Nous rapportions en début de mois qu'un groupe de hacker baptisé Dharmaraja s'apprêtait à publier le code source de la suite de sécurité Norton de Symantec. Un premier document daté d'avril 1999 décrivait les interfaces de programmation du service permettant la mise à jour des définitions des virus puis un second listait tous les noms des fichiers contenus dans le code source de Norton Antivirus.
Les logiciels concernés sont Norton Antivirus Corporate Edition, Norton Internet Security, Norton Utilities, Norton GoBack et pcAnywhere. Le code source de Norton Utilities 2006 fut publié la semaine dernière et l'éditeur expliquait que ce dernier avait été récupéré via des serveurs tiers mais après une enquête interne Symantec affirme cette fois que ce sont bien ses propres serveurs qui ont été infiltrés voilà 5 ou 6 ans.
Initialement, Cris Paden, responsable des communications chez Symantec, expliquait que les clients de la société « étaient protégés contre toute tentative de cyber attaque exploitant ce code ». La société affirme cette fois que les clients utilisant le logiciel d'accès à distance pcAnywhere sont potentiellement vulnérables, ce qui signifie donc que le code source de ce dernier ne présente pas assez de modifications pour que sa publication soit anodine. Symantec tenterait actuellement d'avertir ses clients. Dans un dernier messagepublié sur Twitter lundi dernier, le hacker Yama Tough explique que le code source de pcAnywhere a été publié auprès de la communauté des hackers pour en tester son efficacité.
""
et gnt :
""
Le son de cloche est désormais différent pour Symantec qui avait sans doute parler un peu trop vite avant les résultats de plus amples investigations. Après avoir reconnu le vol de code source de deux anciens produits pour les entreprises suite à la compromission d'un tiers, Symantec indique maintenant que ses propres serveurs ont été piratés.
Un porte-parole de Symantec a expliqué à Reuters que l'attaque remonte à 2006 mais n'a fait que récemment parler d'elle suite à un début de publication par un groupe de pirates de code relatif à une version 2006 de Norton Utilities.
Ces derniers ont en leur possession du code source ou des directives de conception pour Norton Antivirus Corporate Edition, Norton Internet Security, Norton Utilities, Norton GoBack et pcAnywhere.
D'après Symantec, il n'y a pas de menace pour les utilisateurs qui ont recours aux versions récentes de ses logiciels. Reste que l'exercice de communication est décidément bien délicat pour l'éditeur qui souligne tout de même un " léger risque " de sécurité pour pcAnywhere ( logiciel de contrôle à distance ). Les clients concernés sont actuellement contactés.
Suite symantec demande à ses clients DE NE PLUS UTILSER pcAnywhere :
source gnt :
Suite à une divulgation de code source volé en 2006, Symantec recommande à ses clients de ne plus utiliser pcAnywhere en attendant une prochaine mise à jour.
Le vol en 2006 et la publication de code source de produits Symantec ( information divulguée par des Anonymous ) a finalement plus de conséquences que ne le laissait entendre au tout début la société de sécurité informatique. Des clients sont en effet exposés à un risque dit accru d'attaque.
Symantec recommande ainsi aux utilisateurs de la solution de contrôle à distance pcAnywhere ( de PC à PC ) de ne plus y avoir recours. Une désactivation temporaire avant qu'une mise à jour du logiciel soit proposée pour atténuer les risques d'une attaque.
Sont concernés tous les utilisateurs de pcAnywhere 12.0, 12.1 et 12.5 ( dernière version en date du logiciel ), ainsi que les versions antérieures. Sans compter que pcAnywhere est aussi intégré à divers produits Symantec.
Dans un document technique, Symantec rappelle des règles générales de sécurité à suivre pour les clients qui ne peuvent pas se passer de pcAnywhere. Actuellement, le risque est surtout que grâce au code source divulgué, de nouvelles vulnérabilités soient découvertes et la conception de nouveaux exploits. Symantec évoque de possibles attaques de type man-in-the-middle ( homme du milieu ) pour l'interception de communication. De quoi mettre en péril des informations d'authentification et de session.
Outre pcAnywhere, le vol de code source a concerné des versions 2006 de Norton Antivirus Corporate Edition, Norton Internet Security, Norton SystemWorks ( Norton Utilities et Norton GoBack ). Pour ces produits Norton, il n'y a pas de risque accru de cyberattaque.
Merci d'avoir partagé cette information avec la communauté Norton.
