Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Cybersécurité, Justice, loi

Le législateur mécontente Google dans son renforcement des droits des internautes

Le projet de loi pour une République Numérique parviendra-t-il enfin à faire plier Google ? Les pratiques controversées de ce géant américain ne finiront pas de faire couler de l’encre. Le projet de loi, porté par Axelle Lemaire, pourrait bien contribuer à y remédier au regard des inquiétudes formulées par le directeur général de Google France.

Ce dernier considère en effet que le projet de loi présente un risque « d’inflation règlementaire » lié aux différences entre ce dernier et la jurisprudence européenne. Il est vrai que ce texte instaure une législation plus contraignante à l’égard de Google que ce qui est actuellement prévu au niveau européen. De cette manière, il garantit aux internautes une protection accrue.

Il créé à charge des plateformes une obligation de loyauté à l’égard des internautes, laquelle consiste notamment à donner davantage de lisibilité à leurs conditions générales. Ces dernières seront tenues de faire apparaitre clairement l’existence d’une relation contractuelle ou de liens capitalistiques avec les personnes référencées, ainsi que l’impact de cette relation sur le classement des contenus. Ce faisant, le gouvernement souhaite encourager la transparence des pratiques sur la toile et notamment celles très contestées de Google au regard du droit au respect de la vie privée des utilisateurs.

De plus, ce projet de loi met en place un droit à la portabilité c’est-à-dire le droit pour toute personne de récupérer ses données auprès des prestataires de services numériques en vue de les transférer à d’autres prestataires. Il consacre également le principe de la « mort numérique » selon lequel toute personne a le droit de décider par avance du sort de ses données en cas de décès. Il prévoit par ailleurs la mise en place d’une procédure accélérée pour le droit à l’oubli des mineurs. Ainsi, il redonne à l’internaute la possibilité de gérer ses données à sa guise et de ne plus en être dépossédé par le moteur de recherche.

L’ensemble de ces mesures s’inscrit dans le prolongement de l’arrêt du 13 mai 2014 de la CJUE reconnaissant le droit à l’oubli (CJUE, C-131/12 Google Spain SL, Google Inc./ Agencia Espanola de Proteccion de Datos, Mario Costeja Gonzalez, 13 mai 2014). Depuis lors, Google est tenu de retirer tout contenu portant atteinte à la vie privée de l’internaute qui en fait la demande. Toutefois, Google a réussi à nouveau à passer à travers les mailles du filet à partir du moment où il est seul juge de l’illicéité du contenu.

Plus généralement, le projet de loi porte atteinte au monopole de Google en contribuant à inverser la répartition du marché du numérique au profit des « petites entreprises ». Une question reste en suspens… quel moyen trouvera Google pour contourner ce dispositif ? (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Base de données, BYOD, Chiffrement, Cloud, Cybersécurité, Entreprise, IOT, Mise à jour, ransomware

Tendances 2016 de la sécurité des réseaux

Aux prémices de 2016, Shehzad Merchant, Chief Technology Officer chez Gigamon, spécialiste de la visibilité réseau, a fait le bilan de l’année 2015 et identifié les cinq tendances principales en matière d’infrastructures réseaux et de sécurité pour l’année 2016.

Démocratisation croissante des Malwares-as-a-Service (MaaS) – Ces deux dernières années, de nombreuses failles de sécurité sophistiquées ont été révélées et avec elles, c’est tout un « écosystème » de MaaS qui a vu le jour avec la mise à disposition d’une large gamme d’offres packagées de virus prêtes à l’emploi et accessibles à tous, augmentant de fait la quantité d’acteurs en mesure de perpétrer des cyberattaques. Toutefois, la démocratisation des malwares tend à réduire leur niveau de sophistication, et bien que certaines menaces persistantes avancées restent de haut niveau, une majorité des attaques perpétrées par ce moyen seront plus faciles à détecter et à stopper, car les pirates qui auront choisi de se connecter aux systèmes existants ne pourront y intégrer qu’une quantité limitée de zones d’ombre.

