Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Leak, Logiciels, Microsoft, Mise à jour, Patch, Piratage

PowerMemory, l’outil qui contre les faiblesses de Windows Active Directory

Un jeune Belge, aujourd’hui basé au Canada, a inventé PowerMemory, un outil qui a pour mission d’empêcher que Windows Active Directory diffuse vos identifiants de connexion aussi simplement qu’un clic de souris.

Pierre-Alexandre Braeken travaille dans l’ingénierie des systèmes depuis plus de 11 ans. Il est aujourd’hui architecte technologique. Cet informaticien  certifié MCITP SA, MCSA 2008/2012 ou encore MCSE 2012 a comme domaine de spécialité l’architecture des systèmes et les domaines d’entreprise Active Directory. A noter qu’il est open cfp pour la conférence infiltrate de Miami. Il a développé une expertise particulière autour de la sécurité de ces systèmes et développe des outils pour prouver les idées qu’il avance. J’ai rencontré l’auteur de PowerMemory lors du HackFest Canada 2015, l’outil qui a pour mission d’empêcher que Windows Active Directory diffuse vos identifiants de connexion. Interview !

DataSecurityBreach. Qu’est ce que PowerMemory ?  

Pierre-Alexandre Braeken. PowerMemory est un outil utilisé dans des audits de sécurité de domaine Windows Active Directory. PowerMemory permet de vérifier les faiblesses de ces domaines pour les corriger. Une de ses fonctionnalités phares est la révélation des mots de passe Windows directement depuis la mémoire. Son fonctionnement est totalement nouveau puisqu’il est indépendant de l’architecture ciblé et qu’il ne fait pas appels aux fonctions de Windows pour trouver les mots de passe et pour les déchiffrer. De plus il utilise le langage de script PowerShell qui fait partie intégrante du noyau de base depuis Windows 7. [Lire l’interview du chercheur enseignant Français Jérôme Ridet au sujet de la faille PowerShell capable de faire tomber la sécurité d’un système en 5 secondes]

DataSecurityBreach. Type de failles ?

Pierre-Alexandre Braeken. PowerMemory démontre à quel point il est désormais simple de récupérer les mots de passe de n’importe quel système Windows. Il peut récupérer les mots de passe stockés dans la mémoire locale d’un système, mais également à distance. La faille met en évidence que PowerMemory est capable de révéler des mots de passe sans être administrateur d’une machine. En effet, il peut révéler les mots de passe de machine virtuelle depuis le crash d’une machine (Blue Screen Of Death = BSOD) mais également à partir d’un snapshot de machine virtuelle. Ce qui veut dire qu’un simple opérateur d’un environnement virtualisé pourrait avoir plus de droit que l’administrateur même du domaine.

Ce type de faille pourrait mener à des scénarios d’attaque d’un domaine qui permettrait à une personne mal intentionnée, depuis l’extérieur, de récupérer d’abord des accès de plus faible niveau pour ensuite remonter toute la hiérarchie des systèmes et atteindre en bout de course le Saint-Graal représenté par un contrôleur de domaine. Dès ce moment, tout le système d’entreprise s’effondre en termes de sécurité et le réseau entier n’appartient plus aux administrateurs de l’entreprise mais bien au pirate informatique.

DataSecurityBreach. Comment est-ce possible qu’une telle possibilité n’ait pas été « pensée » par Microsoft ?  
Pierre-Alexandre Braeken. J’ai prévenu Microsoft du résultat de mes recherches. Ils ne considèrent pas ceci comme une faille de sécurité. Néanmoins, quelques jours après le report complet de mes travaux, l’outil RWMC (qui révèle les mots de passe) faisant partie de la suite d’audit PowerMemory a été catégorisé officiellement par Microsoft comme un « hacktool » de niveau d’alerte « medium ».

