X

News Partenaire

Conformité : le numérique en toute confiance

La transformation numérique des entreprises ne peut se faire que dans un environnement de confiance. Cette notion est essentielle à l’heure où les applications demandent de plus en plus de données personnelles, tout en respectant l’obligation du consentement de l’utilisateur ou de la personne dont on utilise les données. La récente réglementation, RGPD, a remis l’utilisateur au cœur du débat et l’entreprise doit trouver un juste équilibre entre business et sécurité. D’où l’idée de s’appuyer sur un tiers de confiance pour garantir ce lien.

Une faille vieille de 19 ans chez WinRAR

Le très célèbre utilitaire d'archivage, sans doute l'un des programmes les plus utilisés au monde, a pendant près de 20 ans exposé ses utilisateurs à une attaque, puisqu'une bibliothèque défectueuse et non mise à jour depuis 2006 permettait d'extraire des fichiers malveillants directement dans le dossier de démarrage du terminal ciblé.

Au cours d'un test de fuzzing sur WinRAR, les chercheurs de Check Point Software ont découvert une série de vulnérabilités affectant l'utilitaire. La faille est aussi grave qu'elle est ancienne : elle est nichée au cœur d'une library, unacev2.dll, destinée à décompresser les archives ACE, une bibliothèque compilée en 2006 et inchangée depuis. En d'autres termes, voilà 19 ans que cette vulnérabilité touche WinRAR, mais aussi tout autre logiciel qui prendrait en charge cette library.

Et la faille est particulièrement sévère, puisqu'elle permet de détourner l'utilitaire d'archivage afin d'exécuter du code malveillant sur l'ordinateur de la victime. En effet, ce bug « logique » fait en sorte que le dossier de destination du fichier décompressé soit choisi non pas par l'utilisateur, mais en fonction du header nom de fichier entré par le créateur de l'archive. Ce qui ouvre la porte à l'extraction d'un programme malveillant directement dans le dossier de démarrage du terminal.

Chemin absolu

Si WinRAR est bien doté d'une fonction de validation avant l'extraction des archives ACE, qui vérifie le champ nom de fichier de destination, sa « valeur de retour » est effectuée trop tard dans unacev2.dll, soit après la création de fichiers et de dossiers. Les chercheurs ont ainsi pu extraire un fichier exécutable dans le dossier de démarrage de Windows, de telle sorte qu'il soit exécuté au redémarrage suivant. 

Avertie du problème, l'équipe de WinRAR a publié une mise à jour de son programme. Dans la liste des correctifs, il est expliqué que UNACEV2.DLL n'a pas été mis à jour depuis 2005 et que les développeurs de WinRAR n'ont pas accès à son code source. Il semble en effet que l'entreprise à l'origine de cette bibliothèque ait depuis longtemps mis la clé sous la porte. En conséquence, la seule correction possible de cette vulnérabilité a consisté chez WinRAR à supprimer UNACEV2.DLL et à cesser la prise en charge du format ACE.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité


Desktop as a Service

Desktop as a Service

La grande vague du « As a Service » s’intéresse aussi aux PC. Dignes héritiers du VDI en entreprise, de nombreux services de type « Desktop as a Service » (DaaS) sont proposés aux entreprises,...

Big Data

Big Data

Si le bruit fait autour du Big Data a un peu diminué, c’est aussi parce qu’il a franchi de nouvelles étapes vers des utilisations plus matures de la technologie. Et que les cas d’utilisation se tournent maintenant...

Google et les DSI

Google et les DSI

Malgré les condamnations en justice, les augmentations tarifaires, l’abandon de Google +… la firme de Mountain View aurait gagné du crédit auprès des DSI français. Depuis 2018, les contrats...

RSS
Afficher tous les dossiers

LE NOUVEL ÂGE DU CLOUD : conteneurisation, services managés et FinOps - Comment faire baisser la facture du Cloud - 2014-2019 : l'avènement d'une Europe du numérique ? - Le défi technique de la 5G - Les entreprises face à l'agilité généralisée - Visual Studio 2019 - Recettes IFTTT - Test Huawei P30 Pro : le roi de la photo !...

 

SMARTPHONES PLIABLES : juste un truc de geeks ? - Toutes les nouveautés du MWC - La 5G en entreprise - Kit de survie en mobilité - La faillite du "10 nm" chez Intel - DaaS : la fièvre du "as a service" gagne le desktop - Identifier les bugs grâce à l'IA - Développeurs : les meilleures plates-formes pour le recrutement - Inner source : de nouvelles communautés open source...

 

BIG DATA : la maturité ! marché, technologies, retours d'expérience - L'informatique du Grand Débat - Google & les DSI : des armes de séduction fatales ? - Dataops ou quand les méthodes agiles rencontrent le Big Data - Entretien avec Luc Julia, co-créateur de Siri - Tests assistants vocaux avec écrans...

 

Afficher tous les derniers numéros

Les datacenters sont au coeur de l'informatique des entreprises et leur parfaite fiabilité et disponibilité sont donc indispensables. Chaque arrêt de fonctionnement impacte l'image de l'entreprise et peut engendrer des pertes de revenus considérables. Les chercheurs de Rosenberger OSI ont développé en première mondiale une technologie de nettoyage issue de la botanique et plus précisément du lotus.


