Testé pour vous, la clé double authentification SoloKeys

Après vous avoir proposé de découvrir les méthodes de double authentification offertes sur le web, Google ou encore la Yubico, voici la présentation de la Solo Tap Hacker de chez Solokeys !

Les tests que nous vous proposons sur les matériels de cybersécurité vous plaisent. Vos messages nous font plaisir et nous incitent à vous en proposer d’autres. Après vous avoir fait découvrir la double authentification de Google, Facebook, Linkedin, de l’administration d’un site web sous WordPress. Après la découverte des clés 2FA/FIDO de chez Yubico ou encore la Titan Security Key de chez Google. Voici le test de la Solokeys.

Solokeys, kesako

La solution de cybersécurité Solokeys à le goût de la clé de chez Google ; la couleur de la clé de chez Yubiko mais sa force se cache ailleurs. Cette double authentification physique tire sa force de sa communauté. C’est la première Fido Security Key open source. Bilan, les « codeurs » qui veulent mettre leur nez dans l’objet et sa programmation sont attendus les bras ouverts. Plusieurs versions sont proposées. J’ai testé la SOLO (USB) et la SOLO TAP (USB et le sans contact). Il est possible de recevoir la clé en mode « développeur ». Compter 20€ pour la SOLO ; 35€ pour la TAP. La version « je mets mes doigts dedans » coûte 20euros.

Test de la Solokeys

Le packaging arrive par la poste dans une enveloppe à bulle. J’avoue que pour avoir eu des colis de ce type arriver dans le même type d’enveloppe me laisse des sueurs froides sur le front. Je me souviens encore de cette enveloppe à bulle… et les traces de roues de ce qui semblait être une moto. L’objet à l’intérieur était littéralement DÉFONCÉ !

En ce qui concerne la SoloKeys, pas de problème. Le colis est arrivé en 20 jours après le paiement.

Les clés sont dans une seconde enveloppe métallisée, celle qui protègent les appareils électroniques de l’électricité statique. Selon la clé, vous recevrez dans votre colis la clé nue et deux protections en caoutchouc. A noter que j’ai cassé une des clés commandées rien qu’en tentant de mettre la protection noire. La clé à fait… crick, crack. Je mettrais cela sur mon petit côté « gros doigts de bourrin ». Une fois la seconde clé protégée par sa ganse rouge, son utilisation est fort simple. D’ailleurs, la page proposant sa mise en route est l’une des plus claire rencontrée. Pour authentifier la clé, il suffit de se rendre dans les espaces de Validation en deux étapes et activer la clé. Google c’est par ici ; Facebook c’est par .

La SoloKeys est très simple d’utilisation… et modifiable. Son code est open source.

Résistance et confiance ?

La force de la Solo keys réside dans son code source ouvert. Son matériel (fabrication) l’est tout autant. Autre détail loin d’être négligeable, surtout pour ceux qui craignent les Américains, les Russes, la Corée du Nord et les extraterrestres, le processeur et le circuit imprimé sont fabriqués et programmés en Europe. Côté résistance physique. Comme déjà indiqué, j’ai « cassé » une clé en voulant la placer dans son étui en latex. J’en ai cassé une autre en voulant l’accrocher à un porte clé. Côté étanchéité. Un passage en machine à laver n’a pas altérée le fonctionnement de la clé.

En conclusion. La Solokeys Une excellente alternative pour ceux qui ne souhaitent pas passer par les géants du secteur. La double authentification étant un outil indispensable dans votre panoplie cybersécurité.

La Gendarmerie Nationale coupe l’infiltration de Retadup

960 000 ordinateurs de part le monde désinfectés du code malveillant Retadup par le centre de lutte contre les criminalités numériques de la Gendarmerie Nationale.

Les militaires du centre de lutte contre les criminalités numériques (C3N) ont frappé fort en faisant taire le code malveillant Retadup. Après une prise de contrôle du serveur permettant de contrôler plus de 960 000 machines de part le monde, les cyber gendarmes ont désinfectés les machines zombies.

Un sacré coup de frein aux actions malveillantes d’un groupe de pirates connus pour agir de Palestine.

Retadup est un cheval de Troie permettant de surveiller un ordinateur, intercepter les frappes claviers. Il peut aussi mettre la main sur les données financières, dont des cryptomonnaies. ZATAZ explique que la furtivité du logiciel pirate fait de lui un code malveillant redoutable.

Infiltration de votre agenda Google

Retour en force du spam via l’agenda Google. Une attaque que les malveillants ressortent de leur tiroir.

Plusieurs lecteurs de Data Security Breach se sont étonnés de mystérieux messages apparus dans leur agenda Google. Des rendez-vous proposant des rencontres via des sites pour adultes.

Bref, un spam et des publicités non sollicités via ce support.

La technique est assez simple, elle permet des phishings efficace.

L’interlocuteur malveillant annonce un rendez-vous avec vous. Si vous avez mal configuré votre compte Agenda, le rendez-vous s’affiche dans votre agenda. J’avoue profiter de cette option chez des potes qui utilisent l’enceinte connectée Google et l’Agenda. Cela permet d’énoncer des rendez-vous… particuliers !

Ce qui est intéressant est que l’alerte mail termine dans les spams. Mais l’Agenda valide l’invitation. En juin 2019, Kaspersky se faisait l’écho de ce spam.

Originalité des pirates

Les menaces de spam et de phishing qui exploitent des vecteurs d’attaque non traditionnels peuvent être lucratives pour les criminels, car elles peuvent souvent tromper avec succès des utilisateurs qui pourraient ne pas craindre une attaque plus évidente.

