Conseil Technique/infos



Savez-vous comment protéger vos données personnelles sur le web?

Logos de médias sociaux
Logos de médias sociaux Photo : Radio-Canada/Olivier Caron

La cybersécurité en 2017

Un écran d'ordinateur montrant des codes informatiques
Un écran d'ordinateur. Photo : Radio-Canada

Un ransomware infecte le système informatique d'une entreprise de transport de San Francisco
Obligeant celle-ci à fournir le transport gratuitement
, par Olivier Famien, Chroniqueur Actualités
Ce week-end, pendant que plusieurs entreprises étaient au repos, la régie de transport de la ville de San Francisco, Muni, qui fournit les services de transport dans cette ville avec des bus, des trolleys, des métros légers, des cable cars et des tramways, était aux prises avec un ransomware qui frappé ses systèmes informatiques incluant celui qui gère son service de métros légers et de bus et celui de la messagerie.

L’attaque qui a été menée vendredi dernier a pris en otage le système de messagerie interne de Muni ainsi que les distributeurs de tickets de ce mode de transport affichait sur les écrans des distributeurs : « Vous avez été piratés, toutes les données ont été chiffrées ». En sus, l’on pouvait également lire sur les écrans des bornes de paiements des tickets qui ont été infectés par le ransomware le message suivant : « Contact pour la clé (cryptom27@yandex.com) ID:601, Entrez la clé : ». Selon les premières informations fournies, le ransomware aurait infecté 2 112 ordinateurs avec une variante du malware HDDCryptor. 

HDDCrytor est un ransomware très virulent qui en plus de cibler les ressources dans les partages réseau telles que les lecteurs, les dossiers, les fichiers, les imprimantes, les ports série à travers le SMB, est également capable de verrouiller le lecteur entier. Pour y arriver, il écrase les données du MBR (premier secteur permettant d’amorcer le disque) et ajoute un bootloader modifié pour afficher une note de rançon au lieu d’afficher l’écran de connexion normal de la machine. Comme méthode de chiffrement, HDDCrytor utilise un outil de chiffrement qui prend en charge le chiffrement symétrique AES, les algorithmes de chiffrement Serpent et Twofish, y compris leurs combinaisons en mode XTS. 

Et dans le cas de l’attaque de Muni, après avoir infecté le réseau de l’agence, il se serait attaqué au contrôleur de domaine pour ensuite infecter les systèmes Windows installés sur le réseau de l’entreprise. Une fois que le malware est parvenu à chiffrer les équipements, il les redémarre en affichant le message cité plus haut « Vous avez été piratés, toutes les données ont été chiffrées, Contact pour la clé (cryptom27@yandex.com) ID:601, Entrez la clé : ».


Bien que l’on ne sache pas pour l’instant le vecteur utilisé pour infecter le réseau de Muni, certains s’avancent à dire que ce serait certainement à travers l’ouverture d’un email piégé ou un téléchargement accidentel. En conséquence à cette attaque, le métro a été offert gratuitement dans la mesure où le système de vente des tickets était non fonctionnel. Par ailleurs, vu que le système interne de l’enterprise a été entamé, les employés de l’entreprise se demandent s’ils seront payés à temps ce mois-ci.

Pour récupérer ses données, Muni avait le choix entre payer la rançon de 100 bitcoins (73 000 dollars) exigée par les cybercriminels ou compter sur ses propres ressources pour remettre son système sur les rails. Dans un email rédigé par les malfaiteurs, ces derniers ont déclaré que « Notre logiciel fonctionne de façon entièrement automatique et nous ne lançons pas d’attaques ciblées... Le réseau de la SFMTA était très ouvert et 2 000 serveurs/PC ont été infectés par le logiciel. Nous attendons donc le contact de toute personne responsable de la SFMTA, mais je pense qu’ils ne veulent pas d’entente. Nous fermons donc ce [compte] courriel demain ».

Si les informations sont exactes, les responsables n’avaient aucunement l’intention de répondre au chantage des pirates depuis le début. Le dimanche, aux environs de 18 h, Paul Rose, le porte-parole de Muni a confirmé que les portails de paiements étaient opérationnels sans toutefois préciser comment ils ont été remis en état de marche. Dans un message adressé à CBS, Paul Rose rassure en affirmant « qu’il n’y a aucun impact sur le service de transport en commun, mais nous avons ouvert les portes tarifaires comme une précaution pour minimiser l’impact client ». Il ajoute que « comme il y a enquête en cours, il ne serait pas approprié de fournir des détails supplémentaires à ce stade ».

Nous précisons que ce n’est pas la première fois qu’une variante du malware HDDCrytor frappe une entité. En février dernier, le centre médical Hollywood Presbyterian Medical Centre à Los Angeles a fait les frais de ce ransomare.et a dû payer une rançon de 17 000 dollars aux pirates pour reprendre le contrôle de son système. En 2013, HDDCrytor a infecté 234 000 ordinateurs au Royaume-Uni, nécessitant une opération globale de la police pour le neutraliser. Comme on peut le constater, se débarrasser de HDDCrytor sur un système s’avère très difficile. Nous aurions donc bien voulu savoir comment la régie de transport de San Francisco (SFMTA) a bien pu se débarrasser de ce parasite.

Source : SFMTACBSForbes

Alerte sécurité : Le Ransomware Locky dissimulé dans des faux mails bancaires

Publié par Under-news novembre 2016 

bitdefender_2015_logo

L’une des règles d’or de la sécurité informatique de ces vingt dernières années est d’être extrêmement prudent face aux e-mails non sollicités. Il s’agit actuellement du vecteur de propagation le plus utilisé pour les ransomwares.

Communiqué de presse BitDefender – En effet, c’est une des méthodes les plus répandues chez les cybercriminels pour tromper les utilisateurs imprudents et leur faire ouvrir des pièces jointes dangereuses, ou bien cliquer sur un lien qui renvoie vers une page Web malveillante. Au cours de ces derniers jours, une série de spams malveillants fait ravage.

Les internautes reçoivent un e-mail affirmant qu’il y a eu des « mouvements suspects » de fonds sur leurs comptes bancaires. L’auteur de l’e-mail invite alors l’internaute à vérifier ses comptes dans le relevé en pièce jointe. Ce dernier est un fichier malveillant qui installe le ransomware Locky.

La pièce jointe de cet e-mail est une archive ZIP contenant un fichier .JS malveillant (Javascript) qui, s’il est ouvert, télécharge une version du ransomware Locky à partir d’un serveur distant de l’une des cinq URL différentes, et l’enregistre dans un dossier temporaire sous le nom de « GyFsMGsLUNA.dll« .

Le logiciel est exécuté sans aucune interaction ni autorisation de l’utilisateur. Les solutions de sécurité Bitdefender détectent ce Javascript malveillant en tant que Trojan.JS.Downloader.GXW. Il existe également des spams similaires, faisant croire à la suspension temporaire de votre carte de crédit, ou encore, se faisant passer pour une notification de réception de colis, disponible au bureau de poste local.

Des e-mails contenant également le ransomware Locky diffusent une version datant de 2015. Cependant, quelle que soit l’année du code, le malware s’exécute encore. Bitdefender détecte également ce fichier Javascript en tant que Trojan.Js.Downloader.Na, ainsi que la charge utile téléchargée en tant que Trojan.Ransom.Locky.BF.

Les cybercriminels ne prennent que très peu de risques ; toutes les coordonnées utilisées dans leurs e-mail et sur leurs comptes sont falsifiées. Il s’agit même parfois de comptes de messagerie piratés.

Bitdefender recommande aux utilisateurs de se protéger avec plusieurs couches de sécurité, en combinant un logiciel de sécurité à jour sur les postes de travail et les passerelles de messagerie, et d’effectuer des sauvegardes régulières.
Enfin, se méfier des extensions de fichiers douteuses et dangereuses ainsi que des e-mails dont on ne connaît pas l’expéditeur.

 


Angleterre : des hôpitaux se voient obligés de suspendre leurs activités pour combattre un virus
Dans leur système informatique
, par Michael Guilloux, Chroniqueur Actualités
Les programmes informatiques malveillants sont en fin de compte devenus des menaces que ne doivent plus négliger les hôpitaux alors qu’ils essaient de sauver des vies. En février dernier, des hackers ont osé pousser un plus loin les limites de l’éthique en attaquant un hôpital de la Californie avec un ransomware. Les attaquants ont bloqué les données des services de l’hôpital et ont demandé une rançon de 3,6 millions de dollars pour les débarrasser du programme malveillant. Heureusement, le Hollywood Presbyterian Medical Center, le centre hospitalier dont les données ont été prises en otage, n’a finalement eu qu’à payer 17 000 $ pour que ses services soient restaurés.

Le dimanche 30 octobre, un autre programme malveillant a infecté les systèmes informatiques du Northern Lincolnshire and Goole NHS Foundation Trust (NLAG), un centre hospitalier qui gère trois hôpitaux dans les villes anglaises de Goole, Grimsby et Scunthorpe. Il s’agit cette fois d’un virus, qui même si semble moins dangereux, a contraint ces hôpitaux à fermer la majorité de leurs systèmes pour pouvoir éradiquer la menace. « Un virus a infecté nos systèmes électroniques [le dimanche], et nous avons pris la décision, suite aux conseils d'experts, de fermer la majorité de nos systèmes pour pouvoir l'isoler et le détruire », a déclaré la directrice générale adjointe de NLAG, le docteur Karen Dunderdale.

Cette décision, pour traiter ce qu’ils considèrent comme un « incident majeur », a eu pour conséquence d’annuler des centaines d'opérations et consultations externes planifiées. « Notre priorité principale est la sécurité des patients. Tous les patients adultes devraient considérer que leurs rendez-vous ou procédures ont été annulés à moins qu'ils soient contactés. »

L’hôpital a toutefois rassuré que les patients hospitalisés seraient soignés et libérés dès que possible. Mais pour les cas graves et les femmes sur le point d’accoucher présentant des risques élevés, il a été décidé de les conduire vers les hôpitaux voisins.

Le mercredi 2 novembre, le NLAG a annoncé que la menace a été éradiquée et que ses systèmes électroniques sont de nouveau fonctionnels.


Source : BBC News

Le groupe d'hacktivistes baptisé New World Hackers serait-il derrière les attaques contre Dyn ?
Le groupe a revendiqué les attaques sur Twitter
, par Olivier Famien, Chroniqueur Actualités
Le vendredi dernier, le fournisseur de services informatiques Dyn a essuyé plusieurs vagues d’attaques rendant parfois inaccessibles les adresses internet de ses clients à partir de certains points des États-Unis et de l’Europe. En cause, le malware Mirai qui avait déjà été utilisé dans des attaques contre OVH, le fournisseur français de services internet et d’hébergement et contre le blog de Brian Krebs, le chercheur en sécurité informatique où l’on a noté que le site fut bloqué par une attaque DDoS qui faisait converger 620 milliards de bits de données par seconde vers le site.

Dans les dernières attaques contre Dyn, des dizaines de millions d’adresses IP et plus de 500 000 appareils ont été utilisés pour tenter de mettre à terre les infrastructures de Dyn. La prompte réaction de Dyn conjuguée avec le soutien des partenaires de la communauté technologique a permis d’endiguer ces attaques qui ont déferlé sur les infrastructures du fournisseur américain du service DynDNS. 

Le problème ayant été surmonté, les regards sont maintenant tournés vers les acteurs et les facteurs impliqués dans ces attaques. À ce sujet, il n'a fallu longtemps pour que XiongMai Technologies, un fournisseur chinois de caméras connectées et d’enregistreurs DVR reconnaisse ouvertement que ses produits ont par inadvertance joué un rôle dans les attaques qui ont perturbé les principaux sites internet aux États-Unis le vendredi dernier.

Par ailleurs, l'on constate que généralement les motivations des acteurs malveillants dans ce genre de forfaits sont soit la méchanceté gratuite, soit l’argent. Mais pour cette fois, ce ne serait pas l’argent selon les propos des personnes revendiquant les attaques. En effet, au lendemain des attaques, un groupe d’hacktivistes baptisé New World Hackers a revendiqué sur Twitter la responsabilité de ces attaques en expliquant que le groupe n'est pas motivé par le gain financier et n'a rien de personnel contre Dyn, Twitter ainsi que les autres sites affectés par les attaques. 

Comme raisons avancées pour justifier ces attaques, le groupe explique sur le site de microblogging que c’était pour prendre du plaisir en ajoutant qu’il s’agissait d’un « test annuel de puissance ». Un des membres du groupe nommé Prophet aurait également confié à l’agence de presse américaine AP News qu’ils ont organisé des réseaux d’objets connectés pour créer un bot qui envoyait environ 1,2 trillion de bits de données par seconde vers les serveurs de Dyn, bien que ces chiffres n’aient pas été confirmés par Dyn. Par ailleurs, AP News rapporte que le groupe envisage comme prochaine étape de s’attaquer au gouvernement russe pour avoir été accusé d’être impliqué dans les cyberattaques contre les États-Unis un peu plus tôt cette année.

Il faut noter également que le groupe n’est pas à son premier acte de sabotage. Il a déjà par le passé revendiqué la paternité d’attaques similaires contre l’État islamique d’Irak et de Syrie ainsi que des attaques contre les sites ESPN.com en septembre dernier et BBC le 31 décembre passé. Enfin, AP News rapporte que le groupe New World Hackers est composé d’une trentaine de personnes réparties en Chine, en Russie et en Inde.

Du côté des autorités américaines, les investigations sont toujours en cours afin de trouver les coupables derrière les attaques.

Source : TwitterAP NewsCBS News

Le malware Mirai, qui peut créer des botnets d'objets connectés, utilise des gateway Sierra Wireless,
Qui exhorte à changer les MdP par défaut
, par Stéphane le calme, Chroniqueur Actualités
Le mois de septembre a été marqué par la violence des attaques par déni de service qui ont été dirigées contre KrebsOnSecurity, provoquant l’indisponibilité du site, mais aussi contre l’hébergeur OVH, qui a fait face à l’attaque DDoS la plus violente de l’histoire avec des pics de trafic atteignant 1156 Gbps. Par la suite, au début du mois, un pirate a publié le code source de Mirai, le botnet qui s’est appuyé sur l’internet des objets pour lancer ces vagues d’attaques contre ces cibles.

Pour rappel, Mirai se déploie sur des dispositifs vulnérables en analysant en continue internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Des sources ont confié à KrebsOnSecurity que Mirai fait partie des deux familles de logiciels malveillants qui sont actuellement utilisés pour constituer rapidement une armée de bots d’objets connectés à internet. L'autre souche dominante dans les logiciels malveillants s’attaquant aux objets connectés est baptisée « Bashlight ». Cette famille fonctionne de la même manière que Mirai en terme de vecteur d’infection : elle pénètre les systèmes en se servant des identifiants (noms d’utilisateur et mot de passe) laissés par défaut sur les dispositifs.

Si les chercheurs ont estimé que cette initiative allait sans doute conduire à une hausse des opérateurs de réseaux de zombies qui vont utiliser ce code pour lancer des attaques contre des consommateurs et de petites entreprises avec des objets connectés compromis, il n’aura pas fallu beaucoup de temps aux cyber criminels pour s’en servir. 

En effet, Sierra Wireless, l’équipementier Canadien en dispositifs sans fil, a indiqué à ses clients que « Sierra Wireless a confirmé les rapports selon lesquels le malware Mirai infecte les passerelles AirLink utilisant le mot de passe par défaut d’ACEmanager et accessibles depuis Internet ». Par la suite, en se servant de la fonctionnalité de mise à jour du firmware, Mirai récupère une version vérolée qui simplifie ensuite les opérations de contrôle et par conséquent simplifie également l’attaque.


L’ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) a expliqué avoir reçu un bulletin de sécurité émanant du Canadien qui décrivait des mesures d'atténuation pour sécuriser les périphériques Airlink infectés par (ou étant potentiellement vulnérables) le logiciel malveillant Mirai. « Bien que les dispositifs Sierra Wireless ne sont pas la cible du logiciel malveillant, ne pas changer les identifiants attribués par défaut, qui sont accessibles publiquement, peut entraîner la compromission du dispositif », a prévenu l’équipe. Les produits qui sont particulièrement vulnérables au logiciel malveillant sont les passerelles Sierra Wireless LS300, GX400, GX/ES440, GX/ES450, et RV50.

L’ICS-CERT précise qu’aucune vulnérabilité logicielle ou matérielle des passerelles n’est exploitée par Mirai, mais qu’il s’agit d’un problème de gestion de configuration.

Quoiqu’il en soit, voici ce que Sierra recommande aux propriétaires des dispositifs cité en sus :
  • redémarrer la passerelle afin d’éliminer un quelconque logiciel Mirai existant ;
  • changer immédiatement le mot de passe ACEmanager.

L’entreprise fait également des recommandations sur la façon de protéger le réseau local.

Source : ICS-CERTSierra Wireless (au format PDF)

Yahoo! : Jusqu’à 3 milliards de comptes piratés ?

 Octobre 2016 

yahoo

Publié par Undernews

L’affaire de piratage massif ayant touché Yahoo en 2012 n’est visiblement pas terminée. En effet, selon un ancien dirigeant de Yahoo! au fait de la politique de sécurité de la firme, le piratage informatique pourrait avoir permis de dérober six fois plus de comptes utilisateurs qu’annoncé…

En rendant public le piratage massifdont il a été victime, Yahoo! a indiqué « qu’au moins » 500 millions de comptes utilisateurs avaient été dérobés par des cybercriminels professionnels. En réalité, il pourrait ne s’agir que de la fourchette basse de l’estimation, d’après un témoignage anonyme d’un ancien dirigeant de l’entreprise adressé à Business Insider. On parle alors d’un tout autre nombre de comptes piratés : entre 1 et 3 milliards !

D’après le témoin qui déclare connaître les pratiques de Yahoo! en matière de sécurité, l’ensemble des services de la firme se basent sur le même (et unique) base de données utilisateurs pour la procédure d’authentification. Ainsi, les usagers de Yahoo Mail, Finance ou Sport sont tous renvoyés vers la même base de données au moment où ils entrent leur identifiants. Et c’est justement celle-ci qui a été pillée par les pirates informatiques, encore inconnus à ce jour.

Selon les dires de Marissa Mayer en 2013, au moment du piratage, la base de données contenait entre 700 millions et 1 milliard de comptes actifs sur une base mensuelle ainsi qu’un nombre indéterminé de comptes inactifs qui n’avaient pas été supprimés. Reste à savoir si les pirates qui ont mené l’attaque ont réellement dérobé la totalité des données. Yahoo! n’a pour le moment communiqué aucun détail sur l’enquête en cours.

 

Sources : Business InsiderZDNet, Eureka Presse

 


L’aube des objets connectés « zombies »

Un rapport de Statistique Canada révélait qu’en 2013, la sécurité informatique de 14 % des grandes entreprises aurait été compromise : protection des données inconduite des employés ou risque pour leur réputation dans les médias sociaux.
Les cyber-risques : une menace pour les entreprises au Canada

Last days, we got lot of huge DDoS. Here, the list of "bigger that 100Gbps" only. You can see the 
simultaneous DDoS are close to 1Tbps !pic.twitter.com/XmlwAU9JZ6

This botnet with 145607 cameras/dvr (1-30Mbps per IP) is able to send >1.5Tbps DDoS. Type: tcp/ack, tcp/ack+psh, tcp/syn.

Ce qui est ici en cause, c'est le fait que les objets connectés sont mal sécurisés. Ils sont facilement détournés quand la protection est mal conçue.

S'il s'avère vrai que des millions d'objets connectés vont envahir nos vies, alors il est fort probable que des botnets d'objets connectés « zombies » deviendront de plus en plus puissants.

Une question de sécurité nationale

Le fabricant doit posséder une très bonne expérience de la sécurité informatique pour s'assurer que l'objet qu'il distribue sur le marché répond à des normes de sécurité suffisantes.

Il est naïf de penser que le problème d'un objet connecté mal protégé repose seulement sur les épaules du fabricant ou de l'acheteur.

Ces failles représentent un danger pour tous.

Entre de mauvaises mains, les botnets peuvent ralentir des services en ligne (les gouvernements sont souvent la cible) et rendre inopérants des services essentiels en ligne dans l'économie d'aujourd'hui.

