Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Cybersécurité, Espionnae, Facebook, Fuite de données, Identité numérique, Particuliers, Social engineering

Connaître vos ami(e)s sur Facebook, un jeu d’enfant

Facebook permet de protéger son compte des regards non autorisés. Lorsqu’une personne configure correctement son profile, la protection des informations et des ami(e)s semble correcte… ou pas.

Voici un bug qui affiche vos ami(e)s alors normalement invisbles. Mario Gosparini, analyste et développeur R&D, explique ce problème qui permet de retrouver l’identité de vos ami(e)s. Plutôt génant quand on sait la vivacité des escrocs à intervenir sur Facebook.

Etonnant, le « truc » jongle avec les personnes inscrites sur votre compte et une url qu’il suffit de manipuler : facebook.com/{ pseudo de la personne cible}/friends?and={ pseudo de l’ami de la personne cible }&sk=friends.

Grace à ce lien « modifié », les visages des ami(e)s des ami(e)s permet de faire ressortir les ami(e)s en commun. « Du coup de fil en aiguille en prenant chaque amis et en utilisant un lien spéciale, je peux comparer les amis des 2 personnes, et récupérer progressivement la liste des amis intégralement« . C’est long, mais c’est efficace. (Dyrk)

Biométrie, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

La biométrie peut-elle vraiment remplacer les mots de passe ?

Les hackers du Chaos Computer Club ont réussir, fin décembre, à reproduire l’empreinte digitale du ministre allemand de la défense à partir de photos publiques en haute définition. Sachant qu’ils avaient précédemment montré qu’ils savent utiliser ces empreintes reconstituées sur les capteurs des téléphones portables grand public… Prenons un peu de recul et analysons ce que cela veut dire pour l’avenir de l’authentification en ligne. Par Emmanuel Schalit, CEO de Dashlane.

Il y a traditionnellement trois types de facteurs qui permettent d’authentifier un individu :
·         Ce qu’il sait (mot de passe, code pin, question secrète…)
·         Ce qu’il possède (jetons, cartes…)
·         Ce qu’il est (signature de l’iris, empreinte digitale…)

Les systèmes informatiques très sensibles des gouvernements ou des grandes entreprises utilisent souvent des processus d’authentification forte, multi facteurs, qui requièrent la mise en œuvre de deux ou trois facteurs parmi les trois types citées ci-dessus. Les sites Internet grand public quant à eux utilisent des systèmes d’authentification simples, basés sur un identifiant et un mot de passe connu uniquement de l’utilisateur. Pour des raisons pratiques, les consommateurs ne sont pas prêts à utiliser des systèmes multi facteurs sur les dizaines de sites web qu’ils utilisent régulièrement.

Quels sont les avantages et les désavantages de la biométrie pour l’authentification en ligne des consommateurs?
Le point fort de la biométrie c’est qu’elle résout à la fois le problème de l’identification (déterminer l’identité d’un individu) et de l’authentification (confirmer son droit à accéder à un contenu ou un service). Sur le papier c’est un bon outil pour prévenir l’usurpation d’identité et de nombreuses fraudes. On peut me voler ma carte de crédit ou mes mots de passe mais on ne peut pas me voler mon empreinte digitale… C’est ce qu’on pensait jusqu’à maintenant. La reconstitution d’empreinte réalisée par les hackers la semaine dernière bouleverse cette croyance.

Désormais on sait que l’authentification biométrique peut être piratée comme toute autre forme d’authentification. Et apparaît alors un gros inconvénient : à la différence des mots de passe, les données biométriques ne peuvent pas être modifiées en cas de piratage,  si on vous vole vos empreintes digitales, vous ne pouvez pas les remplacer par de nouvelles. Et si tous vos comptes sont protégés par la même information biométrique, ils risquent devenir tous vulnérables en même temps. Il y a d’autres limites à l’utilisation de données biométriques : elles ne peuvent être partagées et elles ne peuvent pas être rendues anonymes. Le partage et l’utilisation anonyme d’identifiants sont cependant de plus en plus répandus sur le web…

La biométrie est pertinente pour ajouter un facteur d’authentification supplémentaire dans le cadre de l’authentification multi facteurs mais il y a peu de chances qu’elle succède au mot de passe comme standard pour l’ensemble des sites, contrairement à ce que l’on veut nous faire croire. Utilisés correctement (un mot de passe fort et unique pour chaque site web), les mots de passe ont de réels avantages :

