Merci à MilW0rm qui nous signale des failles dans les modules suivants :

=> RWCard 2.4.3 : Possibilités d'injection SQL (RSI) dans le composant de gestion de galeries d'images et d'e-cards=> Joomlaboard 1.1.x : Possibilité d'inclusion de fichiers tiers (RVI) dans le composant de gestion de forums.

Mises à jour conseillées sur le site des développeurs ou bien à partir du portail Joomla.

Les posts d'origine :- http://www.milw0rm.com/exploits/3565- http://www.milw0rm.com/exploits/3560

Notre environnement informatique d'entreprise, collaboratif et connecte 24/24h, est plus que jamais vulnerable aux instabilites intrinseques des logiciels et aux attaques de visiteurs mal intentionnes.

L'anticipation des risques est dans ce contexte un facteur cle de survie, et pourquoi pas egalement un avantage competitif dans le domaine de la prestation de service.

Une des regles de base de pour une information fiable est la multiplicite des sources, et dans ce domaine precis de la securite informatique je vous invite a bookmarquer 2 sources diametralement opposees et donc ultra-complementaires :=> l'US-CERT : Le "Computer Emergency Readiness Team" a ete fonde en 2003 pour veiller a la securite informatique des reseaux americains, et coordonner la defense contre le cyber-terrorisme. Le site est une inepuisable mine de renseignements, et de nombreux fils RSS thematiques peuvent etre souscrits. Ils ont un bulletin hebdomadaire des vulnerabilites, qui ne fait pas rire, et ou l'on retrouve tous les grands noms de l'informatique. On peut soi-meme soumettre des failles que l'on a decouvertes : http://www.us-cert.gov/nav/t01/=> Le groupe Milw0rm : Ce groupe d'"hacktivistes" international est apparu en 1998, et il s'est illustre en infiltrant le reseau informatique d'un centre de recherche atomique indien (cf cet article), a l'epoque ou l'Inde affirmait son role de puissance nucleaire regionale. Depuis, certains membres du groupe son sortis de l'anonymat pour creer un portail consacre a la securite. De quoi occuper vos longues soirees d'hiver et hanter vos nuits d'horribles cauchemards ! Le lien : http://www.milw0rm.comA titre d'exemple, un tutorial video de codebreak1984 qui devrait vous faire froid dans le dos, consacre a l'injection de code malicieux PHP dans un bete fichier JPEG.

Un homme averti en vaut deux.

RSS : US-Cert Milw0rm

Bon, commencons l'annee en douceur avec une picorette q'il va falloir bien savourer sans la croquer.

La gestion de mot de passes unifiee sur toutes les plate-formes, vous vous souvenez ?

=> Cf. ce post assez recent.

Voici la reponse du monde libre : KEEPASS ! Disponible sur PC, Mac, Linux, Pocket PC ... Localise en francais ... et gratuit.

Chapeau bas, je vais poser un cierge a Notre Dame de la Garde !

Nous avons été récemment hacké par un mauvais plaisantin, qui a utilisé une faille de sécurité mise en évidence par le pirate Méfisto. Généralement, ce hack se traduit par la présence d'un fichier c99.php ou c9.php ou thumbs.php dans l'un des dossiers de votre site Joomla. Pour peu que vous ayez dans l'arborescence enfante ou voisine des dossiers en accès public (777), c'est une boucherie : Dans le style que je vous pollue votre serveur avec des sites pornos et autres portails de phishing : Vous avez envie de finir en tôle ?

Amateurs de Joomla, méfiance ! L'ennemi vous guette sans relâche, mais vous pouvez lui opposer une résistance efficace en intervenant à 4 niveaux :=> Tout d'abord, respectez scrupuleusement les critères d'installation de Joomla : Lors de l'installation de votre package stable (1.0.11 à ce jour),; Joomla effectue des diagnostics, veillez à ce que tout soit au vert comme ci-dessous.

=> Ensuite, Joomla vérifie si un certain nombre de droits d'écriture sont garantis. En phase de développement, OK pour faire un CHMOD -R 777 global sur tout le répertoire. Toutefois, veillez à rapidement régresser vers un prudent CHMOD -R 755 une fois vos paramétrages effectués, sauf sur certains répertoires sensibles, tel que celui des medias ou du cache.

