Archives quotidiennes :

Justice, Logiciels

Technologie Google anti pédophile

Pour éviter de voir apparaitre des sites et photos à caractère pédopornographiques, Google vient d’annoncer la mise en ligne d’une nouvelle technologie permettant de bloquer certaines demandes des internautes par le biais de son moteur de recherche. 200 informaticiens maisons se sont penchés sur le projet. Le géant américain indique qu’il sera plus compliqué, pour les pays anglophones, de retrouver des documents illicites sur son internet. Eric Schmidt, le CEO de Google, indique dans le journal britannique Daily Mail que son groupe a déjà pu « épurer les résultats de plus de 100.000 commandes de recherche liées à l’abus sexuel d’enfants. » L’algorithme sera étendu, dans les mois à venir à l’ensemble du globe.

Pendant ce temps en Espagne, des chercheurs de l’université de Deusto Bilbao, dirigés par le Docteur Pablo García Bringas ont annoncé la création d’un nouveau bot, un robot, dédié aux discussions sur les forums et autres chats IRC. Si l’outil n’a rien de nouveau, il en existe des centaines sur la toile, Negobot (son nom, Ndr zataz.com) est capable de tenir une discussion sur la longueur. L’idée, permettre de traquer les pédophiles sur la toile. C’est en collaboration avec une association locale que les chercheurs ont réalisé l’outil en ligne. L’ONG « Protége les » a offert des milliers de pages de discussions d’internautes diffuseurs, revendeurs ou acheteurs de documents à caractères pédophiles. Bilan, la lolita virtuelle, qui peut aussi se faire passer pour un garçon, répond aux questions, participe aux propos, faits des fautes, et serait capable de feindre l’embarras au moment d’échange intime. Negobot dispose de 7 phases d’actions. L’algorithme exploité est capable d’identifier le niveau d’“obscénité” de la discussion.

Les outils se multiplient, il y a quelques semaines, une autre association présentait son avatar 3D baptisé Sweeties. Robot représentant une petite fille de 10 ans, capable de piéger 20.000 internautes pédophiles et permis d’en tracer un millier.

Chiffrement, cryptage, Entreprise, Espionnae, Fuite de données

Les services secrets britanniques font dans le phishing

2 commentaires

Quoi de plus sympathique qu’un bon gros phishing pour mettre la main sur les données privées et sensibles d’une cible. Les services secrets de sa gracieuse majesté britannique, le British Intelligence Agency GCHQ (Government Communications Headquarters) aurait utilisé de fausses pages du portail professionnel communautaire Linkedin pour mettre la main sur des données ciblées.

Une information que le magazine allemand Der Spiegel a révélé après l’analyse de documents secrets du GCHQ que l’ancien « analyste » Edward Snowden aurait volé. La première attaque connue visait le gouvernement belge et Belgacom, l’opérateur de télécommunication. Une fois le visiteur piégé par la fausse page Linkedin, un logiciel espion s’installait dans l’ordinateur des cibles de la GCHQ. L’objectif aurait été d’accéder au système de routeur GRX exploité par BICS pour intercepter le trafic téléphonique.

C’est quand même dingue de voir comment ces services secrets peuvent être bavards, dans leurs bureaux ; Ca n’étonne personne de savoir qu’un simple analyse « du privé » puisse accèder à autant d’informations variées !

En attendant, pour répondre aux écoutes probables de la NSA du trafic data de Yahoo! et Google, les deux géants de l’Internet viennent d’annoncer qu’ils allaient protéger leurs données internes. La CEO de Yahoo!, Marissa Mayer, a indiqué que les connexions de son groupe seraient désormais chiffrées.

Cyber-attaque, escroquerie, Espionnae, Virus

Propagation d’un trojan bancaire via Skype

3 commentaires

Le pic de ces envois a été enregistré dans la première moitié de novembre 2013. BackDoor.Caphaw est capable de voler les identifiants d’accès aux comptes en ligne et d’autres données sensibles stockées sur la machine infectée. Il exploite les vulnérabilités des navigateurs (par exemple les packages d’exploits BlackHole), et se copie sur les supports amovibles et réseau.

Depuis la deuxième quinzaine d’octobre 2013, les attaquants utilisent Skype pour distribuer le Trojan BackDoor.Caphaw. Le pic de la propagation, selon DrWeb, a été enregistré entre le 5 et 14 novembre 2013. Les attaquants envoient des messages via Skype en utilisant les comptes des utilisateurs déjà infectés. Les messages incluent un lien vers une archive portant le nom invoice_XXXXX.pdf.exe.zip (où XXXXX est un ensemble aléatoire de chiffres). L’archive contient le fichier exécutable du Trojan BackDoor.Caphaw.

Après son lancement, le Trojan sauvegarde sa copie dans un dossier d’application comme un fichier, avec un nom aléatoire, et modifie la clé du Registre chargée du lancement automatique des applications. Afin de faire face aux tentatives d’être étudié, ce Trojan possède un mécanisme de détection de lancement sur une machine virtuelle.

