Archives mensuelles : mai 2018

backdoor, Chiffrement, cryptage, Cybersécurité, Justice, loi, OS X, Securite informatique, Téléphonie

La Russie demande à Apple de supprimer Telegram dans l’App Store

La guerre entre l’application Telegram et le gouvernement Russie touche Apple. Apple sommé de retirer l’outil de communication chiffrée de son Apple Store.

L’application de messagerie sécurisée Telegram a été interdite en Russie en avril 2018, mais jusqu’à présent, elle est toujours disponible dans sa version russe sur l’App Store d’Apple. Le gouvernement Poutine vient de demander à APPLE de retirer de sa boutique Telegram.

Effacer la possibilité de le télécharger, mais aussi l’empêcher d’envoyer des notifications push aux utilisateurs locaux. Les autorités indiquent à Apple lui laisser un mois pour se conformer avant d’imposer une sanction plus radicale. Pour rappel, Telegram refuse de fournir aux autorités Russes les clés de déchiffrement. Une/des « master key » qui pourrai(en)t permettre au FSB, les services de renseignement Russes, de surveiller les messages diffusés via Telegram. Dans sa mission de blocage des actions terroristes, via Telegram et autres outils d’anonymisation, la Russie a bloqué 50 services VPN afin de restreindre davantage l’accès à Telegram.

Mais malgré ces efforts, la majorité des utilisateurs en Russie accèdent toujours à l’application, indique Roskomnadzor. Seulement 15 à 30% des opérations de Telegram perturbées jusqu’à présent. Bilan, la Russie se tourne vers Apple pour obtenir de l’aide. Roskomnadzor, piraté il y a quelques jours, annonce que Google est en pourparlers pour interdire l’application sTelegram sur Google Play. Alors qu’Apple a exprimé son soutien pour le chiffrement et la sécurisation des données, la société américaine a également fait des concessions aux demandes locales. En Chine, par exemple, Apple a retiré les applications VPN de son magasin.

En attendant, cela veut-il dire que Telegram possède des clés de déchiffrement permettant de lire les messages transitant par ses services ?

Son système de stockage iCloud a été déplacé vers Guizhou-Cloud Big Data Industry Development Co., Ltd. (GCBD), une entreprise locale liée au gouvernement.

Chiffrement, Cybersécurité, Hacking, Mise à jour, Patch, Securite informatique, Travel

14 failles de sécurité pour des modèles BMW

Un commentaire

Des chercheurs en cybersécurité découvrent 14 failles de sécurité dans des modèles de la marque automobile BMW. Ces vulnérabilités permettraient d’intervenir à distance sur le fonctionnement interne d’une voiture ciblée.

Depuis plusieurs années déjà, de nombreux chercheurs ont mis en garde les constructeurs automobiles contre leurs systèmes électroniques qui sont souvent conçus sans qu’une profonde attention ne soit portée à la sécurité. On se rappelle notamment de Charlie Miller et Chris Valasek qui avaient montré en 2015 comment ils parvenaient à prendre le contrôle d’une Jeep alors que le véhicule roulait sur l’autoroute.

L’intérêt de telles démonstrations basé sur un scénario catastrophe a permis aux grand public mais surtout aux constructeurs, de prendre conscience du risque qui n’est plus du tout hypothétique. Dans le cas présent, BMW a travaillé conjointement avec ce groupe de chercheurs chinois et a reconnu leur effort pour, au final, améliorer la sécurité de ses voitures. « Il ne reste plus qu’à espérer que cette démonstration incite d’autres marques à faire de même. » confirme Jérôme Ségura, de chez Malwarebytes.

Les chercheurs ne sont pas à leur coup d’essai. Ils avaient déjà trouvé plusieurs vulnérabilités dans divers modules embarqués utilisés par Tesla. La société Allemande a confirmé les problèmes et leurs corrections en cours.

Cybersécurité, Mise à jour, Patch, Securite informatique, Social engineering, Téléphonie

Cosiloon : les appareils Android livrés avec des malwares pré-installés

Cosiloon – Des chercheurs découvrent un adware pré-installé sur plusieurs centaines de modèles et de versions d’appareils Android différents, y compris ceux fabriqués par ZTE, Archos ou encore myPhone. La majorité de ces appareils ne sont pas certifiés par Google.

Le logiciel publicitaire en question porte le nom de « Cosiloon », et crée une superposition pour afficher une annonce sur une page web dans le navigateur de l’utilisateur. Des milliers d’individus sont touchés, et le mois dernier, Avast a identifié la dernière version de l’adware sur environ 18 000 appareils appartenant aux utilisateurs situés dans plus de 100 pays, dont la France, l’Italie, le Royaume-Uni, l’Allemagne ou encore la Russie parmi d’autres, ainsi que quelques cas aux États-Unis.