Les clients utilisant Symantec pcAnywhere peuvent être confrontés à un risque supérieur suite à l’exposition du code source. Symantec prend des mesures proactives afin d’assurer la protection des clients utilisant pcAnywhere. A date, Symantec recommande la désactivation du produit en attendant la sortie des mises à jour finales qui corrigeront les risques de vulnérabilité connus aujourd’hui. Pour les clients utilisant pcAnywhere à des fins professionnelles critiques, Symantec recommande qu’ils comprennent les risques actuels, s’assurent que pcAnywhere 12.5 soit installé, appliquent tous les patches associés dès leur sortie et suivent les meilleures pratiques de sécurité. Symantec contacte dès à présent les clients de pcAnywhere pour les informer de la situation et pour fournir des process de remédiation destinés à maintenir la protection de leurs terminaux et de leurs informations.
A ce jour, Symantec recommande aux clients de s’assurer que pcAnywhere 12.5 soit installé et d’appliquer tous les patches associés dès leur sortie et de suivre les meilleures pratiques de sécurité. Si les clients ne sont pas en mesure de suivre ces recommandations et n'ont pas la dernière version avec les patches actuels, nous recommandons qu'ils contactent pcanywhere@symantec.com pour une assistance supplémentaire.
Lundi Janvier 23 2012, Symantec a publié un patche qui élimine les vulnérabilités connues affectant les clients utilisant pcAnywhere 12.5. Une mise à jour de ce patche pour pcAnywhere 12.0 et pcAnywhere 12.1 est prévue pour vendredi 27 Janvier, 2012.
Un document publié sur Pastebin montre qu'une personne se faisant passer pour un employé de Symantec et un groupe de pirates sont bien entrés en contact suite au vol de code source de certains produits de l'éditeur de sécurité. Symantec aurait même accepté en apparence de verser 50 000 dollars en échange de la non-publication de ces informations.
« Nous ne pouvons vous payer 50 000 dollars en une seule fois. Par contre, il est possible de vous régler 2 500 dollars par mois pour les 3 premiers mois. En échange, vous ferez un communiqué officiel dans lequel vous préciserez que votre groupe a menti au sujet du hack. Une fois cela fait, nous paierons le reste des 50 000 dollars ». Ces propos sont attribués à un supposé employé de Symantec (Sam Thomas) mais qui travaillerait, selon les observateurs, pour un organisme chargé de faire respecter la loi.
Les modalités semblent donc claires. En échange de la non-publication du code source, Symantec paierait la somme vers le compte du pirate. Cette discussion a été confirmée par l'éditeur de sécurité mais aucun paiement n'aurait été effectué. Pour sa défense, le groupe américain précise que cette conversation suit la procédure habituelle d'enquête mais qu'aucun échange financier n'est à l'ordre du jour.
Pour rappel, en janvier dernier, un groupe baptisé Dharmaraja a expliqué avoir réussi à s'emparer du code source de certaines applications professionnelles de l'éditeur de solutions de sécurité. Ce dernier avait déjà confirmé que les hackers avaient bien eu accès au code en question mais depuis leurs solutions professionnelles : Symantec Endpoint Protection 11.0 (SEP) et Symantec Antivirus 10.2.
Suite à la révélation de ces informations, l'éditeur a déjà recommandé aux utilisateurs de désactiver la fonction de contrôle à distance pcAnywhere. Il a également indiqué que cette solution serait temporaire en attendant qu'un correctif soit délivré.
Malgré tout, cette affaire ne semble pas terminée puisque certains membres des Anonymous ont prévu de mettre en ligne ce code source. Le fil Twitter AnonymousIRC indiquait qu'une publication était prévue « très rapidement ». Une menace mise à exécution puisqu'un fichier baptisé « Symantec's pcAnywhere Leaked Source Code » est déjà disponible et téléchargeable sur The Pirate Bay...
Merci d'avoir partagé ces nouvelles informations avec nous.
Pour clarifier, en Janvier, une personne indiquant faire partie du groupe ‘Anonymous’ a tenté d'extorquer de l'argent à Symantec en échange de la non-publication du code source de Symantec volé qu'ils déclaraient avoir en leur possession. Symantec a mené une enquête interne sur cet incident et a également contacté les autorités compétentes suite à cette tentative d'extorsion de fonds et le vol apparent de propriété intellectuelle. Les communications avec la/les personne(s) cherchant à extorquer de l'argent à Symantec faisaient partie de l'enquête menées par ces autorités. Etant donné que l'enquête est toujours en cours, nous ne pouvons pas divulguer quelles autorités sont impliquées et n'avons aucune information supplémentaire à fournir.
