GESTION DES VULNÉRABILITÉS 2

mellowfetaSecurity

Jun 19, 2012 (5 years and 3 months ago)

710 views

Sécurité
N°304
24 Mars 2009
23
ème
année
Copyright © Groupe Publi-News 2009 - Tous droits de diffusion et de reproduction réservés
SOMMAIRE
GESTION DES VULNÉRABILITÉS
2
• Jacob West, directeur du département R&D et du Security Research Group chez Fortify : «Seule
la sécurité au niveau du code source peut protéger vraiment les applications de l’entreprise»
• PCI DSS : Heartland continue de faire des vagues alors que de nouvelles affaires se font jour
• Condamné à 4 ans de prison, le ‘baron du botnet’ retrouvera son poste d’ingénieur système chez
... son ancien employeur !
VIRUS
6
• Des pirates mettent à profit une erreur de procédure de Symantec
• Kapersky Lab obtient un brevet pour une nouvelle technologie de sécurité
• Un patch pour combler les failles de sécurité d’Acrobat 9
BIOMÉTRIE
8
• La Police Fédérale belge opte pour le système de prise d’empreintes digitales de Cogent
AUTHENTIFICATION
8
• IBM propose de sécuriser les services de banque en ligne avec un stick USB
CYBERCRIMINALITÉ
9
• ScanSafe prédit une prolifération de malwares en 2009
• Le présumé pédophile se livrait au chantage sur de jeunes adolescentes
• Faute de moyens, le patron du NCSC jette l’éponge
SPAMMING
10
• Les spammers sont décidément sans foi ni loi
VIE PRIVÉE
10
• Les services secrets allemands à nouveau soupçonnés de piratage informatique
PHISHING
11
• YouTube, promoteur de cyber-criminalité ?
• Des journalistes de la BBC achètent un réseau botnet pour tester les cyber-attaques
GESTION DES IDENTITÉS
11
• Plus de 10 millions d’internautes exposés au risque de vol d’identité en 2008
www.publi-news.fr
Sécurité
Copyright © Groupe Publi-News 2009 - Tous droits de diffusion et de reproduction réservés
Sécurité Informatique - N°304 - 23 Mars 2009
2
GESTION DES VULNERABILITES
Jacob West, directeur du département R&D et du Security Research Group
chez Fortify : «Seule la sécurité au niveau du code source peut protéger vrai-
ment les applications de l’entreprise»
Les éditeurs de logiciels qui adressent le problème de la sécurité au niveau du code applicatif ne sont pas
légion. Pour le Gartner Group, c’est le cas de Ounce Labs, Coverity, Klocwork et surtout Fortify, l’éditeur
le mieux placé dans le fameux « quadrant magique » du cabinet d’études. Pour tous ces éditeurs, les appli-
cations de l’entreprise restent la principale source de vulnérabilité, un constat confirmé par de nombreux
rapports selon lesquels le nombre de vulnérabilités aurait augmenté de 43% ces dix dernières années. Pour
le National Institute of Standards, 92 % des vulnérabilités se concentrent dans ces logiciels d’entreprise.
L’Université du Maryland estime pour sa part que 75 % des attaques se produisent au niveau applicatif …
alors que dans les faits, peu d'entreprises envisagent la sécurité au niveau du code source. Dans l’interview
qu’il a accordée à Sécurité Informatique, lors de son récent passage dans la capitale, Jacob West, direc-
teur du département R&D et du Software Security Research Group de Fortify, explique l’intérêt de cette
approche et sa mise en œuvre dans le cadre d’une démarche globale de sécurité.
- Tous les éditeurs reconnaissent que le nombre des attaques est en augmentation. Comment voyez-
vous l’année 2009 sur le plan de la sécurité ? De nouvelles formes d’attaques sont-elles à craindre selon
vous ?
Je pense que l’essentiel des menaces que l’on verra au cours de cette
année resteront fondées sur d’anciennes technologies, comme le
‘cross site scripting’ (XSS) - dont les débuts remontent à une dizaine
d’années -, l’injection de code SQL ou encore le détournement de
scripts Java (‘JavaScript Hijacking’). Bien sûr, à mesure que les appli-
cations Web se tourneront plus franchement vers les technologies
du Web 2.0 et que les internautes seront demandeurs de nouveaux
services et d’interfaces RIA, la nature des attaques risque de changer.
Web 2.0 ouvre de nouvelles brèches en matière de sécurité alors
que les codes malveillants deviennent plus malicieux. Le boum des
attaques que nous avons constaté depuis octobre dernier devrait se
poursuivre à mesure que l’économie mondiale continue de s’enfon-
cer dans la récession. Ciblant en priorité les institutions financières,
les organisations cybercriminelles deviennent plus efficaces. Compte
tenu du contexte en matière d’emploi, elles vont embaucher plus
facilement de nombreux informaticiens au chômage et continuer à
développer leur créativité pour intensifier leurs attaques sur les bases de données financières. Autant dire
que les opportunités ne manqueront pas pour ces organisations. Parmi les tendances nouvelles en matière
de vecteur pour du code malveillant, les liens corrompus vont devenir de plus en plus courants dans les
‘routines’ de moteurs de recherche, y compris Google. De plus en plus de bannières publicitaires utilisant
Flash Player risquent d’être infectées afin de continuer à installer, coûte que coûte, du code malveillant sur
les PC.
- Qu’est-ce qui vous paraît essentiel dans ces attaques qui risquent de faire la une de la presse en 2009 ?
Sur le fond, ce qui me semble essentiel pour 2009, c’est surtout l’industrialisation des attaques lancées par les
cybercriminels. La robotisation des attaques sera bien plus avancée que ce que l’on a connu jusque là. C’est
plus sur la masse que sur la sophistication que repose le succès des attaques lancées par ces organisations.
L’illusion de la protection apportée par les firewalls applicatifs ou les outils de détection d’intrusion facilite
leur travail. En effet, les solutions actuelles de sécurité reposent sur le postulat erroné selon lequel les appli-
Sécurité
La sécurité informatique est une
chaîne de fonctionnalités
Sécurité
Copyright © Groupe Publi-News 2009 - Tous droits de diffusion et de reproduction réservés
Sécurité Informatique - N°304 - 23 Mars 2009
3
cations et les données critiques de l’entreprise sont suffisamment protégées par les firewalls, les anti-virus