L’adware est actif depuis au moins trois ans, et s’avère difficile à supprimer. Il est en effet installé au niveau du firmware (ou micrologiciel) et utilise un code rendu impénétrable par procédé d’offuscation. Le géant du Web a ainsi pris des mesures pour atténuer les capacités malveillantes de nombreuses variantes d’applications sur plusieurs modèles d’appareils, en exploitant des techniques développées en interne.

Google Play Protect a été mis à jour pour garantir la protection de ces applications à l’avenir. Néanmoins, étant donné qu’elles sont pré-installées avec le firmware, le problème reste donc difficile à résoudre. Google a contacté les développeurs de micrologiciels pour les sensibiliser et les encourager à prendre des mesures pour y remédier.

Identifier Cosiloon

Au cours des dernières années, le Threat Labs d’Avast a régulièrement observé des échantillons Android à caractère étrange, dans sa base de données. Ils ressemblaient à n’importe quel autre échantillon, à l’exception que l’adware semblait pas disposer de point d’infection et présentait plusieurs noms de packages similaires, les plus communs étant :

  • com.google.eMediaService
  • com.google.eMusic1Service
  • com.google.ePlay3Service
  • com.google.eVideo2Service

La façon dont le logiciel publicitaire est arrivé sur les appareils n’est pas claire. Le serveur de contrôle était en service jusqu’en avril 2018, et les auteurs ont continué de le mettre à jour avec de nouvelles charges utiles. Les fabricants ont également continué d’expédier de nouveaux appareils avec l’injecteur (ou dropper, en anglais), également appelé « programme seringue » ou « virus compte-gouttes » qui est un programme informatique créé pour installer un logiciel malveillant sur un système cible.

Certaines applications antivirus signalent les charges utiles, mais l’injecteur les ré-installe et ne peut pas lui-même être supprimé. Ce qui signifie que le terminal aura toujours un dispositif permettant à un inconnu d’installer n’importe quelle application. Les chercheurs ont par ailleurs noté que l’adware permet d’installer le dropper sur les appareils, mais il est également en mesure de télécharger facilement un logiciel espion, un ransomware ou tout autre type de menace.

Avast a tenté de désactiver le serveur C&C (Command and Control) de Cosiloon en envoyant des demandes de retrait au registraire de noms de domaines et aux fournisseurs de serveurs. Le premier fournisseur, ZenLayer, a rapidement répondu et désactivé le serveur, mais il a été restauré après un certain temps par le biais d’un autre fournisseur. Le registraire n’a lui pas donné suite, ce qui signifie que le serveur fonctionne toujours.

Désactiver Cosiloon

Les utilisateurs peuvent trouver le dropper dans leurs paramètres (intitulé « CrashService », « meMess » ou « Terminal » avec l‘icône d’Android), et cliquer sur le bouton « désactiver » sur la page des applications, si disponible (selon la version Android). Cela désactivera l’injecteur qui ne reviendra pas.

Android, Communiqué de presse, Smartphone

Enquête sur la diffusion de la propagande de l’État Islamique sur Internet

Des analystes d’une société américaine ont infiltré les deux principaux forums de l’EI sur le Deep & Dark web pour définir les plateformes de diffusion de contenus les plus populaires.

Entre janvier 2015 et décembre 2017, les analystes de Flashpoint ont infiltré et étudié les deux principaux forums de l’EI sur les réseaux du Deep & Dark web. Ces deux forums sont appelés « Forum 1 » et « Forum 2 » dans l’enquête présentée par Flashpoint. Les analystes de Flashpoint ont plus particulièrement analysé les liens URL partagés par les membres de ces deux forums – soit 290 000 liens sur le Forum 1 et 730 000 liens sur le Forum 2 (certains liens étant dupliqués sur les deux forums) – afin de définir les plateformes d’hébergement de contenus les plus populaires.

Archive.org, véritable « librairie » de l’Etat Islamique sur Internet

Comme le révèle le tableau ci-dessous, le site Archive.org est depuis plus de 3 ans, la plateforme d’hébergement de contenus extrémistes la plus utilisée par l’EI et ses partisans pour diffuser leur propagande. Archive.org est un site légitime qui est à l’origine un projet d’un spécialiste de l’intelligence artificielle du célèbre institut américain MIT et qui a pour objectif d’archiver le « Web » à l’intention des futures générations. Mais l’enquête de Flashpoint démontre que le site offre à l’Etat Islamique le meilleur moyen d’héberger des contenus sur la durée. En effet, même si certains contenus ont été effacés, de nombreux autres sont restés accessibles sur Archive.org durant les 3 ans de l’enquête.