Mais il y a pire encore. Les objets connectés seront dans les maisons, dans les hôpitaux, dans les voitures de demain. Il existe même des armes connectées contrôlables à distance. Une prise de contrôle à distance a des conséquences ici mortelles.

Il est souhaitable que, rapidement, les instances gouvernementales imposent aux fabricants une norme de sécurité très élevée pour éviter de se retrouver un jour devant un problème encore plus grave.

L'établissement d'une telle norme ne sera pas de tout repos, bien sûr. Mais cela permettra d'éviter, comme c'est le cas avec d'autres normes (alimentation, télécommunications, etc.), que des joueurs, passionnés mais incompétents, inondent dans l'avenir le marché de produits potentiellement dangereux pour la sécurité publique.

On pourrait penser qu'une telle norme relèverait d'un ministère de l'industrie ou d'une agence de contrôle des importations. Il s'agit pourtant d'une question de sécurité nationale, et il ne faudra pas être étonné qu'un ministère de la défense se mette lui aussi à s'en préoccuper.


Les ransomwares pourraient causer un milliard de dollars de dommages aux entreprises en 2016
Selon une étude
, par Stéphane le calme, Chroniqueur Actualités
Selon une estimation du spécialiste en sécurité Herjavec Group, la montée en puissance des ransomware pourrait se traduire cette année par des dommages faits aux entreprises et au particulier de l’ordre du milliard de dollars. Le FBI avait déjà indiqué que, durant le premier trimestre de l’année en cours, les ransomware ont déjà coûté 209 millions de dollars aux victimes.

Comme Kaspersky l’a fait il y a quelques mois, Herjavec Group estime que les individus ou entreprises, qui pensent ne pas avoir d’autres choix que celui de payer, ont contribué à la montée en puissance de ce type d’attaque en particulier. Dans son rapport, il indique également qu’il n’est pas rare de voir les forces de l’ordre elles-mêmes infectées par un ransomware. Rappelons par exemple qu’un département de police de la région de Swansea (Massachusetts) s’est vu contraint de suivre les instructions dictées par CryptoLocker pour récupérer ses documents qui avaient été chiffrés ; ils ont déboursé 750 dollars en Bitcoin pour obtenir une clé de déchiffrement. À ce propos, Gavin Millard, directeur technique de l'entreprise de sécurité Tripwire, s’est permis une petite boutade : « avec le FBI et la NCA Royaume-Uni qui indiquent que ce type d'activité ne devrait pas être encouragée par le paiement de la rançon, il est surprenant de voir que le service de police local paye pour regagner l'accès aux fichiers ».

La nature lucrative des ransomware, combiné avec le fait que ce type particulier de logiciel malveillant est relativement facile à mettre en place et déployé (notamment via des kits d’exploits qui sont accessibles à des individus ne disposant pas de notion en programmation), signifie que les cyber criminels sont en mesure d’attaquer de plus en plus des cibles importantes pour pouvoir demander une rançon plus élevée. D’ailleurs, un rapport de Trend Micro indiquait par exemple que parmi certaines entreprises qui en avaient été victimes en Grande Bretagne, 20 % avaient vu une demande de rançon dépassant les 1000 livres sterling, demande bien au dessus de la moyenne de la rançon qui oscillait autour de 540 livres sterling.

Comme d’autres études l’ont suggéré avant, Herjavec Group a établi un parallèle entre la montée en puissance de la monnaie numérique cryptographique Bitcoin et la montée en puissance des ransomwares. Il faut rappeler qu’en général, les rançons doivent être payées par Bitcoin. « La montée en puissance du Bitcoin, ainsi que d'autres monnaies cryptographiques, a permis de faciliter et d’assurer les demandes et les réceptions de paiements ainsi que les transferts d’argent de façon anonyme. Cela a eu un impact dramatique sur le nombre et le type de possibilités en matière de cybercriminalité. Il s’agit vraiment là du moteur de la cybercriminalité et il continuera de générer et enhardir les criminels », a estimé Matt Anthony, vice président de la section Remediation Services au sein de Herjavec Group. 

Vol et suppression de données, extorsion de fonds, perte de productivité, vol de propriété intellectuelle, vol de données personnelles et financières, atteinte à la réputation et plus encore sont des exemples d’éléments qui affectent les entreprises victimes de cybercriminalité.

Source : Hervajec Group

Dropbox : Confirmation du piratage de 68 millions d’identifiants en 2012

Publié par UnderNews Actu

La large campagne de réinitialisation de mots de passe utilisateurs de Dropbox ayant eu lieu la semaine dernière cachait bien un soucis… et pas des moindres en l’occurrence puisqu’il s’agit de la confirmation du vol de 68 millions d’identifiants et mots de passe au cours du piratage de 2012.

Une action « préventive » donc, qui a précédé la révélation que 68 millions d’identifiants de l’époque sont dans la nature (très exactement 68 648 009), fait dûment confirmé par l’entreprise américaine sur son blog. Pour ceux qui rencontreraient des difficultés de réinitialisation, une FAQ est disponible ici.

C’est le site américain Motherboard qui a mis l’information en avant ces derniers jours, ajoutant le fait que les 68 millions de couples identifiants / mots de passe dérobés ont été diffusé en ligne lors d’un énorme leak. Le fait a été confirmé par le spécialiste en sécurité informatique Troy Hunt qui a pu étudier en détails les données (provenant du site Leakbase). Ce dernier a par ailleurs fourni des indications précises sur ces données volées : 32 millions de mots de passe sont hachés avec l’algorithme bcrypt (jugé fiable) et le reste est haché en SHA-1 avec ajout d’un grain de sel (salt).

My-cracked-password

Conclusion, soit évitez d’utiliser ce genre de service cloud non sécurisé (sans compter le fait que toutes les données se retrouvent au USA), soit optez pour l’authentification forte à deux facteurs. Vous pouvez aussi vérifier que votre adresse mail n’ai pas déjà été compromise via le service Have I been pwned? qui vous éclairera en détail sur les faits. N’oubliez surtout pas que si le test s’avère positif, votre mot de passe a potentiellement été cracké et exploité pour se connecter illégalement à d’autres services en ligne sensibles sur lesquels vous auriez commis l’erreur d’utiliser le même mot de passe !

 


Apple corrige en urgence trois vulnérabilités zero day sur iOS qui ont permis à un logiciel espion
De passer sous les radars pendant des années
, par Stéphane le calme, Chroniqueur Actualités
Des chercheurs en sécurité ont découvert trois vulnérabilités dans iOS qui permettent à un attaquant d’installer un logiciel espion ou tout autre logiciel malveillant sur un iPhone cible. Dans le rapport décrivant les circonstances de la découverte de ces exploits ainsi que leurs mécanismes, Citizen Lab, une émanation de l’université de Toronto (Canada), explique avoir été contacté par Ahmed Mansoor, un défenseur des droits de l’homme qui vit aux Émirats arabes unis et lauréat du Martin Ennals Award (le « prix Nobel pour les droits de l’homme »). Le 10 et 11 août de l’année en cours, Ahmed a reçu des messages SMS sur son iPhone, promettant de lui faire parvenir de « nouveaux secrets » sur les détenus torturés dans les prisons des Émirats arabes unis s’il cliquait sur le lien fourni dans le message. Au lieu de cliquer dessus, Ahmed a eu le réflexe de faire parvenir le message à des chercheurs en sécurité (ceux de City Lab dans le cas d’espèce). 

Les chercheurs ont reconnu le lien comme appartenant à une infrastructure d’exploit du NSO Group, une entreprise israélienne, fondée en 2010 par Omri Lavie et Shalev Hulio, qui s’est spécialisée dans l’assistance technique aux gouvernements pour l’espionnage de terminaux mobiles et développe des « armes numériques » à l’instar du logiciel espion Pegasus. Depuis 2014, NSO Group est passé sous l’étendard du fonds d’investissement américain Francisco Partners Management contre 120 millions de dollars. 

Par la suite, de concert avec les chercheurs de Lookout Security, les chercheurs de Citizen Lab ont déterminé que les liens menaient vers une chaîne de trois exploits de type zero day qui aurait permis d’effectuer un jailbreak à distance de l’iPhone 6 de Mansoor et y installer un logiciel espion sophistiqué. Une fois infecté, son téléphone serait devenu une véritable source de renseignements étant donné que les pirates auraient pu se servir de la caméra de son appareil ainsi que de son microphone pour espionner ses activités, sans compter le fait que ses appels auraient pu être enregistrés même s’il passait par des services comme WhatsApp ou Viber, ses déplacements auraient pu être pistés. 

Trident, comme l’ont surnommé les chercheurs, semble avoir été utilisé dans Pegasus. 
« Pegasus est l’attaque la plus sophistiquée ciblant un terminal que nous ayons jamais rencontrée indépendamment du endpoint parce qu’elle exploite la façon dont les terminaux mobiles s’intègrent dans nos vies et tire parti de la combinaison de fonctionnalités présentes uniquement sur les mobiles : connexion permanente (WiFi, 3G/4G), communications vocales, caméra, e-mail, messages, GPS, mots de passe et liste de contacts. Elle est modulaire pour permettre une personnalisation et se sert d’un chiffrement fort pour échapper à toute détection. L’analyse de Lookout a déterminé que le logiciel malveillant a tiré profit de trois vulnérabilités zero day, ou Trident, dans iOS :

CVE-2016-4655: fuite d'information dans le noyau : une vulnérabilité dans la cartographie de base du noyau qui fait fuir des informations permettant à l'attaquant de calculer l'emplacement du noyau en mémoire. 

CVE-2016-4656: corruption de la mémoire du noyau qui a un jailbreak : les vulnérabilités au niveau du noyau iOS sur 32 et 64 bits qui permettent à l'attaquant de « jailbreaker » silencieusement l'appareil et d’installer un logiciel de surveillance.

CVE-2016-4657: corruption de la mémoire dans Webkit : une vulnérabilité dans WebKit de Safari permet à l'attaquant de compromettre l'appareil lorsque l'utilisateur clique sur un lien ».

Le logiciel est hautement configurable : en fonction du pays d'utilisation et des fonctionnalités achetées par l'utilisateur, les fonctionnalités du logiciel espion incluent l'accès aux messages, aux appels, aux courriels, aux journaux, mais également à d’autres applications parmi lesquelles Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendrier, Line, Mail.Ru, WeChat, SS, Tango, entre autres. Le kit semble persister même lorsque le logiciel de l'appareil est mis à jour et il peut se mettre à jour pour remplacer facilement les exploits s’ils deviennent obsolètes.

« Nous pensons que ce logiciel espion a été caché pendant un long moment en nous basant sur certains indicateurs dans le code (par exemple, une cartographie du kernel a des valeurs qui remontent jusqu’à iOS 7). Le logiciel espion a également été utilisé pour attaquer des cibles de grande valeur pour de nombreuses raisons, parmi lesquelles l’espionnage industriel de haut niveau sur iOS, Android et BlackBerry », indiquent les chercheurs. 


Ce n’est pas la première fois que Mansoor se fait attaquer : il a été la cible du logiciel espion FinSpy de FinFisher en 2011, puis par le Remote Control System de Hacking Team en 2012, ces deux attaques ayant un vecteur commun à savoir l’envoi d’un courriel. « Hacking Team et Finfisher ont fait l'objet de plusieurs années de révélations mettant en évidence une utilisation abusive des logiciels espions pour compromettre des groupes de sociétés civiles, des journalistes ainsi que des travailleurs dans les droits de l’homme », ont expliqué les chercheurs.

Avant de divulguer ces failles, les chercheurs ont contacté Apple qui a d’ores et déjà déployé un correctif d’urgence avec la version 9.3.5 d’iOS. 

Source : Citizen LabLookout Security

Une étude montre que les gens ignorent les alertes de sécurité dans 90 % des cas
Du fait que les développeurs les affichent de façon aléatoire
, par Coriolan, Chroniqueur Actualités
Une nouvelle étude réalisée par des chercheurs de la Brigham Young University (BYU) a trouvé que 90 % des utilisateurs ignorent les messages de sécurité qui s’affichent de manière incohérente. L’équipe de recherche en collaboration avec des ingénieurs de Google Chrome, a prouvé que les gens qui sont en train de taper quelque chose, regarder une vidéo ou transférer des fichiers sont moins aptes à faire attention aux alertes de société, que ça soit sur ordinateur ou sur mobile.

Les chercheurs ont trouvé que le timing joue un rôle important. Les moments où les utilisateurs sont occupés sont les moins optimaux pour les alertes de sécurité, cela peut être expliqué par ce que les chercheurs appellent « l’interférence double tâche », une limitation neurale qui fait que les utilisateurs sont moins enclins à réagir et réaliser de simples tâches simultanément sans perdre de la performance. Autrement dit, les humains ont du mal à faire de la multitâche. 

« Nous avons trouvé que le cerveau est incapable de bien gérer plusieurs tâches en même temps, » a dit le coauteur de l’étude, le professeur Anthony Vance. « Les développeurs de logiciels présentent catégoriquement ces messages [de sécurité] sans prendre en compte ce que l’utilisateur est en train de faire. Ils nous interrompent constamment et notre étude montre qu’il y a une grande pénalité qui survient suite à la présentation de ces messages à des moments aléatoires ».

L’étude a trouvé que 74 % des utilisateurs ignorent les messages de sécurité qui s’affichent au moment de fermeture d’une fenêtre de page web. 79 % des gens ignorent les messages s’ils sont en train de regarder une vidéo. Et pas moins de 87 % ignorent ces messages quand ils sont en train de transférer une information, dans ce cas, un code de confirmation. « Mais vous pouvez résoudre ce problème en optimisant le timing des alertes, » a dit Jeff Jenkins, auteur de l’étude qui a été publiée dans le journal Information Systems Research. « Attendre le moment quand les utilisateurs ne sont pas occupés pour afficher les alertes augmente considérablement leur comportement de sécurité. »

Les chercheurs ont trouvé que les gens sont plus enclins à faire attention aux messages de sécurité qui s’affichent, quand ils sont en train de réaliser des tâches qui ne demandent pas un niveau de concentration important, comme le fait d’attendre le chargement d’une page ou le moment qui suit la visualisation d’une vidéo. Les auteurs réalisent que le fait de choisir le bon timing pour que l’utilisateur ait plus de chances de réagir semble évident, mais c’est une pratique qui n’est pas courante dans l’industrie de développement de logiciels. Cette étude est la première du genre qui a permis de démontrer empiriquement les effets de l’interférence de tâches avec les alertes de sécurité. Les chercheurs ont non seulement démontré comment le multitâche affecte le comportement des utilisateurs, mais ils ont aussi trouvé comment elle affecte le cerveau. 


Exemple d'un message de sécurité de Chrome Cleanup Tool

Durant l’étude, les chercheurs ont demandé à des participants d’accomplir des tâches sur PC pendant qu’un scanner cérébral fonctionnel fMRI a mesuré l’activité du cerveau. L’expérimentation a montré que l’activité neurale a été considérablement réduite quand un message de sécurité a interrompu une tâche, comparé au moment où l’utilisateur a répondu au message. Les chercheurs ont exploité des données fonctionnelles de l’IRM en collaboration avec une équipe d’ingénieurs de sécurité de Google Chrome pour identifier les meilleurs moments pour afficher des messages de sécurité durant la navigation.

Les développeurs de Chrome Cleanup Tool, un outil de sécurité incorporé dans Chrome pour Windows, ont été impressionnés par les résultats de la recherche. Ils comptent désormais améliorer le timing des messages de sécurité de Chrome durant les prochaines itérations. 

Source : BYU

Une faille de sécurité facilite la reproduction du code de clé d'un véhicule,
Une centaine de millions de modèles de Volkswagen seraient concernés
, par Miary, Chroniqueur Actualités
Les vols sans effraction sont en recrudescence actuellement. Pourtant, ils ne sont pas couverts par les assureurs auto, le propriétaire n’étant pas souvent en mesure de prouver le vol. Selon une étude réalisée par des chercheurs de l’université de Birmingham, plusieurs milliers de véhicules seraient actuellement vulnérables à ce type de vol à cause d’une faille de sécurité dans le système de verrouillages à distance.

Le système d’ouverture et de fermeture des portes à distance des véhicules utilise un code tournant. Grâce à ce mécanisme, la clé échangée entre la télécommande et le récepteur change d’un clic à un autre. Ainsi, même si un pirate informatique intercepte un code, il ne pourra pas déverrouiller la porte du véhicule s’il réutilise le code. Techniquement, il devrait exister plusieurs combinaisons de clés possibles pour ouvrir ou fermer la porte d’un véhicule. Mais l’étude réalisée par l’université de Birmingham affirme que de grands constructeurs automobiles n’utiliseraient qu’un nombre limité de combinaisons. Du coup, il suffirait pour un voleur de récupérer les algorithmes de chiffrement et d’intercepter un seul signal de la télécommande pour reproduire ensuite le code qui permet l’ouverture du véhicule. 

Selon les chercheurs, des millions de modèles de véhicules vendus par le groupe Volkswagen depuis 1995 seraient concernés par cette vulnérabilité dont les VW Golf (type 4 à 6), Audi Q3 et des modèles de Seat. Toutefois, un porte-parole chez Vokswagen a affirmé que cette faille de sécurité ne toucherait pas les modèles récents de VW TiguanVW Touran et VW Passat. Selon lui, le niveau de sécurité de ses modèles récents a été renforcé. Il est à noter que l’étude ne tient pas compte des véhicules de luxe, comme Porsche et Bugatti. 

D’autre constructeurs automobiles seraient aussi concernés par cette faille de sécurité, notamment Alfa RomeoPeugeotRenaultFordNissan et Chevrolet. Selon les chercheurs, ces constructeurs utilisent le système de code tournant Hitag2 qui peut être décrypté en quelques minutes. Un porte-parole de Ford Europe affirme que désormais le constructeur automobile n’utiliserait plus ce système de sécurité pour ses nouveaux modèles de véhicules. 

D’après les chercheurs, le voleur n’a pas à utiliser des matériels coûteux pour déverrouiller le système d’ouverture et fermeture des portes du véhicule. En effet, il existe des outils à prix très abordable qui permettent d’intercepter le signal envoyé par la télécommande au moment où le propriétaire veut déverrouiller les portes du véhicule. Les systèmes de verrouillage à distance étaient censés apporter le maximum de sécurité aux véhicules face aux vols sans effraction. Mais avec la découverte de cette faille, il semblerait qu’il est encore possible de contourner ce système de sécurité. Comment pourrait-on améliorer le niveau de sécurité des systèmes de verrouillage à distance des véhicules ?

Source : Reuters 

Plusieurs firmes ont payé des rançons
Plusieurs firmes ont payé des rançons

Publié  août 2016 | 

 

Canada: plusieurs firmes ont payé des rançons à des pirates informatiques.La Presse Canadienne Toronto

Des dizaines de firmes canadiennes ont versé de l'argent depuis un an à des pirates informatiques afin de reprendre le contrôle de données leur ayant été soutirées

 

 

 

 

 

Une étude réalisée au Canada et dans trois autres pays par Osterman Research, une compagnie basée à Black Diamond, dans l'État de Washington, conclut que 44 des 125 entreprises canadiennes ayant participé anonymement à l'enquête avaient été victimes d'une extorsion informatique au cours des 12 mois précédents.

Les pirates qui se livrent à ces activités empêchent les usagers informatiques d'avoir accès à des données auxquelles ils ont droit et exigent un paiement en retour d'un rétablissement.

Parmi les 44 victimes canadiennes, 75 % ont versé des rançons de montants variant entre 1000 $ et 50 000 $. Onze des firmes ont dû cesser leurs activités pendant un certain temps afin de régler le problème.

 

L'étude a démontré que l'un des secteurs d'activités les plus fréquemment visés par les pirates est celui des soins de santé, car l'accès aux données informatiques sur les patients est souvent indispensable pour que des traitements médicaux soient offerts.

L'étude d'Osterman Research a été rendue publique par Malwarebytes, une entreprise de Californie dédiée à la protection contre les menaces sur l'internet.


Des claviers sans fil de HP et Toshiba exposés à une vulnérabilité
Permettant à un pirate de recueillir les données saisies par les utilisateurs
, par Michael Guilloux, Chroniqueur Actualités
Des chercheurs en sécurité viennent de lancer l’alerte sur une vulnérabilité affectant les claviers sans fil de fabricants populaires notamment HP, Toshiba, Kensington, Insignia, Radio Shack, Anker, General Electric, et EagleTec ; soit huit fabricants sur un échantillon de douze entreprises dont les claviers sans fil ont été analysés. La popularité de ces fournisseurs laisse supposer que des millions d’utilisateurs sont exposés, surtout qu’il ne s’agit pas non plus de la liste exhaustive des fabricants qui sont concernés par ce problème.