et les outils de détection d’intrusions. Or, les entreprises sont de plus en plus souvent amenées à ouvrir leur
système d’information aux clients, aux fournisseurs, aux partenaires ainsi qu’à un nombre toujours croissant
de collaborateurs. Avec les architectures de type SOA, les applications deviennent accessibles, modulaires et
plus rapides à développer. Pour les développeurs, les fonctionnalités l’emportent sur la sécurité, d’où de nom-
breuses failles non détectées dans le code source. Quasiment
toutes les applications en fonctionnement à l’heure actuelle
présentent des vulnérabilités qui peuvent être exploitées pour
attaquer l’entreprise. Bien que les experts reconnaissent que
la majorité des vulnérabilités proviennent des applications
de l’entreprise, aucune solution pratique n’est mise en place
pour y faire face.
- Alors, concrètement, que propose Fortify pour faire face
à ce problème ?
En raison de l’absence de procédures standardisées pour
concevoir du code sécurisé, la plupart, si ce n’est la tota-
lité des applications développées à ce jour comportent de
graves défauts. Face à cette situation, Fortify propose d’inté-
grer la sécurité au niveau du développement du code source.
Intégrer l’audit automatique au niveau du développement
permet de faire les corrections à chaud, ce qui s’avère plus
efficace et économique que les corrections après coup. Les
défauts immédiatement détectés permettent au développeur
de comprendre ses erreurs et d’améliorer en permanence
sa technique d’écriture des programmes. C’est, selon nous,
le meilleur moyen pour mettre un terme aux erreurs de pro-
grammation qui ouvrent de larges brèches aux pirates et qui
s’appuient autant sur la méconnaissance des problèmes de
sécurité par les développeurs que sur la pression qu’exercent
les DSI pour faire respecter les délais, fut-ce au prix de la
sécurité.
Maîtrisés dans les environnements de programmation struc-
turés de type Pascal ou ADA, ces problèmes dérapent tota-
lement avec des langages populaires comme C, C++, PHP,
Java, XML, Ajax, etc. Fortify se propose d’aider les déve-
loppeurs à traquer les failles de sécurité dans le code source
avec des techniques d’analyse statique (SCA, source code
analyser), adaptées à la phase de développement, ou d’ana-
lyse dynamique (PTA, program trace analyser), adaptées à la
phase de production. SCA et PTA s’inscrivent dans la démar-
che initiée il y a une dizaine d’années par l’Open Group
avec RATS (Rough Auditing Tool for Security). L’examen à la
source est bien plus efficace que la technique de ‘fuzzing’
en vigueur un peu partout.
RATS est un système expert qui scanne le code source afin
de détecter les erreurs classiques telles que les déborde-
ments de mémoire, les risques d’injection SQL, les erreurs
de format, etc. Supportant 17 langages utilisés par les entre-
Sécurité
Petit lexique à consulter sans
modération
• Le ‘cross site scripting’ (XSS), est une faille
de sécurité des serveurs Web qui peut être
utilisée par un pirate pour afficher des pages
Internet contenant du code malicieux.
• Le ‘JavaScript Hijacking’ est une technique
qui consiste à pirater la protection d’un code
Java exécutable au niveau du navigateur au
moment du transfert asynchrone. Ce méca-
nisme permet de récupérer des données
sensibles.
• Le ‘fuzzing’ est une technique de test qui
consiste à injecter des données aléatoires
dans les entrées d’un programme : fichiers,
périphériques, réseau, etc. Si le programme
génère une erreur, c’est qu’il y a des défauts
à corriger. Utilisée également pour tester la
sécurité, la technique de ‘fuzzing’ connaît
un certain succès parce que l’écriture de
tests est extrêmement simple et ne demande
aucune connaissance du fonctionnement du
système.
Fortify bien placé dans le "Magic
Quadrant"
Sécurité
Copyright © Groupe Publi-News 2009 - Tous droits de diffusion et de reproduction réservés
Sécurité Informatique - N°304 - 23 Mars 2009
4
prises, notre suite Fortify 360 comporte ainsi plusieurs analyseurs destinés à détecter les vulnérabilités des
logiciels. Un premier module aide les auditeurs à trier les résultats. Il leur permet de consulter les résultats
fournis par chaque analyseur, de les classer et de les renvoyer aux développeurs qui se chargeront de résou-
dre les problèmes détectés. Un module collaboratif comprenant des fonctions spécialisées favorise une
collaboration efficace des équipes pour une résolution plus rapide des problèmes de sécurité. Les erreurs
de programmation et failles de sécurité sont recensées et des jeux de tests sont élaborés pour voir si un
programme comprend une erreur connue. Par le biais d’un environnement de travail partagé, les équipes
peuvent créer des cas de tests, suivre les problèmes et partager des vues de code. Fortify 360 s’interface à
des systèmes de gestion de «bug», ainsi qu’avec les environnements de développement des développeurs.
Fortify 360 est particulièrement efficace pour les applications à déployer rapidement ou déjà en production.
Après une installation simple, la fonction de renforcement peut sécuriser une application contre un large
éventail de vulnérabilités.
- Comment Fortify se positionne-t-il par rapport à PCI DSS, ensemble de pratiques recommandées par Visa
et Mastercard pour sécuriser les données bancaires ?
Pour dire les choses très franchement, selon nous, PCI DSS n’est clairement pas suffisant pour sécuriser l’en-
treprise face au vol de données. La conformité à cet ensemble de bonnes pratiques indique seulement que
l’entreprise a pris en compte les douze points de la norme afin de diminuer les risques de vol de données.
Dans les faits, et comme le rappellent les vols de données récents intervenus chez Heartland Payment Systems
(ndlr, voir actualité dans ce même numéro) ou Hannaford Bros, c’est loin d’être suffisant. La conformité à
PCI DSS ne met aucune entreprise à l’abri d’un vol de données. C’est pourquoi nous préconisons d’utiliser
les outils Fortify afin de générer du code sécurisé, seul moyen de protéger toutes les applications. Je note
que l’idée de générer du code sécurisé figure en clair dans la recommandation 6.6 de la norme PCI DSS.