Généralisation de la sécurité prédictive – 2016 verra une croissance des cybermenaces de type « polymorphes », c’est-à-dire que chaque instance du malware se manifestera sous une apparence et un fonctionnement différents tout en gardant une base commune. Par conséquent, de nombreuses variantes sont susceptibles de passer outre les systèmes de détection traditionnels tels que les pare-feu ou les solutions anti-virus. Afin de mieux détecter ces menaces polymorphes, les entreprises auront besoin de solutions d’analyse prédictive visant à contrôler l’ensemble des données de l’entreprise dans le but d’identifier toute anomalie ou activité inhabituelle sur le réseau. Elles fourniront ainsi des indicateurs clés de menaces potentielles au sein de l’organisation pour détecter plus rapidement l’empreinte et l’activité du malware, et permettre un confinement plus rapide.

Perte de vitesse du Software-Defined Networking (SDN) – Malgré l’engouement du marché pour les technologies SDN, les tests ont démontré qu’elles n’étaient pas suffisamment matures pour une utilisation optimale par les entreprises. Cette année verra l’émergence de technologies « marginales » mais solides, qui, fortes des bonnes pratiques du SDN, ont su trouver leur place sur le marché. Bien qu’elles ne répondent pas aux standards technologiques, elles se concentrent sur la résolution du problème et font preuve de plus de maturité sur un marché fortement concurrentiel. Ainsi, face à ces pure players émergents, certaines technologies SDN risquent de se retrouver hors-jeu car encore trop immatures par rapport aux attentes du marché.

Ralentissement du Network Function Virtualisation (NFV) – Cette année, le NFV sera confronté, dans sa phase de déploiement, à de nouveaux défis qui toucheront particulièrement la vitesse et la performance. Le passage du format matériel dédié des fonctions réseau à une offre virtualisée risque en effet de causer des ralentissements. La normalisation du NFV peut pallier ce problème notamment avec l’ajout de davantage de serveurs de type x86 afin de multiplier les nœuds et permettre ainsi de répartir la charge. Ces serveurs sont en effet valorisés pour leur interopérabilité et leur prix abordable, et leur facilité à être intégrés et supprimés. Toutefois, un tel procédé comporte son lot de défis, en particulier en ce qui concerne le maintien de l’état, de la gestion de la distribution et de l’équilibre de charge du trafic, à travers des fonctions ne nécessitant pas de très haut débit, de performance ou de redimensionnements. Cependant, l’augmentation constante des besoins de bande passante, fera émerger les systèmes logiciels en mesure de gérer avec précision la capacité d’équilibrage de charge et l’état du réseau, ou bien ceux capables d’extraire chaque parcelle de performance dans des environnements NFV. Néanmoins, si les entreprises qui déploient des solutions basées sur ces environnements ne forment pas des équipes internes capables de gérer ces logiciels de A à Z, elles seront confrontées tôt ou tard à des obstacles les obligeant à ralentir.

Rationaliser la transition vers le cloud – Ces dernières années, de nombreuses organisations ont suivi le mouvement de l’adoption du cloud. Les DSI étaient encouragés à adopter et à investir dans le cloud sous toutes ses formes : Software, Platform ou Infrastrustrure as-a-service. L’IaaS a particulièrement séduit les entreprises par sa souplesse, sa capacité de dépassement et sa simplicité de provisioning. Celles-ci l’ont toutefois adopté sans analyser les coûts dans le détail ou sans tenir compte des questions de sécurité. La gestion d’applications connectées en permanence, pendant plusieurs années, génèrent des quantités massives de données dans le cloud, ce qui peut s’avérer très onéreux sur le long terme ; or, le basculement du cloud vers une solution sur-site peut l’être encore plus en raison du coût de réversibilité. En 2016, le DSI sera mieux informé et aura toutes les cartes en main pour comparer les modèles disponibles et trouver ainsi le bon équilibre entre l’offre cloud, le modèle purement hybride offrant à la fois des applications clés et données hébergées sur site ou une capacité de dépassement favorisée par une offre de cloud. Et ce, en disposant d’un meilleur contrôle sur les coûts.

