieux. Il ne vous reste plus qu'à fermer votre navigateur lorsque la situation se présente. Voyez la capture d'écran ci-dessous pour un exemple réel. J'ai reçu ce lien par courriel, méthode classique pour infecter un ordinateur. Ce logiciel gratuit ne ralentit pas outre mesure la navigation Internet. De plus, la liste des sites malicieux est mise à jour automatiquement par Google.



Cliquez sur la photo pour voir la copie d'écran.

Des menaces et encore des menaces... informatiques. Pas le choix de se mettre au moins au courant de celles-ci. Lisez cet article afin que le choc soit moins grand le jour où vous serez frappé par l'une d'entre elles. Tout ceci n'est qu'une question de temps pour les insouciants.

Hier je parlais de protection de la vie privée et aujourd'hui je poursuit donc gaiement dans la même veine en vous suggérant de sécuriser (pour un certain temps) votre messagerie instantanée Windows Live Messenger qui est encore une fois vulnérable aux pirates. Il vaut mieux de passer à la version 8.1 immédiatement en la téléchargeant par ici sur le site de Microsoft.

Extrait de l'article de Cyberpresse:

Active sur les versions plus anciennes, la faille demeure inopérante à partir de la version Windows Live Messenger 8.1.

L'exploitation de cette vulnérabilité peut permettre à un tiers d'envoyer du code malveillant vers le système affaibli. Le modus operandi est le suivant : un pirate peut injecter du code malveillant à travers une invitation à clavarder en vidéo.

Si l'invitation est acceptée, la mémoire tampon est susceptible d'être submergée, l'application peut planter. Ce qui offre un véritable boulevard pour le pirate qui continuera à injecter du code malveillant. Secunia, un éditeur de sécurité danois qualifie la faille de hautement critique.

Malgré ce que suggère le magazine Protégez-Vous de septembre 2007 concernant la sécurité sans fil à la maison, il n'en reste pas moins que de sécurisé un lien sans fil à la maison est une entreprise risquée avec les méthodes de chiffrement actuelles. L'utilisation des produits recommander dans le magazine Protégez-Vous pourrait vous procurer un faux sentiment de sécurité. Je m'explique.

Pourquoi suis-je si pessimiste face à leur article à la noix ? C'est qu'au Defcon de cette année, j'ai assisté à la conférence de Vivek Ramachandran, chercheur senior en sécurité sans fil chez AirTight Networks. Qu'avais t-il à dire de si grave qui rendais le chiffrement WEP avec "cloaking" totalement inutile (encore une fois) ? Eh bien, il nous a prouvé grâce à des tests fait dans leurs labos que certains outils logiciels et algorithmes mathématique permettait de "cracker" les clés WEP avec "cloaking" qui sont sensées sécurisées vos communications sans fil entre vos routeurs et vos cartes réseaux WI-FI. En gros, votre réseau ne sera pas protéger longtemps si vous le sécurisé avec chiffrement WEP par "cloaking".

Comment faire alors ? Premièrement, utiliser plusieurs méthodes simultanées afin de compliquer la tâche aux intrus. Autorisé seulement le nombre de carte sans fil nécessaire qui doit se brancher à votre routeur mais encore il faut aller plus loin en filtrant les MAC adresses des cartes réseaux afin de n'accepter que celles ayant le numéro de MAC autorisé préalablement dans le router. Choisir un meilleur format de chiffrement que le WEP comme le WPA ou le WPA2 avec une clé minimum de 256 bits. Depuis 2006, pour être certifié WI-FI un périphérique sans fil doit obligatoirement supporter le chiffrement WPA ou WPA2 à même son firmware.

Finalement un logiciel pare-feu n'est jamais de trop dans un ordinateur branché en permanence à Internet haute vitesse et c'est bien là seule bonne chose que Protégez-Vous a pu faire en en parlant dans leur article. Encore, faut t-il savoir comment s'en servir et être en mesure d'interpréter les messages envoyés par vos logiciels de protection. Si tout ceci vous inquiète, vous dépasse et semble au dessus de vos forces, ne vous décourager pas. Utilisez votre courriel pendant qu'il fonctionne encore et écrivez-moi afin de me demander de l'aide. Ne soyez pas gêner, je me ferai un plaisir de sécurisé votre installation tout en vous donnant un petit cours afin d'éviter les mauvaises surprises d'Internet à un coût raisonnable.