Comme nous ne cessons de le répéter, les firewalls applicatifs ou les outils anti-détection n’apportent qu’une
protection illusoire.
http://www.fortify.com
Propos recueillis par Jo COhEN
PCI DSS : Heartland continue de faire des vagues… alors que nouvelles affai-
res émergent
La polémique qui entoure la norme de sécurité PCI DSS (Data Security Standard) de Visa et Mastercard -
censée protéger les données des cartes bancaires figurant dans les systèmes d'information des entreprises,
qu'il s'agisse de banques, d'opérateurs de services de paiements ou de commerces - n’est pas prête de retom-
ber. L'affaire du cinquième opérateur de paiements américain Heartland Payments Systems (voir Sécurité
Informatique n° 302), à quelques jours du vol de données qui a touché l'opérateur RBS WorldPay, filiale de
la Royal Bank of Scotland, continue de faire des vagues alors que deux nouvelles sociétés de crédit améri-
caines, Cardnet et Tuscaloosa, ont émis respectivement un communiqué faisant état d’un vol de données.
Victimes d’importants vols de données bancaires ayant défrayé la chronique depuis le début de l’année,
Heartland comme RBS WorldPay étaient pourtant conformes aux 12 exigences de PCI-DSS ! La certification
de Heartland a été accordée en avril 2008 après un audit effectué par la société Trustwave.
Même si l’ampleur de la fraude qui touche aujourd’hui Cardnet et Tuscaloosa n’a pas l’envergure de celle qui
a touché les millions de clients de 600 banques affiliées à Heartland, il n’en fallait pas moins pour mettre
dans tous leurs états les différents acteurs des cartes de crédit du marché nord américain. Les enquêteurs
chargés de retrouver les auteurs de ces malversations tentent de vérifier s’il existe des liens entre ces différentes
affaires. Dans le cas de Cardnet et Tuscaloosa, l’intrusion est avérée puisque des programmes intrus ont été
découverts dans les serveurs des deux entreprises. Cependant, rien n’indique que les données collectées par
ces programmes malveillants aient pu être récupérées. Aucun détournement de fonds n’a été constaté, alors
que dans le cas de RBS WorldPay, ce sont quelque 9 M$ qui ont été dérobés à des clients de l’opérateur au
Sécurité
Sécurité
Copyright © Groupe Publi-News 2009 - Tous droits de diffusion et de reproduction réservés
Sécurité Informatique - N°304 - 23 Mars 2009
5
travers de retraits sur des automates bancaires.
On s’en serait douté, ces affaires n’ont pas redoré le blason de PCI DSS, ensemble de bonnes pratiques
destinées à protéger les données des cartes stockées chez les commerçants à coups de firewalls, de cryp-
tage, d’outils anti-intrusion, mais aussi de processus organisationnels. Malgré la sortie de la version 1.2
en octobre 2008, PCI DSS reste fondamentalement sous le feu nourri des critiques. Les experts en sécurité
sont unanimes : PCI DSS est un minimum qui ne met aucunement à l’abri d’un vol de données. Les cas de
Heartland Payments Systems et de RBS WorldPay, tous deux conformes à la norme de PCI, en témoignent.
Si bien que beaucoup d’observateurs se demandent si ces opérateurs ne font pas aujourd’hui les frais de la
mauvaise publicité qui a éclaboussé Visa et MasterCard. Le 6 mars dernier, Heartland comme RBS WorldPay
ont été exclus par Visa de la liste des opérateurs conformes à PCI DSS. La mesure est-elle justifiée ? Rien
n’est moins sûr.
Conscient de marcher sur des œufs, Visa a pris son bâton de pèlerin pour faire le tour des principaux opéra-
teurs de paiements aux Etats-Unis. Objectif : rassurer sur l’efficacité de la protection apportée par PCI DSS
lorsque les exigences sont prises au pied de la lettre et remettre les points sir les ‘i’ en matière de «bonnes
pratiques». Un travail d’évangélisation qui demande une bonne dose d’abnégation…et de médiatisation.
Notre confrère américain Information Week, très critique vis à vis de PCI DSS («norme en état de mort
imminente»), a ouvert ses colonnes le 14 mars dernier à Adrian Phillips, deputy chief risk officer chez Visa.
Le point de vue défendu par l’expert de Visa ? Un : la fraude, qui est au plus bas, est largement maîtrisée,
essentiellement grâce aux investissements réalisés par les acteurs du paiement pour la mise en conformité
avec PCI DSS. Deux : lutter contre la fraude est un problème à la fois «complexe et multidimensionnel».
L'analogie utilisée par l'émetteur a le mérite de faire mouche : comme la clé d’un appartement qui ne pré-
munit pas des voleurs, PCI DSS n'est pas une garantie contre le vol de données. Qu'on se le dise !
C'est pourquoi les entreprises manipulant des données bancaires doivent subir un audit complet sur une base
annuelle ainsi qu’un audit opérationnel chaque trimestre afin d’obtenir la certification. Dans ce contexte, PCI
DSS fait office de socle destiné à protéger les porteurs de cartes dans un environnement de donnés statiques.
Visa recommande aux opérateurs de paiement de rester à jour en matière d’alertes de sécurité et de bulletins
émanant de ses services, de scanner leur réseau quant aux malware et adresses IP qu’il fournit, de rester foca-
lisé sur la sécurité du réseau de leur entreprise et de fournir une liste à jour des entités et des départements de
l’entreprise qui utilisent dans leurs applicatifs les numéros de cartes stockées ainsi que leur état en terme de
conformité. Visa rappelle enfin que le cryptage des données reste exigé dans les opérations en ligne comme
dans les traitements par lots. Et, point essentiel, «la conformité doit être assurée 24 heures sur 24, 7 jours sur
7, 365 jours par an…et non pas uniquement au moment de l’audit annuel ». A demi-mots, Visa incite aussi
les opérateurs à ne pas hésiter à aller au-delà de PCI DSS afin de sécuriser au mieux les données critiques.
Une manière habile de reconnaître les faiblesses de la norme ? Certes. La version 2.0 attendue en octobre
2010 permettra d’en juger avec précision. Pour l’heure, la mise en conformité risque de coûter de plus en
plus cher aux entreprises en quête de conformité. Le chapitre PCI est loin d’être entièrement écrit.
http://www.pcisecuritystandards.org