Le problème pour Microsoft est que la façon dont ils ont conçu leur système les empêche de donner une solution applicable pour les entreprises pour tous les systèmes d’exploitation jusqu’à windows 2012R2 compris. Pour Windows 10 (seulement dans sa version professionnelle) et 2016, les choses changent puisque Microsoft a créé un nouveau système pour protéger les mots de passe stockés en mémoire. On parle de Trustlets tournant dans un environnement isolé. Pourquoi Microsoft ne protège pas ses clients tournant sur des systèmes d’exploitation non supporté ? Je pense que ceci demande des changements si majeurs au système de fonctionnement du noyau que Microsoft n’est pas prêt à apporter de changements sur des systèmes qui risquent encore d’être présent dans 15 ans…

DataSecurityBreach. Comment s’en protéger ? 

Pierre-Alexandre Braeken. Il est nécessaire d’adopter de bonnes pratiques en matière de gestion de parc informatique. Le sujet est vaste et il n’est pas évident de se protéger de ce genre d’attaque. Des gens comme Sean Metcalf (Master Active Directory, moins de 100 dans le monde) abordent le sujet de façon régulière (dont Black Hat 2015). J’ai également rédigé plusieurs documents que je compte bientôt publier sur mon blog.  J’ai également créé l’outil PowerMemory dans le but de faciliter le travail de la sécurité. L’objectif est de détecter les failles afin d’apporter des solutions qu’une entreprise peut mettre en place.  De plus, j’ai également développé un outil qui détecte la méthode utilisée par PowerMemory pour révéler des mots de passe.

DataSecurityBreach. Vous présentez votre solution aux entreprises, comment réagissent-elles ?
Pierre-Alexandre Braeken. Elles ont d’abord beaucoup de mal à comprendre les implications. En effet, les enjeux sont extrêmement importants et les réactions en conséquence. Les mots ahurissant et impressionnant ressortent souvent.  Même avec l’évidence, il est difficile pour les grandes entreprises de modifier leurs processus afin de se protéger de ce genre d’attaque.  Mon rôle consiste à les avertir et à les aider à trouver des solutions pour se protéger sans pour cela casser son modèle.

Cybersécurité, Entreprise, Espionnae, Fuite de données, loi, Particuliers, Social engineering

La stratégie Américaine de contre-espionnage pour 2016

Le National Counterintelligence Strategy des Etats-Unis d’Amérique revient sur son plan d’action pour l’année 2016. Mission, tenter de bloquer l’espionnage sur le sol de l’Oncle Sam.

La stratégie de contre-espionnage national des États-Unis d’Amérique 2016 a été élaborée  conformément à la Loi de mise en valeur de contre-espionnage de 2002 (n° 107-306 Pub.L., 116 Stat. 2 383 – 50 USC sec. 3383 (d) (2)). La stratégie établit la manière dont le gouvernement des États-Unis (US) permettra d’identifier, de détecter, d’exploiter, de perturber et de neutraliser toutes les menaces d’espionnages par des entités de renseignement étrangères (Foreign intelligence entity – FIE).

Le document fournit des conseils pour les programmes de contre-espionnage (counter intelligence – CI) et les activités du gouvernement américain visant à atténuer ces menaces. « Chaque ministère et organisme du gouvernement américain a un rôle dans la mise en œuvre de cette stratégie dans le contexte de sa propre mission et par l’application de ses responsabilités et des pouvoirs uniques, explique le document. Rien dans la présente stratégie doit être interprétée comme une autorisation de mener des activités de CI« .

Dans ce fichier, plusieurs points liées au numérique comme le « Cyber Effect » qui regroupe la manipulation, la perturbation, le déni, la dégradation ou la destruction d’ordinateurs, d’information ou de communication des systèmes, des réseaux , des infrastructures physique ou virtuel contrôlées par des ordinateurs ou des systèmes d’information, ou des informations qui y résident.

Base de données, Contrefaçon, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Social engineering

Les Services de Renseignements Danois se penchent sur la sécurité informatique

Dans son rapport baptisé « Intelligence Risk Assessment 2015 – An assessment of developments abroad impacting on Danish security« , le Danish Defense Intelligence Service, revient sur les problématiques rencontrés par les services secrets Danois.