Cela est particulièrement vrai en ce qui concerne les services légitimes de confiance, tels que les fonctionnalités de calendrier de messagerie, qui peuvent être exploitées via ce qu’on appelle le « phishing de calendrier« .

Dans cette attaque, les agenda se retrouvent avec des rendez-vous qui se répètent sur 7 jours.

La force de Google étant aussi la géolocalisation. Les spammeurs intègrent des invitations personnalisées selon votre localisation. Bilan, les annonces affichent l’Apple Store le plus proche de chez vous pour être plus convaincant.

Pour vous protéger, rien de plus simple.

Désactivez l’ajout automatique d’invitations à votre calendrier. Pour ce faire, ouvrez Google Agenda, cliquez sur les paramètres, puis sur Paramètres d’événement.

Pour l’option « ajouter automatiquement des invitations« , cliquez sur le menu déroulant et sélectionnez « Non, ne montrer que les invitations auxquelles j’ai répondu« .

En dessous, dans la section Options d’affichage, assurez-vous que la case « Afficher les événements refusés » ne soit PAS cochée, à moins que vous ne souhaitiez spécifiquement les afficher.

Protéger ses transferts de fichiers avec castrum.io

Castrum.io, une jeune pousse de la cybersécurité Française propose une solution pour sécuriser vos transferts de fichiers. Découverte !

Castrum est un projet 100% Français. Mission, permettre une sécurité optimale dans le transfert de fichier.

L’idée est apparue en 2016 via la SSII Ex Algebra. Depuis, la jeune pousse de la cybersécurité a mûri son projet au point que des cabinets d’avocats utilisent ce service.

Castrum.io se veut un projet permettant de proposer un système de gestion de fichier, un peu à la Dropbox. Mission, partager des fichiers, tout en gardant le contrôle total sur le partage.

« Nous sommes parti d’un constat simple, explique Michel Gashet, les partages de fichiers débutent très souvent par un mail, non chiffré. Perte complète du contrôle, l’information reste dans la boite électronique du destinataire« . Bilan, Castrum se propose de servir d’espace de stockage sécurisé afin de partager vos fichiers.

Il est possible de paramétrer un mot de passe pour accéder au fichier (Il n’est pas envoyé dans le mail qui communique le lien d’accès). Le diffuseur doit partager le mot de passe par un autre moyen de contact de confiance : téléphone, remise en main propre.

Une durée d’expiration du lien (valide un mois, par exemple); un nombre d’accès autorisé (pas plus d’un certain nombre). Et même la possibilité d’autodétruire le fichier quand son partage a expiré.

L’hébergement se fait uniquement en France. Chaque client à son propre serveur. Les disques sont chiffrés.

Comment ça marche ?

Après la connexion, vous choisissez le fichier à partager. Taille maximale de ce dernier, 1Go (dans la version démo). Une taille qui pourra évoluer selon les besoins. Un studio de création graphique utilisateur diffuse du 8Go sans problème.

Vous l’envoyez sur votre serveur sécurisé Castrum.

Il ne reste plus qu’à envoyer un mail ou de récupérer le lien de téléchargement. Une adresse web codée à communiquer à votre contact.

Les actions s’affichent dans votre administration. « Le fichier « 92829 », partagé le 27/08/2019, n’a pas encore été chargé. Quand ce dernier a été vu, votre admin l’affiche avec le nombre de téléchargement. J’avoue que rajouter l’heure et la zone géographique du téléchargement pourrait rassurer. En cas d’interception, cela pourrait être un détail important d’action rapide. L’heure est cependant disponible dans l’espace « fichier partagé ».

Côté coût, 38 euros HT/mois pour 500 fichiers partagés par jour, maximum 2 Go par fichier. Parfait pour une PME/PMI qui souhaite utiliser un canal chiffré et contrôlé de bout en bout (exemple d’utilisation moyen pour une PME). « Un nombre de fichier qui peut évoluer sans surcoût« .

Bref, une idée qui germe de manière fort sympathique. Castrum est RGPD-ready. Le site vous simplifie toutes les étapes pour le respect des données personnelles. Parmi les projets à venir, l’accès aux logs plus poussés des fichiers partagés comme permettre d’avoir des preuves d’accès aux fichiers et de la moindre action sur le compte.

Centrale nucléaire : fabrique pirate de cryptomonnaie

Les services secrets ukrainiens viennent de mettre la main sur du matériel pirate dans la seconde centrale nucléaire du pays. Quelqu’un minait de la cryptomonnaie.

Ce n’est pas un cas unique, la Russie et de nombreuses universités ont déjà eu à faire à ce genre d’infiltration. La seconde centrale nucléaire d’Ukraine était exploitée par un pirate pas comme les autres. Les services secrets du pays ont découvert du matériel permettant de miner des cryptomonnaies. L’usine, située à Yuzhnoukrainsk, hébergeait six cartes vidéo Radeon RX 470.

Du matos caché dans une aile administrative. Elle n’était pas en lien direct avec la centrale. Le fait d’utiliser les ressources de la société est un délit.

Le même jour, des perquisitions effectuées dans les locaux utilisés par l’unité militaire 3044 (Garde nationale de l’Ukraine – Éd.), Située sur le territoire de la centrale nucléaire du sud de l’Ukraine. À la suite de la recherche, 16 cartes vidéo, une unité centrale avec le numéro d’inventaire de l’unité militaire, sept disques durs, deux disques SSD, un lecteur flash USB et un routeur saisis .