Condamné à 4 ans de prison, le ‘baron du botnet’ retrouvera son poste d’ingé-
nieur système chez ... son ancien employeur !
Faudra-t-il faire preuve de sa capacité de nuisance pour garder son job ou convaincre de nouveaux clients
? Par les temps qui courent, tout est possible. On peut se poser la question au vu de cette histoire, rappelant
par bien des aspects celle du ‘pompier pyromane repenti’! Le jeune John Schiefer, âgé de 27 ans, consultant
en sécurité informatique, a été condamné aux Etats-Unis le 3 mars dernier à quatre années de prison. Motif ?
Il s’est rendu coupable en avril 2008 d’usage de logiciels malveillants afin de transformer des milliers de
PC – 150.000 à 250.000 selon les estimations de la Justice - en ‘zombies’ et ainsi voler des données privées
en vue de pirater des comptes PayPal. Se faisant appeler ‘acidstorm’ sur la Toile (ça ne s'invente pas !) John
serait même passé maître dans l’art de cette pratique, au point que certains lui ont accordé le titre de ‘baron
Sécurité
Sécurité
Copyright © Groupe Publi-News 2009 - Tous droits de diffusion et de reproduction réservés
Sécurité Informatique - N°304 - 23 Mars 2009
6
du botnet’. Une réussite au goût bien amer.... Ayant plaidé coupable, la peine de John est finalement réduite
à quatre années d’emprisonnement. Le jeune homme doit en outre rendre les sommes escroquées aux socié-
tés qu’il a lésées. Le plus simplement du monde, John se présentait en qualité de consultant en sécurité et
conseillait les entreprises qu’il avait infectées en leur expliquant comment se prémunir contre ses attaques.
L’histoire aurait pu se terminer là si l’employeur de John n’avait décidé d’y ajouter son grain de sel.
Peu avant son arrestation, John a été embauché par le site mahalo.com, moteur de recherche fondé par Jason
Calcanis. Présent au moment de la sentence, le fondateur de Mahalo a estimé dans son blog que la Justice
aurait mieux fait de «mettre le prévenu en résidence surveillée plutôt que de l’envoyer croupir dans un péni-
tencier fédéral». Lorsque Jason Calcanis apprend les méfaits de son employé, qu’il ignorait au moment de son
embauche, il affirme que la facilité aurait été de le licencier sur le champ. Mais, compte tenu de l’enfance
difficile qu’a connue John, il décide à contrario de lui donner une seconde chance, estimant qu’en matière
de technologie, chacun avait son ‘côté noir’ et surtout que John trouverait plus de paix au sein de Mahalo.
Ces considérations psychologisantes ne sont pas une plaisanterie ! Manquant jusque là de repères, le jeune
homme se serait bien intégré et épanoui grâce au travail en équipe qu’il a effectué pendant quelques mois
chez Mahalo où il occupait le poste d’ingénieur système. Faut-il ou non embaucher d’anciens hackers ? La
réponse de Jason Calacanis à cette question peut surprendre : il estime que ce qui pousse certains jeunes à
franchir la ligne jaune est d’être admirés par leurs pairs, la même motivation qui anime les entrepreneurs qui
lancent leur start-up, qu’elle s’appelle Google, Yahoo ou Mahalo. Bien sûr, ce n’est plus du tout le cas avec des
organisations à but criminel reconnaît Jason Calcanis. A l’heure où notre dépendance technologique devient
plus grande et où des pirates isolés peuvent encore faire beaucoup de dégâts, cet épisode donne matière
à réflexion. Le fondateur de Mahalo espère seulement que les quatre
années de prison ne « détruiront » pas John et qu’il pourra reprendre sa
vie là où l’a laissée, au sein des équipes de développement de Mahalo.
Nous vivons décidément dans un monde troublant.
http://www.mahalo.com
VIRUS
Des pirates mettent à profit une erreur de procé-
dure de Symantec
L’erreur faite par Symantec à la mi mars aurait pu avoir des conséquences
plus graves. Par le biais de son service de mise à jour, l’éditeur a publié un
patch non signé pour le composant pifts.exe des logiciels Norton Internet
Security et Norton Antivirus 2006 & 2007. L’oubli de la signature a
déclenché aussitôt des messages d’alerte dans les pare-feu de nombreux
utilisateurs, même si Symantec affirme n’avoir distribué la mise à jour
qu’à un nombre limité de ses clients. De nombreux messages d’inquié-
tude ont été également postés sur les forums de Symantec, mais aussi
de nombreux spams dédiés à ce fameux fichier pifts, obligeant l’éditeur
à supprimer tous les commentaires en rapport avec le sujet. Profitant de
l’incident, des pirates ont aussitôt généré des pages censées solutionner
le problème de pifts et fait référencer leurs sites sur les index des moteurs
de recherche en empoisonnant ces derniers à coup de spams. Les sites
en question tentaient en fait d’installer du code malveillant sur les PC
des clients Symantec qui se seraient fait piéger. Combien sont-ils dans ce
cas ? Impossible à savoir. L’ampleur du mal reste difficile à évaluer pour le
moment. Les meilleurs des meilleurs en matière de sécurité informatique
ne sont pas à l’abri d’une erreur. Qui pourrait le leur reprocher ?
http://www.symantec.com
Sécurité
SÉCURI TÉ I NFORMATI QUE
est édi t ée par PUBLI - NEWS s.a.