Et voici ce qui risque de vous arriver dans un Hotspot sans chiffrement. (Preuve de l'exploit en photo prise au Defcon)

Article sur le WEP craqué en moins de 60 secondes.

Cet autre article est passé date car la technique de AirTight Networks défait les espoirs de AirDefense.

Les zombies sont dans vos ordinateurs et je ne parle pas de ceux que vous êtes habitués de voir au cinéma. Les zombies informatiques sont des ordinateurs personnels infectés et connectés en permanence à Internet. Le risque de devenir un zombie lorsque qu'on est connecté par câble ou DSL est plus grand. Le danger est qu'un ordinateur zombie répond aux commandes à distance d'un inconnu grâce à l'installation à votre insu d'un logiciel mal veillant. Cela lui permet d'utiliser votre ordinateur pour envoyer des pourriels à des milliers de personnes ou pour effectuer une attaque par dénis de service (DDOS) envers un site WEB spécifique. Pour que le FBI décide de s'occuper de ce fléau cela signifie que le phénomène est devenu très important. Il y a quelques années seulement, il fallait faire une fraude informatique de plus de 200 000 $ US pour que le FBI daigne bouger le petit doigt. Les temps changes et quelques fois pour le mieux. Bonne chance FBI.

Nouvelle trouvée via Canoë

Vous utiliser le Wi-Fi et vous êtes plutôt parano côté sécurité informatique alors il vous faut le EM-SEC 2060.

Qu'est-ce que c'est que ça ?

Le EM-SEC 2060 est une peinture qui garantie qu'aucune radio fréquence émise par un dispositif Wi-Fi ne transpirera à travers vos murs. Développé au départ pour l'armée américaine ce produit est maintenant disponible pour le grand public. Des projets de rénovations en vu ? Hum ! Pourquoi pas ? J'ai un "deal" pour vous. Vous venez peinturer et je fournis le laptop et l'analyseur spectral Com 120B pour vérifier que ça fonctionne vraiment. Accepter ou Refuser ?

Visitez leur site afin d'en savoir plus. emsectechnologies.com/products.php

Trouvé via lemondeinformatique.fr

*** Pour bien comprendre mon explication, lire le texte au bas de ce billet avant toute chose. ***

"Est-ce que c'est vrai ou c'est de la bullshit ? Ça semble bien logique mais…" - Mimi

Voici le questionnement d'une amie qui m'a envoyée le texte au bas de ce billet par courriel. Elle a bien fait de s'informée avant de faire suivre cette lettre à tous ses contacts car son contenu est à moitié fiable.

Je dis à moitié fiable car un ver bien programmé ne va pas se mettre à déconner avec une adresse de courriel inexistante ou invalide. Il risque inévitablement de poursuivre sa mission et de s'envoyé lui même à tous vos contacts. Donc, la première partie de cette lettre ne s'applique plus en 2007 avec la qualité de programmation des vers mise en place aujourd'hui.

La deuxième partie est intéressante et mérite notre attention. Le fait de recevoir un message d'erreur suite à l'envoi est bien réel mais l'idée d'ajouter sa propre adresse courriel à même son carnet d'adresse peut tout aussi bien être efficace. L'idée c'est de recevoir le courriel infecté par vous même afin de réagir le plus tôt possible afin d'aviser ses contacts du danger potentiel.

Vous recevrez peut être cette lettre par courriel dans les prochains jours mais j'espère que vous n'aurez jamais besoin de mettre en pratique le truc de la deuxième partie.

********** CHAINE DE LETTRE, NE PAS SE FIER **********

VOICI UN MESSAGE REÇU D'UN AMI, ON A RIEN À PERDRE. Sujet : Conseil pratique : Facile.

Protégez votre carnet d'adresse

Un technicien en informatique a déclaré que c'est comme de l’or ! (Et c'est une très bonne chose !)