=> Par ailleurs, soyez extrêmement vigilants quand à l'installation d'extensions tierce partie : Composants, modules et mambots sont des hôtes potentiels de failles de sécurité extrêmement dangereuses. J'écrirai prochainement dans ces colonnes sur ce sujet, mais retenez d'ores et déjà que le loup entre dans la bergerie dès que votre extension est développée en dehors du cadre strict et orthodoxe de l'API joomla, notamment en matière de contrôle d'accès aux fonctionnalités. Une bonne mesure conservatoire est de s'assurer que l'extension que vous envisagez de mettre en production comporte bien le contrôle d'accès global suivant : defined( '_VALID_MOS' ) or die( 'Direct Access to this location is not allowed.' );un certain nombre de composants ont récemment été incriminés, alors ne vous fiez à personne. Voici un début de liste : Extcalendar, jd-wordpress , jd-wiki, com_smf, ...=> Enfin, vous pouvez un peu blinder votre interpréteur PHP en réglant 3 variables comme suit :- register_globals=OFF : Combien de fois faudra-t-il le répéter ?!- allow_url_fopen=OFF : Ca mange pas de pain, et ça évite bien des soucis. Mais pourquoi ce paramètre est-il par défaut à ON ? Appelez-moi le directeur.- open_basedir : Affectez lui des restrictions explicites. Je reviendrai sur ce sujet dans un prochain post.

Allez, courage, on les aura ;)

Gerer ses mots de passe est devenu la preoccupation quotidienne de plus d'un internaute, et ce ne sont pas les logiciels qui mnquent, a la fois sur Mac et sur PC.

Le vrai probleme, c'est de trouver un logiciel qui existe A LA FOIS sur les 2 plates-formes !

Pour un usage perso, ne necessitant l'usage que d'une seule base de donnees, je vous recommande l'excellent PasswordVault en version Lite :=> Version 5.2 qui temoigne de sa maturite,=> Existe bien sur Mac et PC, mais aussi sur Linux !=> Est livre avec un lecteur standalone pour cle USB=> Encrypte vos donnees sur 896 bits, ce qui le place dans la tranche haute en la matiere,=> Est cote 5/5 par Softpedia, MacUpdate, et Version Tracker.

Rendez-vous sans plus attendre chez Lavasoftware.

Toutefois, si comme moi vous etes plus exigeants, et souhaitez gerer plusieurs carnets de mots de passe, il existe une alternative commerciale : Password Retriever, depuis peu renomme Data Guardian.

Sur la grande toile électronique mondiale de l'internet, le web (www) ne représente qu'un infime partie du trafic de données. Ce dernier se propage via le protocole TCP sur le port 80.

Protocoles ... ports ... tout cela est bien confus, même pour nous qui sommes des utilisateurs familiers et quotidiens d'internet. Retenons que pour l'essentiel, la plupart de nos services internet reposent sur le protocole TCP (Transmission Control Protocol), qui s'occupe de gérer le bon formatage des paquets de données échangées. Notons qu'il existe par ailleurs les protocoles ICMP et UDP notamment.

On parle parfois également de couche TCP, sur laquelle différents services vont pouvoir se propager. Toutefois, un petit peu à l'image de la bande FM qui doit être partagée par des centaines de radios libres, la couche TCP doit être partitionnée, et plutôt que de fréquences, on va parler de ports. Les grands classiques sont :

• 21 : pour les échanges en mode FTP
• 23 : Telnet
• 25 : Service de messagerie en envoi SMTP
• 80 : Service web HTTP
• 81/8080 : Services de proxy ou firewalls
• 3306 : Service de données MySQL
• 110 : Service de messagerie en réception POP3

Mais le nombre de ports disponibles est virtuellement infini, et on peut trouver des numéros allant jusqu'à 30 000 (MSN Gaming Zone). Du reste sur votre propre poste de travail, de nombreux ports sont certainement actifs à votre insu !

Sans que cela représente véritablement un danger potentiel si vous êtes à l'abri d'un routeur/Firewall ADSL, il est toujours intéressant de faire un point à ce sujet. Pour cela, il suffit d'utiliser un scanneur de ports, et je vous en suggère ici deux :=> AutoNOC Port Scan => Roadkil's Scanport 1.3

La dernière actu. en date concerne le ver yhoo32.explr, capable de hacker votre bel Internet Explorer via la barre Yahoo Messenger :- Banal pour Microsoft,- Gênant pour vous,- Désordre pour Yahoo !