La vulnérabilité baptisée KeySniffer a été découverte par des chercheurs de Bastille Networks et peut permettre à un pirate de surveiller toutes les frappes d’un utilisateur situé à environ 250 pieds, soit plus de 75 mètres. Le pirate pourra dès lors recueillir les mots de passe, les numéros de carte de crédit, les questions et réponses de sécurité des utilisateurs, et de manière générale, tout ce que l’utilisateur va taper sur son clavier en texte clair, ont averti les chercheurs.

En se penchant sur la sécurité des claviers sans fil avec récepteur USB de ces fournisseurs, le chercheur Marc Newlin de la firme de sécurité a découvert que les dispositifs de ces huit fabricants n’implémentent pas de chiffrement. C’est donc ce qui expose leurs claviers à la vulnérabilité KeySniffer. « Ces dispositifs envoyaient toutes les frappes en texte clair », a expliqué Newlin à Threatpost de Kaspersky Lab.

Avec quelques petits équipements bon marché, le pirate peut exploiter cette vulnérabilité. D’après Marc Newlin, il suffit d’un équipement radio comme l’adaptateur USB Crazyradio, en vente sur Amazon pour environ 40 $, couplé à une antenne bidirectionnelle d’environ 50 $. Lorsque l’utilisateur frappe des touches sur son clavier, les données non chiffrées sont transmises au dongle USB connecté à sa machine. Le pirate avec son équipement radio dans un rayon d’environ 250 pieds (un peu plus de 75 mètres) peut également recevoir les mêmes données en clair.


L’exploitation de cette vulnérabilité est toutefois limitée dans la mesure où le pirate a besoin d’une certaine proximité avec sa cible, ce qui exclut donc les attaques distantes proprement dites. La vulnérabilité KeySniffer sera donc exploitée pour mener une attaque ciblée plutôt qu’une vaste campagne de piratage. Cela implique que le pirate doit être physiquement proche de sa cible. Par exemple, un employé dans son entreprise, peut-être dans le même bureau ou dans un bureau voisin, ou encore un utilisateur dans un lieu public.

Avant de divulguer la vulnérabilité, la firme de sécurité a donné un délai de 90 jours aux différents fournisseurs pour réagir, pour corriger la vulnérabilité ou avertir les utilisateurs. Mais très peu ont répondu à son alerte, explique-t-elle. Pour le moment, une solution possible serait de basculer vers un clavier avec fil ou un clavier sans fil avec récepteur Bluetooth qui est susceptible d’offrir plus de sécurité.

Source : Threatpost

Un malware prend des photos compromettantes et fait du chantage à la victime
Pour lui soutirer des informations sensibles sur son entreprise
, par Miary, Chroniqueur Actualités
Diskin Advanced Technologies (DAT), un spécialiste en sécurité, a découvert un malware baptisé Delilah qui se sert de la webcam pour prendre des photos des moindres faits et gestes de l'utilisateur du PC. Le hacker va ensuite exploiter ces photos pour extorquer des fonds ou pour faire du chantage afin d’obtenir des données professionnelles. Il va sans dire que de par son mode d’action, les cibles de ce logiciel malveillant sont bien étudiées. 

Le malware infecte les PC par le biais de téléchargements sur des sites de jeux et des sites pour adultes. Il se sert de la webcam pour prendre des photos de l'utilisateur à son insu et les envoie ensuite au hacker en temps réel. De par le volume des photos enregistrées et envoyées par la webcam, il arrive que l’affichage soit bloqué pendant plus de dix secondes. Il arrive aussi que des messages d’erreur s’affichent quand l’utilisateur souhaite utiliser la webcam. 

Les photos compromettantes peuvent ensuite être utilisées par un hacker pour faire chanter la victime et l’obliger à lui fournir des données concernant son employeur et son lieu de travail. Pour ce faire, il utilise des techniques d'ingénierie sociale. Il se pourrait aussi que le hacker verrouille à distance le PC de la victime et demande ensuite une rançon pour pouvoir le débloquer. Pour donner des instructions à la victime, le hacker peut avoir recours soit à un réseau virtuel privé (VPN) soit au réseau Tor. Par ailleurs, il demanderait aussi à la victime de supprimer totalement l’historique de navigation, ne laissant ainsi aucune trace de son intrusion sur le réseau de l’organisation. 

Selon la DAT, le malware Delilah ne serait proposé pour le moment qu’à un groupe fermé de hackers. Son mode d’action nécessite une grande implication humaine. En effet, il doit commencer par identifier la victime qui serait susceptible d’avoir accès aux informations sensibles de l’organisation cible. Le hacker doit aussi analyser une à une les photos afin de trouver l’image compromettante qui sera utilisée contre la victime. 

Source : Blog Gartner

Eleanor : Le backdoor qui prend le contrôle de votre Mac

Juillet 2016 - 

malware-mac

 par UnderNews Actu


L’éditeur Bitdefender appelle à la plus grande vigilance après avoir repéré un nouveau backdoor ciblant spécifiquement les Mac : Eleanor.

Beaucoup d’utilisateurs Apple sont peu vigilants face aux cyber-menaces du fait que les malwares sont en moins grand nombre. Mais c’est une erreur, comme le prouve encore cette énième découverte.

Cette fois, il s’agit d’un backdoor silencieux baptisé Eleanor, récemment découvert par Bitdefender. Bien que classique, il peut permettre à un attaquant de prendre le contrôle à distance d’un Mac pour y voler des données ou détourner la webcam (on en revient au fameux bout de scotch posé par Mark Zuckerberg sur la sienne).Ce malware est dissimulé dans l’application malveillante EasyDoc Converter, qui installe discrètement trois composants au démarrage d’OS X dans un répertoire/Users/$USER/Library/.dropbox. La technique de propagation de la menace Backdoor.MAC.Elanor est donc au point.

Parmi ces trois composants, on retrouve : un service Tor, un service Web faisant tourner PHP et un agent logiciel. L’objectif d’Eleanor est d’implanter un backdoor sur le système pour y permettre l’accès à distance. Les attaquants peuvent donc ensuite facilement s’y connecter et mettre la main sur les fichiers personnels, y installer d’autres applications malveillantes, de contrôler la webcam, etc…

Notons toutefois que le fait que le logiciel EasyDoc Converter ne soit pas signé numériquement avec un certificat approuvé par Apple réduit considérablement les risques d’infection.

Apple précise que toutes les personnes disposant de la protection Gatekeeper sur leur Mac OS X sont à l’abri de ce malware.

 


Des pirates dérobent plus de 3 milliards de dollars à des entreprises
En recourant à la fraude au PDG
, par Coriolan, Chroniqueur Actualités
Le FBI a mis en garde contre des pertes liées à la généralisation de campagnes d’emails frauduleux en provenance de hackers qui se font passer pour des PDG et incitent les contrôleurs financiers à faire des virements de fonds vers leurs comptes fraudeurs. Les pertes liées à ces fraudes s’élèvent à 3,1 milliards de dollars depuis octobre 2013. Ce chiffre a été rendu public par l’Internet Complaint Crime Centre (IC3), qui est une équipe multi-agences composée de personnels du Federal Bureau of Investigation (FBI), du National White Collar Crime Center (NW3C) et du Bureau of Justice Assistance (BJA). 


La mission de l'IC3 est de servir de plaque tournante pour recevoir, traiter et attribuer les plaintes criminelles concernant le cybercrime. L'IC3 fournit aux plaignants de cybercrimes un mécanisme de déclaration pratique et simple pour alerter les autorités des violations civiles ou criminelles sur Internet. L'IC3 informe les différents organismes chargés de l'application de la loi au sujet des plaintes.

Le FBI révèle ces données après avoir lancé une campagne de sensibilisation du public sur les méthodes de défense contre ce type de fraudes. Cette pratique plus connue sous le nom de la fraude au PDG ou « compromission des adresses électroniques d'entreprise » constitue une menace surtout pour les entreprises et non pas les particuliers. En avril dernier, le FBI avait révélé que les pertes liées à cette escroquerie dans le monde entier s’estimaient à 2,3 milliards de dollars entre octobre 2013 et février 2016.

Le nombre de victimes américaines et étrangères de la compromission des adresses électroniques d’entreprise s’élève à 22 143 cas. Les fraudeurs auraient demandé le paiement de 3,1 milliards de dollars en virements frauduleux, ce qui constitue une augmentation significative par rapport aux anciennes estimations du FBI. Cela laisse présager que la fraude au PDG pourrait être un problème beaucoup plus alarmant qu’on le pensait jusque-là. Il faut savoir que ces chiffres ne proviennent pas seulement des réclamations reçues par l’IC3, mais aussi des banques et d’autres agences internationales chargées de l’application de la loi qui coopèrent aussi pour faire face à ces fraudes.

L’IC3 a indiqué que la somme de 3,1 milliards de dollars constitue les « pertes exposées en dollars » qui « inclut les pertes réelles et tentées en dollars américains ». Elle ajoute que 15 688 cas de fraudes lui ont été signalés aux États-Unis et à l’international, avec des pertes qui dépassent le milliard de dollars. Sur ces victimes, 14 032 sont américaines, « L'escroquerie a été signalée par des victimes dans les 50 États et dans 100 pays. Les signalements indiquent que des transferts frauduleux ont été envoyés vers 79 pays, majoritairement à destination de banques asiatiques basées en Chine et à Hong Kong », rapporte l'IC3.

Le FBI a demandé aux victimes de le notifier en cas de fraude, afin de collaborer avec les agences de sécurité étrangères et demander aux banques de geler les fonds avant qu’ils ne soient retirés par les fraudeurs. L’IC3 aussi a mis en place de nouvelles descriptions des différentes variantes de cette pratique criminelle et a prescrit des mesures de sécurité destinées à atténuer le risque d’exposition à cette fraude. Elle recommande de recourir à l’authentification à deux facteurs, de confirmer les transactions importantes par un appel téléphonique et de ne pas répondre directement aux messages, mais de les transférer pour s’assurer qu’ils sont adressés à un compte qui figure dans le carnet d’adresses du destinataire.

Source : IC3

Les données de connexion de plus de 30 millions de comptes Twitter en vente sur le net
Un malware aurait permis de collecter ces données
, par Miary, Chroniqueur Actualités
Il semble que les réseaux sociaux soient dans la ligne de mire des hackers ces derniers temps. Récemment, un internaute portant le pseudonyme « Tessa88 » a mis en vente une base de données contenant des informations de comptes Twitter. Il s’agit des données de connexion (nom d’utilisateur et mots de passe) de plus de 30 millions de comptes Twitter.

Il semble toutefois que le réseau social Twitter lui-même n’ait pas été piraté comme ce fut le cas pour MySpace. Les données auraient en effet été collectées à partir d’un malware qui récupère les mots de passe saisis par les utilisateurs lorsqu’ils se servent des navigateurs Chrome et Firefox. Ce ne serait donc pas un cas spécifique à Twitter, mais n’importe quel autre site web pourrait être concerné. 

Selon Leaked Source, il existe un grand nombre d’utilisateurs dont le mot de passe est « blank » ou « null ». Ce cas se présente quand l’internaute n’enregistre pas son mot de passe lorsqu’il se connecte sur son compte Twitter, à partir d’un navigateur Chrome ou Firefox. 

Un autre détail important en ce qui concerne la base de données volée : les mots de passe s’affichent en plein texte. Dans la mesure où Twitter utilise un système de chiffrement pour protéger les mots de passe des utilisateurs, on peut supposer que ces données volées ne sont pas récentes. Leaked Source a aussi remarqué que la base de données contient un grand nombre d’adresses e-mail se terminant par « .ru », autrement dit des noms de domaine russes. On trouve notamment 5 028 220 adresses e-mail se terminant par « @mail.ru », 1 020 757 adresses « @yandex.ru » et 374 855 adresses « @rambler.ru ». 

La base de données contient 32 888 300 enregistrements. Chaque ligne peut contenir une adresse e-mail principale, une adresse e-mail secondaire, un nom d’utilisateur et un mot de passe non chiffré. En parlant de mots de passe, les plus courants étaient « 123456 », « 123456789 », « qwerty », « password » et « 1234567 ».

Leaked Source invite les propriétaires de compte Twitter à vérifier sur son site que leurs coordonnées et leur mot de passe ne font pas partie de la base de données en vente sur le NET. Si c’est le cas, ils peuvent demander au site de les supprimer. 

Source : Leaked Source

Les ransomware continuent d'évoluer : Cerber se dote d'une fonctionnalité
Pour créer des versions différentes de lui-même toutes les 15 secondes
, par Stéphane le calme, Chroniqueur Actualité
Si les ransomwares sont les logiciels malveillants les plus « tendances » chez les cyberescrocs comme s’accordent à montrer plusieurs analyses, les développeurs de ces solutions ne dorment pas sur leurs lauriers et veulent encore plus perfectionner leurs outils.

Cerber par exemple dispose d’une fonctionnalité appelée « malware factory » (fabrique de malwares) qui permet de créer une version différente du logiciel toutes les 15 secondes pour lui permettre de contourner la sécurité de la machine de la victime.

Pour rappel, le ransomware Cerber a été découvert début mars. Il infiltre le système et chiffre divers fichiers (.jpg, .doc, .raw, .avi, etc.). Après un chiffrement réussi, le ransomware se sert d’une voix synthétique pour prévenir l’utilisateur : « Attention ! Attention ! Vos documents, photos, bases de données, et ’autres fichiers importants ont été chiffrés ». Cerber va alors demander aux utilisateurs de payer une rançon afin de déchiffrer ces fichiers. Il est donné aux utilisateurs en général un délai de sept jours, autrement le montant de la rançon doublera. 

C’est l’entreprise en sécurité Invincea qui a découvert ce changement récent dans le mode opératoire de Cerber. Une de ses équipes de chercheurs en sécurité a affirmé que pendant qu'elle analysait un fichier journal des dernières techniques d'infection de Cerber afin de pouvoir essayer de reproduire la chaîne d'infection, ils sont tombés sur une charge utile différente de Cerber avec un hachage de fichier qui avait lui aussi été modifié.

Après quelques instants ils ont observé un troisième hachage, puis un quatrième hachage, et ainsi de suite. Il ne leur a pas fallu longtemps pour comprendre que les serveurs C&C de Cerber envoyaient des fichiers binaires de Cerber avec différents hachages toutes les 15 secondes.

Ce qui leur a permis de découvrir la présence de « malware factory », une ligne d’assemblage automatisée qui fait de petites modifications de la structure interne de Cerber afin de générer des fichiers avec des hashs uniques. Ce dernier point permet à Cerber de passer outre la sécurité et d’infecter les machines, même si l’antivirus avait détecté sa présence avant. Les antivirus détectent la menace en se basant sur une liste de hash dans la signature interne de la base de données du virus. Parce que Cerber en obtient un nouveau et unique toutes les 15 secondes, cela lui permet de contourner les techniques basiques d’analyse d’antivirus. Il faut préciser que le « malware factory » en lui-même n’est pas nouveau. En mars 2014, la RSA avait publié un billet de blog donnant plus de détails sur cette fonctionnalité.

Les chercheurs d’Invincea ont également indiqué avoir mis la main sur un échantillon de Cerber qui est capable de lancer des attaques DDoS. 

Le ransomware CryptXXX pour sa part apporte de nombreux changements en termes de fonctionnalités dans sa nouvelle version. L’une des fonctionnalités les plus dangereuses se trouve au niveau de son module Stiller X. Ce dernier fonctionne exactement comme le ferait un dumper de mots de passe classique. Ce type de logiciels est spécifiquement conçu pour attaquer les bases de données internes de plusieurs progiciels, extraire les mots de passe chiffrés ou en clair, puis de les envoyer à un serveur en ligne.

Le module StillerX de CryptXXX est capable de cibler de nombreuses sortes de logiciels parmi lesquels les navigateurs internet, les gestionnaires de téléchargement, les clients de messagerie, les logiciels FTP, les applications de messagerie instantanée, les clients proxy, les VPN, les informations d'identification de numérotation, et les mots de passe stockés dans le cache de WNetEnum et Credential Manager de Microsoft.

Pour détecter une infection au ransomware CryptXXX, les utilisateurs peuvent rechercher des traces du module StillerX sur leur système avec la présence des fichiers « stiller.dll », « stillerx.dll » et « stillerzzz.dll ». Les chercheurs de Proofpoint, qui sont à l’origine de la dernière analyse de ce ransomware, ont indiqué qu’il y a des indices dans le code de Stiller X qui laissent penser que le module pourrait même être utilisé de façon autonome sans le ransomware CryptXXX.

En plus d’être capable de voler des mots de passe, la version 3.100 de CryptXXX est capable de chercher des dispositifs connectés à la machine infectée et de s’attaquer également aux fichiers qui sont présents.

Source : fonctionnement du « malware factory »(blog RSA)blog Invinceablog Proofpoint

Microsoft lance l'alerte sur une nouvelle variante de ransomware baptisée Zcryptor
Dotée d'une capacité d'autopropagation
, par Miary, Chroniqueur Actualités
La programmation de ransomware est une activité apparemment assez lucrative pour les pirates. Microsoft vient de lancer l'alerte sur une nouvelle variante de ces malwares demandeurs de rançon. Le programme se nomme Ransom:Win32/ZCryptor.A et a été baptisé de manière plus simpliste Zcryptor. Ce ransomware se propage via des campagnes de spam, des faux fichiers d’installation pour Flash Player ou encore des macros pour Office. Il se distingue particulièrement par sa capacité d'autopropagation. Il est en effet capable de se copier sur des supports amovibles et lecteurs réseau. Le ransomware a été d'abord découvert par un chercheur en sécurité, quelques jours avant l'alerte de Microsoft.

Après avoir infecté la machine de sa victime, Zcryptor va chiffrer les fichiers de cette dernière en changeant les extensions en .zcrypt. Selon Microsoft, parmi les fichiers ciblés par le logiciel malveillant, on retrouve ceux avec les extensions .avi, .bmp, .cpp, . doc, .docx, .dwg , .html, .jar, .jpeg, .mdb, .mpeg, .odt, .pdf, .pptx, .raw, .swf, .xlsx et .xml. 

En plus d’infecter la machine, Zcryptor va aussi s’attaquer aux supports amovibles, notamment un disque dur externe. Il va alors infecter la séquence d’initialisation du disque amovible. Le ransomware va modifier les fichiers afin qu’ils soient invisibles à l’utilisateur. Ce dernier peut donc infecter d’autres ordinateurs via sa clef USB. Zcryptor cible également les lecteurs réseau pour faciliter sa propagation.

Quand sa mission est accomplie, le demandeur de rançon va générer un fichier html qui informe l’utilisateur que ses fichiers sont chiffrés et qu’il doit payer 500 dollars US, dans les quatre jours qui suivent, pour avoir la clé de déchiffrement. Dans ce fichier, il est également demandé à l’utilisateur de ne pas tenter de supprimer le ransomware au risque de perdre ses données. 

Microsoft propose quelques mesures de protection contre le ransomware Zcryptor

Pour se protéger de Zcryptor, Microsoft suggère la mise à jour du système d’exploitation ainsi que de l’antivirus. Il est à noter que ce ransomware est détecté par Windows Defender. Il est aussi recommandé de réaliser régulièrement une sauvegarde de ses données sur un disque dur externe. Entre autres mesures élémentaires, Microsoft conseille également aux utilisateurs de désactiver le téléchargement des macros pour Office. La firme de Redmond recommande donc plus de vigilance et de prudence vis-à-vis des fichiers d’installation Flash Player et macros pour Office, qui sont des moyens de propagation du ransomware. 

Sources : MicrosoftMalwarefor.me

Apple envisage de renforcer la sécurité de ses dispositifs
La firme réembauche Jon Callas, un expert en sécurité informatique et du chiffrement
, par Miary, Chroniqueur Actualités
Chez Apple, la sécurité n’est pas à prendre à la légère. Pour preuve, un grand nom du chiffrement rejoint la firme de Cupertino. Il s’agit de Jon Callas, un spécialiste de la sécurité, à l’origine du Blackphone, un smartphone dévoilé en 2014 et considéré comme le plus sécurisé au monde avec son système de chiffrement des appels, messages, emails, etc.