Suite à son installation, le Trojan BackDoor.Caphaw essaie de s’intégrer dans les processus en cours et de se connecter à un serveur des attaquants. Ce Trojan surveille l’activité de l’utilisateur et détecte les connexions aux banques en ligne. Dans ce cas, BackDoor.Caphaw peut injecter du contenu malveillant et intercepter les données entrées dans différents formulaires.

Une autre de ses fonctions est l’utilisation de la caméra et l’enregistrement, sur la machine infectée, de vidéos en streaming, afin de le transmettre au serveur des attaquants sous la forme d’une archive RAR. En outre le BackDoor.Caphaw peut télécharger depuis le serveur distant des composants additionnels et les lancer. Par exemple, des modules pour rechercher et transmettre aux attaquants les mots de passe des clients FTP ou créer un serveur VNC. Il existe également un module MBR bootkit, capable d’infecter des secteurs d’amorçage etc. Enfin, il existe un module pour l’envoi automatique de liens malveillants via Skype. Les utilisateurs doivent rester prudents et éviter de cliquer sur les liens reçus dans les messages via Skype, même si ces messages proviennent de leurs connaissances, car leurs ordinateurs peuvent être déjà infectés par le BackDoor.Caphaw.

 

Argent, Arnaque, Cyber-attaque, Entreprise, pourriel, spam

Débandade numérique : du viagra dans le site de La Poste

« Fitness, netteté de l’objectif, une considération attentive de con de la question de l’échelle ainsi que la beauté et de l’art et de l’unité coupons » c’est par ces quelques mots que la page 10386, mais aussi des centaines d’autres, de l’espace « Courrier International » du site officiel de La Poste (laposte.fr) s’ouvre aux regards des internautes étonnés par ce charabia bien loin de l’univers de la société Française.

Derrière le lien « Suivre vos envois« , un pirate informatique spécialisé dans la diffusion de publicités illicites vantant, la plupart du temps, les médicaments contrefaits. Dans le cas de Laposte.fr, du viagra, la petite pilule bleue qui fait rougir maman et durcir papa… ou le contraire ! La rédaction de Data Security Breach a recensé plusieurs centaines de fausses pages. Ici, une injection d’un texte n’ayant ni queue, ni tête, sauf quelques lignes exploitant des mots clés que les moteurs de recherche, Google en tête, reprendront sans sourciller. Aucun blocage des moteurs de recherche, d’autant plus que les phrases sont diffusées par un site très sérieux. Google and Co n’y voient que du feu. Les pages ranks des sites pirates, et donc leur visibilité, sera plus forte encore grâce à des alliés ainsi manipulés.

Bref, si les mots « viagra acheter » ; « viagra au meilleur prix » ou encore « achat viagra le moins cher online viagra prescription » apparaissent dans vos sites, inquiétez-vous. Vous servez de rebond à des vendeurs de contrefaçons de médicaments.

Un piratage qui pourrait faire sourire, sauf que l’injection n’installe pas qu’une seule page. Chaque phrase dirige l’internaute vers d’autres pages « La Poste », avec autant de nouvelles phrases et des villes comme Lyon, Montpellier, … Finalité pour le pirate, plus le site comportera ses « liens » malveillants, plus il sera aperçu, ensuite, par les moteurs de recherche, donc les internautes potentiels acheteurs. Il suffit de taper « Viagra » et « Laposte » pour comprendre l’épineux problème. Les liens proposés par les moteurs de recherche dirigent, dans un premier temps vers le site de Laposte.fr, pour être ensuite redirigé dans la foulée, sur les pharmacies illicites.

D’après les informations de zataz.com, l’injection a pu être possible via une vulnérabilité dans un CMS. En attendant, Google a intercepté, au moment de l’écriture de notre article, une dizaine de page… par mots clés. DataSecurityBreach est passé par le protocole d’alerte de son grand frêre pour alerter le CERT La Poste [HaideD 2668]. (Merci à @Stoff33)

Mise à jour : La Poste aura été totalement transparente au sujet de cette attaque informatique. Le CERT La Poste revient sur les actions menées et comment le pirate a pu agir : « Le site piraté est l’ancien site du courrier international (www.laposte.fr/courrierinternational ) que nous allions désactiver la semaine prochaine, explique le CERT La Poste à DataSecurityBreach.fr. Nous avons migré et réorganisé ses contenus sur le portail laposte.fr. Les contenus du courrier international sont aujourd’hui consultables sur http://www.laposte.fr/Entreprise/Courrier-international/. Nous réintégrons sur laposte.fr les contenus qui étaient disponibles sur d’autres sites. Cet exemple s’inscrit dans cette démarche. Les pirates ont apparemment réussi à rentrer par une faille du CMS Typo3 de l’ancien site web. Actuellement, l’ancien site est désactivé (pages incriminées inaccessibles) et tous ses fichiers sont archivés pour analyse dès demain matin.Nous activons notre réseau de correspondants chez Google pour demander un retrait des résultats de recherche (et du cache Google associé) le plus rapidement possible. » Un exemple qui démontre que les anciens CMS, qui ne sont plus exploités, ne doivent pas rester sur un serveur ; et que les mises à jour sont indispensables dans le cas contraire.