·         Un mot de passe peut être volé mais si vous utilisez un mot de passe unique pour chaque site, l’intégrité de vos autres accès n’est pas compromise en cas de vol. C’est différent avec les données biométriques qui sont par définition les mêmes partout
·         Un mot de passe peut être partagé, ce qui est nécessaire à la fois en famille et au travail. Les comptes Netflix à la maison ou les comptes Twitter d’entreprise sont par exemple généralement accessibles via un seul compte dont les identifiants sont partagés.
·         Le mot de passe préserve l’anonymat qui est très important pour les internautes. Que serait Twitter sans la possibilité de créer des comptes anonymes ?

Compte tenu de notre utilisation croissante d’Internet, nos cerveaux ne peuvent plus accomplir seuls toutes les tâches nécessaires pour bien gérer ses mots de passe : génération aléatoire, stockage sous forme cryptée, mémorisation, changement des mots de passe. Nous avons trop de comptes et trop d’appareils pour cela. C’est pourquoi de plus en plus d’utilisateurs d’Internet se reposent sur un gestionnaire de mot de passe pour s’assurer de respecter les règles de bases du bon usage des mots de passe.

Certains voient les mots de passe comme un système temporaire qui sera remplacé très rapidement par un système d’authentification ultra sophistiqué. Cela sera peut-être vrai un jour mais en attendant, le mot de passe reste le standard, et un standard ne se remplace pas si facilement. Pour preuve, nous utilisons toujours le clavier au format azerty, non pas parce que l’ordre de ces lettres est nécessaire aujourd’hui (c’était le cas uniquement sur les machines à écrire avec ruban), mais parce que c’est devenu un standard, et qu’aucune innovation n’a réussi à le supplanter, en termes de facilité d’usage comme en termes de déploiement. Nous ferions mieux de veiller à bien utiliser nos mots de passe plutôt que de croire à une hypothétique solution miracle !

Cybersécurité, DDoS, Entreprise, Piratage

Recrudescence des attaques DDoS en France au lendemain des marches contre le terrorisme

Le 15 janvier, le vice-amiral Arnaud Coustillière, officier général à la cyberdéfense faisait état d’une montée en flèche des attaques contre des sites Web français : « Parlant d’une vague sans précédent, le vice-amiral Arnaud Coustillière, officier général de la cyberdéfense à l’état-major des armées françaises, a déclaré que 19 000 sites Web français avaient été la cible de cyberattaques ces derniers jours, … ». Une attaque que révélait le site zataz.com.

Avec l’aide de l’observatoire ATLAS, la société Arbor Networks nous a permis de constater les répercussions de conflits du monde réel sur l’espace numérique. ATLAS reçoit des données anonymes du trafic relatives aux incidents DDoS provenant de plus de 330 fournisseurs d’accès Internet partenaires à travers le monde. Nous nous sommes intéressés aux attaques DDoS survenues avant et après le dimanche 11 janvier. Afin de jauger cette riposte, nous comparons les attaques DDoS observées entre le 3 et le 10 janvier à celles recensées du 11 au 18 janvier inclus.

Fréquence des attaques
Entre le 3 et le 18 janvier, au total 11 342 attaques distinctes ont été signalées contre la France, soit en moyenne 708 par jour. La série suivante de graphiques illustre la fréquence et l’ampleur des attaques DDoS durant les 8 jours ayant précédé et suivi la date du 11 janvier à 00:00:00 GMT. Nous observons une augmentation de 26 % du nombre d’attaques DDoS dans la période qui a suivi le 11 janvier.

Ampleur des attaques
Nous constatons une hausse de 35 % de l’ampleur moyenne des attaques DDoS après le 11 janvier. En effet, dans les huit jours précédant le 11 janvier, la moyenne était de 1,21 Gbit/s. Après le 11 janvier, elle est passée à 1,64 Gbit/s.

Répartition de l’ampleur des attaques
247 (5 %) des attaques DDoS sur la période antérieure au 11 janvier ont dépassé 5 Gbit/s, chiffre qui est passé à 678 (11 %) après le 11 janvier. Tandis que la Figure 2 indique une augmentation de 35 % de l’ampleur moyenne des attaques le 11 janvier, le pourcentage d’attaques supérieures à 5 Gbit/s a, quant à lui, plus que doublé.