Un recrutement qui vient après la bataille entre Apple et le FBI 

Le recrutement de Jon Callas vient après le bras de fer entre Apple et le FBI. Pour rappel, Apple a refusé de se plier à une injonction judiciaire pour permettre au FBI de déverrouiller l’iPhone de l’un des auteurs de la fusillade de San Bernardino. Dans cette affaire, Apple estimait que cela pourrait créer une atteinte à la vie privée des utilisateurs de ses smartphones et tablettes. Il faut savoir que le téléphone à l’origine de cette bataille judiciaire utilise iOS 9, le dernier système d’exploitation d’Apple.

La sécurité du système d’exploitation mobile d'Apple a été renforcée après les révélations sur l’espionnage de masse par la NSA. Apple a mis en place un système qui ne peut être débloqué que par le propriétaire du téléphone. Pour être plus précis, chaque appareil mobile d’Apple dispose d’une clef de chiffrement individuelle, qui n’est connue que de son propriétaire. Par ailleurs, au bout de 10 essais ratés, le contenu du smartphone sera effacé automatiquement. 

Toutefois, Apple disposerait d’un outil qui peut annuler la suppression automatique des données. Ce qui aurait ainsi permis au FBI d’essayer toutes les combinaisons possibles pour déverrouiller le téléphone du terroriste. Cependant, Apple a refusé toute collaboration avec le FBI. Le bureau fédéral a donc fini par faire appel à des hackers pour accéder au contenu de l’iPhone du tueur de San Bernardino. C’est assurément pour éviter un nouvel exploit de ce genre que la firme de Cupertino a engagé Jon Callas.

Jon Callas, un grand spécialiste de la sécurité informatique 

Ce n’est pas la première fois que Jon Callas travaille pour le compte d’Apple. En effet, entre 1995 et 1997, ensuite entre 2009 et 2011, il a aidé Apple à renforcer la protection des données sur ses systèmes d’exploitation. Parmi ses réalisations, on cite le système FileVault utilisé pour la protection des données sur les ordinateurs Mac OS X et les terminaux tournant sous iOS. Cette fois-ci, ni Apple ni Jon Callas n’ont encore dévoilé les missions qui seront confiées à cet expert en sécurité informatique.

Concernant l’affaire qui oppose le FBI à Apple, Callas a fait savoir qu'il avait une préférence pour une collaboration avec la justice sur le principe de l’exploitation des failles de sécurité, à condition qu'elles soient ensuite dévoilées au constructeur afin qu’ils puissent les corriger. Toutefois, il s'oppose au fait de contraindre un constructeur à déchiffrer ses propres produits, même après un mandat de la justice.

Jon Callas est un grand nom du chiffrement des données. On peut ainsi s’attendre à la sortie un système d’exploitation davantage sécurisé chez Apple.

Source : Reuters 

LinkedIn – Diffusion de 117 millions de mots de passe datant de 2012

23 mai 2016 - Aucun commentaire - Classé dans : Alertes

linkedin-logo

Publié par UnderNews Actu

 

Le réseau social professionnel LinkedIn avait été victime d’un piratage d’envergure en 2012, et la fuite de données avait été estimée à 6,5 millions de mots de passe. Mais le site Motherboard a repéré qu’un cybercriminel tente actuellement de vendre plus de 117 millions de comptes LinkedIn.

L’alerte a été lancée ce weekend car les répercussions pourraient être graves : plus de 117 millions d’utilisateurs du réseau social professionnel LinkedIn sont potentiellement en danger si ces données piratées sont vendues.

Visiblement, la fuite de données a été largement sous-estimée en 2012 par LinkedIn qui avait annoncé que « seuls » 6,5 millions de comptés avaient été touchés par le piratage. Or, l’annonce repérée par Motherboard il y a quelques jours démontre un nombre bien supérieur s’élevant à 117 millions.Ces données sont critiques pour la bonne raison que les mots de passe sont hashés via l’algorithme SHA-1 qui est vulnérable au cracking, surtout qu’il est utilisé sans aucun salt (ou grain de sel) pour renforcer le niveau de sécurité. D’après leakedsource.com, 90% des mots de passe ont été crackés avec succès par les pirates en 3 jours…

« Cela vient seulement de faire surface maintenant. Les gens n’avaient pas pris au sérieux cette brèche à l’époque car rien n’avait été diffusé. La base de données volée a été maintenu au sein d’un petit groupe de pirates informatiques russes« , explique le site LeakedSource.

LinkedIn vient par ailleurs de confirmer l’énorme fuite et a lancé une vaste campagne de réinitialisation des mots de passe des comptes utilisateurs :

« Nous avons été informés que d’autres données avaient été mises en ligne. Nous avons immédiatement pris des mesures pour invalider les mots de passe des comptes touchés et nous contacterons les internautes concernés pour qu’ils changent de mot de passe ».

De plus, si ce n’est déjà fait, adoptez l’authentification forte à deux facteurs.


SWIFT : les pirates auraient-ils ciblé d'autres banques ?
Une autre banque aurait été victime d'une attaque similaire à celle du Bangladesh
, par Victor Vincent, Chroniqueur Actualités
L’enquête ouverte suite au vol de la banque centrale du Bangladesh se poursuit et a révélé de nouveaux éléments qui portent à croire que les pirates ont agi de façon bien organisée et pourraient s’attaquer à d’autres banques. En effet, d’après la société américaine FireEye en charge de l’enquête pour la banque du Bangladesh, l’attaque aurait été menée par trois groupes de cybercriminels dont deux seraient d’origines pakistanaise et coréenne. L’existence d’un troisième groupe a été confirmée par les enquêteurs, mais ce dernier n’a pas encore été identifié de façon formelle. Après l’attaque menée contre la banque du Bangladesh, une autre banque, une commerciale dont l’identité n’a pas été dévoilée aurait été victime d’une attaque similaire à celle subie par la banque centrale du Bangladesh, affirme une source proche de l’enquête.

Pour rappel, la piste de la complicité d’un agent interne de la banque avait été avancée par les enquêteurs. Cependant, à l’état actuel de l’avancement des investigations, aucune preuve concrète n’a pu être apportée pour appuyer cette hypothèse ou même pour en appuyer une autre. La dernière hypothèse des enquêteurs est que les pirates pourraient avoir ciblé des banques à attaquer et que l’attaque de la banque centrale du Bangladesh est loin d’être un cas isolé et ponctuel. Selon l’organisme de transfert de fonds interbancaires, les pirates ont une « connaissance profonde et sophistiquée des contrôles opérationnels spécifiques » des banques ciblées. Les pirates pourraient donc s’en prendre à d’autres banques dans le cadre d’une vaste campagne de piratage des banques. Le mode opératoire qu’ils ont utilisé jusque-là pour ce qui est des deux banques touchées jusqu’ici par leurs attaques est le même. Ils ont infiltré le logiciel de SWIFT et ont réussi à effectuer des transferts frauduleux tout en dissimulant les preuves.

Depuis le premier incident concernant la banque du Bangladesh, SWIFT a publié un pacth d’urgence visant à régler la faille exploitée par les pirates dans son logiciel. Cependant, si la piste de la complicité d’un agent interne est confirmée, cela pourrait s’avérer insuffisant, soulignent les enquêteurs. D’après la police bangladaise, le problème serait plutôt dû à une mise en place non conforme de la part des techniciens de SWIFT lors de la procédure de connexion de SWIFT au premier système de règlement en temps réel interne aux différentes banques du Bangladesh. Dans cette affaire, si la banque centrale du Bangladesh a accusé les techniciens de SWIFT de négligence lors d’une intervention technique, la coopérative internationale de transfert de fonds SWIFT affirme que la sécurité du réseau relève de la seule responsabilité de la banque.

Source : BloombergReuters

Apple ciblé par 'Locky' et 24 millions de dollars versés en rançon aux Etats-Unis en 2015

 avril 2016 

ransomware


Selon Kaspersky Lab, ce sont plus de 750 000 utilisateurs qui ont été infectés par un ransomware en 2015, ce qui représente 24 millions de dollars de rançons rien qu’aux Etats-Unis.

Le pire mal de 2015 a sans aucun doute été l’apparition du ransomware Locky, ciblant les appareils Apple Mac qui étaient jusqu’à présent épargnés par ce redoutable type de malware. Cette évolution n’est pas étonnante lorsque l’on connaît les montants des bénéfices engrangés par les cybercriminels via les ransomwares…

 

En effet, le site Business Insider rapporte que les victimes de ces « rançongiciels » ont versé en tout pour tout 57,6 millions de dollars de rançon depuis 2005, et ce, rien que sur le territoire des Etats-Unis ! Le chiffre est communiqué par la DoJ américain, le département de la Justice, et accompagné du nombre de plaintes enregistrées par l’IC3 sur 10 ans qui atteint 7700 plaintes.

 

On note par ailleurs une forte augmentation du phénomène sur 2015, avec pas moins de 2500 plaintes sur l’année et un montant total de rançon versé hallucinant atteignant les 24 millions de dollars. Selon le FBI, la fourchette des montants extorqués va de 200 à 10 000 dollars.


GozNym, le trojan bancaire qui fait des ravages en Amérique 

credits-cards-trojan UnderNews Actua_avril 2016 -

GozNym est le nom d’une nouvelle menace, un cheval de Troie bancaire hybride qui est responsable du vol de 4 millions de dollars au sein de 24 banques américaines et canadiennes. Ce nouveau malware s’avère furtif et persistant.

Cacher votre argent sous votre matelas peut sembler être une idée archaïque, mais c’est peut être le seul moyen de passer outre le nouveau malware hybride qui attaque les comptes bancaires américains et canadiens. Connu sous le nom de GozNym, le code malveillant combine en fait les deux puissants logiciels malveillants que sont Nymaim et Gozi (dont le code source a fuité à de multiples reprises dans l’underground). Le cheval de Troie résultant est aussi impitoyable que discret, et il a déjà été utilisé pour voler 4 millions de dollars au sein de 24 banques américaines et canadiennes. Le hash MD5 actuel est : 2A9093307E667CDB71884ECC1B480245.

Selon l’équipe IBM X-Force Research qui a découvert cette nouvelle cyber-arme, cette dernière aurait été conçues par les pirates de l’Est. GozNym est un concentré de menaces, et prend le pire de chacun de ses « parents » :

« Du malware Nymaim, il exploite la furtivité et la persistance, et les capacités du trojan bancaire sont directement tirées de Gozi ISFB. Tout est fait pour faciliter la fraude bancaire via des navigateurs Internet infectés, et le résultat final est un nouveau cheval de Troie bancaire redoutable dans la nature.« , déclarent les chercheurs.

GozNym a été activé en début avril, et a déjà infligé des dégâts considérables à différentes organisations bancaires. On ne connait pas pour l’instant le nombre de clients ayant été touchés à ce jour, mais la situation risque encore de s’empirer dans les mois à venir. IBM explique que les cibles privilégiées des opérateurs de GozNym sont les comptes business d’entreprises.

Fig1_Cfg_bnkg_graph

Comme bien d’autres, ce malware infecte les machines des victimes via des mails piégés avec des pièces jointes malveillantes, tout en restant silencieux et indétectable une fois installé sur un ordinateur. Il attend le moment opportun : que l’utilisateur se connecte à un compte bancaire en ligne. A partir de là, GozNym s’active et devient très dangereux pour la cible, les informations cruciales étant interceptées et envoyées sur différents serveurs contrôlés par les cybercriminels.

« Tout se passe sans que l’utilisateur ne puisse voir quoi que ce soit« , indique Etay Maor, conseiller de sécurité exécutif chez IBM Security.

Pour IBM, seuls l’usage de logiciels de détection de malware adaptatifs peuvent protéger contre ce genre de menace.


amf

C'est un problème mondial ces arnaques financières du web!
Publié UnderNews Actu
par 

L

e sujet a déjà été abordé sur UnderNews à de maintes reprises car ce type d’arnaque au trading a explosé en 2015. Selon les données recueillies par le Parquet de Paris et l’AMF, les épargnants français ont été dépouillés de plus de 4,5 milliards d’euros depuis 2010 par des sites internet illégaux de Forex, d’options binaires ou encore par des escroqueries par faux ordres de virement…

Qui n’a jamais été tenté par une offre anormalement alléchante sur Internet ? Cela devient presque rare tellement les arnaques sont présentes partout ! Les autorités judiciaire, administrative et de régulation boursière et bancaire ont lancé jeudi une vaste opération de sensibilisation des particuliers contre les escroqueries financières en ligne, responsables de 4,5 milliards d’euros de pertes en six ans.

Les efforts liées à cette action pour lutter contre ces pratiques illicites ont été le fait du parquet de Paris, de la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes), de l’AMF (Autorité des marchés financiers) et de l’ACPR (Autorité de contrôle prudentiel et de résolution). Notons que le phénomène ne cesse de croître : L’AMF répertorie aujourd’hui pas moins de 360 sites non autorisés de trading sur le « forex » (marché des changes) et sur les options binaires, en France, contre 4 seulement en 2010

28% des Français interrogés en 2015 par l’institut CSA pour le compte de l’AMF auraient déjà été démarchés par ce type de sites, et 5% de ces personnes sollicitées auraient été victimes d’une arnaque. L’AMF a d’ailleurs été saisie en 2015 de 1 656 réclamations relatives au courtage en ligne sur le forex et sur les options binaires, contre 64 seulement cinq ans plus tôt.

« Nous avons une cinquantaine de dossiers en cours à ce sujet, au Parquet de Paris, ce qui correspond à 500 victimes environ », a renchéri François Molins.

Et, pour le procureur de Paris, il ne s’agit sans doute là que de la partie émergée de l’iceberg, puisqu’il faut également tenir compte des victimes qui s’ignorent encore, et de celles qui se voient mal porter plainte, dans la mesure où l’argent qu’elles misent sur les plateformes de trading provient d’activités non déclarées au fisc.

« Quand vous contactez ce genre de site, vous subissez ensuite un vrai harcèlement téléphonique, l’interlocuteur se présente avec un nom bien français et cherche à obtenir un virement de votre part ou pire votre numéro de carte bleue« , explique Benoit de Juvigny, le secrétaire général de l’AMF

Alors que des plateformes israéliennes non régulées gérées par des gang de criminalité organisée typé mafia (s’abritant derrière des sociétés chypriotes) paient des fortunes pour être « sponsors officiel » des plus grandes équipes de football actuelles (PSG, OL, AS Monaco, etc), chaque contact téléphonique devient un véritable engrenage pour les victimes (ou futures victimes), jusqu’à fourniture de leurs coordonnées bancaires. L’AMF a obtenu des sanctions allant de 100 000 à 300 000 euros mais les sites n’ont fait que payer et ont poursuivi leur activité lucrative, comme notamment EZTrader ou 24 option.

« Derrière une apparence de sérieux, les sites de trading sur le forex sont de fausses entreprises, à de rares exceptions près. L’argent versé n’est jamais investi sur les marchés, et les interlocuteurs des particuliers n’ont le plus souvent aucune compétence en matière financière », souligne François Molins.

D’après les chiffres, même les sites régulés seraient à risque : selon l’AMF, les clients de sites agréés par des régulateurs sérieux ont en effet perdu un total de 175 millions d’euros, pour un gain de 13 millions seulement. Bien entendu, la baisse des taux de rendement des livrets standards (Livret A, LDD, etc) profitent largement aux escrocs qui exploitent largement le filon.

Il est notamment rappelé à juste titre qu’une arnaque en cache souvent une autre ! C’est d’ailleurs un risque très important que UnderNews a déjà mis en avant dans un dossier dédié. Usurpation d’identité ou faux agents de l’AMF ou fausse autorité, les escrocs n’hésites pas à extorquer quelques milliers d’euros de plus aux victimes déjà sur la paille en leur faisant miroiter la récupération de leurs gains perdus…

Aujourd’hui mobilisées pour dénoncer d’une seule voix ce fléau, convaincues que la prévention et la communication demeurent les modes les plus efficaces pour protéger les particuliers, les quatre institutions tiennent à rappeler un message essentiel : la promesse d’un gain facile est un leurre absolu.

Et n’oubliez pas de vérifier systématiquement la présence ou non d’un site sur la liste noire officielle de l’AMF et de choisir un broker strictement autorisé et reconnu comme légal en France.


Quels sont les risques de sécurité majeurs du cloud computing ?
Une étude du CSA en révèle douze
, par Siguillaume, Community Manager 
Les avantages du cloud computing sont aujourd’hui une évidence. Les plus notables sont : la réduction des coûts de maintenance de son infrastructure informatique, la réduction de la consommation énergétique, la disposition rapide d'une plateforme prête à l'emploi pour le déploiement des applications, la disposition d'une solution de sauvegarde simple et accessible à tous, même aux non-informaticiens, etc.

Cependant, devant toutes les possibilités offertes par ce nouveau concept de l’informatique, il demeure des réticences dans son adoption. Ces réticences sont liées, pour la plupart, au facteur de sécurité, qui reste encore un véritable challenge.

Pour rappel, le cloud computing est une approche informatique qui consiste à exploiter via Internet (ou tout autre réseau WAN) des ressources système et applicatives (serveurs, stockage, outils de collaboration et d'administration, etc.). Ces ressources distantes sont dites en cloud (dans le nuage). 

Plusieurs études menées par des spécialistes tels que ISACA (Information Systems Audit and Control Association) et CSA (Cloud Security Alliance) ont permis d’identifier douze points qui constituent les menaces majeures à la sécurité des données et à celles des applications en cloud.
Fragilité dans la gestion des accès et des identités - 13.16%
Brèche de sécurité au niveau des Datacenters - 11.84%
Perte de données - 11.84%Piratage de compte - 10.53%
Action malveillante initiée, en interne, dans les effectifs du fournisseur - 10.53%
Utilisation d’API non sécurisés pour l’intégration des applications avec les services cloud - 10.53%
Utilisation frauduleuse des technologies cloud en vue de se cacher et perpétuer des attaques - 9.21%
Exploit de vulnérabilités des systèmes d’exploitation et des applications hébergées - 9.21%
Insuffisances dans les stratégies d'entreprise d’adoption ou de passage au cloud - 7.89%
Failles liées à l’hétérogénéité des technologies imbriquées - 1.32%
Attaque par déni de services - 1.32%
Menaces persistantes avancées - 1.32%
Autres, pouvez-vous préciser ? - 1.32%
Pas d'avis - 0.00%
76 participants


Ce sont notamment :

  1. L’existence de brèches de sécurité tant sur l’une des couches logiques du Datacenter que celles issues d’erreurs humaines ;
  2. La fragilité dans la gestion des accès et des identités, bien que certains fournisseurs renforcent les interfaces d’authentification avec d’autres moyens tels que les certificats, les smartcards, la technologie OTP et bien d’autres ;
  3. L’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;
  4. L’exploit de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;
  5. Le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;
  6. Une action malveillante initiée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;
  7. Les menaces persistantes avancées (en anglais, APT : Advanced Persistent Threats) qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaque difficile à détecter pour un fournisseur de services cloud ;
  8. La perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement à un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;
  9. Les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;
  10. Utilisation frauduleuse des technologies cloud en vue de cacher l'identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation (la plupart des FAI proposent 30 jours d’essai gratuits) ou des accès achetés frauduleusement ;
  11. Le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;
  12. Les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l'architecture externe d'interfaçage avec les utilisateurs.


Ces douze points, tels que cités, pourraient davantage conforter les paranoïaques dans leur méfiance vis-à-vis du cloud, mais devront surtout encourager les utilisateurs (particuliers et entreprises) à être plus exigeants sur les niveaux de service (en anglais, SLA : Service Level Agreement) conclus avec les fournisseurs.

Source :

Rapport du CSA

Rapport de l'ISACA

Publié le 23 mars 2016 à 07h48 | Mis à jour à 07h48

 

L'extorsion par piratage informatique en plein essor

Agrandir

Le nombre de campagnes menées par «ransomware» ou... (Photo: David Boily, Archives La Presse)Le nombre de campagnes menées par «ransomware» ou rançongiciels, des logiciels qui prennent le contrôle des PC, tablettes et téléphones, a augmenté de 26% au dernier trimestre 2015 par rapport au précédent, note ce rapport.