47, rue Aristide Briand 92300 Levallois-Perret
Tél : 01 41 49 93 60
Fax : 01 47 57 37 25
Email : i.lancry@publi-news.fr
Site Internet : www.publi-news.fr
Commission paritaire n°0209 I 84348
SIREN : 330 394 834
Impression : Un Point et Plus
74, rue Jules Guesde, 92300 Levallois-Perret
Lettre bi-mensuelle
Dépôt légal à parution
Prix au numéro : 39 € TTC
D
irecteur

De

la

publication
/
r
éDacteur

en

chef
Ange Galula
r
éDacteur

en

chef

aDjoint
Gilles Prod’homme
r
éDacteur

en

chef

aDjoint
Gilles Prod’homme
r
éDaction

Jo Cohen

Contact : 01.41.49.93.67
Fax rédaction : 01.41.49.93.71
E-mail : ange.galula@publi-news.fr
Copyright : Sécurité Informatique ne peut être
reproduit ou transmis en totalité ou en partie
qu'avec l'accord préalable et écrit de la société
éditrice Publi-News.
Sécurité
Copyright © Groupe Publi-News 2009 - Tous droits de diffusion et de reproduction réservés
Sécurité Informatique - N°304 - 23 Mars 2009
7
Un patch pour combler les failles de sécurité d’Acrobat 9
Adobe a mis en ligne des patches destinés à combler les failles de sécurité des produits de la famille Acrobat
9, Acrobat 7 et Acrobat 8. Ces patchs se présentent sous la forme de nouvelles versions Acrobat 9.1 (pour
Windows et Mac OS) à télécharger sur les serveurs d’Adobe. Les patchs pour les versions 7 et 8 d’Acrobat,
sous Windows et Mac OS, sont également disponibles. Quant à la version Unix d’Acrobat Reader, elle ne sera
disponible sous sa forme corrigée que le 25 mars. Ainsi se trouvent comblées des failles aux conséquences
particulièrement nuisibles, selon l’éditeur BitDefender. Des utilisateurs malveillants avaient la possibilité
d’installer à distance un cheval de Troie sur un ordinateur suite à l’ouverture d’un fichier PDF infecté. Les
failles en question ont été découvertes pour la toute première fois le 4 novembre 2008.
L’analyse BitDefender a démontré les principaux dangers potentiels en fonctions des virus utilisés par les
pirates :
- Backdoor.Poisonivy.GK est une porte dérobée qui permet au spammeur de se connecter à distance à l’or-
dinateur infecté et d’exécuter des commandes non autorisées. Il surveille et enregistre également toutes les
applications et les versions des applications que la victime utilise.
- Trojan.Spammer.Tedroo.BA est un cheval de Troie qui transforme un ordinateur infecté en un ordinateur
envoyant du spam.
- Trojan.Spy.Goldun.NEP surveille les fenêtres Internet Explorer et vole les informations d’authentification
des utilisateurs pour le système de paiement en ligne e-gold.
Depuis la diffusion de la mise à jour de sécurité Adobe, Adobe Reader 8 et Adobe Acrobat 8 (versions anté-
rieures à la 8.1.3) sont sujets à de multiples dénis de service (DoS). Ces informations essentielles n’ont pas
échappé non plus ni aux spammeurs, ni aux voleurs d’informations, toujours selon BitDefender. On croit
l’éditeur sans peine.
L’éditeur rappelle d’ailleurs qu’aussitôt la faille sur la fonction “util.printf()” d’Adobe publiée, le premier
cheval de Troie était repéré dans des spams et sur des sites Internet malicieux. Détecté par BitDefender
comme Exploit.PDF.A, le code JavaScrit à l’intérieur du PDF tentait de télécharger d’autres malwares à partir
de l’adresse : http://adxdnet.n[removed]un.php, après une exploitation réussie.
De plus, le code de commandes était encodé en caractères ASCII en clair et exécuté 5 secondes après
l’ouverture du document. Plusieurs variantes de ce PDF malicieux sont apparues depuis le début de l’année,
modifiant le code d’exploitation et la charge utile. Des versions plus récentes contiennent du code crypté.
Sécurité
Kapersky Lab obtient un brevet pour une nouvelle technologie de sécurité
L’éditeur Kaspersky Lab vient d’obtenir un brevet pour une nouvelle technologie de sécurité qui détecte
et supprime tous les programmes malveillants après leur installation et suite à un premier incident viral.
La technologie fonctionne avec les programmes connus et ceux qui ne le sont pas. En plus de détecter
les programmes malveillants, cette nouvelle technologie serait capable de les supprimer ou de les placer
en quarantaine, d’interrompre leurs processus ou de restaurer les fichiers système à partir d’une copie de
sauvegarde fiable. La transmission immédiate aux fournisseurs de solutions antivirales des informations
nécessaires pour réduire leur temps de réaction face à ces nouvelles menaces s’en trouve facilité d’autant.
Déterminer l’origine et le contexte d’une infection est important pour anticiper de nouveaux incidents
similaires, par exemple, pour identifier et bloquer des sites infectés, détecter puis réparer des vulnérabilités
dans les logiciels, etc. En outre, la reconstitution complète du scénario et la possibilité de documenter
l’incident fournissent des pièces à charge dans une procédure pénale à l’encontre des responsables d’actes
cybercriminels.
A ce jour, Kaspersky Lab affirme avoir déposé plus de 30 demandes de brevet aux États-Unis et en Russie.
Nombre des technologies antivirales développées par Kaspersky Lab sont utilisées sous licence par des
éditeurs majeurs tels Microsoft, Bluecoat, Juniper Networks, Checkpoint ou D-Link.
http://www.kaspersky.com
Sécurité
Copyright © Groupe Publi-News 2009 - Tous droits de diffusion et de reproduction réservés
Sécurité Informatique - N°304 - 23 Mars 2009
8
Une exploitation de faille pour la fonction “Collab.collectEmailInfo()” a également été ajoutée afin d’aug-
menter le taux d’infection.
http://www.adobe.com
http://www.bitdefender.com
BIOMETRIE
La Police Fédérale belge opte pour le système de prise d’empreintes digitales
de Cogent
Pour son centième anniversaire, le service d’Identification Judiciaire belge décide de s’équiper d’un système
d’empreintes digitales novateur dont l’installation a été confiée à Steria Benelux. C’est en qualité de maître
d’œuvre que la filiale de Steria a eu pour mission d’équiper le Service d’Identification Judiciaire de la
Direction Police Technique et Scientifique d’un système centralisé de prise d’empreintes digitales à base
du nouveau “Automated Palm Print and Fingerprint Identification System” (APFIS) de Cogent Systems. La
société Steria est également chargée d’assurer la liaison vers l’extérieur en installant les périphériques FIT
(Fingerprint Image Transmission) nécessaires à la prise et à la transmission d’empreintes et de traces digitales
et palmaires. Elle sera en outre responsable des services d’intégration nécessaires.
Afin de mener à bien ce projet, le Service d’Identification Judiciaire de la Police Fédérale a procédé à une
évaluation approfondie des offres, évaluation qui comportait un test de performance intensif des solutions