L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Lorsque l'on déploie des postes de travail, ils ont généralement tous la même configuration matérielle et logicielle (avec certaines spécificités selon les services). Mais on ne peut pas toujours tout prévoir et il arrive par exemple que de nouveaux programmes doivent être installés ou n’aient pas été prévus. L’accumulation de logiciels « lourds » est susceptible de provoquer des lenteurs significatives sur un PC allant jusqu’à l’extinction nette de l’application. Ce livre blanc explique comment optimiser les performances au travers de 5 conseils rapides à mettre en place.


Ce guide est conçu pour aider les entreprises à évaluer les solutions de sécurité des terminaux. Il peut être utilisé par les membres de l'équipe de réponse aux incidents et des opérations de sécurité travaillant avec des outils de sécurité des points finaux sur une base quotidienne. Il peut également être utilisé par les responsables informatiques, les professionnels de la sécurité, les responsables de la conformité et d’autres personnes pour évaluer leurs performances. les capacités de l’entreprise en matière de cybersécurité, identifier les lacunes dans la sécurité des terminaux et sélectionner les bons produits pour combler ces lacunes.


Au cours de l'année 2018, VansonBourne a mené une enquête pour le compte de Nutanix afin de connaître les intentions des entreprises en matière d'adoption de clouds privés, hybrides et publics.

 


Tous les Livres Blancs
Derniers commentaires
La lune et la Statue de la Liberté, le 18 mai 2019 à New YorkHuit lancements de fusées et une mini-station en orbite lunaire d'ici 2024: le patron de la Nasa a présenté jeudi le calendrier du programme "Artémis" qui doit ramener des astronautes sur la surface lunaire pour la première fois depuis 1972. [Lire la dépêche...]

Les comptes Le patron de Facebook Mark Zuckerberg a rejeté jeudi toute idée de démantèlement du groupe car cela "ne règlerait pas les problèmes" liés aux contenus ou à la vie privée, contre lesquels il dit lutter ardemment, chiffres à l'appui: plus de 2 milliards de faux comptes supprimés en trois mois. [Lire la dépêche...]

Un responsable de la police tient un téléphone contenant l'application Une puissante voix s'élève d'un téléphone dans le silence du métro de Tokyo pour dire "stop": dans la mégapole nippone, les passagères victimes des "frotteurs" plébiscitent une application visant à repousser leurs agresseurs. [Lire la dépêche...]

Près d'un quart des internautes français regardent des programmes TV en direct via des services illégaux selon une étude de l'HadopiDu foot à gogo, des émissions de tous les continents sans restriction... Près d'un quart des internautes français regardent des programmes TV en direct via des services illégaux selon une étude de l'Hadopi, de quoi donner des sueurs froides aux chaînes payantes. [Lire la dépêche...]

Mike Pompeo, le secrétaire d'Etat américain à Washington le 22 mai 2019Le chef de la diplomatie américaine Mike Pompeo a estimé jeudi que le groupe de télécommunication chinois Huawei mentait sur sa collaboration avec le gouvernement chinois. [Lire la dépêche...]

Plusieurs services de police testent le système de reconnaissance faciale d'AmazonMalgré les protestations de plusieurs associations, les actionnaires d'Amazon ont refusé d'interdire au géant informatique la vente de sa technologie de reconnaissance faciale aux forces de l'ordre, a indiqué le groupe mercredi. [Lire la dépêche...]

Vera Jourova, commissaire européenne à la Justice et aux Droits des consommateurs, donne une conférence de presse à Bruxelles, le 22 mai 2019Un an après l'entrée en vigueur dans l'UE de nouvelles règles pour mieux protéger les données personnelles, près de 145.000 plaintes ont été enregistrées, selon un premier bilan de la Commission européenne publié mercredi. [Lire la dépêche...]

Une boutique Huawei, le 23 mai 2019 à PékinWashington a accusé Huawei de mentir sur ses liens avec les autorités chinoises, qui dénoncent le "harcèlement" des Etats-Unis à l'encontre du numéro deux mondial des smartphones, lâché par nombre de ses partenaires. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

COMPUTEX

Plus grand événement IT de la zone Asie du Sud-Est, Computex couplé avec InnoVEX se tient à Taipei du 28 mai au 1er juin 2019. Organisé par Taitra.

WWDC

Conférence développeurs d'Apple, la WWDC19 se tiendra du 3 au 7 juin 2019 à San José (McEnery Convention Center) en Californie. Organisée par Apple.

AI PARIS

Conférence, exposition et rendez-vous d'affaires sur l'intelligence artificielle à Paris, Palais des Congrès les 11 et 12 juin 2019. Organisé par Corp Agency.

GLOBAL LIFI

La 2ème édition du Global Lifi Congress "Visible Light Communications" est organisée à Paris (Salons Hoche) les 12 et 13 juin 2019. Organisé par ERI Lifi Event.

HACK IN PARIS

Pour sa 9ème édition la conférence Hack In Paris sur la sécurité IT se tient du 16 au 20 juin 2019 à Paris, Maison de la Chimie. Organisée par Sysdream.

RSS
Voir tout l'AgendaIT