Cybersécurité, Facebook, Justice, loi

La CNIL lance un ultimatum à Facebook

Un commentaire

Le leader mondial des réseaux sociaux tant décrié pour ses pratiques en matière de données à caractère personnel, va-t-il enfin plier face à la CNIL ? Le G29 est à l’assaut de Facebook depuis mars 2015. La France est la première à se prononcer sur le cas du site internet. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)

Dans une décision du 26 janvier 2016, la CNIL a mis en demeure Facebook de se conformer à la loi Informatique et Libertés du 6 janvier 1978. Eu égard à « la gravité des manquements constatés et de l’atteinte consécutive aux intérêts et libertés fondamentaux des personnes concernées », la CNIL a choisi d’en faire la publicité.

Elle reproche tout d’abord à Facebook, de suivre la navigation des internautes non-titulaires d’un compte, sur des sites tiers. Pour ce faire, le réseau social dépose un cookie sur le terminal de chaque personne ayant visité une page Facebook publique. L’article 32-II de la loi Informatique et Libertés dispose que la mise en place de cookies sur le terminal d’un utilisateur implique le consentement préalable de ce dernier, ce qui n’est pas le cas en l’espèce.

Il est également fait grief au réseau social de ne pas recueillir le consentement exprès des internautes au moment de la collecte et du traitement des données relatives à leurs opinions politiques ou religieuses, et à leur orientation sexuelle. S’agissant de données sensibles, Facebook aurait dû solliciter de la CNIL une autorisation antérieurement à la réalisation dudit traitement ou de la personne concernée son consentement.

De plus, elle relève que le site internet ne met pas à disposition des utilisateurs un mécanisme qui permettrait à ces derniers de s’opposer à la combinaison des données à caractère personnel à des fins publicitaires. Or, un tel traitement de données est soumis à l’article 7 de la loi Informatique et Libertés qui prévoit qu’à défaut d’obtenir le consentement de la personne concernée, le traitement n’est autorisé que s’il entre dans l’une des situations ci-après énoncées : s’il est effectué dans le respect d’une obligation légale incombant au responsable du traitement ; pour sauvegarder la vie de la personne concernée ; dans le cadre de l’exécution d’une mission de service public ; en vue de l’exécution d’un contrat ou de mesures précontractuelles ; si le responsable du traitement poursuit un intérêt légitime. La Politique d’utilisation des données de Facebook précise que l’utilisation des données à leur disposition permet de présenter des publicités pertinentes. Le traitement qu’elle réalise est donc contraire à l’article précité.

Enfin la CNIL constate que Facebook continue à transférer les données provenant de l’Union européenne vers les Etats-Unis sur la base du Safe Harbor, lequel a été invalidé le 6 octobre 2015 par la Cour de justice de l’Union européenne. Depuis lors, il n’est plus possible aux entreprises de procéder à des transferts de données à caractère personnel sur le fondement dudit accord. Cependant, le 3 février dernier le G29 a déclaré que les entreprises pourraient dans l’attente de l’entrée en vigueur  l’« EU-US Privacy Shield » (ou « bouclier de l’Union européenne et des Etats-Unis pour la protection de la vie privée »), continuer à exporter les données des citoyens européens vers les Etats-Unis sans être inquiétées. Il semblerait donc que Facebook ne sera pas sanctionné sur ce point.

Le réseau social a trois mois pour adopter les mesures propres à pallier ce défaut de conformité à la loi Informatique et Libertés. Passé ce délai, la présidente de la CNIL pourra désigner un rapporteur. Ce dernier peut être amené le cas échéant à proposer à la formation restreinte de la CNIL, le prononcé d’une sanction à l’encontre de Facebook.