Dans son dernier rapport en date, baptisé « Intelligence Risk Assessment 2015« , les Services de Renseignements Danois (DDIS) reviennent sur une année 2015 chargée. Le Danish Defense Intelligence Service s’inquiète de l’évolution des risques d’espionnage contre les institutions publiques et les entreprises privées danoises. « Le cybercrime constitue la plus grave des menaces au Danemark et pour les intérêts Danois » souligne le FE. « Ce type d’espionnage est principalement mené par des Etats et des groupes parrainés par des États« .

Au cours des dernières années, le cyber espionnage contre le Danemark a considérablement augmenté, et les méthodes et techniques employées par les auteurs sont devenues de plus en plus sophistiquée. « L’espionnage cybernétique contre les autorités danoises et les entreprises est très élevée » confirme DDIS. Pour le Danish Defense, il est fort probable que plusieurs États vont exploiter l’Internet à des fins offensives. DDIS cite d’ailleurs l’État islamique en Irak et le Levant (ISIL) et ses filiales régionales.

Le Service de Renseignement Danois termine son rapport sur le danger que peuvent être les prestataires de services. Un exemple, celui vécu par certains services de la police locale dont les serveurs avaient été attaqués par le biais d’un fournisseur de services. « Des dispositifs de faibles qualités constituent un risque que des acteurs malveillants savent exploiter, comme par exemple les routeurs qui sont exploités pour mener espionnage ou sabotage« .

Base de données, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, loi, Particuliers

Accord sur la protection des données personnelles : oui à la protection de nos vies privées !

Les négociations sur le paquet protection des données personnelles ont abouti mardi 15 décembre. C’est un succès pour les eurodéputé-e-s socialistes et radicaux. Nous voulions un accord dans le PNR ; il était pour nous indissociable de la protection des données personnelles. La commission des libertés civiles s’est prononcée aujourd’hui, et avant une adoption en plénière prévue au début 2016, en même temps que le PNR européen, ce que nous exigions.

Les données personnelles des Européens ont une valeur estimée aujourd’hui à 315 milliards d’euros, qui pourrait s’élever à 1 000 milliards d’euros en 2020 ! Elles sont donc l’objet de bien des convoitises. Le rôle de l’Europe, et tout particulièrement du Parlement européen, est de les protéger. Nous devions nous battre afin d’améliorer la législation sur la  protection des données devenue largement obsolète. Aujourd’hui, 97% de nos données transitent par le net alors que la législation encore en vigueur date d’avant le développement de la toile !

Parce que la technologie donne de nouveaux moyens de surveillance à la police et la justice, il était indispensable de bâtir un socle de garanties pour les droits et libertés des citoyens, tout en autorisant les forces de sécurité à échanger des informations de manière plus rapide et plus efficace. Nous sommes parvenus à un juste équilibre entre la protection des droits fondamentaux des citoyens et le renforcement de l’efficacité de la coopération policière dans l’ensemble de l’Union européenne.

Quant au bruit des derniers jours concernant l’accès des jeunes aux réseaux sociaux, nous nous félicitons, au Parlement, que la raison l’ait finalement emporté au Conseil. Le Parlement européen a en effet toujours défendu un accès libre aux réseaux sociaux pour les enfants à partir de 13 ans. Malheureusement, certains États membres au sein du Conseil privilégiaient une approche plus restrictive – et hors des réalités – avec un accès sans consentement parental seulement à partir de 16 ans ! Vouloir interdire l’accès libre aux réseaux sociaux aux moins de 16 ans relevait pourtant de l’absurde et risquait de discréditer l’Europe à leurs yeux et à ceux de bien de leurs parents. Quiconque a des enfants sait déjà que « tenir » jusqu’à 13 ans relève de l’impossible…. La sagesse était d’en rester à un relatif statu quo, en permettant aux États membres de fixer librement l’âge auquel un mineur peut s’inscrire sur les réseaux sociaux sans consentement parental.