Pics d’attaques
Le 9 janvier s’est déroulée une attaque à 40,96 Gbit/s, tandis qu’une attaque à 63,02 Gbit/s a été signalée le 11 janvier. L’attaque du 11 janvier a donc été 54 % plus violente que celle du 9 janvier.

Le 11 janvier, la plus grande manifestation depuis la libération, a vu des millions de personnes marcher pour lutter contre le terrorisme dans tout le pays[5]. Le 15 janvier, le vice-amiral Arnaud Coustillière a fait état d’une vague sans précédent de cyberattaques contre des sites Web français, parlant d’une « riposte aux manifestations de masse ». Les données Arbor ATLAS présentées ci-dessus paraissent corroborer ces affirmations.

Les comparaisons des statistiques d’attaques DDoS durant les huit jours ayant précédé et suivi le 11 janvier font en effet apparaître une hausse de 26 % du nombre d’attaques, une augmentation de 35 % de l’ampleur moyenne des attaques, un doublement du nombre d’attaques supérieures à 5 Gbit/s et un accroissement de 54 % de l’ampleur de l’attaque la plus violente entre les deux périodes. Il s’agit là d’un nouvel exemple frappant d’une recrudescence des cyberattaques en écho à des événements géopolitiques.

Adobe, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Joomla, Leak, Logiciels, Microsoft, Mise à jour, Oracle, Patch, Piratage, Red Hat, Social engineering, Wordpress

Selon Cisco – 100% des réseaux analysés contiennent des malwares

Le principal enjeu des équipes en charge de la sécurité des systèmes d’information est de faire face à des attaques de plus en plus ciblées et de mieux comprendre la menace pour détecter les signaux faibles sur leurs réseaux. Selon Cisco – 100% des réseaux analysés contiennent des malwares. Vous avez dit inquiétant ?

Le Rapport Annuel sur la Sécurité 2015 de Cisco révèle que 40 % des failles de sécurité en entreprise ne sont pas corrigées. Les résultats du Rapport Cisco soulignent que, malgré une prise de conscience de la menace et un nombre croissant d’attaques ciblées médiatisées, les entreprises n’utilisent pas forcément l’ensemble des outils disponibles, simples à mettre en œuvre, pour contrer les cyberattaques. L’étude Cisco a été menée auprès de 1700 entreprises dans 9 pays.

Le Rapport permet de tirer plusieurs conclusions majeures :
La menace est réelle et permanente : 100 % des réseaux analysés contiennent des malwares. Ces résultats sont identiques au Rapport 2014. En 2014, 1 % des vulnérabilités connues (43 sur 6756) ont été exploitées par les cybercriminels. D’une part, cela signifie que les entreprises doivent prioriser 1 % des vulnérabilités exploitées dans le cadre de leur politique globale de correction. D’autre part, même si les technologies atteignent de hauts niveaux de performance, il est nécessaire de comprendre les menaces pour lutter contre les vulnérabilités. Les kits d’exploits largement utilisés sont rapidement détectés par les solutions de sécurité – ce qui signifie que les cybercriminels préfèrent disposer  du 4ème ou 5ème kit d’exploits le plus utilisé, pour ne pas trop attirer l’attention. Même si les kits d’exploits ont diminué de 88 % entre mai et novembre 2014, ils restent un outil utilisé à un rythme soutenu par les cybercriminels, aux conséquences sérieuses pour les entreprises. Les failles Java sont en baisse de 34 % et les attaques Flash de 3 % alors que les failles Silverlight ont augmenté de 228 % et les failles PDF de 7 %.

Les malwares Flash peuvent désormais interagir avec JavaScript pour cacher des vulnérabilités en partageant un exploit entre deux fichiers distincts : un Flash et un JavaScript. L’activité malveillante est alors plus difficile à détecter et à analyser et prouve la sophistication des attaques et la professionnalisation des hackers.