De fuites…

2017, les activistes du mouvement éclair mobilisateur #fuckresponsibledisclosure initié par l’Ukernian Cyber ​​Alliance constatent des problèmes de sécurité chez Energoatom.

Décembre 2017, l’hacktiviste Dmitry Orlov signale une fuite de données à la centrale nucléaire de Zaporizhzhya. Accès libre à la documentation interne.

Octobre 2018, Alexander Galouchtchenko, expert en sécurité, découvre des documents liés aux travaux de la centrale nucléaire.

19 mars 2019, la police ouvre une procédure pénale pour un cas d’ingérence dans le fonctionnement du réseau de la centrale. Trois employés du département de la sécurité nucléaire impliqués.

Et demain ?

En 2015, Data Security Breach vous expliquait comment des chercheurs s’inquiétaient des installations. De plus et plus dépendantes des systèmes numériques. la sensibilisation de haut niveau des menaces liées à la cybersécurité stagne. « Les récentes attaques de grande envergure ont soulevé de nouvelles inquiétudes concernant les failles de sécurité des cyber d’installations nucléaires », commentait le rapport.

Quels sont les derniers fichiers modifiés/consultés sur votre partage de fichiers Windows ?

Pour de nombreuses normes de conformité, vous devez être en mesure de répondre à certaines questions comme « Qui a accédé à quel fichier ? Quels changements ont eu lieu ? ». Pour des raisons évidentes de sécurité, vous devez être capable d’identifier facilement une activité sur vos fichiers et dossiers partagés les plus sensibles et de réagir en cas de menace. Explication par notre partenaire IS Decisions.

FileAudit offre à la fois aux professionnels de l’informatique une visibilité optimale les données de l’entreprise, mais également une possibilité de réagir rapidement aux événements.

Trouver les derniers fichiers consultés/modifiés

Une fois l’audit configuré, je peux voir en temps réel les accès qui se produisent sur les partages que j’ai sélectionnés, à partir de l’observateur d’accès.

Je peux voir la date et l’heure, le fichier ou le dossier auquel on a accédé, le type d’accès, le refus ou l’octroi, l’utilisateur qui a tenté d’accéder au fichier, la machine à partir de laquelle l’accès a été effectué avec son adresse IP et le serveur sur lequel le fichier est stocké.

Surveiller les accès refusés

Lorsque je suis sur l’observateur d’accès, je peux facilement voir qu’il existe des accès refusés à certains dossiers. Je peux donc aller de l’avant et examiner de plus près ce dossier pour voir qui a tenté d’y accédé. Nous prendrons ici l’exemple d’un utilisateur dénommé Alice et de dossiers appelés « Accounting » et « Peopleopps ».

Je vais ensuite regarder de plus près l’activité générale de cet utilisateur en cliquant sur son nom d’utilisateur. J’obtiens un tableau de bord de l’activité d’Alice des derniers jours et semaines.

Cela me permet de voir s’il y a eu beaucoup d’accès refusé par cet utilisateur. Je peux faire défiler davantage et voir tous ces accès vers tous ces fichiers et dossiers qui ont été lus à la même heure le même jour. S’ils se sont produits simultanément, cela peut m’amener à penser qu’Alice sélectionne un grand nombre de fichiers et les copie sur un lecteur externe ou éventuellement sur son bureau.

Une fois cette vue détaillée obtenue, je peux l’exporter au format PDF au cas où je souhaiterais l’envoyer à un responsable ou au cas où d’autres alertes viendraient de cet utilisateur.

Définir des alertes

La prochaine étape que je souhaite mettre en place consiste à envoyer des alertes proactives au cas où de tels accès se reproduiraient. Je peux donc accéder à l’onglet d’alertes et à partir de là créer mes alertes.

Ce que je vais faire en premier lieu, c’est créer une alerte d’accès unique pour les accès refusés sur les dossiers sensibles Accounting et Peopleops.

Très facilement, il me suffit de sélectionner le statut d’accès « refusé », de laisser tous les types d’accès et d’entrer l’utilisateur Alice. Il faut ensuite sélectionner les deux chemins que nous avons vus précédemment, Accounting et Peopleopps et valider. Je peux enfin simplement choisir le destinataire de l’e-mail et je peux également ajouter un canal Slack où tous les administrateurs recevront des messages afin qu’ils puissent les voir également.

La deuxième alerte que je vais mettre en place s’agit d’une alerte d’accès en masse pour Alice, en raison de l’activité sur plusieurs fichiers ou dossiers accédés en même temps, montrant qu’elle pourrait copier ou déplacer un grand nombre de fichier.

Je vais laisser le statut et les types d’accès, je vais juste ajouter ici à nouveau notre utilisateur Alice et je vais définir un seuil que je vais définir assez bas. Je vais dire que si 25 fichiers ou dossiers sont consultés en l’espace de 30 secondes, j’aimerais que cette alerte soit déclenchée. Pour les chemins à surveiller, je vais mettre tout ce qui est audité, je ne vais pas exclure d’heures, mais je vais ajouter les destinataires de l’e-mail et choisir les mêmes qu’auparavant, l’e-mail de l’administrateur et mon canal Slack qui reçoit toutes ces alertes. Il suffit de valider, sauvegarder cette alerte et maintenant, j’ai la configuration de mes deux alertes.

Réagir aux alertes d’accès suspects

En plus de la surveillance en temps réel et de l’identification des menaces, vous devez être en mesure d’agir sur les menaces potentielles.

FileAudit peut réagir immédiatement à une alerte sans avoir à attendre que le service informatique intervienne. Un script personnalisé peut être créé et exécuté chaque fois qu’une alerte spécifique est déclenchée.