Tout au long des débats, qui ont duré quatre ans, nous avons veillé à renforcer les droits des internautes en leur permettant de mieux contrôler leurs données, notamment en cas d’usage abusif. Droit à l’effacement, voies de recours, informations sur la façon dont les données sont traitées, encadrement des transferts de données des Européens vers les pays tiers, possibilités de profilage strictement limitées, sanctions en cas de non-respect des règles : avec cette réforme, l’Union sera dotée des standards de protection de la vie privée les plus élevés au monde ce qui, compte tenu de son poids démographique et économique, permettra d’influencer la norme du reste de la planète.

BYOD, Cybersécurité

Ecoles, iPhones et objets connectés : nouveaux territoires de chasse pour les pirates

WatchGuard Technologies, un grand spécialiste des boîtiers de sécurité réseau intégrés multifonctions, annonce une série de dix prédictions en matière de cyber sécurité en 2016, qui comprennent entre autres l’arrivée de nouveaux ‘ransomwares’ ciblant des plates-formes alternatives ; et de nouveaux territoires de chasse pour les criminels en quête de vols d’identités.  

Le panorama des menaces de sécurité est en évolution constante, les cyber criminels déployant des méthodes à la fois anciennes et nouvelles pour étendre leur emprise, contaminer les utilisateurs et avoir accès à des données de valeur,” a déclaré Corey Nachreiner, le Directeur Technique chez WatchGuard. “Pour améliorer leurs défenses, nous recommandons à nos clients de suivre les meilleures pratiques en matière de sécurité ; de former leurs employés aux menaces et aux techniques d’attaques ; et de déployer les technologies de sécurité réseau les plus récentes afin qu’ils puissent identifier en temps réel et adresser la majorité des attaques que nous anticipons en 2016.

1.      Les Ransomwares Atteignent de Nouvelles Plates-formes
Les ransomwares ont grandi, avec de nouveaux malwares d’encryptage si puissants que beaucoup de victimes ont dû payer une rançon en 2015. Jusqu’à présent, les ransomwares ciblaient principalement Windows. L’année prochaine nous prévoyons que les cyber criminels vont développer des ransomware très efficaces pour des nouvelles plates-formes, dont les terminaux mobiles sous Android et les ordinateurs portables Apple.

2.      La crédulité Humaine Reste la plus Grande Menace:
Les failles de sécurité les plus récentes ont une chose en commun, elles ont toutes commence par le harponnage d’un utilisateur. Les cyber criminels ciblent des utilisateurs spécifiques avec des techniques de persuasion étudiées pour les inciter à délivrer leurs privilèges d’accès. Nous recommandons la mise en place d’un budget dédié consacré à la formation des employés à la détection des menaces, incluant les plus récentes techniques de persuasion.

3.      Les Failles de Sécurité des PME Reviennent aux Fondamentaux
La majorité des attaques réussies – spécialement celles qui ciblent les petites entreprises – exploitent des vulnérabilités de base. Excepté quelques cyber criminels adeptes de techniques sophistiquées, la plupart des attaques dans les PME exploiteront des manquements aux bonnes pratiques de sécurité de base. C’est un aspect positif. Si les entreprises mettent un point d’honneur à respecter les meilleures pratiques de sécurité les plus basiques, elles éviteront la majorité des attaques en 2016.

4.      Les Malwares sur iOS vont Augmenter
La stratégie de plate-forme ouverte de Google s’est traduite par un plus grand nombre de menaces contre Android que contre iOS d’Apple. Mais l’année dernière, des cyber criminels ont infecté la plate-forme de développement d’Apple. Nous pensons qu’ils continueront à exploiter cette faille pour glisser des malwares dans la boutique d’applications officielle d’Apple. L’année prochaine, nous assisterons à plus de lancements d’attaques ciblant iOS.

5.      Les Publicités Malveillantes Prolifèrent grâce à l’Encryptage
Les publicités malveillantes, ou ‘malvertising’, qui combinent une annonce publicitaire et un malware, sont un nouveau type d’attaque dans lequel des cyber criminels piègent un site web de bonne réputation avec un code malicieux en le glissant dans une publicité. Certains services et produits sont mieux armés pour détecter des publicités malveillantes, mais les criminels contre attaquent. En 2016, nous prévoyons que le nombre d’attaques de ce type va tripler, et qu’elles réussiront plus souvent via l’utilisation de HTTPS. Pour les entreprises qui ne disposent pas de systèmes de sécurité capable de contrôler HTTPS, nous recommandons une mise à niveau aussi vite que possible.