proposées. La technologie APFIS de Cogent Systems proposée par Steria a alors démontré le haut niveau de
ses performances. La Police belge a pris alors la décision d’attribuer le marché à Steria.
Le nouveau système APFIS de Cogent remplacera l’ancien, qui avait été installé il y a 10 ans. Il supportera
toutes les nouvelles fonctionnalités à venir, fournira des réponses plus précises avec un temps de réponse
plus court et comportera de nouvelles fonctionnalités améliorées. Le nouveau système peut en effet stocker
des images de traces avec une résolution de 1.000 pixels par pouce (ppi) et offre la possibilité d’examiner
des traces par rapport à des empreintes digitales (à plat ou roulées) et palmaires. Ce nouveau système d’iden-
tification permettra à la Police belge d’augmenter encore plus sa capacité à élucider les délits. Il offrira une
précision accrue des recherches, des temps de réponse nettement améliorés, la possibilité d’effectuer des
recherches sur des empreintes palmaires, ainsi que d’autres fonctionnalités novatrices.
Ainsi, le nouveau système offrira une précision de 90% pour la recherche de traces d’empreintes digitales
et palmaires, précision qui pourra atteindre 99,9% pour la recherche d’empreintes digitales. De plus, le
nouveau système assurera un échange rapide et de qualité des données dactyloscopiques avec l’étranger
(avec Interpol et d’autres pays dans le cadre du Traité de Prüm). Une intégration très poussée est prévue avec
les autres systèmes informatiques en vigueur au sein de la Police belge afin de mettre à disposition un flux
optimal des données.
La technologie de Cogent Systems est déjà utilisée dans d’autres pays de l’Union, souvent retenue à cause
de sa précision, de sa fiabilité et sa rapidité d’implémentation. “Pour Steria, il s’agit d’un projet stratégique
dans le domaine de l’intégration de systèmes et de la sécurité. Notre expertise en intégration de systèmes
biométriques a sans conteste joué un rôle fondamental dans la dernière phase d’évaluation. Ce projet illustre
notre capacité à proposer à nos clients des secteurs public et privé des solutions innovantes délivrées par
notre centre d’excellence en biométrie, affirme René Luyckx, président de Steria Benelux.
http://www.steria.com
http://www.cogentsystems.com
AUTHENTIFICATION
IBM propose de sécuriser les services de banque en ligne avec un stick USB
C’est dans ses laboratoires de recherche de Zurich qu’IBM a développé le stick USB ZTIC (Zone Trusted
Information Channel), une sorte de grosse clé USB conçue pour sécuriser les transactions en ligne dans le
Sécurité
Copyright © Groupe Publi-News 2009 - Tous droits de diffusion et de reproduction réservés
Sécurité Informatique - N°304 - 23 Mars 2009
9
secteur bancaire. La clé se connecte sur un port USB du PC du client
et fonctionne alors en toute sécurité, même si ce dernier est infesté
de virus et autres malwares. A l’heure où beaucoup de banques
hésitent à élargir la gamme de leurs services en ligne, et où les por-
tails financiers sont soumis à d’intenses attaques, cette technologie
semble prometteuse, même si elle n’est pas seule à viser le marché
de la banque. Des lecteurs d’authentification forte générant des mots
de passe à usage unique, à base de cartes EMV et répondant ou non
à des standards tels Oath, CAP ou AAC adressent aussi ce marché.
Un prototype du produit d’IBM a été présenté pour la première fois dans le cadre du CeBIT, le salon informa-
tique de Hanovre. Sans passer par le PC, et c’est là sans doute que réside toute l’innovation technologique,
le stick en question ouvre une connexion SSL vers les serveurs de la banque afin que les données soient
sécurisées. Basé sur un microprocesseur ARM, le stick n’a aucune mémoire afin d’éviter toute intrusion de
code malicieux. ZTIC prévient aussi bien le ‘phishing’ que le ‘pharming’. Il peut également servir de lecteur
de cartes EMV et, en cas de code PIN correct, lancer une transaction via le navigateur, même si ce dernier
reste le maillon faible à cause d’attaques de type man-in-the-middle.
Un code malicieux peut théoriquement modifier les données envoyées au serveur de la banque, même
si l’utilisateur a été authentifié par un mot de passe unique généré sur un lecteur d’authentification forte.
La technologie ZTIC d’IBM court-circuite le navigateur et va directement sur le serveur de la banque. Par
exemple, si le client veut transférer 100€, un pirate peut modifier le montant à 1.000€ et renvoyer un message
de confirmation portant mention d’un transfert de 100€. La clé ZTIC affiche alors le montant modifié de
1.000€, permettant au client de comprendre instantanément qu’il fait l’objet d’une attaque. Il peut alors rejeter
immédiatement le transfert corrompu en appuyant sur le bouton rouge de la clé. Les détails des transactions
apparaissent sur l’écran intégré du stick. Bien qu’IBM n’ait donné aucune information quant au prix du dis-
positif pour des livraisons en quantité, le constructeur affirme vouloir d’abord négocier avec les banques.
http://www.ibm.com
CYBERCRIMINALITE
ScanSafe prédit une prolifération de malwares en 2009
Spécialiste du filtrage de contenus en mode SaaS (Software As A Service), l’éditeur ScanSafe n’est pas opti-
miste pour 2009 : le nombre de malwares devrait augmenter fortement, ciblant à la fois les entreprises, les
bureaux d’enregistrement de noms de domaines et les hébergeurs. Compte tenu de l’état actuel de l’éco-
nomie, la motivation financière des cybercriminels devrait être à son comble. Les tentatives d’accès direct à
des comptes bancaires en ligne devraient se multiplier. Les clients des banques auront à subir des scams par
phishing de plus en plus sophistiqués. Les entreprises doivent se préparer à une augmentation de l’utilisation
de rootkits, backdoors et des outils destinés à voler les mots de passe.
http://www.scansafe.com
Le présumé pédophile se livrait au chantage sur de jeunes adolescentes
Ancien employé d’une base militaire américaine en Irak, Patrick Connolly a été accusé le 17 mars dernier
d’avoir pénétré illégalement des PC ne lui appartenant pas. En réalité, d’autres chefs d’accusation pourraient
être portés contre l’accusé dans les prochains jours. Le présumé pédophile se serait servi de PC contaminés
par des codes malveillants pour se livrer à du chantage auprès de sept adolescentes. Les faits remontent à
2005. Patrick Conolly aurait envoyé des messages aux adolescentes, les sommant de se dénuder et de lui
envoyer les photos. En cas de refus de leur part, il les menaçait de rendre public leurs données personnelles
sur la Toile. Le pirate aurait supprimé des fichiers des PC des adolescentes qui refusaient de prendre des