Je peux par exemple arrêter la machine d’Alice ou bien la déconnecter. Cela me permet d’agir sur les menaces potentielles avant que tout dommage ne soit causé.

C’est ainsi que vous pouvez utiliser FileAudit pour voir les accès sur vos fichiers ou vos dossiers, générer des rapports, configurer des alertes de manière proactive et réagir en cas de comportement suspect sur votre réseau.

Cliquez ici pour voir une courte démo explicative de FileAudit.

Ne vous fiez pas à ce que nous disons, téléchargez dès maintenant l’essai gratuit entièrement fonctionnel et constatez par vous-même avec quelle facilité FileAudit peut vous aider à identifier une activité sur vos fichiers et dossiers partagés les plus sensibles.

BIG-IP de F5 : un grave défaut de sécurité peut donner lieu à des intrusions informatiques

Intrusions : Un chercheur en cybersécurité a identifié un défaut de sécurité susceptible de transformer des centaines de milliers d’équilibreurs de charge en vecteurs de cyber attaques.

Des chercheurs en cybersécurité invitent les organisations utilisant l’équilibreur de charge BIG-IP de F5 Networks, à remédier aux problèmes de sécurité posés par plusieurs configurations.

BIG-IP est notamment populaire auprès des gouvernements, des banques et d’autres grandes entreprises. Mal configuré, cet équilibreur de charge peut servir de porte d’entrée pour les pirates informatiques. Ces derniers peuvent alors s’infiltrer sur les réseaux et effectuer de nombreuses attaques contre les entreprises et particuliers utilisant les services web gérés par le produit corrompu.

Le défaut de sécurité réside dans le langage de programmation Tcl utilisé pour définir les règles iRules (la fonctionnalité utilisée par BIG-IP pour diriger le trafic web entrant). Certaines pratiques de codage permettent aux hackers d’injecter des commandes Tcl arbitraires pouvant être exécutées dans le script Tcl cible.

Lorsqu’ils exploitent avec succès ces règles iRules mal configurées, les hackers peuvent utiliser le BIG-IP corrompu comme vecteur pour lancer d’autres attaques et réaliser des intrusions réseaux. Ils peuvent également intercepter et manipuler le trafic web, de manière à exposer des informations sensibles (identifiants, secrets d’application) ou à attaquer des utilisateurs des services web de l’organisation.

Exploiter un système vulnérable (CVE) peut parfois s’avérer aussi simple que d’entrer une commande ou une ligne de code dans le cadre d’une requête web : la technologie se charge du reste. Dans certains cas, le dispositif corrompu n’enregistre pas les actions du pirate informatique : aucune preuve de l’attaque ne peut alors être récupérée. Dans d’autres cas, le hacker peut effacer lui-même les logs retraçant ses opérations, entravant ainsi sérieusement tout travail d’enquête.

« Ce défaut de configuration est relativement sérieux puisqu’il permet au pirate d’opérer furtivement : il peut s’infiltrer, atteindre ses objectifs, puis effacer ses traces. Le problème est d’autant plus grave que, souvent, les entreprises ne sont pas aptes à identifier et résoudre les problèmes de sécurité cachés dans la chaîne d’approvisionnement logicielle », explique Christoffer Jerkeby, Senior Security Consultant chez F-Secure. « À moins de savoir quoi chercher, il est difficile d’anticiper un problème de sécurité de cette nature, ou pire, de le gérer en cas d’attaque. »

Christoffer Jerkeby a identifié plus de 300 000 instances actives de BIG-IP sur internet au cours de ses recherches mais il estime que, compte-tenu des limitations méthodologiques, le nombre réel pourrait être beaucoup plus élevé. (Note de la rédaction : les pirates n’ont pas attendu, depuis plusieurs semaines, via Shodan, le moteur de recherche, ils se servent allègrement).

Ce type de vulnérabilité n’est pas nouveau et est connu depuis un certain temps, tout comme d’autres vulnérabilités d’injection de commandes identifiées dans d’autres langages informatiques répandus. Toutes les entités utilisant BIG-IP ne sont pas concernées par ce problème de sécurité. Toutefois, cet équilibreur de charge est très répandu chez les organismes bancaires, les organisations gouvernementales et d’autres entités proposant des services en ligne très populaires. De ce fait, les enjeux sont grands et de nombreuses personnes sont concernées. Toutes les organisations utilisant cet équilibreur de charges doivent donc évaluer leur degré d’exposition.

« Si elles n’ont pas mené d’enquête approfondie sur cette technologie, il est fort probable que les entreprises utilisant cette technologie soient concernées par le problème. Même un professionnel extrêmement bien informé sur la sécurité peut laisser passer un tel défaut de configuration. Il est essentiel de sensibiliser les entreprises si nous souhaitons les aider à mieux se protéger contre ce vrai risque d’intrusion. »

Recommandations aux organisations

Il est possible de procéder à un balayage massif d’internet afin d’identifier et exploiter les instances vulnérables de cette technologie. Dans certains cas, ce processus peut même être automatisé. Ce problème de sécurité est donc susceptible d’attirer l’attention des chasseurs de bug bounty… et des pirates informatiques. De plus, des versions d’essai gratuites de BIG-IP sont proposées et il est possible d’accéder à une version cloud pour un coût minime, à partir d’AWS. F-Secure conseille donc aux organisations d’enquêter de manière proactive pour savoir si elles sont affectées ou non par ce défaut de sécurité, compte-tenu des risques encourus.