Plusieurs célèbres plateformes sont également très populaires et positionnées en haut du top 10 des principales plateformes utilisées pour diffuser du contenu de propagande. Même si son utilisation a légèrement décliné entre 2015 et 2017, Youtube fait toujours parti du Top 5 de ces plateformes, tout comme Google. Il est tout de même à noter que même si Twitter et Youtube n’ont pas rendu public l’ensemble de leurs actions pour éradiquer les contenus extrémistes de leur plateforme, leurs efforts ont eu des résultats. Twitter a ainsi disparu du top 10 des plateformes les plus populaires.

D’après les messages récupérés par les analystes de Flashpoint sur les forums, le groupe EI semble regretter ce manque de présence sur Twitter. Dans un post publié sur le Forum 2 en janvier 2018, l’auteur d’un fil de discussion a partagé une capture d’écran d’un tweet qui déclarait, en langue arabe, que « l’une des plus grandes pertes de l’État islamique est la perte de ce que l’on appelait « Wilayat Twitter » (pouvant être traduit littéralement par « région administrative Twitter »).

Malgré cela, le groupe tente toujours en vain d’inciter ses partisans à revenir sur Twitter. Les analystes de Flashpoint citent par exemple un partisan de l’EI qui réagissait au tweet d’une capture d’écran soulignant la chute de l’utilisation de Twitter par l’EI, par un appel : « Nous vous demandons jour et nuit de revenir sur Twitter… »

Ce à quoi un autre partisan répondait (également traduit de l’arabe) : « Frère, cette tâche est impossible. J’ai moi-même eu plus de 120 comptes fermés sur Twitter. Parfois, trois comptes étaient fermés le même jour. Même si je n’étais pas aussi actif que d’autres comptes. Quelle est l’utilité d’un compte fermé une heure après son ouverture ? »

Telegram, un outil de diffusion efficace mais à l’audience trop limitée

L’enquête révèle que les unités médias de l’EI ont utilisé l’application de messagerie chiffrée Telegram de manière très efficace pour diffuser du matériel de propagande vers un public très ciblé. Néanmoins, la guerre de l’information leur impose de diffuser largement leurs messages pour qu’ils soient efficacement consommés par l’ensemble de leurs cibles (partisans, personnes vulnérables et radicalisables, voire même aux opposants de l’EI). Par conséquent, l’EI a besoin d’autres plates-formes pour diffuser la propagande.

L’un des principaux distributeurs de propagande de l’EI sur les réseaux, « Nashir News » a ainsi réalisé plusieurs tentatives pour s’implanter sur d’autres plates-formes, et encouragé les partisans à créer des comptes sur celles-ci pour redistribuer du contenu. Au cours de l’année 2017, le groupe a tenté d’établir des comptes sur Twitter et d’autres plateformes et agrégateurs de médias sociaux. En outre, le groupe a publié des messages via Telegram pour appeler les partisans à établir des comptes Twitter et à redistribuer du matériel de propagande. Malgré ces efforts, les comptes étaient généralement fermés dans les heures suivant leur ouverture.

Ken Wolf, Analyste Intelligence Senior de Flashpoint, l’un des principaux auteurs de l’enquête, explique : « Les géants mondiaux de la Tech sont confrontés au défi de la propagande extrémiste. Non content de voir leurs plateformes utilisées à des fins malveillantes, ils sont également sous le feu des critiques pour leur incapacité à éradiquer ce fléau. Depuis décembre 2017, plusieurs gouvernements européens ont annoncé des plans pour taxer les entreprises de la Tech qui n’éliminent pas le contenu extrémiste de leur site Web (UK, Allemagne, etc.). Des mouvements d’Hacktivisme attaquent également la présence de l’EI en ligne comme OpISIS qui signale, détourne ou prend le contrôle des comptes de propagande. Certains mouvements peuvent également représenter un risque pour les plateformes elles-mêmes comme ce fut le cas en 2015 lorsque le groupe AttackNodes a mis Archive.org hors service au moyen d’une attaque DDoS pour alerter sur les contenus de propagande que le site hébergeait ».

Ken Wolf conclut : « Même si la plupart des plateformes mettent en place des actions pour les stopper, ou qu’ils sont signalés, les djihadistes font preuve d’une grande adaptabilité et résilience dans leurs efforts pour distribuer leur propagande. Alors que la guerre continue et que l’Etat Islamique subi des pertes territoriales, Internet va certainement se développer encore plus pour diffuser le plus largement possible l’idéologie du groupe et pour élargir la base de soutien de l’EI. Pour ces raisons, accroitre l’efficacité des programmes visant à stopper la présence en ligne de l’EI doit être un objectif majeur pour lutter et vaincre l’Etat Islamique ».