J'ai appris un truc d'informatique aujourd'hui qui est tout simplement ingénieux dans sa simplicité. Comme vous le savez, lorsque/si un virus (ver) entre dans l'ordinateur, il se dirige directement vers votre carnet d'adresse de emails, et envoie lui-même à toutes les personnes de la liste, infectant du même coup tous vos amis et associés.

Ce truc n'empêchera pas le virus de se rendre à votre ordinateur, mais l'arrêtera d'utiliser votre carnet d'adresses pour se répandre davantage, et vous avisera du fait qu'il y a un tel virus qui vient d'entrer dans votre système.

Voici tout simplement ce que vous devez faire : Premièrement, ouvrez votre carnet d'adresses et cliquez sur Nouveau contact, Comme si vous vouliez rajouter un nouvel ami à votre liste de emails. Dans la fenêtre où vous entreriez le prénom de votre contact, entrer « A ». Pour l'adresse email, entrez « AAAAAAA@AAA.AAA ». Maintenant, voici ce que cela fait dans votre ordi : Le nom « A » sera placé en premier dans votre liste de contacts comme entrée numéro 1. C'est l'endroit où le virus ver commencera pour envoyer son premier email à toute votre liste de contacts, dans un élan pour envoyer plusieurs emails à tous vos contacts. Mais, lorsqu'il essaye d'envoyer le email à AAAAAAA@AAA.AAA, le message sera impossible à acheminer, parce que l'adresse email que vous avez entré est complètement fausse. Et lorsque le premier essai échoue (comme dans ce cas-ci), le ver ne pourra se propager plus loin et aucun de vos contacts n'en sera infecté.

Voici le second avantage de cette méthode : Lorsqu'un email ne peut être livré à son destinataire, vous êtes avisés de ceci dans votre boite de courrier presque immédiatement. Par conséquent, si vous recevez un email disant que vous avez envoyé un email à AAAAAAA@AAA.AAA qui n'a pu se rendre à son destinataire, vous saurez immédiatement que vous avez un virus ver dans votre système. Vous pourrez alors prendre les mesures pour vous en débarrasser !

Facile, n'est-ce pas ? Si tous ceux que vous connaissez étaient protégés de cette façon, alors vous ne seriez pas inquiets d'ouvrir du courrier de vos amis.

Passez donc le mot !

Pour qui ? : Tous les utilisateurs de Windows 2000, XP et Vista

Niveau de dangerosité ? : Critique ! C'est à dire que si vous n'installer pas cette mise à jour immédiatement, vous allez l'avoir dans le cul votre pirate.

Quand ? : Drette la mon ami.

Toutes les infos sur le site de Microsoft :

www.microsoft.com/technet/security/Bulletin/MS07-017.mspx

Voici encore une belle preuve que ce logiciel libre (Firefox) est une coche au-dessus des autres afin d'effectuer toutes transactions bancaires.

Extrait de l'article :

Navigateur alternatif

Au dire d'un informaticien de Québec consulté par le Journal, tous les internautes sont des victimes potentielles, peu importe qu'ils détiennent une connexion avec ou sans fil.

«S'ils sont infectés d'un virus, tous les ordinateurs sont susceptibles d'être la cible de fraudeurs», dit Jean-François Rousseau, de l'entreprise Sys-tech, qui suggère aux internautes de se doter d'un navigateur alternatif pour réaliser leurs transactions bancaires.

«Firefox, par exemple, est très bien coté au niveau de la sécurité et permet d'éviter ce genre de désagrément, précise M. Rousseau. Il faut aussi éviter de cliquer sur les attachements qu'on ne connaît pas, dans nos courriels, puisque c'est souvent de cette façon que les fraudeurs réussissent à introduire un virus dans l'ordinateur.»

Lire cet article au complet sur Canoe argent concernant les cas de fraudes par Phishing chez Desjardins.com.

Capture d'écran montrant un exemple réel de Phishing par courriel.

Eh oui un autre cas de Phishing contre desjardins.com

J'ai reçu ce courriel (voir exemple ci-haut) vendredi après-midi et je l'ai fowarder a Desjardins à l'adresse suivante : hameconnage@desjardins.com

En cliquant sur le lien contenu dans ce courriel et en utilisant mon logiciel de courriel Thunderbird, celui-ci m'a avisé du danger de Phishing par un pop-up (cliquez ici pour voir l'exemple).