La conséquence la plus immédiate est la redirection de tout votre trafic web vers un soit disant "safety browser" qui a entre autres effets de vous dérouter vers des successions interminables de pop-up et d'altérer immédiatement la page de démarrage du navigateur.

Pour en savoir plus : - http://digital-lifestyles.info/display_page.asp?section=cm&id=3290- http://blog.spywareguide.com/

On appelle cela pudiquement du "Malware", ou logiciel malveillant : Pas vraiment un virus, ni complètement un "spyware" : Juste une énorme saleté que nous allons nous empresser d'éradiquer :>>

Mais pour cela, il vous faudra pour l'instant payer le prix de la nouveauté, apparemment chez Facetime qui a été le premier à identifier la bebête, et qui propose un anti-biotique dans son logiciel RTGuardian : http://www.facetime.com/securitylabs/threatdetail.aspx?id=2812

Alors, pour ceux qui ne sauraient pas encore ce qu'est cette plaie => http://fr.wikipedia.org/wiki/Phishing

En résumé : C'est l'obtention d'informations confidentielles (comme les mots de passe ou d'autres informations privées), en se faisant passer auprès des victimes pour quelqu'un digne de confiance ayant un besoin légitime de l'information demandée.

Cette technique d'ingénierie sociale redoutable, déjà bien connue dans le domaine du phoning/faxing/mailing est très largement utilisée depuis quelques années par e-mail.

Normalement, vos logiciels anti-virus, anti-spyware et anti-spams sont capables d'en refouler la majeure partie. Mais il y a toujours des ingénieux pour innover et faire toujours plus "vrai". A titre d'exemple, voici un e-mail que je viens de receveoir soit disant de VISA :

Crédible non ?

Vous vous en doutez, derrière le lien, se cache une toute autre URL : 61.133.87.119:84\www.visa.com\visa.html. Inutile de dire que je n'ai pas cliqué pour vérifier, et je vous invite tous à en faire de même !

Comme le disait Karl Zero, quand il était encore sur une grand chaîne cryptée nationale, méfiez vous des contrefaçon !

Pour contrôler les processus actifs sur un système, j'apprécie pour ma part le très simple et gratuit "autoruns.exe". Du coup, je me suis dit, mais au fait qui l'édite ? Y-a-t-il une mise à jour ? etc ...

Et là, je suis allé visiter http://www.sysinternals.com : Stupeur ! La caverne d'Ali Baba pour l'administrateur sysètmes !

Non seulement mon fameux Autoruns.exe en version 8.51, mais de véritables perles comme :=> Process Explorer 10 : Comme son nom l'indique, tout simplement génial et indispensable.=> Registry Monitor 7 : Pour suivre l'activité de la base de registres en temps réel.=> File Monitor 7 : Pour suivre l'activité Fichiers en temps réel sur le poste de travail

Des indispensables dans la trousse sécurité !

Face à des dysfonctionnements du poste de travail, on a parfois du mal à en cerner la cause : logiciel ? matériel ? réseau ? Comportement utilisateur ? Virus ?

Devant la machine, en prise directe, l'informaticien expérimenté va pouvoir procéder aux "premiers gestes", sinon ceux qui sauvent, du moins ceux qui permettent d'établir un diagnostic.

Le problème se corse quand on doit intervenir en dépannage à distance, pour répondre aux problèmes rencontrés par des utilisateurs béotiens (oui, Manolo, tu vois de quoi je veux parler).

Dans ce cas, le bon premier réflexe est de faire établir à l'utilisateur un diagnostic de sa configuration matérielle et logicielle. mais il est extrêmement difficile d'être exhaustif dans cette démarche !C'est là que le logiciel EVEREST peut nous aider !

Edité par la société LAVALYS, il existe dans une version gratuite personnelle ou une édition professionnelle payante (30$ la version "Ultimate"). Et croyez-moi, vous en aurez pour votre argent : C'est dingue ce qu'il permet d'apprendre sur le PC que l'on cotoie au quotidien !

Le principe est simple : Le logiciel effectue en quelques minutes une panoplie de tests (jusqu'à 43 dans la version "home" et 101 dans la version "ultimate"), avant de publier un rapport complet sur votre configuration matérielle et logicielle.

Dépêchez-vous de piocher la version gratuite 2.2 sur Clubic, car Lavalys a annoncé qu'il ne la maintiendrait plus. Un plus notable : Yout est en français :-)