Communiqué de presse, Cybersécurité, double authentification, Facebook, Mise à jour, Particuliers, Securite informatique

Facebook annonce son entrée au conseil d’administration de l’Alliance FIDO

Un commentaire

Alliance FIDO : Facebook rejoint d’autres grandes entreprises du secteur high-tech, de la finance et du commerce en ligne pour réduire la dépendance des utilisateurs vis-à-vis des mots de passe.

L’Alliance FIDO annonce l’entrée de Facebook au sein de son conseil d’administration. Le réseau social rejoint ainsi d’autres grands noms des secteurs des hautes technologies, des services financiers et du commerce en ligne, afin de concrétiser la vision stratégique de l’Alliance de réduire la dépendance des utilisateurs du monde entier vis-à-vis des mots de passe, grâce à une authentification plus forte et plus simple.

L’Alliance FIDO développe des spécifications d’authentification forte interopérables pour les plateformes informatiques, ainsi que les applications web et mobiles. Grâce à l’intégration de la technique de chiffrement à clé publique dans des outils d’authentification simples d’emploi, tels que les clés de sécurité ou la biométrie, l’approche proposée par l’Alliance FIDO se distingue par un plus haut niveau de sécurité, de confidentialité et de simplicité que les mots de passe et autres formes d’authentification forte.

« Les mots de passe faibles continuent de causer des problèmes inutiles qui pourraient être évités en déployant et en utilisant des techniques d’authentification forte sur une plus grande échelle. Nous sommes fiers de rejoindre le conseil d’administration de l’Alliance FIDO et d’aider ses membres à atteindre leur objectif : élargir et simplifier la disponibilité de l’authentification forte sur les navigateurs web, ainsi que sur les plateformes mobiles et de bureau », a déclaré Brad Hill, ingénieur logiciel, chez Facebook.

Malgré son arrivée toute récente au sein du conseil d’administration de l’Alliance, Facebook a joué un rôle actif en faveur de l’authentification préconisée par l’Alliance FIDO depuis janvier 2017 en permettant à ses 2 milliards d’utilisateurs quotidiens d’utiliser une clé de sécurité compatible FIDO pour s’identifier et accéder à leur compte.

Outre Facebook, de nombreux prestataires de services de premier plan, parmi lesquels Aetna, Google, PayPal, Samsung, Bank of America, NTT DOCOMO, Dropbox ou Github, mettent la technologie d’authentification FIDO à la disposition de leurs vastes bases d’utilisateurs. Le mois dernier, Google, Microsoft et Mozilla se sont ainsi engagés à prendre en charge la norme WebAuthn récemment annoncée dans leurs navigateurs, rendant l’authentification FIDO accessible aux internautes aux quatre coins du Web.

« Nous sommes heureux d’accueillir Facebook parmi les membres de notre conseil d’administration, a déclaré Brett McDowell, Directeur Exécutif de l’Alliance FIDO. Facebook est l’un des services web et mobiles les plus largement utilisés à travers le monde et, à ce titre, contribuera fortement à la mission de l’Alliance FIDO, à savoir proposer des expériences d’authentification à la pointe de l’innovation qui satisfont pleinement les utilisateurs, tout en résolvant les problèmes de sécurité liés à l’utilisation de mots de passe. »

Hacking

Sécurité optimale : Aborder le principe de privilège minimum

Un commentaire

Être administrateur de son poste informatique, qu’il soit professionnel comme personnel, est un risque qu’il faut savoir calculer, définir et maîtriser. Pour une sécurité optimale, la gestion des comptes est indispensable.

Rien que pour les connexions, les restrictions sont un véritable casse tête. Un pirate compromet un compte et c’est toute la chaîne informatique de l’entreprise qui est impactée. Il est probable que les habitudes de connexion habituelles – heure / jour, fréquence, point de terminaison utilisé, etc. – soient brisées.

Il est important d’établir, de mettre en œuvre et d’appliquer des niveaux d’accès minimum au sein de l’organisation afin de limiter les risques associés aux menaces internes ou à l’utilisation abusive des informations d’identification par des attaquants externes. Cela crée une base de sécurité solide, mais ne permet pas de s’assurer que cet environnement de sécurité élevé ne fasse pas l’objet d’une compromission d’identifiants de niveau inférieur et élevé. La société IS Decisions vient d’éditer un livre blanc sur la gestion des connexions en tant qu’élément clé du privilège minimum.

Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Piratage, Securite informatique

Une exploit 0-Day pour Internet Explorer utilisée in the wild

Un commentaire

Fin avril 2018, un exploit inconnu jusqu’alors détécté. Après analyse, il s’avère que cet exploit utilise une vulnérabilité zero-day CVE-2018-8174 pour Internet Explorer. L’exploit a été utilisé dans des attaques ciblées. Depuis le 8 mai, Microsoft propose la contre-mesure de sécurité.