Christoffer Jerkeby a aidé à développer des outils libres et gratuits que les organisations peuvent utiliser pour identifier les configurations non sécurisées de leurs équilibreurs BIG-IP. Il souligne toutefois qu’il n’existe pas de solution miracle : les organisations doivent répondre elles-mêmes au problème.

« La bonne nouvelle, c’est que tous les utilisateurs ne sont pas affectés par ce défaut de sécurité. La mauvaise, c’est que ce type de problème ne peut pas être résolu par un simple patch ou une simple mise à jour : il appartient aux organisations de vérifier si elles ont ce problème et de le résoudre si c’est le cas », explique-t-il. « Quiconque utilise BIG-IP doit donc se montrer pro-actif. »

Varenyky, le virus qui prend des captures d’écran durant la consultation de sites pornographiques

Des chercheurs découvrent une série de campagnes de spam ciblant spécifiquement la France. Ces campagnes distribuent un code malveillant baptisé Varenyky. À l’image de beaucoup d’autres bots de ce type, Varenyky peut bien sûr envoyer du spam ou voler des mots de passe. Mais là où il se distingue, c’est qu’il est aussi capable d’espionner les écrans de ses victimes lorsqu’elles regardent du contenu sexuel en ligne.

Cette campagne de spam est apparue sur le radar des chercheurs ESET lors d’un premier pic de distribution en mai 2019, et n’a pas cessé d’évoluer depuis. « Nous pensons que ce spambot est en plein développement, car il a considérablement changé depuis la première fois que nous l’avons vu. Comme toujours, nous recommandons aux utilisateurs d’être prudents lorsqu’ils ouvrent des pièces jointes de sources inconnues et de s’assurer que leur système et leurs logiciels de sécurité sont tous à jour », explique Alexis Dorais-Joncas, chercheur principal au centre de R&D ESET à Montréal.

Les victimes de Varenyky sont en effet infectées en ouvrant une pièce jointe malveillante reçue dans un spam.

Pour changer, écrit dans un très bon français, ce qui pourrait indiquer que ses opérateurs parlent couramment notre langue. Une fois ouvert, le document exécute la charge utile malveillante, qui amorce à son tour le processus d’infection.

Utilisation de Tor

Enfin, à la fin de l’infection, Varenyky se met au travail et lance le logiciel Tor.

Il établit une communication anonyme avec son serveur de Commandes & Contrôle. À partir de ce moment, l’activité criminelle à proprement parler peut commencer. Le code malveillant lancera deux tâches en parallèle : diffusion de spams. Exécution sur l’ordinateur de la victime des commandes reçues depuis son serveur contrôle.

« L’une de ses capacités les plus dangereuses est qu’il recherche des mots-clés spécifiques tels que le terme ‘bitcoin’ et des mots en correspondance avec la pornographie. détaille Alexis Dorais-Joncas. Varenyky commence alors à enregistrer l’écran de l’ordinateur et télécharge ensuite l’enregistrement sur le serveur C&C », ajoute le chercheur.

Les commandes dont disposent les opérateurs leur permettent en effet de prendre des captures d’écran, mais aussi de lire les textes qui s’y affichent.

Nous connaissions déjà bien entendu les fausses campagnes de sextorsion, dans lesquels les criminels ne détenaient pas réellement d’images incriminantes de la victime. Mais la diffusion de Varenyky pourrait très bien conduire cette fois à de véritables campagnes de ce type. Sans compter l’autofinancement en parallèle par la capacité de vol d’identifiants des portefeuilles Bitcoin.

« Il faut également ajouter que Varenyky est aussi capable de voler les mots de passe, grâce au déploiement d’une application potentiellement dangereuse », explique Alexis Dorais-Joncas.

Intéressant, mais étonnant ! Quel intérêt pour un code malveillant de filmer les sites pornos ! Il aurait été plus judicieux d’allumer la webcam présente pour filmer le visiteur. Une perte de temps, d’énergie et d’outil. Quel est la chance de tomber sur un internaute qui possède du Bitcoin et qui visite des sites pour adultes. Trop peu pour que cet outil soit rentable !

Des pirates visent les informations de navigation et de localisation des forces vénézuéliennes

Les centres de recherche ESET ont mis à jour une vaste campagne de cyber-espionnage en cours contre des cibles très sensibles en Amérique latine. Plus de la moitié des ordinateurs attaqués appartiennent notamment aux forces militaires vénézuéliennes. Mais cette campagne cible également d’autres institutions nationales, allant de la police à l’éducation, en passant par les affaires étrangères.

La majorité des attaques (75 %) concerne le Venezuela, et 16 % l’Équateur, où les forces armées ont également été ciblées.

L’opération est attribuée au groupe Machete. Celui-ci aurait déjà dérobé Nonà ses victimes plusieurs giga-octets de documents confidentiels par semaine. La campagne est toujours très active et intervient à un moment où les tensions régionales s’exacerbent et où les tensions internationales entre les États-Unis et le Venezuela sont au plus fort.

Les chercheurs d’ESET ont suivi une nouvelle version des outils « Machete » (la boîte à outils du groupe) qui a été vue pour la première fois il y a un an. En seulement trois mois, de mars à mai 2019, ESET a ainsi pu observer plus de 50 ordinateurs victimes communiquer avec des serveurs de commandes et de contrôle (C&C) appartenant aux cyber-espions. Les chercheurs ont également pu observer les attaquants apporter régulièrement des modifications au malware, à son infrastructure et même aux campagnes de phishing en cours.