PHOTO: DAVID BOILY, ARCHIVES LA PRESSE

Agence France-Presse
Washington

Les pirates informatiques redoublent d'efforts pour transformer leurs aptitudes techniques en monnaie sonnante et trébuchante grâce à des logiciels extorqueurs: au dernier trimestre 2015, ces campagnes ont bondi d'un quart dans le monde, selon un rapport d'Intel Security publié mardi.

Le nombre de campagnes menées par «ransomware» ou rançongiciels, des logiciels qui prennent le contrôle des PC, tablettes et téléphones, a augmenté de 26% au dernier trimestre 2015 par rapport au précédent, note ce rapport.

Les pirates réclament ensuite de l'argent --une rançon-- à l'utilisateur de l'appareil en échange du code de déblocage des données.

Ces attaques peuvent être très lucratives. D'après les auteurs du rapport, une seule campagne a rapporté 325 millions de dollars.

 

Sans donner d'estimation du montant total extorqué, le rapport a dénombré quelque six millions de tentatives d'installation de ces logiciels malveillants.

Steve Grobman, responsable technique chez Intel Security, a identifié plusieurs facteurs à l'essor de cette pratique: facilité d'accès au logiciel malveillant disponible gratuitement (en code ouvert), réseaux criminels offrant cette prestation, difficultés de remonter jusqu'aux auteurs qui se dissimulent sur la toile.

«En de nombreux points, c'est un modèle entrepreneurial plus lucratif que les formes traditionnelles de cybercrime», a-t-il indiqué à l'AFP, soulignant que ces attaques visaient désormais d'autres cibles que de simples usagers, comme des hôpitaux, des écoles ou des postes de police.

Ces victimes sont choisies, selon lui, «parce qu'elles ne disposent pas des protections informatiques que l'on peut voir chez des banques ou des sous-traitants de la défense» et qu'elles possèdent des données pouvant être prises «en otage».

Les rançongiciels existent depuis plusieurs années mais les techniques se sont affinées, les rendant plus exploitables.

Traquer les auteurs est aussi beaucoup plus compliqué en cas de paiement en bitcoins, monnaie virtuelle qui ne nécessite pas de passer par le système bancaire.

Il y a «peu de risque d'arrestation, donc (ces campagnes) sont devenues assez populaires», a relevé Intel.

Le mois dernier, le Centre médical presbytérien d'Hollywood, à Los Angeles, a versé 17 000 dollars en bitcoins à des pirates informatiques qui avaient pris le contrôle de ses ordinateurs pendant plus d'une semaine.

Selon M. Grobman, la meilleure protection contre ces attaques est de sauvegarder les données en plusieurs endroits pour pouvoir les récupérer en cas de besoin et d'utiliser des logiciels permettant de détecter les courriels des pirates.

«Le principal problème est qu'en payant la rançon, vous encouragez les cybercriminels et cela va faire apparaitre une nouvelle génération de rançongiciels», a-t-il prévenu.


Matthew Garrett met en évidence les dangers de la domotique
En accédant au système de contrôle des chambres d'un hôtel
, par Michael Guilloux, Chroniqueur Actualités
La domotique est un ensemble de techniques permettant de centraliser le contrôle des différents systèmes et sous-systèmes de la maison ou de l'entreprise, à savoir le système de chauffage, les volets roulants, la porte du garage, le portail d’entrée, les prises électriques, etc. L’on a recours à la domotique pour apporter des solutions techniques pour répondre aux besoins de communication (commandes à distance) ou encore de confort comme la gestion de l’énergie, l’optimisation de l'éclairage et du chauffage, parmi bien d’autres. Pour cette raison, ces systèmes sont de plus en plus répandus dans les hôtels de luxe. La domotique permet également de sécuriser son habitation en permettant de contrôler les systèmes d’alarme, des caméras de sécurité, des serrures électroniques, etc. Le tout relié à un smartphone dans la plupart des cas, qui permet d’être alerté en cas d’intrusion dans la maison et même de visualiser en direct les images de son habitation. Toutefois, le revers de la médaille est que ces techniques doivent être utilisées avec prudence dans la mesure où elles peuvent être facilement détournées par des acteurs malveillants pour se transformer en véritable arme de cybercriminalité.

Dans le cadre de la conférence KubeCon 2016 les 10 et 16 mars à Londres, Matthew Garrett, Principal Security Engineer à CoreOS et ancien contributeur de la communauté Linux, a séjourné dans un hôtel de luxe. Là, il découvre que l’hôtel a remplacé les interrupteurs par une série de tablettes, l’une encastrée dans le mur et les autres à différents endroits avec des câbles Ethernet branchés dans le mur. À l’aide d’adaptateurs Ethernet USB, Matthew Garrett a pu mettre en place un pont transparent entre l’une des tablettes et le mur, puis y placer son PC. En utilisant TCPdump, un outil d’analyse réseau en ligne de commande très répandu chez les amateurs de sécurité de l’information et de routage réseau, Garrett a pu afficher le trafic alors que l’analyseur de paquets wireshark a également révélé que c'était Modbus over TCP. Modbus étant un protocole de communication assez trivial, et notamment n'ayant pas d’authentification, d’après le Principal Security Engineer de CoreOS.

TCPdump a montré que le trafic a été envoyé à l'IP 172.16.207.14. En utilisant pymodbus, l’implémentation Python du protocole Modbus, Garrett a commencé à contrôler ses lumières, éteindre et rallumer le téléviseur et même ouvrir et fermer mes rideaux. Il remarque ensuite que son numéro de chambre était le 714, drôle de coïncidence avec les trois derniers chiffres de l’IP avec laquelle il communiquait (172.16.207.14). Cette découverte permet à Garrett d’aller plus loin et découvrir qu’il peut interroger d’autres pièces de son étage pour savoir si les lumières étaient allumées ou non. L’ex-contributeur du noyau Linux estime que cela signifie qu’il pouvait aussi bien les contrôler, des recherches avaient déjà été publiées sur ce sujet. Il affirme encore qu’en créant des passerelles, il pourrait également accéder aux pièces des autres étages de l’hôtel.

Matthew Garrett n’est pas allé plus loin cependant et a signalé ce problème de sécurité aux responsables de l’hôtel qui selon lui, ont été réceptifs et ont promis de faire le nécessaire pour corriger le problème. Pour cette raison, il n’a pas non plus divulgué le nom de l’hôtel.

Source : Matthew Garrett

KeRanger, le premier ransomware pleinement fonctionnel sur OS X,
A infecté l'installateur du client Transmission BitTorrent
, par Stéphane le calme, Chroniqueur Actualités
« Le 4 mars, nous avons détecté que l'installateur du client Transmission BitTorrent pour OS X était infecté par un ransomware, seulement quelques heures après que ces installateurs avaient été publiés », ont indiqué les chercheurs de Palto Alto Networks qui l'ont baptisé KeRanger. Le seul ransomware sur OS X dont nous sommes au courant est FileCoder, découvert par Kaspersky Lab en 2014. « Puisque FileCoder était incomplet au moment de sa découverte, nous pensons que KeRanger est le premier ransomware complètement fonctionnel qui arrive sur la plateforme OS X », ont-ils poursuivi.

Typiquement, les ransomware chiffrent les données de la machine cible et exigent un paiement (la rançon) pour remettre la clé aux victimes afin qu'elles puissent récupérer leurs données. Les experts en sécurité évaluent les rançons à des centaines de millions de dollars par an, les cybercriminels frappant particulièrement des utilisateurs sur Windows.

Mais comment cela a-t-il pu se produire ? « Transmission est un projet open source » rappellent les chercheurs, qui estiment qu'il est possible que « le site web officiel de Transmission ait été compromis et que les fichiers aient été remplacés par des versions malveillantes recompilées ». Des suppositions puisque les chercheurs ont admis ne pas être en mesure de confirmer comment l'infection a eu lieu.

Quoi qu'il en soit, l'application KeRanger s'est vue signée avec un certificat de développement Mac valide et a donc été en mesure de contourner la protection Gatekeeper d'Apple. Le logiciel malveillant KeRanger est transmis avec la version 2.9 du logiciel BitTorrent Transmission qui est disponible depuis vendredi. La première fois qu'il s'exécute, KeRanger va créer trois fichiers, « .kernel_pid », « .kernel_time » et « .kernel_complete » dans ~/Library et va noter le temps actuel dans « kernel_time ». « Par la suite, il va entrer en veille pendant trois jours », préviennent les chercheurs. En clair, il va commencer à chiffrer les données des utilisateurs trois jours après sa première exécution ; pour ceux qui l'ont téléchargé vendredi, il devrait commencer à chiffrer les dossiers ce lundi. Les chercheurs précisent que dans d'autres échantillons, bien que le logiciel malveillant entre en veille pendant trois jours, il fait des requêtes au serveur C&C toutes les cinq minutes.


KeRanger entre en veille pendant trois jours avant de s'exécuter pleinement

Après avoir terminé le processus de chiffrement, le malware va demander à la victime de payer 1 bitcoin (environ 400 dollars vendredi) à une adresse spécifique. Les chercheurs notent également que le logiciel tente de chiffrer les restaurations système.

Le logiciel installe également un fichier nommé General.rtf, ce dernier va collecter le nom du modèle du Mac infecté ainsi que son UUID (Universally Unique IDentifier), des informations qui seront par la suite transmises à l'un de ses serveurs C&C. Ces serveurs ne sont accessibles que par le réseau Tor.

Pendant le processus de chiffrement, KeRanger crée une version du fichier chiffrée qui utilise l'extension .encrypted (exemple : le fichier monDocument.doc devient monDocument.doc.encrypted). Pour chiffrer les fichiers, KeRanger commence par générer un nombre aléatoire et chiffre ce nombre aléatoire avec une clé RSA envoyée par le serveur C&C. Une fois que c'est fait, le logiciel garde le nombre aléatoire dans le fichier résultant (le fichier avec l'extension .encrypted). Un vecteur d'initialisation sera généré en se servant du contenu original du fichier et lui aussi gardé dans le fichier résultant. Le nombre aléatoire et le vecteur d'initialisation seront mélangés pour servir de clé AES, clé qui sera utilisée sur le contenu des fichiers originaux.

Les chercheurs en ont déjà fait part à Apple qui s'est empressé de révoquer le certificat utilisé par l'application, mis à jour la liste des signatures de sa solution Xprotect. Transmission Project pour sa part a confirmé avoir enlevé hier l'installateur malveillant de son site. Il exhorte également les utilisateurs à effectuer la mise à jour vers la version 2.91 puis vers la version 2.92 de son logiciel (la version 2.91 ne supprimant pas automatiquement la version corrompue), qui est disponible sur son site, ou alors de supprimer la version malveillante. Il faut rappeler que Transmission est l'une des applications Mac les plus populaires qui est utilisée pour télécharger des vidéos, des photos, des audio via le réseau P2P.

Source : blog Palto Alto Networkssite Transmission BitTorrent

Se protéger c'est payant.....USA : l'hôpital victime de l'attaque par ransomware paye une rançon de 17 000 $ aux pirates
Pour reprendre le contrôle de son système informatique
 par Victor Vincent, Chroniqueur Actualités
L’hôpital qui a été victime d’une attaque au rançongiciel a finalement cédé face aux pirates et accepté le paiement de la rançon réclamée par les attaquants. La déclaration a été faite par le responsable de la structure qui affirme qu’une rançon de 17 000 $ a été payée aux pirates qui ont mis hors service le réseau de l’hôpital. La monnaie virtuelle bitcoin a été utilisée pour effectuer cette transaction, d’après le PDG du Hollywood Presbitian Medical Center. Allen Stefanek a déclaré que verser 40 bitcoins aux « ravisseurs » du réseau de l’hôpital était le moyen le plus rapide et le plus efficient de pouvoir reprendre le contrôle de leurs systèmes notamment ses fonctions administratives. Il ajoute que l’hôpital a cédé à la demande des attaquants dans le seul but de pouvoir reprendre le cours normal des opérations dans l’établissement.

L’hôpital avait aussi été victime d’une attaque au mois de février dernier. Son système informatique avait alors été infecté par un virus informatique qui a été maitrisé 10 jours plus tard. Cette dernière n’avait pas mis la vie des patients en danger et il n’y avait pas de preuve que des données concernant ces derniers avaient été violées, d’après une déclaration officielle de l’hôpital. Le porte-parole du FBI, Laura Eimiller, a déclaré que des investigations sont en cours sans pour autant donner plus de détails. 

Le paiement de cette rançon vient-il confirmer les résultats du rapport récent de la Cloud Security Alliance sponsorisé par Skyhigh Networks ? Ce rapport relevait le fait que 24,6 % des entreprises seraient disposées à payer une rançon à des hackers pour empêcher une cyberattaque et 14 % paieraient plus de 1 million $. L’auteur de ce rapport trouve qu’il « est choquant de constater que tant d'entreprises sont prêtes à payer, ne serait-ce qu’un seul centime d’une rançon, et accorderaient leur confiance aux pirates pour ne pas donner suite à une attaque ». D’après lui, il n'y a aucune garantie de réalisation et aucun moyen de revenir en arrière une fois que le paiement est effectué sachant que le pirate peut ne pas redonner l’accès aux données ou relancer une attaque par la suite. C’est de plus un bien mauvais signal à transmettre aux pirates, poursuit-il. C’est ce qui expliquerait, d’après le rapport que ces derniers sont de plus en plus confiants sur le fait qu'ils auront gain de cause, qu'ils peuvent exécuter leurs cyberattaques et que la plupart des entreprises préfèreront payer pour retourner au fonctionnement normal de leurs structures.

Source : Lettre d'Allen Stefanek, President & CEO d'Hollywood Presbyterian Medical Center

Publicité sur Internet : une entreprise de Fredericton découvre une fraude majeure

PAR Radio-Canada avec CBC

Un ordinateur et un câble Photo :  IS/iStockPhoto

Une entreprise de sécurité informatique a découvert un stratagème qui sert à escroquer des entreprises qui font de la publicité sur Internet.

L'entreprise Sentrant Security, basée à l'Université du Nouveau-Brunswick, a découvert de nombreuses applications dans le magasin Google Play qui font défiler des publicités invisibles et pour lesquelles des annonceurs légitimes reçoivent des factures.

Dans un communiqué, Sentrant Security explique que ce stratagème implique plus de 20 sociétés fictives et 247 applications qui ont fait l'objet de 500 000 installations sur des appareils utilisant le système d'exploitation Android.

Les malfaiteurs commettent la fraude en produisant du faux trafic dans le système de publicité numérique, explique Allen Dillon, directeur général de Sentrant Security.

Dans ce cas, le coût de la fraude est estimé à 250 000 $ par jour, mais le montant réel est beaucoup plus élevé, affirme M. Dillon, car la fraude est aussi commise par l'entremise d'autres fournisseurs de technologie.

Selon une étude menée par Sentrant Security en juin 2015, 42,3 % de toute la publicité numérique est liée à une fraude quelconque. L'argent volé aboutit entre les mains du crime organisé, souligne M. Dillon.

Selon Allen Dillon, le problème va s'accentuer dans les prochaines années. Il ajoute que les annonceurs ne sont pas les seules victimes, car leurs pertes entraînent des coûts plus élevés pour les consommateurs


Le cheval de Troie Metel a permis à des malfaiteurs de transformer leur carte de crédit ordinaire
En carte de crédit illimité
, par Stéphane le calme, Chroniqueur Actualités
Kaspersky a donné des détails sur Metel, le cheval de Troie qui comprend plus de 30 modules qui peuvent être adaptés pour infecter les ordinateurs cibles. L'un de ces modules phares permet d'annuler automatiquement une transaction faite dans un distributeur automatique peu après qu'elle ait été opérée, permettant aux malfaiteurs de retirer plusieurs fois de l'argent. Parce que le module Metel réinitialise le solde des cartes à plusieurs reprises, les malfaiteurs n'atteignent pas le seuil qui déclencherait normalement un blocage de la carte. Kaspesky a expliqué que l'année dernière, ce cheval de Troie a fait perdre à une banque russe gardée sous anonymat des millions de roubles en une seule nuit.

« En 2015, les criminels derrière Metel se sont attaqués aux banques, en particulier aux distributeurs automatiques. En combinant leur bon sens et une campagne malveillante, ces criminels ont transformé leur carte de crédit ordinaire en carte de crédit illimité. Imaginez un instant pouvoir imprimer de l'argent, mais en mieux », ont rappelé les chercheurs de Kaspersky.

Mais comment s'y sont-ils pris ? Les criminels ont successivement infecté des ordinateurs d'employés de banque soit par une technique d’hameçonnage en se servant de courriels contenant des fichiers exécutables malveillants, soit en se servant de vulnérabilités du navigateur. Une fois dans le réseau, ils se sont servis d'applications légitimes pour pirater d'autres ordinateurs jusqu'à ce qu'ils parviennent à atteindre le dispositif qu'ils cherchaient (celui qui avait accès aux transactions monétaires, comme ceux des opérateurs de centre d'appel ou de l'équipe de support). Aussi, les criminels pouvaient par la suite retirer autant d'argent qu'ils le voulaient, étant limités uniquement par le montant disponible dans le distributeur automatique à ce moment-là. 

« De ce que nous savons, la bande organisée est relativement petite et comporte dix personnes au maximum. Une partie de cette équipe parle le russe et nous n'avons détecté aucune infection en dehors des frontières russes. Les cybercriminels sont encore actifs et recherchent de nouvelles victimes », ont avancé les chercheurs.

Un exemple qui vient illustrer combien les attaques contre les banques deviennent de plus en plus sophistiquées au fil du temps. D'ailleurs les chercheurs ont donné deux autres illustrations de cette observation :

  • « les criminels du groupe GCMAN sont passés par des opérations similaires sauf que, au lieu de voler des distributeurs automatiques de billets, ils ont opté pour transférer de l'argent dans des services de devises électroniques  », expliquent les chercheurs. Pour pénétrer le réseau, ils se servent des techniques traditionnelles d’hameçonnage (un courriel avec un objet malicieux attaché). Ils ciblent les dispositifs du côté de la comptabilité ou des ressources humaines et attendent que l'administrateur système se connecte au système. « Par la suite, les membres du GCMAN traversent littéralement le réseau de la banque jusqu'à ce qu'ils trouvent un dispositif, qui sera utilisé pour transférer silencieusement de l'argent dans différents services de devises électroniques. Dans certaines entreprises, les criminels l'ont même fait avec l'aide de logiciels légitimes ainsi que des outils de tests de pénétration comme VNC et Meterpreter ».

    Ces transactions ont été faites à partir script Cron qui a automatiquement transféré de petites sommes toutes les minutes à hauteur de 200 dollars à chaque fois, ce montant représentant la limite supérieure des montants de transactions financières anonymes en Russie. Les chercheurs estiment que le groupe est constitué au maximum de deux personnes qui parlent russe ;

  • le logiciel malveillant Carbanak dans sa forme évoluée : ici, lorsqu'un ordinateur est infecté, les criminels cherchent à avoir accès au compte de l'administrateur système pour voler les identifiants afin de pirater le domaine, voler de l'argent des comptes bancaires et parfois changer les données relatives au propriétaire de l'entreprise.


Les chercheurs précisent que ces trois bandes organisées sont encore en activité et auraient infecté près de 29 entreprises en Russie. Ils ont également expliqué aux administrateurs comment les attaques par hameçonnage fonctionnent et comment les éviter, pourquoi il est nécessaire de faire des mises à jour logicielles, mais également des astuces pour se protéger des chevaux de Troie.

Source : Kaspersky

Rapport annuel de Cisco sur la sécurité :
Les faits marquants de l'édition 2016
par Victor Vincent, Chroniqueur Actualités
Selon le rapport annuel de 2016 sur la sécurité de Cisco, les entreprises doivent faire face à une industrialisation des attaques orchestrées par des cybercriminels organisés et dont le but est de ne pas être détectés par les solutions de sécurité pour exfiltrer les données de l’entreprise ciblée. Ce rapport qui donne les tendances sur les menaces et la cybersécurité, révèle que 54 % des entreprises sont confiantes dans leur capacité à détecter une attaque, 54 % également dans leur capacité à se défendre pendant une attaque et 45 % dans leur capacité à évaluer l’ampleur d’une attaque et à y remédier. 

L’étude Cisco a été menée auprès de 2400 professionnels de la sécurité répartis dans des entreprises de toutes tailles dans 12 pays du monde. Le rapport a mis en évidence quelques points parmi les plus marquants de l’année qui vient de s’écouler en terme de sécurité. 