photos d’elles en tenue d’Eve. Il aurait également menacé l’une d’entre elles de transférer certaines photos
compromettantes sur la boîte mail de sa grand-mère, si elle refusait d’en prendre de nouvelles. Lorsqu’il
Sécurité
Copyright © Groupe Publi-News 2009 - Tous droits de diffusion et de reproduction réservés
Sécurité Informatique - N°304 - 23 Mars 2009
10
était aux États-Unis, Patrick Conolly se serait même présenté une fois au travail de l’une d’entre elles, l’in-
vitant à visiter le parc d’attractions Universal Studios, en Floride. Heureusement, l’adolescente a refusé de
le suivre. Si le FBI a pu mettre la main sur le présumé pédophile, c’est grâce à l’aide d’un ancien complice
avec lequel il «échangeait des victimes». Ivory Dickerson, c’est son nom, a plaidé coupable à de nombreux
chefs d’accusation. Il a été condamné à 110 années d’emprisonnement. Aux Etats-Unis, la pédophilie est
sévèrement punie…
Faute de moyens, le patron du NCSC choisit de jeter l’éponge
Rod Beckström, directeur du Centre National pour la Cybercriminalité - l’organisme créé en 2008 afin de
sécuriser les réseaux des Etats-Unis contre toutes les attaques terroristes - a donné sa démission le 9 mars
dernier au Département de la sécurité nationale auquel il était rattaché. Deux raisons expliquent cette
décision qui a pris tout le monde de court : le manque de moyens accordés au NCSC et l’entrée en lice
de la NSA (National Security Agency), l’agence américaine du renseignement, qui intervient désormais en
priorité sur toutes les questions concernant la cyberdéfense. Fortement médiatisée, cette démission a été
l’occasion pour Rod Beckström de révéler que depuis sa création, en mars 2008, le Centre national pour la
cybersécurité n’avait reçu pour tout financement que de quoi faire fonctionner le centre et ses cinq employés
... cinq petites semaines. Quant au rattachement du NCSC à la NSA, c’est de son point de vue «une erreur
stratégique de nature à faire échouer la mission». Selon l’intéressé, il y aurait trop de barrières culturelles
entre le renseignement et la sécurité des réseaux. Un sujet dont on n’a fini de parler.
SPAMMING
Les spammeurs sont décidément sans foi ni loi
Selon l’Irish Independent du 17 mars 2009, le jeune Alan Doherty, âgé de 17 ans, a été la victime involon-
taire de spams particulièrement choquants. Le jeune homme, qui souffre du syndrome otofacial, maladie
congénitale rare qui se manifeste par un manque de développement du bas du visage, a subi depuis juin
2007 plusieurs interventions de microchirurgie destinées à lui donner un visage présentable. Il s’agit de
techniques chirurgicales d’avant-garde mais extrêmement coûteuses. Ayant accédé à son adresse mail, des
pirates ont envoyé un spam demandant un soutien financier. Le plus cruel dans cette affaire est que le spam
en question semblait provenir du jeune homme lui-même qui vit à Letterkenny (Donegal, Irlande).
VIE PRIVEE
Les services secrets allemands à nouveau soupçonnés de piratage informati-
que
Ce n'est pas la première fois que le BND – ‘les services secrets allemands’ - est soupçonné de piratage infor-
matique. Selon le site de notre confrère Der Spiegel en date du 10 mars dernier, le BND se serait à nouveau
rendu coupable d’usage de techniques d’intrusions et de surveillance informatique, tant sur le territoire ger-
manique qu’à l'étranger. L'enquête menée par le journal conclut que le BND serait impliqué dans plusieurs
affaires de piratage informatique menées ces deux dernières années.
Il aurait installé des keyloggers afin de dérober des données sur plus de 2.500 systèmes. Parmi ses victimes
figure Abdul Qadir Khan, scientifique pakistanais de renom travaillant dans le nucléaire. La longue liste men-
tionne aussi le réseau informatique d’Irak. En fait, le BND ne serait pas le seul organisme allemand à se livrer
à de telles pratiques. A l’instar de ce que concoctent leurs homologues dans tous les pays démocratiques,
y compris la France, le ministère de l’Intérieur allemand aurait dans ses cartons un projet de loi destiné à
fournir aux services de police les moyens et les droits afin d’effectuer surveillances et perquisitions dans des
systèmes informatiques. Objectif : répondre aux mutations de la criminalité et de la cybercriminalité.
Sécurité
Copyright © Groupe Publi-News 2009 - Tous droits de diffusion et de reproduction réservés
Sécurité Informatique - N°304 - 23 Mars 2009
11
PhIShING
YouTube, promoteur de cyber-criminalité ?
A en croire l’éditeur F-Secure, les cybercriminels profiteraient du succès du site YouTube pour se livrer au trafic
de cartes bancaires frauduleuses. Le site de vidéos en ligne reçoit on le sait la visite quotidienne de plus de 100
millions de visiteurs. D’où l’idée des cybercrimi-
nels d’utiliser cette plate-forme unique comme
une «vitrine» pour promouvoir leurs activités. Le
blog de F-Secure qui rapporte cet usage illicite
de YouTube précise que les données des cartes
de crédit mises en vente ont été obtenues par
phishing. Les arguments utilisés dans les vidéos
pour vanter les mérites de ces cartes peuvent
en tenter plus d’un : ces cartes seraient «capa-
bles de franchir les sécurités informatiques des
bateaux de croisière, des casinos ou des hôtels»
et seraient «garanties ‘sans danger’» !
Le plus grave selon F-Secure est que les admi-
nistrateurs de YouTube ne disposeraient à ce
jour d’aucun moyen technique pour endiguer la
diffusion de ce type de vidéo. La seule mesure
efficace contre ces pratiques serait la suppres-
sion pure et simple du compte de leurs auteurs.
Mais, la filiale de Google ne semble pas privi-
légier cette méthode de riposte…du moins pour
le moment.
http://www.f-secure.com
GESTION DES IDENTITES
Plus de 10 millions d’internautes
exposés au risque de vol d’identité
en 2008
Une étude de PandaLabs révèle des taux alar-
mants d’infection par des menaces informa-
tiques servant à usurper l’identité des utilisa-
teurs. Le nombre de PC infectés par ce type
de menaces aurait augmenté de 800 % entre
le deuxième et le quatrième trimestre 2008.
A partir de l’analyse de 67 millions d’ordina-
teurs en 2008, PandaLabs estime à 1,1% le taux
d’utilisateurs d’Internet qui ont été exposés à
des codes malveillants actifs susceptibles de
dérober leur identité. A partir des résultats
d’ActiveScan, le service d’analyse en ligne de
Panda Security, PandaLabs a estimé que plus
de 10 millions d’internautes dans le monde ont
été infectés l’année dernière par des malwares
actifs capables de dérober leur identité. Si on
Des journalistes de la BBC achètent un
botnet pour les besoins d’une émission
Nous voisins britanniques nous avaient habitués à plus