L’industrie pharmaceutique et la chimie sont les secteurs les plus touchés par la cybercriminalité. Les médias, l’industrie, le transport et la logistique et l’aviation complètent le top 5 des secteurs les plus touchés. L’an dernier, seuls l’industrie pharmaceutique et la chimie et l’aviation figuraient parmi les secteurs les plus concernés par les attaques. Le volume de spam a augmenté de 250 % en 2014. Plus ciblé et plus dangereux, envoyé à plus faible volume à partir d’un grand nombre d’adresses IP pour échapper aux outils de détection, un nouveau type de spam est en train d’émerger (Snowshoe). Les spammeurs adaptent les messages à leur cible (phishing), de façon à contourner les filtres anti-spam pour mieux tromper leurs victimes. Le malvertising (publicités malicieuses) est une nouvelle technique utilisée par les cybercriminels en 2014 qui permet de diffuser des malwares au travers des navigateurs, tout en ne nécessitant pas de moyens importants mais permettant aux cybercriminels de gagner beaucoup d’argent. Adobe et Internet Explorer sont les éditeurs les plus vulnérables avec respectivement 19 % et 31 % des attaques observées.

Grâce à l’évolution des technologies de sécurité, les attaques directes et massives sont de plus en plus difficiles à mettre en œuvre. Les cybercriminels font désormais preuve de plus de créativité pour tromper l’utilisateur afin que celui-ci installe lui-même le logiciel malveillant. Ils profitent également de la faiblesse des entreprises en matière de mise à jour des vulnérabilités connues sur leurs systèmes : Alors que la faille Heartbleed a été découverte il y a plus de 6 mois, et qu’elle a permis de révéler une faille dans OpenSSL, 56 % des versions OpenSSL ont plus de 4 ans et sont toujours vulnérables car elles n’ont pas été mises à jour depuis la sortie du patch. Internet Explorer est le navigateur le moins mis à jour avec seulement 10 % des versions installées mises à jour avec la dernière version connue, la version la plus courante datant de 31 mois par rapport à la version la plus récente. Au contraire, 64 % des versions de Chrome sont à jour.

« La sécurité du système d’information est une affaire d’équipe : elle ne pourra être optimale que si le RSSI et l’équipe informatique, les dirigeants de l’entreprise, les directeurs métier, etc. travaillent ensemble pour mieux comprendre la menace et faire face aux cyberattaques. Les cybercriminels travaillent de mieux en mieux pour dissimuler leurs traces. L’ensemble des parties prenantes doit donc répondre à des questions majeures : est-ce que l’entreprise dispose des outils qui lui permettront non seulement d’identifier les attaques avérées, mais également de déterminer où se situent les vrais vulnérabilités de son informatique ? Comment l’entreprise peut être certaine que ses utilisateurs sont en sécurité, et cela même lorsqu’ils travaillent en dehors du périmètre du réseau de l’entreprise ? » explique à DataSecurityBreach.fr Christophe Jolly, Directeur Sécurité Cisco France. « Face à l’évolution de la menace, les entreprises doivent mettre en œuvre un ensemble de mesures de sécurité pour leur permettre de répondre aux défis liés à la cybercriminalité et au cyberespionnage industriel et pour mieux comprendre la cybersécurité du monde d’aujourd’hui ».

Retrouvez le Rapport Annuel sur la Sécurité 2015 de Cisco en intégralité ici : www.cisco.com/go/asr2015

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Sauvegarde

Conservation des données et entreprises

Nouvelle loi relative à la conservation des données : Quels sont les impacts pour les entreprises et les administrations ? Les changements qu’il va falloir intégrer avec la récente entrée en vigueur de la loi du 13 novembre 2014 visant à encadrer l’apologie d’actes terroristes, notamment sur le net. (par Olfeo)

A l’heure où le gouvernement travaille sur des mesures permettant de mieux prévenir le terrorisme notamment sur Internet suite aux attentats en France, deux textes ont déjà vu le jour depuis début 2015. Ainsi le 1er janvier 2015, une nouvelle loi en matière de conservation des données a vu le jour à
travers le décret n° 2014-1576 du 4 décembre 2014 et le 10 janvier la loi du 13 novembre 2014 est entrée en vigueur afin d’encadrer l’apologie d’actes terroristes, notamment sur le net.

Quel impact l’entrée en vigueur de ce décret pour les entreprises et les administrations en matière de conservation des logs ?
A travers le décret n° 2014-1576 du 4 décembre 2014, les données auxquelles les services de renseignement et de défense peuvent avoir accès sont des données dites de connexion, telles que, notamment :

o   l’identifiant de la connexion ;
o   les dates et heure de début et de fin de la connexion ;
o   les données relatives aux destinataires de l’utilisation

Les services relevant de la sécurité intérieure, de la défense, de l’économie et du budget, chargées notamment de rechercher des informations intéressant la sécurité nationale, la criminalité et la délinquance organisée ou la prévention du terrorisme, sont habilités à demander l’accès à ces données de connexion. Ces « personnalités qualifiées » peuvent solliciter une demande d’accès aux données de connexion, en temps différé comme en temps réel, au groupement interministériel de contrôle.