Il est intéressant de noter que l’exploit Internet Explorer a été téléchargé au sein d’un document Microsoft Word. C’est la première fois que l’on note l’utilisation d’une telle technique. A noter également qu’une version de Microsoft Word entièrement patchée a été exploitée avec succès. Après cette découverte, Microsoft diffuse un patch disponible ici, depuis mardi 8 mai.

Un exploit est une forme de logiciel qui se sert des bugs ou des vulnérabilités d’autres logiciels pour infecter des victimes avec un code malveillant. Les exploits sont utilisés très largement par les cybercriminels à la recherche de profits mais aussi par des acteurs plus sophistiqués, qui disposent de soutiens étatiques, dans un but malveillant.

Dans ce cas particulier, l’exploit identifié se base sur le code malveillant exploitant la vulnérabilité zero-day – un bug typique « use-after-free » quand un code exécutable légitime, comme celui d’Internet Explorer, comporte une logique de traitement de la mémoire incorrecte. Cela conduit à la communication d’un code avec de la mémoire disponible. Alors que dans la plupart des cas, cela débouche sur un simple crash du navigateur, l’exploit permet aux attaquants de prendre le contrôle de l’appareil.

Des analyses approfondies de l’exploit ont permis de mieux comprendre la chaine d’infection :

  • La victime reçoit un document Microsoft Office RTF malveillant
  • Après avoir ouvert le document malveillant, la seconde phase de l’exploit est téléchargée – une page HTML avec un code malveillant
  • Le code déclenche un bug UAF de corruption de la mémoire
  • Le shellcode qui télécharge la charge malveillante est alors exécuté.

« Cette technique, jusqu’à ce qu’elle soit corrigée, permettait aux criminels de forcer le chargement d’Internet Explorer, peu importe le navigateur habituellement utilisé par la victime. Cela démultiplie le potentiel de l’attaque, pourtant déjà énorme. Heureusement, la découverte proactive de la menace a permis à Microsoft de sortir un patch correctif dans les temps. Nous invitons les organisations et utilisateurs à installer les patchs les plus récents immédiatement après leur disponibilité, car il ne faudra pas beaucoup de temps avant que les exploits de cette vulnérabilité ne trouvent leur place dans des kits d’exploits populaires et soient utilisés non seulement par les acteurs de menaces sophistiqués, mais également par des cybercriminels de plus petit calibre », explique Anton Ivanov, Security Researcher, Kaspersky Lab

APT, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Mise à jour, Piratage, Securite informatique

ZooPark : une nouvelle campagne de malware Android propagée par l’infection de sites web légitimes

Des chercheurs en cybersécurité viennent de découvrir ZooPark, une campagne élaborée de cyberespionnage. ZooPark cible depuis plusieurs années les utilisateurs d’appareils Android dans divers pays du Moyen-Orient. Se servant de sites web légitimes comme sources d’infection, cette campagne paraît être une opération étatique visant des organisations politiques, des activistes et d’autres cibles dans la région.

Dernièrement, les chercheurs ont reçu ce qui semblait être un échantillon d’un malware Android inconnu. De prime abord, le malware ne paraissait guère sérieux, tout au plus un outil de cyberespionnage très simple sur le plan technique. Les chercheurs ont alors décidé d’enquêter plus avant et n’ont pas tardé à découvrir une version bien plus récente et complexe du même logiciel, qu’ils ont dénommé ZooPark. Sa cible : le Maroc, l’Egypte, le Liban, la Jordanie et l’Iran.

Certaines applications du code malveillant ZooPark sont diffusées à partir de sites d’actualités ou politiques très consultés dans certaines zones du Moyen-Orient. Elles se dissimulent sous la forme d’applications légitimes portant des noms tels que « TelegramGroups » ou « Alnaharegypt news ». Une fois l’infiltration réussie, le malware offre à l’auteur de l’attaque de nombreuse possibilités. Parmi les actes possibles : Exfiltration des contacts, identifiants de comptes, journaux et enregistrements audio des appels. A cela se rejoute les photos stockées sur la carte SD de l’appareil. Bien entendu, la localisation GPS. Les SMS. Les détails des applications installées, données du navigateur. Enregistrement des frappes clavier et contenu du presse-papiers. La backdoor peut envoyer, discrtement, des SMS. Téléphoner à des numéros, comme des lignes surtaxées.

Une autre fonction malveillante cible les messageries instantanées (Telegram, WhatsApp, IMO), le navigateur web (Chrome) et plusieurs autres applications. Elle permet au malware de dérober les bases de données internes des applications attaquées. Par exemple, dans le cas du navigateur, il s’agit des identifiants enregistrés pour d’autres sites web, susceptibles d’être infectés à la suite de l’attaque.