« Les opérateurs de Machete utilisent des techniques d’hameçonnage ciblé très efficaces. Leur longue série d’attaques, axées sur les pays d’Amérique latine, leur a permis de recueillir des renseignements et d’affiner leurs tactiques au fil des ans. Ils connaissent très bien leurs cibles, savent comment se fondre dans les communications régulières et quels documents sont les plus précieux à voler », explique Matias Porolli, chercheur en cybersécurité chez ESET. « Par exemple, les attaquants s’intéressent de près aux fichiers utilisés par les systèmes d’information géographique (SIG). Et ils exfiltrent en particulier ceux qui décrivent des routes de navigation et des positionnements exprimés à l’aide de grilles militaires », ajoute-t-il.

Mobile Malware Report – Une application malveillante toutes les 8 secondes

Les experts en sécurité de G DATA ont compté plus de 10 000 nouvelles applications malveillantes chaque jour au cours du premier semestre 2019. Près de 2 millions de nouvelles applications malveillantes au cours des six premiers mois de 2019. En moyenne cela représente une application infectée pour Android qui apparaît toutes les huit secondes.

Le nombre de nouvelles applications malveillantes pour les appareils Android a légèrement diminué au premier semestre 2019. Alors que les experts de G DATA avaient comptabilisé plus de 2 millions d’applications infectées entre janvier et juin 2018, ils en ont trouvé 1,85 million cette année. « Le risque pour les smartphones et autres appareils mobiles reste très élevé « , déclare Alexander Burris, chercheur mobile en chef chez G DATA. « Parce que les smartphones sont devenus des compagnons indispensables, ils sont une cible attrayante pour les cybercriminels. Les logiciels publicitaires ou de rançon, qui nuisent directement à l’utilisateur, sont particulièrement lucratifs. » Fin juin, le nombre total d’applications malveillantes connues s’élevait à près de 94,2 millions.

Trop de versions d’Android

Le potentiel de menace toujours élevé d’Android est favorisé par la forte fragmentation du système d’exploitation. Actuellement, seulement 10 % du parc Android dispose de la dernière version 9. Quant à Android 8 – Oreo – il est seulement utilisé sur 28 % des appareils en circulation. Cela signifie que près de 60 % des appareils utilisent encore des versions datant d’avant août 2017, autrement dit qui sont totalement obsolètes.

Le label Android One de Google tend à corriger ce problème. En optant pour un smartphone portant ce label, l’acheteur est assuré que son appareil recevra les mises à jour du système pendant 2 ans.

L’annonce de la conversion d’une grande partie de l’infrastructure de mise à jour vers la nouvelle version Android Q et de la mise à jour des composants du système indépendamment des surcouches des fabricants permet également d’espérer que le problème des mises à jour sera résolu à terme.

Appareils obsolètes et imports bon marché

Les systèmes d’exploitation et les smartphones obsolètes qui n’ont pas les correctifs les plus récents permettent aux pirates d’installer facilement des logiciels malveillants sur l’appareil. Les raisons de cette situation sont doubles : soit il n’y a pas de mises à jour pour l’appareil, soit les clients ne les installent pas. Mais il peut également arriver que des appareils bon marché importés d’Asie soient vendus avec des logiciels malveillants préinstallés. Ces logiciels malveillants, principalement des spywares, permettent au constructeur malhonnête de récolter des informations sur l’utilisateur et de monétiser ce client par l’affichage de publicités ou l’installation d’applications à son insu. Bref, un logiciel de supervision destiné aux DSI peut faire parti de l’arsenal pour surveiller les installations « bancales ».

Haro sur le Google Play

Depuis quelques mois, le Play store ne fait plus recette auprès des gros éditeurs. Epic Games avait lancé les hostilités l’ année dernière en choisissant de ne pas  sortir son application Android sur la plateforme d’applications de Google. D’autres, tels que Tinder ou Netflix ont fait le choix de détourner le paiement vers leur propre boutique. La commission de 30 % demandée par Google ne passe plus… Si une telle tendance se confirmait, l’émergence de plateformes parallèles pourrait devenir une opportunité pour les cybercriminels.

Des pertes en millions

SimBad, Operation Sheep et Agent Smith sont trois exemples qui illustrent le succès des cybercriminels. 150 millions d’utilisateurs auraient une application Android avec le malware SimBad installé. La deuxième campagne de malware réussie est connue sous le nom d’Operation Sheep. Les applications infectées ont été téléchargées plus de 111 millions de fois. Toutes les applications se trouvent principalement dans les boutiques d’applications tierces. L’agent Smith est le nom de la troisième grande campagne. Elle a infecté 25 millions de smartphones en Asie. Une fois installé, l’agent remplace les applications par des clones infectés afin qu’ils affichent de la publicité. Bref, La transformation numérique des organisations doit prendre en compte ce genre de malveillance.

Testé pour vous : Titan Security Key

Je vous parlais, début août, de l’arrivée en France et au Canada de la Titan Security Key de chez Google. Voici le test complet de cette clé dédiée à la double authentification de vos comptes web.

Disponible aux USA depuis 2018, la Titan Security Key vient d’arriver sur les marchés Français et Canadien au 1er août 2019. Data Security Breach et ZATAZ vous proposent le test de cette clé de sécurité dédiée à la double authentification de vos comptes : mail, site web, …

Le package est efficace, solide et comme à chaque fois chez Google, qualitatif. On y apprend que le contenu est large avec deux clés, deux adaptateurs (usb, usb-c) et une rallonge usb. On découvre que le matériel est conçu par Google… assemblé en Chine. Les plus paranoïaques vont donc quitter ce test après ce point. Google + Chine vont leur donner des sueurs froides. Mais revenons plus sérieux. Une fois l’autocollant de sécurité décollé.