6.      L’Automatisation Fait Avancer la Sécurité d’un Grand Pas
Les attaques automatisées d’aujourd’hui parviennent à esquiver les défenses traditionnelles. Les solutions basées sur des signatures ne sont plus efficaces. Des analystes sont toujours capables d’identifier de nouvelles menaces en contrôlant des comportements suspects, mais les cyber criminels diffusent un tel volume de nouvelles menaces que l’esprit humain ne peut plus suivre le rythme. La solution ? L’Intelligence Artificielle et des machines qui apprennent continuellement et peuvent reconnaître et suivre des comportements malicieux. Les entreprises doivent s’orienter vers des défenses proactives, avec des technologies telles qu’APT Blocker qui identifie automatiquement des menaces et des malwares en fonction de comportements en non plus de signatures statiques.

7.      Les Cyber Criminels Retournent à l’Ecole pour Récupérer des Données
La sécurité de l’information est entièrement consacrée à la protection des données, donc les informations d’identification personnelle, ou identifiants nécessaires pour voler des données fournissant une identité complète sont de grande valeur. La quantité de données collectées sur nos enfants alors qu’ils sont étudiants est énorme et leurs bilans de santé sont parmi les éléments les plus intéressants à détourner. Ceci, combiné avec les environnements réseau ouverts que l’on trouve généralement dans les établissements universitaires, est la raison pour laquelle nous pensons que les systèmes informatiques des écoles et universités vont devenir la cible des cyber criminels. Aux organisations dans ce secteur, nous recommandons de mieux protéger leurs serveurs de base de données et de contrôler attentivement les applications web qui sont liées aux informations personnelles des étudiants.

8.      Les Firmwares Piratés Attaquent l’Internet des Objets
Lorsqu’un hacker pirate un ordinateur, son but est de s’assurer que son code malicieux reste sur la machine. En revanche, pirater l’Internet des Objets est une tout autre chose. La plupart des objets connectés n’ont pas de système de stockage interne et ont peu de ressources, donc les contaminer suppose de modifier leur firmware. L’année prochaine, nous prévoyons l’apparition d’attaques exploratoires visant à modifier et pirater en permanence le firmware d’objets connectés. En réponse, les fabricants devraient commencer à renforcer la sécurité de leurs objets en y intégrant des mécanismes sécurisés rendant plus difficile la modification de leur firmware par des attaquants. Nous recommandons aux fabricants de s’y intéresser activement.

9.      Les Fonctions de “Simplicité d’Utilisation” des Réseaux WiFi Ouvrent la Voie à la Prochaine Grande Faille de Sécurité
La prochaine vulnérabilité majeure des réseaux sans fil profitera de leurs fonctions de « simplicité d’utilisation » allant à l’encontre de la sécurité. Par exemple, la fonction Wi-Fi Protected Setup (WPS) en fait partie, en introduisant une faiblesse permettant à des attaquants de rentrer sur des réseaux WiFi. Cette année, les équipementiers réseau vont introduire de nouvelles fonctions de ce type, telles que Wi-Fi Sense de Microsoft. Nous pensons que la prochaine grande faille de sécurité des réseaux WiFi va profiter d’une telle fonction qui permet aux utilisateurs, et aux hackers, de rentrer facilement sur un réseau sans fil.

10.  Les Hacktivistes Piratent les Médias TV
A la différence des cyber criminels, qui restent sous le radar, les hacktivistes, c’est à dire les hackers à motifs politiques, aiment communiquer des messages choc conçus pour attirer l’attention du public. L’objectif majeur du cyber activisme est d’utiliser la technologie pour faire en sorte qu’un maximum de personnes remarque leur message, quel qu’il soit. Les vidéos des Anonymous sont un très bon exemple de ce type d’action. L’année prochaine, nous prévoyons une action de grande ampleur de ce type.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Sauvegarde, Social engineering

Fuite de données pour le service de réseautage Vixlet

Plusieurs centaines de milliers de comptes d’utilisateurs du service de réseautage Vixle accessible en quelques clics de souris.