L’échange d'e-mails publiés par Anonymous était en réalité entre eux et une fausse adresse e-mail mis en place par les autorités saisies. Anonymous a tout d'abord établi le contact avec nous, en disant que si nous leur offrions de l'argent, ils ne publieraient pas le code source. À ce moment-là, s'agissant d'un cas évident d'extorsion de fonds, nous avons contacté les autorités afin de leur confier l'enquête. Toutes les communications ultérieures étaient en fait entre Anonymous et ces autorités, et non avec Symantec. Cela fait partie de leurs techniques d'enquête utilisées dans ce genre d'incident.
Nous rapportions en début de mois qu'un groupe de hacker baptisé Dharmaraja s'apprêtait à publier le code source de la suite de sécurité Norton de Symantec. Un premier document daté d'avril 1999 décrivait les interfaces de programmation du service permettant la mise à jour des définitions des virus puis un second listait tous les noms des fichiers contenus dans le code source de Norton Antivirus.
Les logiciels concernés sont Norton Antivirus Corporate Edition, Norton Internet Security, Norton Utilities, Norton GoBack et pcAnywhere. Le code source de Norton Utilities 2006 fut publié la semaine dernière et l'éditeur expliquait que ce dernier avait été récupéré via des serveurs tiers mais après une enquête interne Symantec affirme cette fois que ce sont bien ses propres serveurs qui ont été infiltrés voilà 5 ou 6 ans.
Initialement, Cris Paden, responsable des communications chez Symantec, expliquait que les clients de la société « étaient protégés contre toute tentative de cyber attaque exploitant ce code ». La société affirme cette fois que les clients utilisant le logiciel d'accès à distance pcAnywhere sont potentiellement vulnérables, ce qui signifie donc que le code source de ce dernier ne présente pas assez de modifications pour que sa publication soit anodine. Symantec tenterait actuellement d'avertir ses clients. Dans un dernier messagepublié sur Twitter lundi dernier, le hacker Yama Tough explique que le code source de pcAnywhere a été publié auprès de la communauté des hackers pour en tester son efficacité.
""
et gnt :
""
Le son de cloche est désormais différent pour Symantec qui avait sans doute parler un peu trop vite avant les résultats de plus amples investigations. Après avoir reconnu le vol de code source de deux anciens produits pour les entreprises suite à la compromission d'un tiers, Symantec indique maintenant que ses propres serveurs ont été piratés.
Un porte-parole de Symantec a expliqué à Reuters que l'attaque remonte à 2006 mais n'a fait que récemment parler d'elle suite à un début de publication par un groupe de pirates de code relatif à une version 2006 de Norton Utilities.
Ces derniers ont en leur possession du code source ou des directives de conception pour Norton Antivirus Corporate Edition, Norton Internet Security, Norton Utilities, Norton GoBack et pcAnywhere.
D'après Symantec, il n'y a pas de menace pour les utilisateurs qui ont recours aux versions récentes de ses logiciels. Reste que l'exercice de communication est décidément bien délicat pour l'éditeur qui souligne tout de même un " léger risque " de sécurité pour pcAnywhere ( logiciel de contrôle à distance ). Les clients concernés sont actuellement contactés.
Après les recherches menées suite aux déclarations d’Anonymous quant à la divulgation de code source, Symantec pense que cette divulgation résulte d’un vol de code source qui s’est déroulé en 2006. Nous pensons que le code des versions de l’époque des produits suivants a été exposé : Norton Antivirus Corporate Edition; Norton Internet Security; Norton SystemWorks (Norton Utilities et Norton GoBack); ainsi que pcAnywhere. En raison de l’âge du code source exposé, et à l’exception des éléments précisés ci-dessous, les clients de Symantec – y compris ceux utilisant les produits Norton, ne devraient pas être confrontés à un risque plus élevé de cyber attaques suite à cet incident. Les clients utilisant Symantec pcAnywhere peuvent être confrontés à un risque légèrement accru suite à cette exposition s’ils ne suivent pas les meilleures pratiques de sécurité. Symantec contacte dès à présent les clients de pcAnywhere pour les informer de la situation et pour fournir des process de remédiation destinés à maintenir la protection de leurs terminaux et de leurs informations. Depuis 2006, Symantec a mis en place un certain nombre de politiques et de procédures pour éviter qu’un tel événement ne survienne.