Il laisse le mot VOID sur la boîte afin de prouver sa non-ouverture. Le contenu apparaît sur deux étages. Deux notices, assurance et mode d’emploi. Ce dernier est simple, sans fioriture, efficace.

Titan Security Key : comment ça marche ?

Direction les sites que vous souhaitez protéger. Ils sont très nombreux aujourd’hui : Google, Facebook, Linkedin, … Nous allons orchestrer ce test pour protéger un compte Google, et donc Youtube, gMail, … Commençons par nous connecter au compte Google que nous souhaitons protéger. Mail et mot de passe suffisent. Direction l’espace sécurité, double authentification. Il suffit d’entrer la Titan Security Key pour coupler cette dernière à l’accès à protéger. Rien de plus simple. Une fois effectué, déconnexion automatique de votre compte sur tous vos appareils. Pour vous reconnecter, il suffira d’utiliser votre mot de passe et votre clé de sécurité.

Vous perdez vos clés ? Il est possible de reprendre la main en faisant une demande à Google, mais cette dernière, comme pour le cas des outils tels que Authy, prendre plusieurs jours (3 pour Authy). Il est possible de répliquer les fonctionnalités de protection dans un compte G Suite.

Sur smartphone, via le NFC et le Bluethooth

Vous possédez une tablette, un smartphone Android/iOS la Titan Security Key vous permet d’utiliser votre compte et la double authentification. Pour cela, trois méthodes: la clé et l’adaptateur ; le NFC de la clé ; le bluethooth.

Dans le premier cas, il suffit de rentrer la prise de la rallonge dans le smartphone. Deux embouts sont proposés : mini USB et USB-C.

Dans le second cas, branchez le NFC de votre téléphone et approchez la Titan Security Key.

Dernière possibilité, le bluetooth est allumé. Cliquez sur le bouton 5 secondes.

Pro et perso

Le matériel est robuste, résiste à l’eau, mais pas plus de 45 secondes immergées dans les toilettes (une erreur est site vite arrivée) pour la clé Bluetooth. La seconde clé fonctionne encore après 45 secondes dans un évier rempli d’eau chaude et produits vaisselles. La Titan Security Key, tout comme sa concurrente Yubico, seront des alliés loin d’être négligeable. Si un pirate vous vole vos identifiants de connexion, avec ce type de sécurité, même armé de vos sésames, le malveillant ne pourra accéder à vos données.

Je vous invite d’ailleurs à utiliser le Service Veille ZATAZ qui permet de détecter, dans les espaces pirates, les données qui ont pu vous être volés ces derniers heures, jours, semaines mois, années. Point fort de la Titan Security Key, la possibilité d’inscrire cette dernière au programme Advanced Protection « Le Programme Protection Avancée protège les comptes Google personnels des individus susceptibles de faire l’objet d’attaques ciblées : les journalistes, les activistes, les chefs d’entreprise et les équipes de campagnes électorales. » indique Google.

Sécurité renforcée et limitation des applications utilisables

A noter qu’une fois les clés activées, les autres facteurs d’authentification, tels que les codes envoyés par SMS ou l’application Google Authenticator, ne fonctionneront plus.

A gauche, la clé Yubico.

Les applications n’appartenant pas à Google sont limitées. Cela veut dire que les applications Mail, Contacts et Calendrier d’Apple, ainsi que le logiciel Thunderbird de Mozilla, continueront de fonctionner avec les comptes bénéficiant de la Protection avancée. De nombreuses autres applications n’appartenant pas à Google n’auront pas accès aux données de votre compte. Les mots de passe d’application sont HS. Vous ne pourrez plus générer de mots de passe via les mots de passe d’application.

Gros gors point noir. Vous avez une télévision connectée Android ? La clé ne fonctionne pas. Google Chrome est imposé. Bilan, vous ne pouvez plus profiter des « services » proposés comme Google Play, …

A noter aussi que les Google Home, les enceintes connectées ne fonctionne plus depuis l’installation de la clé !

Pour conclure, la Titan Security Key est vendue 55€. A voir dans le temps, comme par exemple, pour l’aspect électrique de la clé Bluethooth. Si cette dernière se recharge via la prise USB de votre ordinateur, aucune indication sur sa véritable durée de vie.

Citadelles : Les 5 piliers d’une cybersécurité efficace

Au Moyen-Âge, l’attaque d’un château-fort avantageait la défense. Du haut des remparts, on pouvait observer les assaillants de loin. Ils ignoraient la structure des fortifications. Quant à elle, l’architecture bien connue du château-fort par les défenseurs brisait de nombreuses stratégies d’attaque. Mais depuis que les citadelles sont devenues numériques, les batailles cyber sécuritaires, à l’inverse avantagent nettement les attaquants et désarment les défenses. Bien souvent, les défenseurs ignorent leurs failles.

Les fortifications, les citadelles d’Internet sont devenues floues depuis l’arrivée des nouveaux systèmes d’information. Les menaces sont moins visibles. Surtout, il est possible pour un attaquant de frapper par un point A, puis par un point B le lendemain, en n’éveillant jamais les soupçons. Dans un contexte où l’on manque énormément de visibilité, comment contrer ces menaces ? 5 piliers indispensables à mettre en place.

1 – La sécurité périmétrique

Dans un monde informatique sans périmètre où les frontières sont devenues plus floues, la sécurité périmétrique reste toujours le premier rempart à mettre en place. C’est un prérequis essentiel dont on ne peut faire l’économie. Elle consiste à protéger la frontière externe de l’entreprise des menaces extérieures pour éviter ou limiter les infections (malwares, cheval de Troie, etc.). Les réflexes de base à adopter sont de bien paramétrer ses firewalls et d’être très sélectif et granulaire dans les autorisations de flux.