La société Vixlet, anciennement Divide Nine LLC, est connue pour proposer des services de réseautage. Basée à Los Angeles, cette startup américaine propose des outils pour les réseaux sociaux à des clients tels que la ligue professionnelle de basket US ou encore l’ATP (Tennis).

Une faille a été découverte dans l’outil proposé par Wixlet. Elle permettait de mettre la main sur les informations des inscrits. Dans les données, mails, mots de passe et dates de naissance. Un serveur non protégé et le tour était joué pour accéder à la base de données. Les données des clients étaient sauvegardées dans un dossier baptisé VixLet prod. Un dossier de production contenant de vraies données… normale !

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, IOT, Social engineering

L’employés, le vilain petit canard de la données sensibles

Selon une étude réalisée par Kaspersky Lab et B2B International en 2015, 73 % des entreprises auraient été touchées par des incidents internes de sécurité informatique. La principale cause de fuites de données confidentielles reste les employés (42 %).

À mesure que l’infrastructure informatique d’une entreprise s’étend, il en va de même pour le paysage des menaces : à nouveaux composants, nouvelles vulnérabilités. La situation est aggravée par le fait que les employés – en particulier ceux ne possédant pas de connaissances spécialisées – ne sont pas tous en mesure de suivre les évolutions rapides de l’environnement informatique. C’est ce que confirme une récente enquête, révélant que 21 % des entreprises touchées par des menaces internes ont perdu de précieuses données, avec à la clé des conséquences sur leur activité. Il est utile de préciser que l’étude recense les cas de fuites accidentelles (28 %) et intentionnelles (14 %).

Les incidents internes, pas toujours des accidents
En dehors des fuites de données, les menaces internes concernent principalement la perte ou le vol des équipements mobiles des employés. 19 % des responsables interrogés reconnaissent égarer au moins une fois par an un mobile contenant certaines données de leur entreprise. Un autre facteur important concerne les fraudes au sein du personnel. 15 % des participants à l’enquête se sont retrouvés face à des situations où certaines ressources de leur société, notamment financières, ont été utilisées par des employés à des fins personnelles. Si ce pourcentage paraît faible, les pertes causées par ces incidents sont supérieures aux dommages résultant des fuites de données confidentielles dans les grandes entreprises. Les PME perdent jusqu’à 40 000$ euros en moyenne en raison d’activités frauduleuses de leurs employés, tandis que ce chiffre dépasse 1,3 million de dollars pour les grandes entreprises.

« Une solution de sécurité à elle seule ne suffit pas pour protéger les données d’une entreprise. Et c’est ce que confirment les résultats de cette étude », commente à DataSecurityBreach.fr Konstantin Voronkov, responsable des produits pour les postes de travail chez Kaspersky Lab. « Les entreprises ont besoin d’une approche intégrée à plusieurs niveaux, s’appuyant sur une veille de sécurité et d’autres mesures complémentaires. Ces mesures peuvent comprendre l’utilisation de solutions spécialisées et l’instauration de règles de sécurité, portant par exemple sur une restriction des droits d’accès. »

Etude menée auprès de 5500 spécialistes dans plus de 25 pays à travers le monde.

backdoor, Cyber-attaque, Cybersécurité, Justice, loi, Piratage, Virus

La police canadienne saisi un serveur diffuseur de Dorkbot

Les autorités américaines et canadiennes viennent de se féliciter du blocage de plusieurs points de départs de l’attaque du code malveillant Dorkbot. Des serveurs saisis.

Le Conseil de la radiodiffusion et des télécommunications canadiennes, le CRTC, vient d’indiquer qu’elle venait de faire saisir un serveur ayant était utilisé dans la diffusion du code malveillant Dorkbot. Une saisie qui rentre dans les obligations faites par la Loi anti-phishing du Canada. La machine, saisie chez un hébergeur de Toronto était utilisé comme un centre de commandes et de contrôle (C&C) pour permettre aux pirates acquéreurs (Dorkbot se loue, ndr) de faire fonctionner le logiciel d’espionnage partout dans le monde. Dorkbot agit sur la toile depuis 2010.