Même si je savais que c'était un cas de fraude par Phishing j'ai poussé l'expérience plus loin et j'ai cliqué sur le lien. En ouvrant le site Web des pirates, Firefox m'a avisé à son tour du danger de Phishing que représentait le site (cliquez ici pour voir l'exemple).

Enfin il aurait fallu être aveugle pour passer à coté de celle-là en utilisant Thunderbird et Firefox dans son ordinateur.

Malgré l'utilisation de ces deux bons logiciels, restons vigilants.

Un type bien particulier de virus, sans danger pour les patients cette fois, a fait sont apparition hier après midi à l'Hôpital du Sacré-Cœur de Montréal.

Aujourd'hui, le virus informatique a entraîné le dysfonctionnement d'une quarantaine de serveurs roulant Windows 2000 server. Il s'agit du ver Internet nommé WORM_RINBOT.C

Le ver a exploité une faille bien connue de Windows 2000 mais qui était non "patché" dans le réseau de la santé.

Gageons que les employés de l'informatique remettront à plus tard la demande du nouveau titre de spécialiste afin d'augmenter leur échelle salariale.

Comme si c'était une révélation, un article très peu explicit de Webfin Argent du réseau Canoë annonce une faille de sécurité dans Windows Vista. Cette nouvelle version de Windows (supposément la plus sécuritaire à ce jour) nous rappelle que ce sera encore un jeu de cache cache de faille et de mises à jour toutes aussi nombreuses et apportant son lot de risque pour la stabilité du système d’exploitation.

Allez lire cet article relatant le début des failles sur Vista.

Presque chaque produit de la gamme chez Mozilla reçoivent des mises à jour ces derniers temps.

Le populaire navigateur Firefox et le client de courriel Thunderbird font partie bien sûr du lot.

Respectivement, Firefox 1.5.0.8 passe à la version 1.5.0.9 et la version 2.0 à 2.0.0.1. La mise à jour de Firefox 2.0 corrige pas moins de cinq vulnérabilités d'ordre critique et une de haut niveau. Alors si votre navigateur semble endormit et n'effectue pas ses mises à jour par lui même, provoquer-le en cliquant sur le menu aide "?" de la barre de menus. Sélectionnez par la suite "Rechercher des mises à jour..." Firefox ouvrira une fenêtre de recherche en ligne afin de vérifier la disponibilité de mises à jour pour votre version.

Thunderbird quant à lui passe de 1.5.0.8 à 1.5.0.9 corrigeant pas moins de six failles critiques et une de haut niveau. Vous pouvez utiliser la même méthode que Firefox afin de forcer les mises à jour de façon manuelle.

Encore une fois Mozilla à réagit avec rapidité ce qui est tout en son honneur.

Vous cherchez la version finale de Windows Defender...

C'est par ici...

Brève description en anglais du logiciel :

Windows Defender is a free program that helps you stay productive by protecting your computer against pop-ups, slow performance and security threats caused by spyware and other potentially unwanted software. Windows Defender no longer supports Windows 2000 as mainstream support ended in June 2005.

Ce samedi j'ai vraiment eu affaire à un ordinateur contaminé. Ça faisait un bout que j'avais pas vu un ordinateur bourré de bibittes comme ça. C'est vrai que l'installation en question manquait d'un minimum de sécurité dont elle aurait eu besoin.

Il y avait tellement de pop-ups que ça genait la navigation Internet.

C'est avec des outils simples et gratuits tel que Spybot et Ad-Aware Se Personnal que nous avons éradiqués 98% des vers, dialer, trojans et spyware que pouvait contenir cet ordinateur.

Si jamais vous expérimenter la même chose et que vous en avez assez des fenêtres qui s'ouvrent intempestivement lorsque vous êtes connecté à Internet penser à faire un petit nettoyage vite fait et bien fait avec les outils mentionner ci-haut.