  • Des ransomwares fructueux : les cybercriminels concentrent de plus en plus leurs attaques vers des cibles identifiées dans le but de leur soutirer de l’argent. En outre, les attaques menées via des ransomwares ont déjà permis aux cybercriminels d’exfiltrer jusqu’à 34 millions de dollars par an et par campagne.
  • Des serveurs compromis : les cybercriminels s’appuient désormais sur des serveurs compromis pour lancer leurs attaques. Ainsi, le nombre de domaines WordPress utilisés pour des attaques par des hackers a grimpé de 221 % entre février et octobre 2015. 
  • Fuite de données depuis les navigateurs : bien qu’elles soient souvent considérées par les équipes de sécurité comme des menaces de faible importance, les extensions de navigateurs malveillantes sont une source majeure de fuites de données, en affectant plus de 85 % des entreprises. L’adware ou le malvertising touche particulièrement les sites qui ne maintiennent pas à jour leurs logiciels. 
  • DNS : près de 92 % des malwares connus ont la capacité d’exploiter les DNS. Ces derniers sont régulièrement les grands oubliés de la sécurité, dans la mesure où les équipes de sécurité IT et les experts DNS travaillent dans différents groupes et échangent peu.
  • Une communication limitée : lors d’une attaque, 21 % des entreprises informent leurs partenaires, 18 % les autorités et 15 % leur compagnie d’assurance.
  • Infrastructures vieillissantes : entre 2014 et 2015, le nombre d’entreprises qui affirment que leur infrastructure de sécurité est à jour a chuté de 10 %. L’étude montre que 92 % des outils connectés à Internet sont vulnérables aux failles connues. 31 % des outils analysés ne sont, quant à eux, plus pris en charge au niveau de la sécurité ni maintenus par les constructeurs. 
  • Les TPE/PME sont de potentiels maillons faibles : entre 2014 et 2015, le nombre de TPE/PME qui utilisent des solutions de sécurité a reculé de plus de 10 %, induisant des risques potentiels pour les grands comptes. 
  • L’outsourcing a le vent en poupe : dans le but de remédier à la pénurie de spécialistes, les entreprises trouvent dans l’outsourcing un véritable levier capable d’améliorer leur arsenal de sécurité, y compris pour les missions de consulting, d’audits de sécurité et les prestations de réponse sur incident. Les TPE/PME, souvent moins bien structurées en ce qui concerne la sécurisation, tentent d’améliorer leurs défenses en faisant appel à des prestations extérieures. Celles-ci sont en hausse de 23 % en 2015, contre +14 % en 2014.
  • La rapidité de détection augmente : le temps de détection (TDD) acceptable d’une attaque se situe entre 100 et 200 jours. Depuis la publication du Middle Security Report de Cisco en août dernier, Cisco a réduit son TDD de 46 à 17,5 heures. Réduire ce temps de détection permet de minimiser les dommages causés par une attaque, mais aussi les risques et les impacts tant sur les infrastructures que sur les clients.

« Dans un contexte où chaque entreprise peut être la cible d’une cyberattaque, les professionnels de la sécurité travaillent quotidiennement pour résoudre les défis en matière de sécurité qui peuvent entraver leur capacité à détecter l’attaque, en limiter l’impact et récupérer les données compromises » explique Christophe Jolly, Directeur Sécurité Cisco France. Il ajoute que « face à des cybercriminels organisés, les dirigeants et les directeurs métier doivent prendre conscience de la réalité de la menace et s’impliquer auprès du RSSI pour mieux sécuriser l’ensemble des données de l’entreprise qui sont de plus en plus facilement partagées au-delà du périmètre de l’entreprise ».

Source : cisco.com

Pour la nouvelle année, les kits d'exploit reprennent du service
Avec une augmentation substantielle dans les activités de Neutrino, RIG et Angler
Le , par Stéphane le calme, Chroniqueur Actualités
L’équipe d’Heimdal Security, un fournisseur de solutions de sécurité, a avancé « il semblerait que les cyber criminels se sont bien reposés et sont de retour de congés, parce que notre équipe a repéré une augmentation substantielle dans les activités des kits d'exploit Neutrino, RIG et Angler ».

Neutrino par exemple, propage désormais des rançongiciels de la classe Kovter qui exploite la navigation internet de ses victimes potentielles pour mieux les piéger : il y repère des sites pornographiques qui seront ensuite mis en avant dans la fausse page d'amende. Pour forcer les victimes à croire qu’ils ont violé les lois de leur pays et devraient donc payer une amende (de 100 euros en général), il va rediriger les utilisateurs d’ordinateur vers des sites réels de pornographie enfantine. Neutrino répand également des rançongiciels de la famille Cryptolocker2.

« Cette nouvelle campagne s'est également accompagnée d'astuces subrepticement ajoutées : l'empoisonnement Google Blackhat SEO et une attention immédiate portée aux vulnérabilités de Flash Player comme vecteur de distribution ». Pour rappel, un empoisonnement SEO est une méthode d'attaque consistant à créer des sites web malveillants et d'utiliser des techniques d'optimisation pour influencer le référencement sur les résultats d'un moteur de recherche. En général, ces sites sont associés à des termes qu'un grand nombre de personnes est susceptible d'utiliser comme des expressions relatives à des fêtes, des nouveaux gadgets à la mode ou des vidéos virales.

« Durant cette campagne, du code malveillant a été injecté dans des sites web légitimes. Aussi, lorsque les visiteurs arrivent sur ces sites, la victime est envoyée vers une sélection de domaines dédiés qui se connectent à une série de nouveaux serveurs contrôlés par les attaquants. Ces nouveaux serveurs sont également la source de la charge utile pour amorcer l'infection ». Les chercheurs ont noté la capacité limitée des détections antivirus à déceler la charge utile. La troisième version du kit d'exploit RIG exploite désormais de façon systématique des vulnérabilités dans des applications tierces parties populaires comme dobe Flash, Adobe Reader, Adobe Acrobat et Silverlight afin d'installer des logiciels malveillants sur des ordinateurs tournants sur des versions de Windows qui ne sont pas mises à jour en termes de sécurité. Le kit va se servir d'un empoisonnement Google Blackhat SEO. Parmi les expressions clés de sa campagne figurent « enlever arbre de Noël », « ce qui veut dire qu'en effectuant une simple recherche Google sur comment facilement enlever un arbre de Noël, un utilisateur peut obtenir un résultat qui pointe vers un essaim de sites web compromis où un code malicieux est injecté ». Les chercheurs expliquent que la version 3 du kit d'exploit RIG affiche un taux de succès de 56 % sur les ordinateurs tournant sur Windows 7 avec Internet Explorer 9. Le problème de sécurité vient principalement d'Adobe Flash Player, notamment de ses vulnérabilités CVE-2015-5119 et CVE-2015-5122 qui affichent toutes les deux la note maximale de sévérité (10).


Les découvertes de Palo Alto Networks corroborent cette thèse dans la mesure où :

  • plus de 90 000 sites web compromis l'ont été à la suite d'une opération lancée avec le kit d'exploit Angler. Parmi eux en figurent 30 qui font partie de la liste des 100 000 sites les plus visités d'après le classement Alexa ;
  • l'équipe a découvert une opération hautement organisée qui met à jour périodiquement le contenu malveillant sur l'ensemble des sites Web compromis ainsi que et tous les sites des kits d'exploit dans le même temps. Cela indique un canal sophistiqué et persistant de commande et de contrôle entre les attaquants et les sites Web compromis ;
  • l'équipe a découvert un contrôle fin sur la distribution du contenu malveillant : ce qui signifie que les scripts injectés peuvent rester invisibles pendant des jours pour éviter la détection et les sites compromis peuvent choisir de viser uniquement certaines plages d'adresses IP de victimes ainsi que certaines configurations. Ce qui a conduit à un faible taux de détection par les scanners utilisés par VirusTotal. Même des semaines après notre découverte initiale, la plupart des sites compromis que nous avons trouvés n'étaient pas répertoriés dans VirusTotal.



Sur l'ensemble des kits d'exploit, Angler a été le plus utilisé et a été déployé sur 30 % des sites web compromis. Angler est également le kit d'exploit le plus avancé techniquement, fournissant un support pour divers spectres d'infection et embarquant une panoplie variée de techniques de camouflage face aux détections antivirus. D'ailleurs, à ce propos, une étude de Cisco soulignait que ce kit d'exploit a gagné en puissance en 2013 notamment suite à l’arrestation des créateurs du kit d’exploit Blackhole qui a permis de libérer une place de choix, mais également grâce à l’avènement des ransomwares comme CryptoLocker. 

Source : Heimdal Security, Palto Alto Network


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessus

eBay colmate une faille sur son site qui aurait permis à des attaquants
de subtiliser des identifiants d'utilisateurs
Le , par Stéphane le calme, Chroniqueur Actualités
Un bogue critique sur le site d’eBay pouvait permettre à des personnes malveillantes de créer de fausses pages de connexion pour récolter des mots de passe et des identifiants des utilisateurs du service de ventes aux enchères en ligne.

C’est un chercheur en sécurité indépendant qui a trouvé la faille au début du mois de décembre qui explique avoir alerté l’entreprise le vendredi 11 décembre. Après avoir donné une première réponse au chercheur le jour suivant pour lui demander plus d'informations sur la faille, eBay a cessé de répondre à ses courriels et a finalement décidé de colmater la faille la semaine dernière.

Le chercheur, qui se fait appeler MLT, a expliqué que n’importe qui aurait pu profiter du bogue de type XSS pour cibler des utilisateurs du service et récolter leurs identifiants en se servant d’une technique d’hameçonnage. Dans le billet où il a expliqué comment le bogue aurait pu être utilisé, il a noté que « la vulnérabilité est désormais colmatée, mais il devrait être souligné que j’ai attendu un mois sans avoir de réponse de la part d’eBay et qu’ils se sont précipités pour colmater la brèche uniquement après que les médias les aient contactés sur le sujet ». 

Il a d’abord expliqué les étapes pour mettre sur pied une authentique page de phishing avant de montrer avec quelle facilité cela était applicable sur eBay ; obtenir une copie de la page d’identification d’eBay (qui peut être fait via un logiciel qui fait des miroirs de sites web pour automatiser le processus), après quoi il suffisait de modifier les entrées du formulaire de la page (le formulaire de connexion) pour envoyer les données à votre script PHP à la place du script de connexion d’eBay. La vidéo ci-dessous est une preuve du concept :


« Ils n’ont vraiment aucune excuse d’avoir laissé leur domaine principal être vulnérable à XSS », a-t-il confié lors d’un entretien qui a eu lieu avant que la faille n’ait été colmatée. « Nous sommes en 2016, nous avons de nombreuses technologies mises en place pour prévenir les attaques XSS. (…) De nombreux sites ont eu des vulnérabilités XSS par le passé, à l’instar de Facebook.com. Mais trouver une faille XSS sur Facebook maintenant sera une tâche extrêmement difficile parce qu’ils ont mis les mesures de sécurité appropriées en place. [Je ne sais pas] pourquoi eBay ne peut pas faire la même chose ». « Ils ne devraient JAMAIS permettre à quiconque d’effectuer des redirections vers JavaScript de la sorte », a-t-il ajouté.

Ryan Moore, un porte-parole d'eBay, a déclaré la semaine dernière que la compagnie est « engagée à fournir un marché sûr et sécuritaire pour nos millions de clients à travers le monde», et qu'ils travaillaient « rapidement » pour les fixer. Moore a expliqué qu'il y avait « un problème de communication » parce MLT « a fait suivre son rapport de bogue initial en se servant d’un alias différent pour ses courriels ».

En 2014, Jaanus Kääp, un chercheur qui se trouve en Estonie, a découvert une vulnérabilité du même type (XSS) et a fait parvenir à eBay des courriels et en avril 2015 eBay n’avait toujours pas fourni de correctif. Selon la description qu’il a faite sur son blog, le bogue pourrait permettre à un attaquant de lancer une attaque XSS sur le système de messagerie interne d’eBay en interceptant et en modifiant une requête. Kääp a indiqué que la vulnérabilité pouvait s’avérer avoir une portée importante pour les attaques ciblées dans la mesure où les sessions cookies dans eBay n’étaient pas HTTPOnly, ce qui aurait pu aider à mitiger les attaques puisqu’un cookie de ce type a la particularité d’être accessible seulement via HTTP(s), l’accès à cet élément est restreint à tous les non HTTP-API comme JavaScript. Les cookies HTTPOnly sont généralement utilisés pour conserver les informations d’authentification afin de protéger ces dernières contre les attaques XSS.

2016 Année de la sécurisation pour tous les systèmes d'exploitations!
Ransom32 : le premier ransomware JavaScript
Il est capable de s'exécuter sur Windows, Linux et Mac OS X
Le , par Michael Guilloux, Chroniqueur Actualités
Ransom32 est une nouvelle famille de ransomwares découverte par des chercheurs de la firme de sécurité Emsisoft. Annoncé comme le tout premier de son genre à utiliser JavaScript pour son code source, ce demandeur de rançon a été codé via le framework NW.js, anciennement appelé Node-WebKit. 

NW.js permet aux développeurs de créer des applications de bureau pour Windows, Linux et Mac OS X à l’aide de JavaScript. Il est basé sur les projets Node.js et Chromium et utilise une version allégée de WebKit, le moteur de rendu utilisé dans Chrome, Safari et Opera. Si les navigateurs limitent l’interaction du code JavaScript avec le système d’exploitation sous-jacent, une des particularités de la plateforme NW.js est qu’elle supprime ces limites et offre ainsi aux développeurs beaucoup plus de contrôle et d’interaction avec le système d’exploitation. Si une application NW.js n'a besoin d’être écrite qu’une fois pour être immédiatement utilisable sur Windows, Linux et Mac OS X, pour l’heure, seuls les PC Windows semblent avoir été infectés par le ransomware. 

Comme de nombreuses menaces, Ransom32 est généralement distribué via des campagnes de spam. Le fichier malveillant est dès lors joint à des courriels mentionnant des factures impayées ou des notifications de livraison entre autres. Le malware fonctionne comme un Ransomware as a Service (RaaS) et est distribué par des acteurs intermédiaires qui s’abonnement sur une plateforme gérée dans le réseau Tor. Ce service permet à n’importe quel amateur de distribuer la menace après avoir configuré sa propre version personnalisée du ransomware. Tout ce qu’il faut pour s’inscrire et devenir distributeur, c’est de fournir une adresse Bitcoin sur laquelle les fonds générés doivent être versés. Après chaque paiement effectué par une victime, les fonds sont transférés sur le compte des auteurs du malware. Ces derniers récupèrent dès lors une commission de 25 % avant de reverser le reste de l’argent aux distributeurs.

À l’inscription, les futurs distributeurs du ransomware accèdent à une page d’administration où ils pourront effectuer quelques configurations. Cette page livre diverses statistiques, comme le nombre de personnes qui ont déjà payé ou le nombre de systèmes qui ont été infectés. Là, ces derniers pourront configurer le malware (verrouiller complètement l’ordinateur, faible utilisation du CPU, etc.), mais aussi définir le nombre de bitcoins à payer par la victime. Une fois cette phase terminée, ils peuvent alors télécharger leur ransomware qui a une taille remarquable de 22 Mo.


Si en général, la taille de ces logiciels malveillants n’excède pas 1 Mo, ce cas atypique ici ne signifie pas pour autant qu’il s’agit de l’œuvre d’un amateur, précise Fabian Wosar de la firme de sécurité. Ce dernier loue plutôt la qualité du chiffrement utilisé par Ransom32, qu’il compare au CryptoLocker original. Si Fabian a pu « casser » de nombreuses familles de ransomware dans le passé, il dit que cette nouvelle variante est actuellement indéchiffrable.

En ce qui concerne la charge utile du ransomware, il s’agit d’une archive WinRAR auto-extractible qui contient apparemment tout ce qu’il faut pour aider le malware à compromettre l’ordinateur de l’utilisateur. L’archive contient une copie de l’accord de licence GPL, mais aussi un fichier « Chrome.exe » qui est en fait une application NW.js packagée. Cette application contient le code malveillant ainsi que le framework nécessaire pour faire fonctionner le logiciel malveillant. Ce qui signifie que Ransom32 ne compte sur aucun framework existant sur la machine de l’utilisateur. Entre autres fichiers, on trouve dans l’archive un petit script qui énumère, et supprime tous les fichiers et dossiers dans un répertoire donné. Le fichier WinRAR comprend aussi les informations relatives à la configuration du malware.

Une fois que Ransom32 est exécuté, il extrait donc tous ces fichiers dans le dossier de fichiers temporaires et crée un raccourci dans un dossier Démarrage de l’utilisateur pour s’assurer que le malware soit exécuté à chaque démarrage. Il peut alors commencer à chiffrer les fichiers de l’utilisateur et il est demandé à la victime de payer une rançon dans un délai au risque de voir la rançon augmenter ou la clé de déchiffrement détruite. 


Lors du chiffrement des fichiers de l’utilisateur, une large variété d’extensions est ciblée, mais des fichiers dans certains répertoires peuvent toutefois être ignorés. Il s’agit de ceux qui sont situés dans un répertoire qui contient l’une des chaînes :\windows\, :\winnt\, programdata\, boot\, temp\, tmp\ et $recycle.bin\. Plus de détails techniques sont fournis sur le blog de la firme de sécurité.

Source : Blog Emsisoft

Juniper découvre une backdoor dans ses équipements réseau

Par  - Source: Tom's Hardware FR

Le constructeur américain de matériel réseau et de sécurité Juniper, l’un des principaux sur le marché mondial, vient de publier un bulletin de sécurité (CVE-2015-7755) concernant deux failles découvertes à l’occasion d’un audit interne.

Selon le constructeur, une backdoor (« porte dérobée ») aurait été introduite dans le système d’exploitation ScreenOS utilisé par un certain nombre de ses produits et plateformes, en particulier ses boîtiers pare-feu NetScreen. Les versions 6.2.0r15 à 6.2.0r18 et 6.3.0r12 à 6.3.0r20 de ScreenOS sont concernées. En pratique, la première faille permet à un attaquant d’obtenir à distance les droits d’administration, via telnet ou SSH. Les fichiers journaux montrent alors l’utilisateur authentifié comme « system ». La seconde faille autorise un attaquant à surveiller le trafic d’un VPN, et d’en déchiffrer le contenu.

Il est intéressant de noter ces deux failles critiques, introduites directement dans le code source du système d’exploitation des appareils de Juniper, existent depuis de nombreux mois et auront probablement permis à certaines personnes (qui a dis « NSA » ?) d’écouter en tout discrétion ce qui transitait par ces appareils. Juniper a bien entendu corrigé ces deux failles dans la dernière version de ScreenOS et encourage grandement ses clients à mettre à jour le firmware de leurs appareils.

 


MacKeeper : Les données de 13 millions de clients étaient accessibles

16 décembre 2015 - Aucun commentaire - Classé dans : Réseau & Sécurité

mackeeper-alerte


Kromtech, l’éditeur de la solution de sécurité MacKeeper a été pointé du doigt par un chercheur en sécurité ayant découvert qu’un accès à une base de données contenant 13 millions de clients était exposée à un accès extérieur. La faille a été rapidement corrigée après l’alerte.

MacKeeper est probablement l’un des antivirus les plus connus pour les utilisateurs de Mac, mais pas toujours pour de bonnes raisons (publicités agressives, signalement de problèmes ne pouvant être réparés que par la version payante, etc, …). Il s’agit indéniablement d’un marché assez spécifique dans la mesure où les menaces contre OS X ne sont pas encore aussi nombreuses que Windows, mais néanmoins en constante augmentation.

Un chercheur en sécurité lance l’alerte

Comme tous les éditeurs proposant des produits commerciaux, Kromtech dispose d’une base de données contenant les traces des achats de ses clients. Or, il s’avère que cette base de données était potentiellement accessible depuis l’extérieur, comme a pu le démontrer le chercheur en sécurité Chris Vickery, qui indique être tombé dessus « par hasard » en cherchant, dans le moteur spécialisé Shodan, des objets connectés reliés à Internet, en scannant des plages d’adresses IP.

mackeeper-proof

Ce dernier a donc atterrie chez Kromtech, et a pu facilement établir une connexion à une base de données créée sous MongoDB et contenant pas moins de 13 millions de références clients, contenant les noms, adresses mail, noms d’utilisateurs, mots de passe hachés (MD5 sans salt ?), adresses IP, numéros de téléphone, renseignements techniques sur la machine faisant fonctionner MacKeeper, informations sur les licences et codes d’activation. Au total, 21 Go de données étaient présentes.