Il a été découvert un an plus tard, après avoir été utilisé contre les messageries de Facebook et Gmail. L’attaque, classique. Dorkbot est envoyé aux cibles via un courriel piégé par un lien de téléchargement. Cette opération a été coordonnée entre les autorités canadiennes, Interpol, Europol, le FBI et Microsoft. Plusieurs autres serveurs ont été bloqués et saisis en Amérique centrale, en Europe et en Asie. Le canada serait, selon Websense, la 8ème nation la plus utilisée par les pirates informatique.

Entre 2011 et 2013, les policiers canadiens ont observé une augmentation de 40% d’actes de cybercriminalité. Une police dédiée uniquement à la cyber criminalité est en cours de création dans le pays.

BYOD, Cloud, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Leak, Logiciels, Microsoft, Particuliers, Piratage, Social engineering

Dropbox utilisé par des pirates Chinois

Des pirates Chinois utiliseraient DropBox dans leurs attaques informatiques. Loin d’être une nouveauté, Dropbox est apprécié par les malveillants pour sa simplicité « cloudesque » !

La société américaine FireEye a annoncé avoir découvert une nouvelle attaque phishing lancée par un groupe de pirates Chinois. Ces derniers, comme des pirates que zataz a pu vous indiquer provenant d’Afrique ou de plusieurs pays de l’Est, utilisent Dropbox dans leur attaque.

Ces pirates utilisent le service de stockage pour sauvegarder leurs outils malveillants. Ils diffusent ensuite les liens Dropbox à leurs cibles. FireEye explique que depuis Août, ce « phishing » exploitant Dropbox aurait visé des militants tibétains, ainsi que des dizaines d’organisations basées au Bangladesh, au Népal, et au Pakistan.

Les pirates utilisent, entre autres, le RAT (logiciel espion) Poison Ivy. Dropbox a fait disparaître, depuis, les logiciel incriminés.

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Paiement en ligne, Patch

Un logiciel pour prédire le CVV de sa prochaine carte bancaire

Imaginez ! Vous avez une carte bancaire et vous êtes capables de prédire le code de sécurité (CVV) qui vous sera alloué au changement de votre prochain CB.

Quand vous possédez une carte bancaire, vous êtes en possession du plastique, de la puce, de la bande magnétique, des 16 chiffres de votre CB, de sa date de validité et du CVV, le code de sécurité de 3 à 4 chiffres inscrits au dos de votre carte bancaire. CVV baptisé aussi cryptogramme visuel de validation.

Ce Card Verification Value change, comme la date de validité de la CB, à chaque fois que vous recevez une nouvelle carte bancaire. Le chercheur bidouilleur Samy Kamkar vient de trouver un sacré bug dans le CVV des cartes American Express. Chez AE, on appelle cette sécurité le Card Identification Number. Même principe, 4 chiffres des informations d’usages. Samy Kamkar a trouvé le moyen de générer le CIN qui vous allez recevoir avec votre prochaine carte, celle que vous n’avez pas encore.

Le plus inquiétant, il a été capable de payer avec son moyen de paiement du moment et les 4 chiffres qui ne sont pas censés être en sa possession. Sa méthode a été simple. Il a d’abord demandé à ses amis de lui fournir leur CIN. Avec une formule mathématique de son cru, il a pu créer les prochains codes de sécurité et … la nouvelle date de validité attenante. A partir de sa découverte, il a créé une un petit boitier qui lui a coûté 10 $. MagSpoof, le nom de son invention, permet de simuler n’importe quelle bande magnétique de cartes bancaires et de connaitre les futures informations d’identification de la CB.

Mon petit doigt me fait dire que l’attaque semble être connue de petits coquins du black market des Pays de l’Est. Comme le souligne Korben, il va être intéressant de savoir si cette « technique » fonctionne pour les autres cartes. Samy Kamkar propose sa découverte sur GitHub.