Parallèlement, les autres CNIL du G29 (Belgique, Allemagne, Espagne et Pays-Bas) continuent leurs investigations. D’autres mises en demeure et sanctions pourraient bientôt tombées. [En Belgique, par exemple, les cookies FB ne peuvent plus suivre les Belges, ND DataSecurityBreach.fr]

Argent, Arnaque, backdoor, Base de données, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Leak, Particuliers, Piratage, pourriel, Social engineering, spam

Poseidon : un groupe de pirates informatiques opérant sur terre, dans les airs et en mer

Poseidon, une campagne de piratage ciblant des établissements financiers ainsi que des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et des groupes médias. La France visée par l’attaque.

L’équipe GREaT (Global Research & Analysis Team) de Kaspersky Lab annonce la découverte du groupe Poseidon, une menace avancée active dans des opérations internationales de cyber espionnage depuis au moins 2005. L’originalité de Poseidon est qu’il s’agit d’une entité commerciale, dont les attaques font appel à des malwares personnalisés, signés numériquement avec des certificats pirates et déployés dans le but de dérober des données sensibles aux victimes et de les racketter. En outre, le malware est conçu pour fonctionner spécifiquement sur les machines Windows en anglais et en portugais brésilien, une première pour une attaque ciblée.

Au moins 35 entreprises victimes ont été identifiées, les principales cibles étant des établissements financiers et des administrations, des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et d’autres réseaux de services collectifs, ainsi que des groupes médias et des agences de relations publiques. Les experts ont également détecté des attaques contre des sociétés proposant leurs services à des cadres supérieurs. Les victimes du groupe Poseidon se trouvent dans les pays suivants :

  • Etats-Unis
  • France
  • Kazakhstan
  • Emirats Arabes Unis
  • Inde
  • Russie

Cependant, la répartition des victimes penche très nettement vers le Brésil, où bon nombre d’entre elles réalisent des opérations via des joint-ventures ou des partenaires.

L’une des caractéristiques du groupe Poseidon réside dans l’exploration active des réseaux d’entreprise sur la base des noms de domaine. Selon le rapport d’analyse consulté par DataSecurityBreach.fr, Poseidon recourt à des e-mails de spear-phishing accompagnés de documents RTF/DOC, comportant généralement un appât sur le thème des ressources humaines, qui installent un fichier binaire malveillant dans le système cible lorsque le destinataire clique dessus. Un autre trait marquant est la présence de chaînes de caractères en portugais du Brésil. La prédilection du groupe pour les systèmes lusophones, comme le révèlent les échantillons, est une pratique inédite.

Une fois un ordinateur infecté, le malware rend compte à des serveurs de commande et de contrôle, avant d’entamer une phase complexe de déplacements latéraux à l’intérieur du réseau de l’entreprise. Cette phase fait souvent intervenir un outil spécialisé qui collecte automatiquement et systématiquement un grand nombre d’informations (identifiants, règles de sécurité, voire journaux système) afin de mieux cibler les attaques suivantes et d’assurer la bonne exécution du malware. De la sorte, les auteurs des attaques savent quelles applications et commandes utiliser sans alerter l’administrateur du réseau pendant leur exploration et leur exfiltration.

Les informations rassemblées sont ensuite exploitées par une organisation de façade pour racketter les entreprises victimes en les contraignant à engager Poseidon comme consultant en sécurité, sous peine de voir utiliser les informations dérobées dans une série de transactions louches au profit du groupe.