En même temps j'en ai profité pour installé un mur coupe feu gratuit bien connu, Zone Alarm, ainsi qu'un antivirus gratuit, Avast, qui brillaient tout les deux par leur absence.

Un article comparatif intéressant pour s'informer sur ce qui se passe en 2006 côté virus, vers vs antivirus.

Aujourd'hui j'ai reçu une alerte de Secuser.com concernant un nouveau cas de Phishing contre les usagers Français de Paypal.

L'alerte est disponible ici.

Dans mon billet du 12 novembre j'exposais un exemple de Phishing anglophone avec Paypal (capture d'écran d'un vrai courriel reçu) .

Soyez toujours prudent et ne cliquer jamais sur un lien dans un courriel non sollicité.

Certains d'entres vous ont déjà entendu parler de la technique de piratage nommé Phishing. Pour les autres qui ne savent pas en quoi consiste cette méthode résumons-la en quatre mots: Supercherie de site Web. Les pirates vous font croire que vous êtes en train de visiter le site de votre banque.

Comment ? C'est plutôt simple, il suffit de créer un site parallèle contenant les mêmes informations visuelles que le site d'origine et ayant un lien Internet (url) très semblable. Par exemple, le site de votre banque est (www.bnc.ca) et (www.bnc.qc.ca) pour celui des pirates. Une demande de connexion au site Web trafiqué est ensuite envoyée par courriel aux victimes potentielles. Si par mégarde vous vous retrouver sur leur site et y entrer des informations confidentielles votre identité risque d'être menacée dans un avenir rapproché. Vous saisissez l'idée ? Il est facile de s'en prémunir si on est très attentif aux adresses Internet et aux courriels non sollicités que l'on peut recevoir. J'ai un exemple ici d'un courriel que j'ai reçu de la part de pirates concernant mon compte Paypal. Même stratagème, ils demandent à cliquer sur un lien sans rapport avec l'organisme concerné afin d'obtenir des informations confidentielles sur moi.

Le Pharming va encore plus loin et c'est un peut plus compliqué à détecter. La technique peut confondre le plus prudent des internautes. La technique consiste à s'attaquer directement à la résolution DNS. L'internaute tape la bonne adresse du site d'origine (www.bnc.ca) mais l'adresse IP associée est piratée et il accède finalement au site contrefait (www.bnc.qc.ca) sans même le savoir. Pour réaliser ce tour de force, les pirates disposent de plusieurs modes d'attaque :

- La manipulation du cache DNS de l'internaute. Chaque ordinateur gère une mémoire des résolutions DNS qu'il a déjà effectuées afin d'accélérer les résolutions suivantes similaires. Un virus ou un cheval de Troie peut pirater cette mémoire et ainsi modifier virtuellement l'adresse IP associée à un site pour l'ordinateur infecté. Étant donné la vulnérabilité des postes informatiques Windows, ce type d'attaque est le plus simple à mettre en oeuvre.

- La manipulation d'un serveur DNS d'un fournisseur d'accès Internet. Ce type d'attaque est plus efficace mais plus difficile à mettre en oeuvre. Elle consiste à insérer un enregistrement DNS frauduleux directement sur le serveur DNS d'un fournisseur d'accès Internet. Tous les clients branchés à Internet grâce à ce fournisseur seront alors affectés par l'attaque.

- La manipulation d'un serveur DNS autoritaire. Cette attaque est identique à la précédente mais concerne directement un serveur DNS autoritaire pour le nom de domaine visé. Elle est ainsi la plus dévastatrice car chaque internaute souhaitant accéder au site d'origine sera affecté et rediriger à son insu vers le site pirate.

Comment se protéger ?

Le Pharming est beaucoup plus difficile à détecter que le Phishing. L'adresse Internet (url) affichée est valide ! Le seul moyen de protection réside dans la prévention :

- Protection locale de son PC. (Détecteur d'intrusion, antivirus, mur coupe-feu)
- Faire le choix d'un fournisseur d'accès Internet reconnu et fiable. (Et encore...)
- Administrateur du site doit être en mesure de garantir une sécurité maximale sur ses serveurs DNS autoritaires.



Exemple d'un courriel frauduleux. Cliquez l'image pour agrandir.