Les investigations laissent penser que les attaques ciblent en priorité des utilisateurs en Egypte, en Jordanie, au Maroc, au Liban et en Iran. En fonction des thèmes d’actualité choisis par les assaillants pour inciter par tromperie leurs victimes à installer le malware, des membres de l’Office de secours et de travaux des Nations Unies (UNRWA) font partie des cibles potentielles de ZooPark.

« Les utilisateurs sont de plus en plus nombreux à se servir de leur mobile comme principal voire unique moyen de communication. Or cette tendance n’est certainement pas passée inaperçue aux yeux des acteurs malveillants étatiques, qui développent leur arsenal afin de le rendre suffisamment efficace pour pister les utilisateurs mobiles. La menace persistante avancée (APT) ZooPark, qui espionne activement des cibles dans des pays du Moyen-Orient, en est un exemple mais il n’est sans doute pas isolé », commente Alexey Firsh, expert en sécurité chez Kaspersky Lab. Au total, au moins quatre générations du malware espion lié à la famille ZooPark ont été détéctées depuis 2015.

Android, Base de données, Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, ID, Identité numérique, ios, Mise à jour, Particuliers, Sécurité, Securite informatique, Smartphone, Vie privée, Windows phone

Psychology of Passwords : les comportements liés aux mots de passe restent inchangés

Psychology of Passwords – 62% des internautes réutilisent le même mot de passe sur leur comptes personnels et professionnels ! Vous avez dit suicidaire ?

Psychology of Passwords – La gestion des mots de passe, voilà bien un casse tête omnis présent chez les utilisateurs. LastPass présente les résultats d’une nouvelle enquête mondiale baptisée « La psychologie des mots de passe : la négligence aide les pirates à prospérer ». Cette étude révèle que malgré des menaces croissantes et une sensibilisation accrue vis-à-vis des cas de piratage et de fuites de données, les comportements en matière de mots de passe restent largement inchangés. Les résultats de l’enquête montrent que bien que 91% des individus soient conscients du risque de sécurité lié au fait d’utiliser le même mot de passe pour plusieurs comptes, 59% d’entre eux continuent de le faire. Les comportements en matière de création, de changement et de gestion de mots de passe professionnels comme personnels n’évoluent donc pas aussi vite que les menaces de cybersécurité.

Menée auprès de 2 000 individus aux États-Unis, en Australie, en France, en Allemagne et au Royaume-Uni, cette enquête mondiale prouve qu’une connaissance accrue des meilleures pratiques de sécurité ne se traduit pas nécessairement par une meilleure gestion des mots de passe. Les résultats mettent également en évidence l’influence des différences régionales, générationnelles et de personnalité sur les comportements vis-à-vis des mots de passe.

Voilà les principaux enseignements du rapport Psychology of Passwords.

• Psychology of Passwords – Des comportements inchangés malgré une montée en flèche des cybermenaces

Les comportements à risques constatés restent largement identiques à ceux enregistrés il y a 2 ans dans le cadre de la même étude : 53% des personnes interrogées affirment ne pas avoir changé leurs mots de passe durant les 12 derniers mois malgré l’annonce dans les médias de cas de piratages. En outre, bien que 91% des individus soient conscients du risque de sécurité lié au fait d’utiliser le même mot de passe pour plusieurs comptes, 59% d’entre eux le font encore systématiquement ou la plupart du temps.

• Psychology of Passwords – La peur de l’oubli : le principal motif de réutilisation des mots de passe

La plupart des répondants (59%) utilisent le même mot de passe sur plusieurs comptes. En outre, beaucoup continuent de s’en servir autant que possible (soit jusqu’à ce que leur service informatique exige le changement ou à cause d’un incident de sécurité). La peur de l’oubli est citée comme la principale raison de la réutilisation de mots de passe (61%), suivie par la volonté de connaître et de pouvoir contrôler tous ses mots de passe (50%).

• Psychology of Passwords – Avertissement aux équipes informatiques : les comportements vis-à-vis des mots de passe sont les mêmes au bureau et à la maison

La majorité des répondants (79%) auraient entre 1 et 20 comptes en ligne utilisés à des fins professionnelles et personnelles. Près de la moitié d’entre eux (47%) affirment réemployer des mots de passe identiques. Seuls 19% créent des combinaisons plus sécurisées pour leurs comptes professionnels. Enfin 38% ne réutilisent jamais des mots de passe professionnels à des fins personnels ou vice versa – ce qui signifie que 62% des répondants le font.

• Psychology of Passwords – Les personnalités de type A prennent les mots de passe avec sérieux

Le mauvais comportement des personnalités de type A découle de leur besoin d’avoir le contrôle, alors que les personnalités de type B ont une attitude plus décontractée à l’égard de la sécurité des mots de passe. Les répondants s’identifiant comme étant de Type A sont plus enclins que les personnalités de Type B à maîtriser la sécurité de leurs mots de passe : 77% d’entre eux réfléchissent sérieusement lors de la création de mots de passe, contre 67% des individus de Type B. En outre, 76 % des utilisateurs de Type A s’estiment informés des meilleures pratiques en la matière, contre 68% des utilisateurs de Type B.