Tout se fini bien pour MacKeeper

La base de données contenait donc des informations critiques mais ne réclamait aucun identifiant de connexion. Kromtech a été rapidement averti et la réaction ne s’est pas faite attendre et la base a été sécurisée. Après analyse interne, l’éditeur de MacKeeper indique que les clients ne sont pas en danger étant donné que la connexion de Chris Vickery semble être la seule à être venue de l’extérieur et que les informations bancaires sont stockées ailleurs, dans un endroit non accessible depuis Internet. Ouf !

La société indique ainsi dans un communiqué :

« Nous sommes reconnaissants envers le chercheur en sécurité Chris Vickery, qui a identifié le problème sans révéler d’informations techniques de manière publique. Nous avons corrigé l’erreur dans les heures qui ont suivi la découverte. Notre analyse du système de stockage des données montre qu’un seul individu a obtenu l’accès, le chercheur lui-même. Nous avons été en contact avec Chris et il n’a pas partagé ou utilisé ces données de manière inappropriée ».

 

Source : NextInpact


MUJI : observations d’une victime collatérale d’une attaque informatique

Par 

 publié le 4 décembre 2015 à 14 h 37

muji 540

On a volé mon nom, mon adresse, mon numéro de carte de crédit, sa date d’expiration et son code de sécurité. C’est ce que MUJI, une enseigne de magasins japonais victime d’une longue attaque informatique pendant la première moitié de 2015, m’a appris dans une lettre reçue cette semaine. Voici quelques observations sur une situation malheureusement beaucoup trop fréquente.

La lettre reçue par la poste et signée par le président de la branche américaine de la compagnie donne peu de détails par rapport à l’attaque elle-même. MUJI nous informe seulement que les informations sur les cartes de crédit ont été obtenues par une « tierce partie », qui aurait utilisé un logiciel malveillant pour s’attaquer aux serveurs de l’entreprise.

On apprend aussi que les attaques se sont déroulées de janvier à juillet 2015, et que MUJI a ensuite fermé son site transactionnel, le temps de faire une enquête, qui vient tout juste de se conclure. Les achats sur le site n’ont toutefois toujours pas été réactivés.

Une attaque de six mois, c’est long, mais ce n’est pas surprenant
Ce qui frappe le plus dans cette histoire, c’est la durée de l’attaque, qui s’est déroulée du 22 janvier au 20 juillet 2015.

« Moi, je trouve ça excessivement long. Mais est-ce normal? Malheureusement, oui, car les gens ne s’occupent pas de la sécurité », se désole Patrick Boucher, président de l’entreprise spécialisée dans le domaine de la sécurité des TI Gardien Virtuel, avec qui je me suis entretenu sur le sujet.

« Si tu rentres chez toi et que tes meubles ont changé de place, tu vas t’en rendre compte, car tu connais l’état normal de ta maison. Il faudrait que ce soit la même chose pour les entreprises. Mais trop souvent, elles ne surveillent pas leur réseau », ajoute-t-il.

Ce qui explique comment un pirate a pu installer un logiciel et espionner chaque transaction effectuée sur le site pendant près de six mois.

Une réponse en apparence correcteS’il paraît évident que la situation était loin d’être parfaite à MUJI avant l’attaque, est-ce que l’entreprise a au moins bien géré les choses par la suite?

Il est difficile de porter un jugement sans connaître tous les détails de l’histoire, mais il semble que ce soit le cas, estime Patrick Boucher. « Beaucoup d’entreprises, quand elles ont un problème, essaient de le balayer sous le tapis. Elles attendent de ne plus avoir le choix avant de l’annoncer, et même là, elles continuent de faire des affaires en se disant que les consommateurs ne lisent pas les nouvelles », explique le fondateur de Gardien Virtuel.

Ici, MUJI semble avoir patienté quelques jours avant de fermer son site après avoir colmaté temporairement la brèche, mais le fait de l’avoir complètement fermé par la suite montre une certaine volonté de bien faire (ou que la situation était particulièrement difficile à corriger).

Et qu’en est-il de la lettre d’avertissement et de l’abonnement à Equifax? Pour la lettre, ceux-ci sont tenus par la loi d’informer leurs clients, il n’y a donc ici rien d’exceptionnel. Pour l’abonnement, Patrick Boucher estime que « c’est gentil, mais c’est aussi normal. Ça fait partie des bonnes pratiques ».

Détail intéressant, par contre, la lettre est adaptée aux victimes canadiennes, avec notamment des indications sur ce qu’il faut faire au Canada en cas de doute de fraude. L’entreprise japonaise indique aussi les coordonnées de la Commission d’accès à l’information du Québec, en ajoutant qu’il est possible de les contacter pour « en savoir plus à propos de vos droits, y compris le droit de déposer une plainte ».

Un coût énorme pour l’entreprise
L’effet de l’attaque sera toutefois beaucoup plus grand sur l’entreprise elle-même.

Le forfait annuel d’Equifax, pour notamment surveiller de plus près s’il y a un changement à son crédit, vaut à lui seul plus de 200 $. Combien de milliers de personnes ont acheté au MUJI de janvier à juillet? MUJI peut avoir obtenu un rabais, mais la facture peut, dans tous les cas, monter rapidement.

L’entreprise a aussi probablement déboursé dans les dizaines ou centaines de milliers de dollars pour la création d’un rapport par une firme de sécurité informatique, et la fermeture de son site transactionnel depuis quatre mois entraîne aussi une baisse importante de ses revenus.

Comment les entreprises en général peuvent-elles éviter des attaques du genre? Une bonne façon de prévenir le problème est avant tout d’embaucher un chef de la sécurité, juge Patrick Boucher. « Trop souvent, personne n’est directement responsable de la sécurité », remarque le président de Gardien Virtuel.

Pour ce dernier, un chef de la sécurité peut, comme tout autre employé, avoir des indicateurs de performance, le forçant notamment à adopter des pratiques plus sécuritaires.

Un chef de la sécurité n’empêchera pas magiquement la prochaine attaque, mais son embauche est certainement un pas dans la bonne direction pour éviter une future crise.


Sécurité


 Encore et encore des cyberattaques! Responsabiliser les entreprises sur la protection de leurs 'data'. La sécurisation des données la priorité des entreprises en 2016!    par:FIMGO

Piratage de VTech : plus de cinq millions de comptes atteints et leurs données exposées sur internet
Parmi lesquelles des photos et des messages
Le , par Victor Vincent, Chroniqueur Actualités
Le célèbre fabricant de jouets VTech (basé à Hong-Kong) a subi un piratage d’envergure, exposant ainsi massivement les données personnelles et notamment les mots de passe de parents et enfants à travers le monde. Les premiers chiffres, non officialisés, parlent de près de 4,8 millions de personnes/comptes exposés. Ce piratage est une violation de sécurité massive qui implique des enfants mineurs. Mais il illustre également et surtout la problématique majeure de la sécurité des objets connectés et notamment deux points importants qui pourraient avoir des conséquences importantes dans le futur alors que l’Internet des objets se développe très rapidement.

Le premier point est qu’il faut avoir un compte pour tous ses objets connectés. Aujourd'hui, de plus en plus d’objets sont connectés à Internet ou contrôlés via Internet, mais pour les utilisateurs, il n’est tout simplement pas possible de créer un nouveau compte utilisateur personnel pour chacun de ces objets, qu’ils soient des objets de la vie courante ou des jouets pour leurs enfants. Comme sur ces produits connectés VTech, les parents n’ont tout simplement pas envie de créer un compte simplement pour mettre à jour chaque jouet de leur enfant, tout comme ils n’ont pas envie de créer un compte utilisateur pour se servir de leur grille-pain. Et le problème est que lorsque vous avez des dizaines, voire dans l’avenir des centaines de comptes différents, cela signifie que vous avez potentiellement des dizaines, voire des centaines d’endroits par lesquels vous pouvez vous faire subtiliser vos identifiants. Dès lors que notre monde devient inexorablement de plus en plus connecté, il devient de plus en plus important de mettre en place des services d’ouverture de session unique (Single Sign-On) ou de gestionnaires de mots de passe qui évitent la réutilisation des mots de passe.

La seconde chose est que les coûts de fabrication priment toujours sur la sécurité. Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public, qui plus est dans le secteur des jeux pour enfants, hyper concurrentiel et où l’innovation et la saisonnalité sont primordiales. Un expert Cybersécurité américain a réalisé une excellente analyse de ce piratage de VTech révélant ainsi de nombreux problèmes de sécurité basiques existant sur ce type de terminaux connectés. Le constat est clair, et il est vrai aussi pour la très grande majorité des objets connectés, la sécurité n’est tout simplement pas une priorité. Les développements doivent se faire rapidement, les coûts doivent être les plus bas possible, l’expérience utilisateur doit être rapide, facile et agréable, et personne ne veut se compliquer la tâche avec des problèmes de sécurité complexes après avoir déballé un cadeau. Ceci n’est pas une fatalité et il faut espérer que les choses vont changer, ce type de piratage d’envergure participe à la sensibilisation du public et des fabricants. Les fabricants doivent réaliser que ce qu’ils fabriquent ne sont pas simplement des jouets, ce sont des objets connectés à Internet avec des caméras qui sont mis entre les mains d’enfants. Cela impose de prendre de vraies mesures de sécurité. Les utilisateurs, quant à eux, doivent garder à l’esprit qu’à l’heure actuelle le niveau de sécurité de ces objets connectés est bas et doivent se questionner sur les données qui peuvent les rendre vulnérables et celles qu’ils doivent absolument préserver.

Source : BBC

Publié le 23 novembre 2015 à 13h11 | Mis à jour le 23 novembre 2015 à 22h15

 

Cybercrime: des pertes de 2 milliards $ au Canada

Avant le jugement de la Cour suprême, il... (Photothèque La Presse)

Agrandir

Avant le jugement de la Cour suprême, il fallait une heure à la police pour demander à une entreprise de télécommunications de donner accès, volontairement, à des renseignements sur des abonnés, et ils obtenaient une réponse le même jour, soutiennent les chefs de police. Aujourd'hui, cette procédure peut prendre jusqu'à un mois, déplorent-ils.

YVES THERRIEN
Le Soleil

(Québec) La confiance des consommateurs a été ébranlée en 2014 par le nombre de brèches élevé quant à la sécurité des informations personnelles. Ces brèches ont causé des pertes frôlant les 2 milliards $ au Canada.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



C'est ce que révèle le rapport Norton de Symantec publié lundi matin.

Au total, 86 % des Canadiens pensent être deux fois plus susceptibles de se faire voler leurs cartes de crédit dans le milieu virtuel que de leurs poches. Dans l'ensemble des pays sondés, 62 % des consommateurs croient que le vol des renseignements relatifs à leurs cartes de crédit est plutôt probable.

«Au Canada, plus de 7 millions de personnes ont été victimes de la cybercriminalité au cours de la dernière année; 7 personnes sur 10 pensent que le vol d'identité n'a jamais été plus probable que maintenant», indique le rapport sur la cybersécurité.

 

Selon Fran Rosch, vice-président directeur de Norton by Symantec, les «conclusions démontrent que les manchettes des journaux ont ébranlé la confiance des gens envers l'activité mobile et en ligne, mais la menace de la cybercriminalité n'a pas donné lieu à l'adoption généralisée des mesures de protection simples de protection des appareils et de la sécurité en ligne».

Comportements

Le rapport note aussi que les baby-boomers «démontrent des comportements en ligne plus sûrs que les membres de la génération du millénaire. Ces derniers, nés dans l'ère numérique, oublient souvent la prudence, déclarant dans une proportion de 35 % avoir déjà partagé leurs mots de passe ou adopté un comportement risqué dans le milieu virtuel».

Dans les 17 pays sondés, les consommateurs ont perdu en moyenne 21 heures dans la dernière année pour trouver des solutions à des problèmes de cybercriminalité. Le rapport note que les répercussions représentent un montant d'environ 358 $ en perte par personne pour un total de 150 milliards $. Au Canada, les pertes frôlent les 2 milliards $.

Parmi les vulnérabilités constatées dans cette enquête, on note que plus d'un Canadien sur quatre n'utilise pas un mot de passe pour accéder à son appareil mobile ou fixe. Pire, 24 % des Canadiens qui utilisent des mots de passe les ont partagés avec d'autres personnes. Il s'agit même des mots de passe de compte bancaire ou de compte de courriel personnel.


Publié le 20 novembre 2015 à 10h21 | Mis à jour le 20 novembre 2015 à 10h21

Cyberattaque: vol de données de clients des hôtels Starwood

Outre les marques Sheraton et W, Starwood exploite... (PHOTO TOBY MELVILLE, ARCHIVES REUTERS)

Agrandir

Outre les marques Sheraton et W, Starwood exploite notamment le St Regis, le Westin et Le Méridien.

PHOTO TOBY MELVILLE, ARCHIVES REUTERS

PARTAGE

Partager par courriel
Taille de police
Imprimer la page Fil RSS
Agence France-Presse
NEW YORK

Starwood, propriétaire du Sheraton et du W, a annoncé vendredi une intrusion illégale dans son système informatique en Amérique du Nord visant à obtenir les données bancaires de clients.

Les pirates ont pénétré le système informatique de certains hôtels du groupe en y installant un logiciel malveillant, ce qui leur a permis de voler des informations sur des cartes bancaires de clients, indique Starwood sans toutefois donner ni les noms des établissements ni la période au cours de laquelle a eu lieu la cyberattaque.

Des restaurants, des boutiques de souvenirs et des points de vente d'hôtels Starwood ont été particulièrement visés. Le groupe hôtelier est en train de déterminer si le service de réservation et son programme de fidélité ont également été affectés.

« Le logiciel malveillant a été conçu pour collecter les informations des cartes de paiement dont les noms des propriétaires, le numéro de la carte, les codes de sécurité et la date d'expiration », précise Starwood dans un communiqué.

« Il n'y a pas de preuve que d'autres informations de clients, tels les codes PIN, ont été volées », ajoute le groupe.

Starwood recommande aux personnes ayant séjourné dans ses établissements d'examiner attentivement leurs relevés bancaires et de contacter immédiatement leur banque en cas d'irrégularité.

Outre les marques Sheraton et W, Starwood exploite notamment le St Regis, le Westin et Le Méridien.


 

Le rançongiciel Linux.Encoder.1 a maintenant infecté des milliers de sites web
Et continue de prendre de l'ampleur d'après Doctor Web
Le , par Victor Vincent, Chroniqueur Actualités
D’après la société de sécurité Doctor Web, plus de 2000 sites web ont déjà été affectés par le rançongiciel Linux.Encoder.1 dont la première attaque a été découverte par la société de sécurité il y’a un peu plus d’une semaine. La société rapportait alors quelques dizaines de cas causés par le virus. Cependant, en l’espace de quelques jours seulement le rançongiciel aurait atteint plus d’un millier de sites web. L’estimation est basée sur le nombre de recherches concernant le fichier README_FOR_DECRYPT.txt qui est le fichier contenant les instructions permettant de décrypter les fichiers d’un ordinateur atteint moyennant le paiement d’un bitcoin. 



D’après Doctor Web, Linux.Encoder.1 serait en train d’exploiter une vulnérabilité du CMS Magento pour infecter les serveurs Linux. Une autre remarque faite par la société de sécurité est le fait que les pirates n’auraient pas besoin de privilèges d’administrateur pour atteindre un serveur web pour lui transmettre le virus. Cela fait du virus une menace assez sérieuse pour les ressources sur internet du fait que plusieurs CMS présentent des vulnérabilités similaires et que certains webmasters n’appliquent pas toujours les dernières mises à jour des CMS a noté Doctor Web.

 Le rançongiciel CryptoWall a extorqué 325 millions de dollars en 2015 à ses victimes d'après la Cyber Threat Alliance

Comment contrer la menace ?
Le , par Victor Vincent, Chroniqueur Actualités
La Cyber Threat Alliance (CTA) qui est un organisme cofondé par les sociétés Fortinet, Intel Security, Palo Alto Networks et Symantec Corp., a annoncé la publication d’une étude s’intéressant à l’évolution et à l’influence mondiale d’un virus très agressif, le rançongiciel CryptoWall.

Le rapport Lucrative Ransomware Attacks: Analysis of the CryptoWall Version 3 Threat est la première publication s’appuyant sur les travaux de recherche et de veille sur les menaces réalisés par les membres fondateurs et contributeurs de la CTA. Ce livre blanc fournit aux entreprises du monde entier de précieux renseignements sur le cycle de vie des attaques livrées par une famille de « rançongiciels » lucratifs, grâce auxquels des acteurs malveillants ont amassé un butin supérieur à 325 millions de dollars, et formule des recommandations en matière de prévention et de neutralisation. 

Les principales découvertes faites par la CTA sont les suivantes :

  • parmi les 325 millions de dollars détournés par les pirates figurait le montant de rançons versées par les victimes en échange du déchiffrage et de l’accès à leurs fichiers ;
  • 406 887 tentatives d’infections par le virus CryptoWall ;
  • 4 046 échantillons de logiciels malveillants ;
  • 839 URL de serveurs de commande et de contrôle (C&C) utilisées par les cybercriminels pour l’envoi de commandes et la réception de données ;
  • les centaines de millions de préjudices concernent des centaines de milliers de victimes aux quatre coins du monde. L’Amérique du Nord a été spécifiquement ciblée dans la plupart des campagnes.

Joe Chen, vice-président ingénierie, Symantec, conclut en disant que « Les menaces de "rançongiciels" comme CryptoWall, qui progressent à un rythme inquiétant et prennent en otages les données stratégiques des particuliers et des entreprises » sont leurs premières cibles. Joe poursuit en affirmant : « forts du poids de notre secteur et en mutualisant les données extraites de nos vastes réseaux de veille sur les menaces, nous ne pouvons agir plus efficacement sur ces dernières qu’en les traquant individuellement ».

Le rapport met également en exergue des recommandations clés formulées par la CTA afin d’aider les particuliers et les entreprises à se mettre à l'abri du virus CryptoWall v3 et d’autres types de logiciels malveillants :

  • s’assurer de disposer des dernières versions en date des systèmes d’exploitation, applications et firmware ;
  • connaître les techniques classiques d’hameçonnage et savoir les déjouer, comme en s’interdisant d’ouvrir des courriers électroniques en provenance d’adresses électroniques inconnues ou certains types de fichiers en pièces jointes ;
  • actualiser en permanence les navigateurs web, et activer les paramètres de désactivation des modules complémentaires, tels que Java, Flash et Silverlight, afin d’empêcher leur exécution automatique ;
  • revoir les règles d’accès et de sécurité des réseaux d’entreprise afin de limiter les accès à l’infrastructure stratégique par des systèmes et utilisateurs qui n’en ont pas l’utilité.


 Télécharger le rapport (en anglais)

Mardi 20 octobre 2015 | Mise en ligne à 17h04 | 

Jean-François Codère LaPresse

Parlons sécurité et piratage

Parfois à grands coups de révélations à la Snowden ou de publication sur « les Internets » de dizaines de photos compromettantes de célébrités, parfois à coups de découvertes plus ou moins discrètes de vulnérabilités, parfois lors de savantes démonstrations comme celle du piratage récent d’une voiture Jeep, l’enjeu de la sécurité informatique s’impose de plus en plus dans l’actualité.

C’est difficile de bien traiter des enjeux liés à la sécurité informatique sans avoir l’air inutilement alarmiste, pour plusieurs raisons. La principale est que la très grande majorité des gens n’ont jamais été victimes d’un acte de piratage ou, du moins, n’en ont pas directement subi les conséquences, par exemple parce que leur banque les a dédommagés après le clonage de leur carte.

Pourtant, les signes de l’importance grandissante de cet enjeu se multiplient. Faisons par exemple un bilan des derniers jours.

• Commençons par Facebook, qui a annoncé vendredi dernier qu’elle vous aviserait dorénavant si ses systèmes détectent une tentative d’intrusion sur votre compte par un pirate « soupçonné de travailler pour le compte d’un État-nation ».