« Le groupe Poseidon est une équipe de vétérans intervenant sur tous les théâtres d’opérations : terre, air et mer. Certains de ses centres de commande sont implantés chez des fournisseurs d’accès Internet desservant des navires en mer, des connections sans fil ou encore des opérateurs classiques », commente Dmitry Bestuzhev, Directeur de l’équipe GREaT de Kaspersky Lab en Amérique latine. « En outre, plusieurs de ses implants présentent une durée de vie très courte, ce qui a permis à ce groupe de sévir aussi longuement sans se faire repérer. »

Le groupe Poseidon étant en activité depuis au moins 10 ans, les techniques de conception de ses implants ont évolué, ce qui complique pour de nombreux chercheurs la mise en corrélation des indicateurs et l’assemblage des pièces du puzzle. Cependant, en réunissant soigneusement tous les indices, en étudiant la signature de la menace et en reconstituant la chronologie des attaques, les experts ont pu établir vers la mi-2015 que des traces détectées précédemment mais non identifiées appartenaient bien à la même menace, c’est-à-dire le groupe Poseidon.

Argent, Cybersécurité, ID, Identité numérique, Mise à jour, Particuliers, Patch, Phishing, Social engineering

eBay : une inquiétante faille révélée

EBay alerté au sujet d’une vulnérabilité de sa plateforme de vente en ligne qui permet à des cybercriminels de diffuser des campagnes de phishing et des logiciels malveillants.

eBay, le géant de la vente aux enchères et du commerce électronique en ligne, possède des bureaux dans plus de 30 pays et plus de 150 millions d’utilisateurs actifs dans le monde. L’entreprise ayant une clientèle importante, il n’est donc pas surprenant qu’elle soit la cible de nombreuses cyberattaques.

Check Point, éditeur de solution de sécurité informatique, a découvert une grave vulnérabilité dans la plateforme de vente en ligne d’eBay. Cette vulnérabilité permet à un agresseur de contourner la validation de code d’eBay et de contrôler le code vulnérable à distance pour exécuter du code JavaScript malveillant auprès d’utilisateurs ciblés. Sans correction de cette faille, les clients d’eBay continueront d’être potentiellement exposés à des attaques de phishing et de vol de données.

Un agresseur pourrait cibler les utilisateurs d’eBay en leur envoyant une page légitime contenant du code malveillant. Lors de l’ouverture de la page, le code serait alors exécuté par le navigateur de l’utilisateur ou une application mobile, conduisant à plusieurs scénarios inquiétants allant du phishing jusqu’au téléchargement binaire.

Après avoir découvert la vulnérabilité, Check Point en a communiqué les détails à eBay le 15 décembre 2015. Cependant, le 16 janvier 2016, eBay a déclaré n’avoir prévu aucune correction de la vulnérabilité. La démonstration de la méthode d’exploitation est encore disponible en ligne.

Découverte de la vulnérabilité

Roman Zaikin, chercheur de Check Point, a récemment découvert une vulnérabilité qui permet à des pirates d’exécuter du code malveillant sur les appareils des utilisateurs d’eBay, à l’aide d’une technique non standard appelée « JSF**k ». Cette vulnérabilité permettrait à des cybercriminels d’utiliser eBay comme plateforme de phishing et de diffusion de logiciels malveillants.

Pour exploiter cette vulnérabilité, un agresseur a simplement besoin de créer une boutique eBay en ligne, et publier une description malveillante d’un article dans les détails de sa boutique. eBay empêche les utilisateurs d’inclure des scripts ou des iFrames en filtrant les balises HTML. Cependant, grâce à JSF**k, l’agresseur peut créer un code qui va charger du code JS supplémentaire depuis son serveur. Cela lui permet d’insérer du JavaScript qu’il peut contrôler et ajuster à distance, par exemple, pour adapter son attaque à un navigateur différent.

eBay n’effectue qu’une simple vérification, et ne supprime que les caractères alphanumériques des balises de script. La technique JSF**k permet aux agresseurs de contourner cette protection en utilisant un nombre très limité de caractères.

Comme on peut le voir, le message qui apparaît sur l’application eBay (plus précisément dans la boutique de l’agresseur sur le site eBay) incite l’utilisateur non averti à télécharger une nouvelle application mobile eBay en proposant une remise.

L’utilisateur qui appuie sur le bouton « Télécharger », téléchargera à son insu une application malveillante sur son appareil mobile.