• Psychology of Passwords – La prise de conscience de l’importance de la sécurité ne se concrétise pas forcément

Les données révèlent plusieurs contradictions, les répondants affirmant une chose, puis en faisant une autre : ainsi, 72% des personnes interrogées estiment connaître les meilleures pratiques en matière de mots de passe, mais 64% d’entre eux affirment que le plus important est de pouvoir s’en souvenir facilement. Parallèlement, bien que 91% des individus soient conscients du risque de sécurité lié au fait d’utiliser le même ou des mots de passe similaires pour plusieurs comptes, 59% d’entre eux le font encore systématiquement ou la plupart du temps.

« Les cybermenaces auxquelles les consommateurs et les entreprises doivent faire face sont de plus en plus ciblées et efficaces. Pourtant, il reste un net fossé entre ce que pensent les utilisateurs et leur volonté de passer à l’action », déclare Sandor Palfy, directeur technique chargé des solutions de gestion des identités et des accès chez LogMeIn. « Bien qu’ils semblent connaître les meilleures pratiques en la matière, les comportements des individus vis-à-vis de leurs mots de passe sont souvent de nature à exposer leurs informations aux cybercriminels. Quelques mesures simples suffisent pour améliorer ces pratiques et renforcer la sûreté des comptes en ligne, qu’ils soient personnels ou professionnels. »

APT, backdoor, Cybersécurité, Mise à jour, Securite informatique

Le ransomware SynAck gagne en complexité pour échapper aux logiciels de sécurité

Des chercheurs ont découvert une nouvelle variante du ransomware SynAck. Il utilise la technique Doppelgänging pour échapper aux logiciels anti-virus en se cachant dans des process légitimes.

SynAck is back ! C’est la première fois que la technique Doppelgänging est utilisée par un ransomware « in the wild ». Les développeurs derrière SynAck font également appel à d’autres stratagèmes pour ne pas être détectés, notamment l’obfuscation de tout le code avant la compilation d’échantillons et la fuite s’ils détectent des signes suggérant un lancement depuis un « sandbox ».

Le ransomware SynAck existe depuis l’automne 2017. En décembre dernier, il ciblait principalement les utilisateurs anglophones via des attaques par force brute RDP (remote desktop protocol) suivies par le téléchargement manuel et l’installation du malware. La nouvelle variante découverte par les chercheurs de Kaspersky Lab exploite une approche bien plus sophistiquée.

Les chercheurs du Kespersky Lab pensent que les attaques utilisant cette nouvelle variante de SynAck sont hautement ciblées. A ce jour, ils ont observé un nombre limité d’attaques aux Etats-Unis, au Koweït, en Allemagne et en Iran, avec des demandes de rançon d’un montant de 3 000 dollars USD.

La technique Doppelgänging permet de faire passer des malwares derrière les lignes de défense et les mesures de sécurité les plus récentes ; c’est une menace majeure que les criminels n’ont pas attendu pour exploiter. « Notre rapport illustre la façon dont le ransomware SynAck, jusqu’ici assez discret, a utilisé cette technique pour gagner en furtivité et accroître sa capacité infectieuse. » explique Anton Ivanov, Lead Malware Analyst, Kaspersky Lab.

APT, backdoor, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Securite informatique

La Thaïlande saisi un serveur exploité les pirates Nord-Coréens Lazarus

Les pirates informatiques du groupe Lazarus, affichés comme Nord-Coréens, auraient perdu un de leur serveur saisi par les autorités thaïlandaises.

Souvenez-vous ! En 2014, un groupe de pirates informatiques prénommé Lazarus Group (Hidden Cobra) s’attaque à Sony Picture. Motif de cette cyberattaque, punir le producteur du film « L’Interview qui tue ». Gros nanar qui se moque du dirigeant nord-coréen Kim Jong-un. Le groupe Lazarus sera étiqueté « Hackers de la Corée du Nord ». Des films, des données sensibles internes, dont des courriels et fiches de paie, avaient été diffusés par les pirates.

Quatre ans plus tard, le ThaïCert (Groupe d’intervention en cas d’urgence informatique ThaiCERT) annonce qu’il avait pris le contrôle d’un équipement utilisé par le Lazarus Group. Un serveur utilisé dans plusieurs importantes. Étonnant que des pirates étatiques exploitent toujours le même espace numérique, et cela depuis 4 ans !

Selon un rapport de McAfee Advanced Threat Research, une campagne appelée opération GhostSecret visait les infrastructures sensibles. Une cyberattaque lancée de ce serveur basé dans les locaux de l’Université Thammasat de Bangkok.