2 – La sécurité Endpoint

Elle permet de combattre directement l’infection une fois détectée grâce à des antivirus ciblés. Auparavant, la capacité de détecter des virus était une activité relativement facile, il suffisait de comparer ces virus à des bases de signatures prédéfinies. Aujourd’hui, de nouveaux malwares ont pris le relai et sont capable de « muter » afin d’éviter d’être détecté. On voit aussi des États Nations développer des virus « intraçables » car utilisant des failles encore inconnues. Face à ces menaces invisibles, les entreprises doivent se doter de solution de type Endpoint Detection and Response – EDR. Comparer des signatures n’est plus suffisant. Depuis, beaucoup de mécanismes ont été inventé, dont l’analyse comportementale, du machine learning en pre-execution, du sandboxing, qui se révèlent plus efficaces dans la détection des nouvelles menaces.

3 – La détection de menaces sur le réseau

Si la sécurité Endpoint et périmétriques sont indispensables et gèrent autant les frontières externes et internes du système d’information ; on sait bien, qu’elles sont insuffisantes sans une approche d’analyse côté réseau. La sécurité sur le réseau, consiste à détecter des comportements non conventionnels et retrouver les traces d’un attaquant sur le réseau de l’entreprise (logs, données, IA, etc.).

Elle se fait surtout à l’aide d’outils à base d’intelligence artificielle et de machine learning qui sont capables d’écrémer et de ressortir des informations suspectes dans un lot gigantesque de données grâce à l’automatisation. La prise de décision finale reste à l’appréciation d’un humain, mais qui aura gagné énormément de temps sur sa prise de décision et la collecte d’informations.

4 – L’Active Directory

L’Active Directory ou l’annuaire d’entreprise comme partie intégrante d’une attaque, est largement sous-estimé. Et par conséquent, il est sous protégé alors que les cyberattaques suivent généralement le même schéma. Après avoir franchi les défenses périmétriques, les hackers ciblent le coeur de l’entreprise. L’Active Directory leur permet d’avoir accès aux comptes de l’ensemble de l’entreprise, administrateurs et grands patrons compris. Le but ? S’emparer des comptes à hauts-privilèges pour pouvoir, par exemple, diffuser un ransomware à l’ensemble de l’entreprise.

5 – La sensibilisation des utilisateurs

On dit souvent que les failles sécuritaires modernes se situent toujours entre l’écran et le clavier. C’est vrai. Les scénarios se suivent et se ressemblent. Monsieur tout le monde prend possession de son ordinateur, ouvre ses mails, clique sur une pièce jointe et contamine son entreprise. En effet, l’être humain demeure le premier facteur d’infection. En conséquence, chaque entreprise doit réduire les risques liés aux mauvais comportements des utilisateurs. La solution est simple : former les mauvais élèves « clique à tout » grâce à des mises en situations, questionnaires ou vidéos interactives.

La réalité est simple : il est difficile d’être proactif en défense et de devancer les attaques. La cybersécurité a souvent un temps de retard par rapport aux nouvelles menaces. C’est presque toujours face à de nouvelles attaques que la défense réagit et adapte ses systèmes de défense. D’où la nécessité dans ce contexte, d’assurer a minima ces arrières avec ces piliers, de sensibiliser et de réaliser un important travail de veille technologique pour limiter les pots cassés. (par David Clarys, NewTech Manager Europe du Sud chez Exclusive Networks)

La clé de sécurité Titan de Google disponible en France

Le vol d’identifiants par hameçonnage est l’une des causes les plus courantes d’atteinte à la sécurité informatique. Les clés de sécurité offrent la meilleure protection contre ce type d’attaques. La clé de sécurité Titan de Google disponible en France.

Mise à jour : DataSecurityBreach.fr vous propose le test complet de cette clé ICI.

L’an dernier, Google Cloud a lancé les clés de sécurité Titan aux États-Unis. À partir de ce 1er août, les clés de sécurité Titan sont disponibles sur le Google Store en France. Elle est vendue 55 € TTC. Elles sont désormais également disponibles au Canada, au Japon et au Royaume-Uni.

Les clés de sécurité Titan sont munies d’ une puce qui inclut un firmware conçu par Google pour vérifier l’intégrité des clés.

Chaque clé intègre les normes FIDO pour vérifier de façon cryptographique l’identité de l’utilisateur et l’URL de la page de connexion. Cela empêche ainsi un pirate d’accéder à son compte. Même si celui-ci est amené à fournir son identifiant et et mot de passe.

Les clés de sécurité conviennent à tout utilisateur ou entreprise soucieux de la sécurité.

Titan

Les clés Titan sont disponibles par pack de deux : une USB/NFC et une Bluetooth. Pour configurer ses clés de sécurité depuis son compte personnel ou professionnel Google, il suffit de se connecter pour accéder à la page de vérification en deux étapes.

En outre, il est possible de s’inscrire au programme de protection avancée. Cela offre la sécurité Google la plus solide pour toute personne exposée à des attaques ciblées. Les clés de sécurité Titan peuvent également être utilisées pour tous les sites et services compatibles avec les clés sécurité FIDO, notamment Coinbase, Dropbox, Facebook, GitHub, Salesforce, Stripe, Twitter, etc.

Des clés pour G Suite et Google Cloud Platform (GCP) peuvent être employées.