« La méthode d’attaque fournit aux cybercriminels un moyen très facile de cibler les utilisateurs en leur envoyant un lien vers un produit très attrayant pour exécuter l’attaque. La principale menace est la diffusion de logiciels malveillants et le vol de données privées. Un agresseur pourrait également proposer une méthode de connexion alternative via Gmail ou Facebook pour détourner des comptes utilisateurs, » précise Oded Vanunu, responsable d’un groupe de recherche chez Check Point. « Check Point reste à l’affût des vulnérabilités dans les applications et les plateformes Internet courantes. En communiquant les menaces au fur et à mesure de leur découverte, nous protégeons l’avenir. »

BYOD, Chiffrement, Cybersécurité, Entreprise, Mise à jour, Patch

Le disque dur de votre imprimante HP peut cacher un logiciel malveillant

Un problème de sécurité informatique visant certaines imprimante HP permet à un pirate de cacher dans la machine des logiciels malveillants.

Chris Vickery, chercheur en sécurité informatique, a découvert un problème dans le fonctionnement de certaines imprimantes HP. La faille concerne les imprimantes HP LaserJet. Il a été révélé que les imprimantes HP LaserJet peuvent être facilement abusés par des pirates informatiques.

Vickery a indiqué que les disques durs de l’imprimante HP LaserJet peuvent être utilisés par des pirates informatiques comme une unité de stockage de données. En cause, le réglage par défaut de l’imprimante qui peut mettre en place un serveur FTP via le Port 9100. Bilan, via l’adresse http://l’ip de l’imprimante/hp/device/nom du fichier les actes malveillants peuvent débuter sans que personne ne puisse s’en rendre compte.

Autant dire qu’il est fortement conseillé de regarder du côté des paramétrages de la machine et du firewall qui protège votre infrastructure. Fermer le port 9100 ne fera pas de mal. Selon Shodan, 20 000 imprimantes sont ainsi exposées de part le monde.

Base de données, BYOD, Chiffrement, Cybersécurité, Entreprise, IOT, Sauvegarde, Social engineering

Un ours et une montre connectés diffusaient les infos privées des enfants

Les objets connectés, véritable plaie pour nos vies privées. Un nouvel exemple avec l’ours connecté Smart Bear de Fisher-Price, et une montre connectée pour les moins de 12 ans.

Le fabriquant de jouets Fisher-Price vient de corriger une fuite de données concernant un de ses jouets connecté, l’ours Smart Bear. Comme pour Vtech, plusieurs failles avaient été découvertes entre l’application connectée, l’ours et le serveur de gestion des données enregistrées par les parents/enfants. A la différence de Vtech, aucun pirate n’a été se servir dans les données.

La fuite, découverte par Rapid7, n’en n’était pas moins inquiétante. Dans les données qu’un malveillant aurait pu intercepter : l’identité et la date de naissance de l’enfant, son sexe et la langue parlait. Il y a de forte chance que l’ensemble des informations enregistrées étaient accessibles.

Toujours dans la grande famille des objets connectés, le GPS HereO avait un problème avec sa plateforme de gestion des données envoyées par la montre destinée aux 3-12 ans. Ici aussi, les données pour les enfants étaient accessibles. Faille corrigée.

Bref, parents, arrêtez de rentrer les vraies informations de vos enfants sur Internet ou via ces jouets connectés. Vous créez une identité numérique de votre môme que vous ne pourrez plus contrôler.

Antivirus, Chiffrement, Cybersécurité, Logiciels, Mise à jour, Patch, Virus

L’outil de sécurité Malwarebytes corrige plusieurs failles de sécurité

Plusieurs failles de sécurité visant le logiciel anti malwares Malwarebytes en cours de correction. Un pirate aurait pu s’inviter entre un client et l’éditeur pour modifier les informations transmissent pour l’éditeur.