Le ThaiCERT a déclaré travailler avec McAfee pour analyser le serveur compromis afin de comprendre les menaces en cours et d’aider les victimes potentielles. Le rapport détaille la méthode d’attaque inconnue utilisée. Elle est connectée aux opérations récentes impliquant des serveurs en Inde.

backdoor, Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, loi, ransomware, Securite informatique

RGPD cas d’école : hôpital

Un logiciel malveillant a récemment touché plusieurs sites Web de l’hôpital de Floride. Certaines informations patients concernées.

« L’ampleur de cette exposition a été limitée et il a été confirmé qu’aucun dossier financier n’a été affecté » indique le communiqué de presse de l’hôpital de Floride. Une alerte lancée par l’hôpital de Floride à la suite du piratage de plusieurs de ses sites web : FloridaBariatric.com, FHOrthoInstitute.com et FHExecutiveHealth.com. Les espaces web ont été mis hors ligne le temps de la correction (et de l’enquête). Les informations des patients exposées sur FloridaBariatric.com comprennent les noms, les adresses mails, les numéros de téléphone, les dates de naissance, la taille, le poids, les compagnies d’assurance et les quatre derniers chiffres des numéros de sécurité sociale. Pour les deux autres sites, les informations compromises se limitent au nom, à l’adresse courriel, au numéro de téléphone et à à l’ensemble des commentaires fournis par l’individu. Bref, un ransomware activé après un clic malheureux sur un fichier joint !

Banque, Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Sauvegarde, Securite informatique

RGPD cas d’école banque

RGPD cas d’école banque – La banque du Commonwealth a perdu les antécédents financiers personnels de 12 millions de clients, et a choisi de ne pas révéler la violation aux consommateurs !

RGPD cas d’école banque – L’une des plus grandes violations de la vie privée des services financiers vient de toucher l’Australie et plus précisément la banque du Commonwealth. Cette dernière a perdu les antécédents financiers personnels de 12 millions de clients, et a choisi de ne pas révéler la violation aux consommateurs ! Des informations courant de 2004 à 2014. Le fautif, un sous-traitant qui a perdu plusieurs lecteurs de bandes contenant les informations financières.

Une « perte » qui a eu lieu en 2016.

Angus Sullivan, responsable des services bancaires de la Commonwealth Bank, a déclaré à BuzzFeed News que sa société « prenait la protection des données des clients très au sérieux et les incidents de ce type ne sont pas acceptables.« 

Les relevés bancaires perdus contiennent des renseignements personnels potentiellement sensibles et peuvent brosser un portrait détaillé des affaires financières et personnelles d’une personne. Ils pourraient être détournés par des pirates ou exploités par des sociétés commerciales qui pourraient utiliser les données à des fins illégitimes ou contraires à l’éthique. Pas de mot de passe et autres code PIN dans les bandes perdues.

BuzzFeed News a appris que la violation s’est produite en 2016, lorsque le sous-traitant de la banque, Fuji Xerox, mettait hors service un centre de stockage de données où certaines données de clients de la Banque Commonwealth étaient stockées. Le 25 mai 2018 en France, il faudra alerter la CNIL, les clients… et en cas de faute avérée, risquer une amende pouvant atteindre 4% de son chiffre d’affaire.

Base de données, Chiffrement, Cybersécurité, double authentification, Entreprise, Fuite de données, Justice, loi, RGPD, santé, Securite informatique

RGPD cas d’école santé

RGPD cas d’école – Une infirmière consulte des données de santé sans autorisation. L’hôpital obligé d’alerter plusieurs centaines de patients.

RGPD cas d’école – L’Office régional de la santé de Winnipeg (canada) indique son obligation d’alerter des centaines de patients après qu’une infirmière ait accédé de façon inappropriée à des renseignements médicaux personnels. L’autorité indique dans un communiqué de presse que l’infirmière, qui avait accès au système d’information du service des urgences, a fouillé de façon inappropriée alors qu’elle travaillait à l’extérieur de service d’urgence de l’hôpital de Grace.

Un cas que pourraient vivre des centaines d’hôpitaux Français à partir du 25 mai 2018. « L’accès à notre système d’information sur les urgences est vital pour les infirmières et les employés du service des urgences afin qu’ils puissent avoir accès à des renseignements sur la prestation des soins à n’importe quel moment de leur quart de travail, déclare l’ORSW. La seule fois où l’information peut être utilisée à l’extérieur du service des urgences, cependant, est pour les transferts de patients – ce qui n’a pas eu lieu dans ce cas. » 1 756 patients sont concernés par cette consultation non autorisée. Le 25 mai 2018 en France, il faudra alerter la CNIL, les patients.