Le geste semble faire suite à de nouvelles révélations d’Edward Snowden au début du mois, à propos d’outils du GCHQ britannique pour prendre possession de téléphones intelligents (et ainsi accéder à votre compte Facebook, entre autres)

• Hier, à la fois le président d’Apple, Tim Cook, et le directeur de la NSA, Michael Rogers, participaient à une conférence organisée par le Wall Street Journal.

Le premier a livré un plaidoyer en faveur de formes de cryptage libres des portes dérobées auxquelles souhaiteraient avoir accès les services de renseignements américains. Un argument à retenir : on ne peut pas être sûr que ces portes serviraient uniquement aux « bons gars ».

De son côté, le patron de la NSA a évidemment livré le message opposé et a mentionné qu’à son avis, une cyberattaque ciblant des infrastructures critiques n’était « qu’une question de temps ».

• Justement, peut-on parler d’une attaque contre « des infrastructures critiques » quand quelqu’un prétend avoir eu accès à des comptes courriel personnels du directeur de la CIA  et du secrétaire du Department of Homeland Security, et y avoir récupéré des documents contenant des informations secrètes? Et qu’est-ce qui est le plus inquiétant? Que quelqu’un ait piraté ces comptes, ou que les deux individus y aient laissé traîner des documents secrets?

• Le piratage est aussi au coeur des relations entre les États-Unis et la Chine présentement. Lors de la dernière visite du président chinois à Washington, le mois dernier, M. Obama lui avait poliment demandé de cesser d’espionner les entreprises américaines. « Oui, oui », lui aurait en gros répondu M. Jinping.

Mais ça n’a apparemment absolument rien donné, d’après une firme de sécurité qui a avancé en fin de semaine que les attaques continuaient comme si de rien n’était.

• Pour les plus geeks, il y a une lecture intéressante ici, qui raconte comment d’ingénieux pirates ont réussi à contourner la puce qui équipe des cartes bancaires françaises. Non, même la carte à puce ne protège pas parfaitement nos comptes, semble-t-il.

• Et terminons avec une petite plogue : notre dossier sur les risques associés aux gadgets de plus en plus nombreux que l’on vend pour rendre votre maison « intelligente », publié en fin de semaine dans notre cahier Techno.


Attaques informatiques: hausse de 38% en un an.

Paris Agence France-Presse

Le nombre des cyberattaques contre les entreprises a augmenté de 38% dans le monde ces douze derniers mois, indique le cabinet de conseil PricewaterhouseCoopers (PwC) dans une étude publiée jeudi.


Le budget de sécurité informatique des entreprises françaises atteint en moyenne 4,8 millions d'euros, une somme en hausse de 29% en un an - la progression étant de 24% au niveau mondial, selon l'étude de PwC. La majorité des menaces - 34% des sources des incidents recensés dans le monde comme en France - vient d'employés de la compagnie attaquée, selon l'étude menée du 7 mai au 12 juin auprès de plus de 10 000 responsables de 127 pays. Une part grandissante des attaquants vient des fournisseurs et prestataires de service, toujours selon l'étude.


Une faille critique dans Winrar permet d'exécuter du code à distance sans élévation de privilège
Exposant ainsi plus de 500 millions d'utilisateurs
Le , par Olivier Famien, Chroniqueur Actualités
Un chercheur en sécurité du nom de Reza Espargham vient d’annoncer la découverte d’une faille critique dans le logiciel de compression Winrar SFX version 5.21. Cette vulnérabilité permet d’exécuter une attaque à distance afin de compromettre le système sur lequel l’application est installée.

En fait le problème se trouve dans la fonction "Texte et Icone" contenant la zone de texte "Texte à afficher dans la fenêtre SFX". En insérant du code spécifique dans cette zone de texte, des attaquants sont capables de générer à distance une charge utile pour compromettre le système de la victime.

De manière pratique, l’attaquant va d’abord effectuer quelques petites modifications et exécuter le code Perl  contenu dans un fichier poc.pl qu’il aura créé.
Ensuite, il va créer une archive SFX avec la dernière version de Winrar. Pour arriver à ses fins, il va suivre les étapes normales de la création d’une archive et sélectionner "créer une archive SFX", puis dans le Menu avancé, il va sélectionner "Options SFX".

Dans le menu "Texte et icône" affiché se trouve une zone de texte avec comme étiquette "Texte à afficher dans la Fenêtre SFX". Dans cette zone de texte, il va copier et coller le code HTML généré à partir du code Perl. Enfin, il fera OK, OK pour valider les différentes étapes. C’est cette archive SFX qui sera envoyée à la victime afin de compromettre son système. Nous rappelons q'une archive SFX est une archive Windows auto-extractible. 

Pour ceux qui le souhaitent, ils peuvent également consulter la vidéo ci-dessous afin de suivre visuellement la preuve de concept.


Lorsqu’un utilisateur ouvrira l’archive infectée, la charge utile du fichier infecté va exposer le système de l’utilisateur. Il faut souligner que cette attaque ne nécessite pas d’élévation de privilège. Il suffit pour la victime d’ouvrir le fichier et le tour est joué. Pieter Arntz, MVP Microsoft, a testé avec succès cette procédure. Bien entendu, il a d'abord effectué quelques petites modifications du code ci-dessus afin d'aboutir au même résultat que l'auteur de la découverte.

Il faut rappeler également que Winrar est utilisé par plus de 500 millions d’utilisateurs à travers le monde. Cette version affecte donc l’ensemble de ses utilisateurs qui se trouvent principalement sur la plateforme Windows. Prière à chaque personne de ne pas ouvrir les archives SFX provenant de personnes inconnues dans la mesure où aucun correctif n’a encore été publié.

Source : Seclists

                                                                           

IBM Sécurité annonce les résultats de son rapport Q3 2015 IBM X-Force Threat Intelligence. Celui-ci dévoile les dangers grandissants provoqués par les cyber-attaques provenant du Dark Web à travers l’utilisation du réseau Tor (The Onion Router), ainsi que les nouvelles techniques mises en place par les criminels pour les attaques avec rançon.ibm_logoUne chose est sûre, le Dark Net se porte bien ! Rien que depuis le début de l’année 2015,  plus de 150 000 événements malveillants provenant de Tor ont eu lieu aux Etats-Unis. IBM pointe une utilisation accrue de Tor par les internautes et une évolution des attaques de type ransomware.

Même si on entend davantage parler des fuites de données que des demandes de rançon, les « ransomware » représentent une menace grandissante. Comme la sophistication des menaces et des attaquants croît, leur cible fait de même, et ainsi certains attaquants se sont par exemple spécialisés dans la demande de rançon concernant les fichiers de joueurs de jeux en lignes populaires. Le rapport dévoile que les agresseurs peuvent maintenant également bénéficier de « Ransomware as a Service » en achetant des outils conçus pour déployer de telles attaques.

Comme les hauts fonds des océans, le Dark Web demeure largement inconnu et inexploré, et il héberge des prédateurs. L’expérience récente de l’équipe IBM Managed Security Services (IBM MSS) montre que les criminels et d’autres organisations spécialisées dans les menaces utilisent Tor, qui permet d’anonymiser les communications aussi bien en tant que vecteur d’attaques que d’infrastructure, pour commander et contrôler les botnets. La façon dont Tor masque le cheminement offre des protections supplémentaires aux attaquants en les rendant anonymes. Ils peuvent aussi masquer la location physique de l’origine de l’attaque,  et même la remplacer par une autre de leur choix.

Le rapport étudie également Tor lui-même, et fournit des détails techniques permettant de protéger les réseaux contre les menaces, intentionnelles ou non, véhiculées par Tor. Vous trouverez le rapport complet ici : IBM X-Force Threat Intelligence Quarterly, 3Q 2015



                     Haute importance des mises à niveaux continus des parcs informatiques

9 septembre 2015

        Pour faire suite à l'article du 21 aout 2015 du rapport de Cisco (*ci-dessous)

Trustwave nous informe sur la diffusion des 'Exploit Kit' est plus répandu et plus fort que prévu,voici un complément d'explication à ce sujet de l'article précédent.

Nous voyons clairement que toutes les plateformes sont concernées (Android ,Apple ,Windows) et que des fureteurs très populaires comme Safari ou Chrome sont vulnérables au 'Exploit Kit'

  • Les kits d’exploitation pirates

exploit-kits

Les fameux « Exploit kits » sont des éléments essentiels à prendre en compte pour comprendre comment les cybercriminels piratent massivement avec succès. Ils représentent un ensemble complexe d’outils malveillants (toute une gamme de malwares en tout genre) et de divers moyens de diffuser et introduire les charges malveillantes chez les victimes potentielles (on parle alors de vecteur). Il y a une énorme demande pour ce genre d’outil, souvent vendu à prix d’or, surtout s’il utilise des failles récentes pas encore corrigées.

Les kits d’exploitation sont devenus les outils préférés des cybercriminels en raison de leur taux de réussite accru. Sans kit, la moyenne d’internautes piratés avec succès tourne autour de 10% alors que le taux grimpe en flèche à près de 40% lorsqu’un tel kit est utilisé.


whats-in-an-exploit-kit

Le graphique ci-dessus montre en détail un aperçu des éléments pouvant composer le kit d’exploitation pirate. C’est un important panel de différents logiciels malveillants que les cybercriminels ont payé pour y avoir accès, et qu’ils ont ensuite distribués à des victimes.


Gartner 2015 : ces technos qui tombent ou qui montent

Par 

 publié le 31 août 2015 à 15 h 47


Chaque année, la firme de recherche Gartner publie son « cycle des innovations technologiques » dans lequel les tendances à la mode sont représentées sur une courbe de maturité.

Ce tableau spéculatif nous donne, en un coup d’oeil, une idée de ce qui passionne – et de ce qui passionnera dans l’avenir – le monde techno.

La liste de 2015 a été publiée récemment. Voyons ce que nous pouvons y apprendre.

Le tableau 2015 de Gartner
Hype Cycle for Emerging Technologies

gartner2015

À noter cette année

Parmi ceux qui, en 2014, se trouvaient au pic de leur engouement (Peak of inflated expectations) et qui empruntent lentement le chemin de la « descente aux enfers » (Trough of disillusionment), on trouve l’Internet des objets et l’informatique portable (wareable).

La promesse de ces objets connectés qui communiquent entre eux fait vibrer la technosphère depuis plusieurs années maintenant. Mais, les lecteurs de Triplex n’en seront pas surpris, nous répétons régulièrement ici que l’augmentation démesurée des attentes fera bien des déçus (lire sur Triplex : Chute des objets intelligents).

Il ne faut pas penser nécessairement que ces innovations sont à jeter à la poubelle. C’est plutôt le contraire. Mais pour éviter qu’elles disparaissent, il faudra que l’industrie règle en priorité le problème de la sécurité informatique et de la protection de la vie privée.

Seulement cet été, j’ai relevé trois nouvelles de piratage d’objets connectés :

Quand les objets dits intelligents auront envahi nos maisons, nos vêtements et nos voitures, il sera trop tard pour constater qu’une faille fondamentale les rend mortels.

Le FBI commence même à s’inquiéter du fait que les avions peuvent être maintenant détournés par Internet. Inquiétant.

Entre vous et moi, je trouve que le problème de l’Internet des objets commence avec son nom. Internet, c’est maintenant une lapalissade. C’est le réseau le moins sécuritaire et le plus dangereux en termes de sécurité informatique.

Tant qu’Internet reste dans l’équation, ou qu’Internet ne se mue pas en un réseau plus sécuritaire, je ne vois pas comment cette technologie pourra échapper à la « descente aux enfers ».


 Ins0mnia : la faille iOS qui permet à une application de fonctionner en tâche de fond sans interruption

Même si l'utilisateur la ferme
Le , par Stéphane le calme, Chroniqueur Actualités
Les chercheurs en sécurité de FireEye ont découvert une vulnérabilité dans iOS qui permet à une application malveillante de fonctionner en permanence en arrière-plan, même si elle est complètement fermée par l’utilisateur.

Que se passe-t-il concrètement ? Tout d’abord, il faut comprendre de quelle manière Apple protège ses utilisateurs en contrôlant la façon dont les applications tierces interagissent avec iOS. Une application iOS peut tourner en arrière-plan sur une période en général limitée à trois minutes avant qu’elle ne soit suspendue par iOS. En plus d’assurer une réactivité prévisible dans l’interaction avec un utilisateur, cette limitation permet également d’empêcher une application d’amorcer une opération d’écoute en arrière-plan. Par exemple, même si une application de musique légitime a des raisons légitimes de demander des permissions d’accès à la localisation GPS ainsi qu’au microphone (à l’instar de Shazam), peu d’utilisateurs vont vouloir que l’application s’exécute en arrière-plan pour surveiller la géolocalisation et effectuer des enregistrements audio. Ce contrôle par iOS est donc supposé prévenir de tels abus des autorisations accordées.

Lorsqu’un utilisateur sort d’une application en appuyant sur la touche Home, l’application va en arrière-plan et est sujette à des restrictions, au même titre que celle citée en sus, imposées par iOS sur les applications qui s’exécutent en arrière-plan. Un utilisateur peut décider de complètement la fermer en l’enlevant de la barre de tâche iOS qui est une interface qui montre à l’utilisateur la liste des applications récemment ouvertes.

C’est donc ici qu’est la faille. Baptisée ins0mnia, elle permet de contourner ces limitations. Une application malveillante pourrait donc s’exécuter en arrière-plan et subtiliser des informations sensibles, qui pourraient alors être envoyées de façon continue vers un serveur, sans que l’utilisateur n’en soit informé sur une période de temps illimitée. 

L’attaque consiste à faire croire au système que l’application est en mode débogage afin qu’il n’arrête pas son exécution lorsque le temps maximal d’exécution en arrière-plan est atteint. Une application qui exploite cette vulnérabilité va continuer de s’exécuter en arrière-plan même lorsque l’utilisateur croira qu’il l’a fermée complètement. Voici une vidéo montrant une application malveillante iOS qui l’exploite. 


Les chercheurs précisent que « contrairement aux applications malveillantes qui tournent sur des appareils jailbreakés ou qui nécessitent un certificat Enterprise, un malware hypothétique basé sur ins0mnia n’a besoin de rien pour obtenir l’autorisation d’Apple. Nous pensons qu’une telle application a une très forte probabilité de passer entre les mailles du filet de l’examen d’Apple Store, ce qui en fait une échappatoire rare pour un attaquant qui souhaite déployer son logiciel malveillant dans le jardin clos d’Apple ». Cette faille a été corrigée dans la mise à jour iOS 8.1.4

Les exploits réussis sur des vulnérabilités sur Flash montent en flèche
D'après un rapport de Cisco
Le , par Stéphane le calme, Chroniqueur Actualités
Cisco rapporte que les exploits réussis sur des vulnérabilités sur Flash montent en flèche, en partie parce qu'ils sont rapidement intégrés dans des kits comme Angler et Nuclear qui profitent des failles pour lesquelles les entreprises n’auront pas rapidement appliqué de correctif, les laissant donc vulnérables aux attaques. Les auteurs de ces kits d’exploits inclus des exploits de nouvelles vulnérabilités publiées sur un intervalle de quelques jours après qu’elles soient publiquement annoncées. L’efficacité des exploits de ces kits est renforcée par le fait que les utilisateurs ne parviennent pas à installer des correctifs de ces vulnérabilités en temps opportun. « Il semblerait que de nombreux utilisateurs ont du mal à rester à jour avec Adobe Flash et peuvent peut-être ne même pas être au courant de l’existence desdites mises à jour », a avancé Cisco.

Dans l’édition 2015 de son Midyear Security Report, Cisco rappelle que, pour les cinq premiers mois de 2015, le projet Common Vulnerabilities and Exposures (CVE) a publié 62 vulnérabilités dans Adobe Flash Player qui résultaient de l’exécution du code sur les machines des utilisateurs. Comme le montre la figure ci-dessous, en 2014 seuls 41 pour cent de ces types de vulnérabilité ont été identifiés. Le second pic le plus important de ces vulnérabilités a été observé en 2012 avec 57 vulnérabilités. Cisco estime que, si la tendance actuelle de l’activité est soutenue durant le reste de l’année, 2015 pourrait observer plus de 100 de ces exploits, « ce qui serait un record de tous les temps ».


En plus d’intégrer rapidement de nouveaux exploits, Angler possède d'autres caractéristiques qui accroissent son efficacité. D’ailleurs Cisco rappelle que plus tôt cette année, il avait signalé que le kit d’exploit Angler était l’un des kits à surveiller le plus à cause de son utilisation innovante des vulnérabilités sur Flash, Java, Microsoft Internet Explorer mais également Silver Light. « Jusqu’à présent en 2015, Angler se présente comme le leader dans la sophistication et l’efficacité des kits d’exploits », a estimé l’équipementier.


En effet, le kit peut identifier les faiblesses des machines des victimes et télécharger les logiciels malveillants appropriés pour les exploiter. Ce qui a apporté un taux de réussite de 40 pour cent lors des attaques menées entre décembre 2014 et mai 2015, soit le double du pourcentage des autres kits d’exploit comme l’a indiqué le rapport.

Angler utilise le Domain Shadowing pour piéger les victimes. Dans la pratique, cette technique consiste à compromettre les comptes de noms de domaine légitimes inscrits, puis, par la suite, enregistrer un sous-domaine sous le domaine légitime compromis qui va alors servir à dispatcher du contenu malveillant. Ce qui rend encore cette technique efficace c’est que, « à moins que les utilisateurs n’examinent leurs informations de comptes, ils ne sauront même pas que de tels sous-domaines existent ».

Si le Domain Shadowing n’est pas nouveau, Cisco avance que l’utilisation de cette technique a augmenté de façon substantielle depuis décembre 2014. D’ailleurs, d’après ses analyses, Cisco estime qu’Angler est responsable de 75 pour cent de toutes les activités de sous domaine connus de ce genre. L’équipementier avance même que le kit d’exploit distribue une large gamme de logiciels malveillants y compris le ransomware Trojan Cryptowall. En plus d’utiliser le Domain Shadowing, ce kit d’exploit utilise de multiples adresses IP pour rendre la détection plus difficile. La figure ci-dessous montre à quelle fréquence Angler peut changer d’adresse IP par jour.


Le rapport conseille aux professionnels de la sécurité en entreprise d’être à l’affût des logiciels malveillants conçus pour échapper à la détection et également endommager les systèmes d’exploitation de la machine qu’il infecte si les efforts de détection deviennent trop persistants. Comme exemple, Cisco a mentionné Rombertik, car il effectue des opérations inutiles alors qu’il est dans un sandbox de sécurité dans l’optique d’attendre la fin de l’analyse ou de retarder sa découverte.

Rombertik tente d'écraser les enregistrements master boot et, s’il échoue, il va détruire tous les fichiers dans les dossiers personnels des utilisateurs. S’il réussit à passer inaperçu, alors il va amorcer sa fonction principale qui est le vol des données entrées dans les navigateurs. « Il y a fort à parier que non seulement les autres auteurs de logiciels malveillants vont s’approprier des techniques de Rombertik, mais en plus vont les rendre plus destructrices », a avancé le rapport.

Le rapport indique que des erreurs de codage continuent à introduire des failles exploitables dans le logiciel : « les fournisseurs doivent mettre davantage l'accent sur la sécurité dans le cycle de développement, ou ils vont continuer à dépenser temps et argent dans l’optique de détecter, corriger et signaler ces vulnérabilités ».

Source : Midyear Security Report (au format PDF)

Optimiser Win 7 et Win 8 pour son SSD

Les disques de stockage SSD qui commencent à remplacer peu à peu les disques durs, surtout au niveau du disque où est installé Windows permettent de donner un coup de fouet à votre ordinateur. 

Or chaque cellule qui compose le SSD a une durée de vie limitée à un certain nombre d'écritures (10 000 environ) : c'est ce qu'on appelle l'usure. Des algorithmes internes au SSD permettent de répartir les données partout sur le disque afin d'uniformiser leur utilisation et de répartir l'usure sur tout le SSD. 

Pour améliorer la durée de vie de votre SSD et ses performances, vous pouvez effectuer certains réglages dans Windows 7 et dans Windows 8/8.1. Le but est ici de limiter les écritures inutiles sur votre SSD et de désactiver les fonctionnalités de Windows 7 qui ne profitent pas aux SSD. 

 

Vous pouvez allez cliquer sur l'image en haut à gauche pour savoir comment faire !