Tavis Ormandy est un chercheur en sécurité informatique, membre du Project Zero de Google. Mission, trouver des failles et les faire corriger. L’homme est spécialisé dans les antivirus et logiciels en charge de sécuriser les internautes. Après Avast, AVG, Eset, FireEye, Kaspersky et Trend Micro, Tavis Ormandy vient de secourir les utilisateurs de l’outil Malwarebytes.

Plusieurs failles avaient été découvertes et remontées à l’éditeur en novembre 2015. Malwarebytes vient de corriger une partie des problèmes. L’une des vulnérabilités était le fait que les mises à jour de l’anti codes malveillants se faisaient via un HTTP non chiffré.

A noter que l’entreprise a lancé son bug bounty permettant de payer les failles qui lui seront remontées. Prix maximum, 1.000 dollars. Autant dire qu’ils ne vont pas avoir beaucoup de participants. Un 0day pour un antivirus se commercialise plusieurs milliers de dollars dans le blackmarket !

Apache, Cybersécurité, Logiciels, Mise à jour, Patch, Tor

Quand un serveur Apache permet de surveiller un site TOR

Cacher un site Internet via TOR est simple. Au lieu d’un 92829.com, vous vous retrouvez avec un 92829.onion. Impossible, normalement, de trouver la moindre information sur l’hébergement, le propriétaire. Sauf si ce dernier les donne ou utilise un serveur Apache mal configuré.

Shaun, chercheur en sécurité informatique, vient d’expliquer sur son blog, comment il devient simple de remonter à un serveur caché sous TOR à partir d’un problème de configuration d’Apache. L’inventeur de la « faille » indique qu’il faut désactiver « mod_status » avec l’instruction: $ a2dismod status. Dans la plupart des distributions Apache proposées, « mod_status » est activé d’origine. Bilan, les informations sur le serveur s’affichent. Un outil accessible uniquement depuis localhost. Ca c’est pour la sécurité. Sauf que si le daemon Tor tourne en localhost, les sites, forums, blogs tournant en .onion affichent leurs statistiques, les liens exploités, … Il suffit de taper, dans le navigateur TOR http://your.onion/server-status pour savoir si votre site, blog, forum est en danger.

Argent, Cyber-attaque, Cybersécurité, ID, Identité numérique, Leak, Mise à jour, Particuliers, Patch, Piratage, Social engineering

Des clients de Neiman Marcus piratés

Le détaillant de produits de luxe Neiman Marcus Group a informé certains de ses clients du piratage informatique de leur compte. Les pirates ont utilisé la méthode du dictionnaire de mots de passe.

Selon la compagnie Neiman Marcus Group, des cybercriminels ont utilisé une attaque automatisée pour tester diverses combinaisons de logins et mots de passe sur les sites de l’entreprise : Neiman Marcus, Last Call, Bergdorf Goodman, Horchow… Un brute force qui aurait débuté vers le 26 Décembre.

La société a déclaré que les pirates avaient réussi à accéder à environ 5 200 comptes. Neiman Marcus Group précise que ce vol n’est pas dû au piratage de son serveur. Il aurait pu rajouter que cela avait été possible en raison de la faiblesse de son outil de gestion des mots de passe [refuser les informations placées dans le formulaire d’inscription ; refuser mot de passe de moins de 10 signes ; refuser un mot de passe sans chiffres, majuscules et autres signes de ponctuation…).

Les internautes ciblés sont aussi fautifs. Il y a de forte chance que les informations utilisées par les pirates provenaient de bases de données déjà piratées. Les contenus (mails, logins, mots de passe) réutilisaient sur d’autres espaces web.

Ce n’est pas la première fois que les clients de Neiman Marcus sont ciblés par des cybercriminels. En Janvier 2014, la société révélait le vol d’au moins 1,1 million de cartes de paiement de ses clients à l’aide de lecteurs de cartes bancaires (POS) piégés par des logiciels malveillants. 350 000 cartes auront effectivement été exploitées par les malveillants.