de retenue. La fin justifiant les moyens, du moins à leurs
yeux, les journalistes de la BBC en charge de l’émis-
sion Click n’ont rien trouvé de mieux que de jouer les
cybercriminels afin de prouver combien il était facile
de mener des attaques pirates de type ‘phishing’ ou
spam. ‘Shocking, isn’t it ?’ Au pays de sa très Gracieuse
Majesté, passer outre la loi n’est pas convenable.
Comme on commande son CD favori d’un simple click,
les journalistes ont acheté sur Internet un botnet de
22.000 PC zombies en réseau. Objectif : montrer que
lancer des attaques malveillantes de type phishing ou
spamming est à la portée de premier quidam venu. Les
journalistes n’ont pas révélé le prix de cette funeste
acquisition. Au tarif du «marché», ce prix est estimé
entre 5.000 et 7.000 €.
A la tête de cette armada, les journalistes ont fait la
démonstration de l’efficacité du botnet lors de leur émis-
sion Click, diffusée sur la chaîne le 14 mars dernier.
Leurs méfaits à but pédagogique ont bien sûr de quoi
faire réfléchir puisque les apprentis-cybercriminels ont
réussi à inonder de spams des comptes Hotmail et Gmail
spécialement créés pour l’occasion. Mieux encore : ils
ont effectué avec succès un déni de service (DoS) sur
le site de Prevx, un éditeur de solutions de sécurité qui
avait accepté de jouer le jeu. Le déni a provoqué un
fort ralentissement du temps de réponse des pages du
site en question.
Malgré leur rôle pédagogique, les méfaits des deux
journalistes ont aussi mis la BBC dans l’embarras. Une
polémique est née suite à l’utilisation illégale de ce
botnet. La BBC a-t-elle enfreint le Computer Misuse
Act, la loi britannique codifiant les activités cybercrimi-
nelles ? Ce qui est sûr, c’est que des cybercriminels ont
été payés pour fournir le botnet. L’honneur est tout de
même sauf puisque les journalistes n’ont volé aucune
donnée confidentielle des PC piratés. Ils ont même eu
l’extrême élégance de prévenir les propriétaires des PC
infectés en affichant un fond d’écran les invitant à mieux
protéger leur ordinateur. Affaire à suivre.
Sécurité
Copyright © Groupe Publi-News 2009 - Tous droits de diffusion et de reproduction réservés
Sécurité Informatique - N°304 - 23 Mars 2009
12
estime le coût moyen du vol d’identité aux États-Unis à 496 $ pour chaque victime, le coût total de
l’usurpation d’identité dépasse le 1,5 M$ pour les seuls Etats-Unis.
L’étude de PandaLabs fait ressortir en outre les points suivants :
1,07% de tous les PC analysés en 2008 étaient infectés par des malwares actifs (c’est-à-dire des malwa-
res résidents en mémoire lors de l’analyse) liés au vol d’identité, par exemple des chevaux de Troie
bancaires.
35 % des PC infectés avaient un logiciel antivirus installé et à jour.
Le nombre de PC infectés par des malwares conçus pour dérober l’identité des utilisateurs a augmenté
de 800 % entre le premier et le deuxième semestre 2008.
PandaLabs prévoit une augmentation mensuelle du taux d’infection de 336 % au cours de l’année 2009,
d’après la tendance observée les 14 mois précédents.
L’étude a révélé un autre fait inquiétant : 35 % des PC infectés par ce type de malwares étaient équipés de
logiciels antivirus à jour. Les laboratoires antivirus reçoivent chaque jour un grand nombre de nouveaux
codes malveillants à analyser (30.000 nouveaux échantillons par jour). Les éditeurs antivirus doivent
ainsi mettre à jour en permanence leurs
services pour faire face au volume sans
cesse croissant des nouvelles menaces.
Des laboratoires tels que PandaLabs ont
réalisé des avancées importantes dans
l’automatisation de la détection et la
classification des menaces. Ces nou-
velles méthodes de détection ainsi que
l’amélioration des techniques de sur-
veillance et la détection via Internet ont
réduit les risques de vol d’identité et
les pertes associées. Certaines banques
dans le monde, au Brésil entre autres,
ont modifié les techniques d’authenti-
fication à leurs services en ligne, avec
l’utilisation de jetons électroniques et de cla-
viers virtuels. Ces approches mettent cepen-
dant du temps à être adoptées dans tous les
pays, notamment aux Etats-Unis.
«Nous nous attendons à une croissance men-
suelle de 336 % des codes malveillants visant
à usurper l’identité des Internautes en 2009,
une hausse portée par les gains considérables
que les cybercriminels génèrent avec cette
activité», prédit Luis Corrons, directeur tech-
nique de PandaLabs. «Il est important que les
utilisateurs prennent conscience du risque de
vol d’identité et se protègent contre les pertes
potentielles que cette menace représente, tant au niveau financier que des pertes de temps.» Le tableau
ci-dessous présente la croissance et la corrélation entre les infections de chevaux de Troie bancaires et
le vol d’identité entre janvier 2008 et février 2009 ainsi que les prévisions de croissance de PandaLabs
pour le reste de l’année.
Les chevaux de Troie bancaires sont conçus spécifiquement pour dérober les informations des comptes
bancaires auprès des banques et de leurs clients. Ces chevaux de Troie sont de plus en plus sophisti-
Sécurité
Sécurité
Copyright © Groupe Publi-News 2009 - Tous droits de diffusion et de reproduction réservés
Sécurité Informatique - N°304 - 23 Mars 2009
13
qués et peuvent maintenant se mettre à jour et étendre la liste des banques attaquées via Internet. Ces
chevaux de Troie bancaires proviennent principalement de Chine et de Russie, mais également de plus
de plus de Corée et du Brésil. n
http://www.pandasecurity.com
BULLETIN D’ABONNEMENT
A faxer au 01.47.57.37.25
ou à retourner à Publi-News 47, rue Aristide Briand 92300 Levallois Perret – Tél 01.41.49.93.60
❏ Oui, je m’abonne à SÉCURITÉ INFORMATIQUE pour 1 an, 633 € TTC (TVA 2,1% pour la France) -
Étranger : 619,98 € HT
❏ Ci-joint mon règlement par chèque à l'ordre de Publi-News
❏ Je règlerai à réception de facture
❏ Je règle par carte bancaire : ❏ Visa
❏ MasterCard N°________________________Date de Validité _______
Cachet de l’entreprise : Signature :
Société
.................................................................
Nom
......................
Prénom
. . . . . . . . . . . . .
Fonction
..................
Adresse
..................................................................
Code Postal
................
Ville
. . . . . . . . . . . . . . . . . . . . . . . .
Pays
. . . . . . . . . . . . . . .
Tél
...................
Fax
...............
e-mail :
......................
A nos lecteurs
Des informations supplémentaires sur l'actualité des offreurs de solutions de sécurité informatique sont
accessibles en ligne. Pour y accéder, connectez-vous sur le site www.publi-news.fr puis consultez le fil
quotidien d'informations, PUBLINET, rubrique Sécurité .