Le groupement interministériel de contrôle transmet ensuite aux opérateurs de communication électroniques, aux fournisseurs d’accès à internet, aux hébergeurs et par extension aux entreprises et administrations (loi n° 2006-64 du 23 janvier 2006, relative à la lutte contre le terrorisme – alinéa 2 de l’article L. 34-1) la demande d’accès aux données ;

Les données transmises par ces derniers sont ensuite conservées, pour une durée maximale de trois ans, par le Premier ministre et sont automatiquement effacées passé ce délai. Par conséquent, ce décret modifie la durée de conservation des données collectées par le groupement interministériel de contrôle, qui passe d’un an à trois ans, et sont conservées par le Premier ministre seul.

Toutefois il ne modifie pas l’obligation de conservation, durant un an, par les opérateurs de communications électroniques, les fournisseurs d’accès à internet et les hébergeurs, entreprises et administrations des données de connexion. Depuis le 10 janvier 2015, l’utilisation d’Internet pour faire l’apologie d’actes terroristes est devenue circonstance aggravante à travers l’article 421-2-5 du code pénal.

Cet article dispose que « le fait de provoquer directement à des actes de terrorisme ou de faire publiquement l’apologie de ces actes est puni de cinq ans d’emprisonnement et de 75.000 € d’amende », et précise que « les peines sont portées à sept ans d’emprisonnement et à 100.000 euros d’amende lorsque les faits ont été commis en utilisant un service de communication au public en ligne ». Une entreprise ou administration peut ainsi être sollicitée par le groupement interministériel de contrôle (décret n° 2014-1576 du 4 décembre 2014) pour une demande d’accès aux données de connexion, en temps différé comme en temps réel.

Pour conclure, ces deux dernières évolutions de la législation française en matière de lutte contre le terrorisme ne font que mettre l’accent sur la réelle obligation de filtrer pour les entreprises et les administrations en France. Néanmoins, d’autres évolutions sont à prévoir dans le cadre des réflexions du gouvernement pour mieux prévenir les menaces terroristes.

Android, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Sécurité, Smartphone, Téléphonie

Le téléphone sécurisé BlackPhone… pas si secure que ça

Une faille sérieuse découverte dans le téléphone portable ultra sécurisé BlackPhone. Le smartphone qui protège des écoutes peut être infiltré !

Un hacker australien a découvert comment piéger la sécurité, pourtant très poussée, du téléphone BlackPhone. L’appareil permet de chiffrer les appels et les contenus qu’il diffuse. Du moins, ça c’était avant. Avant qu’un bidouilleur découvre qu’avec un simple SMS envoyé à l’application « Silent » il était possible d’exécuter un code malveillant et de prendre la main sur le téléphone. Une injection découverte en une semaine par Mark Dowd. Le fabricant du BlackPhone annonce une rustine pour son matériel. Un téléphone qui coûte 550€. (Register)

Cloud, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Linux, Logiciels, Mise à jour, Piratage

Faille sévère pour les systèmes Linux

Qualys publie un bulletin de sécurité pour la vulnérabilité « GHOST » découverte sur les systèmes Linux Cette vulnérabilité sévère détectée dans la bibliothèque C de GNU/Linux donne le contrôle aux attaquants sans nécessiter d’identifiants système. – Patchs disponibles dès aujourd’hui –

Qualys, Inc., le principal fournisseur de solutions de sécurité et de conformité dans le Cloud, annonce que son équipe chargée de la recherche en sécurité a découvert dans la bibliothèque C de GNU/Linux (glibc) une vulnérabilité critique qui permet aux pirates de prendre le contrôle à distance de tout un système, en se passant totalement des identifiants système. Qualys a travaillé de manière étroite et coordonnée avec les fournisseurs de distributions Linux pour proposer un patch pour toutes les distributions de systèmes Linux touchés. Ce patch est disponible dès aujourd’hui auprès des fournisseurs correspondants.

Baptisée GHOST (CVE-2015-0235) parce qu’elle peut être déclenchée par les fonctions gethostbyname et gethostbyaddr, cette vulnérabilité touche de nombreux systèmes sous Linux à partir de la version glibc-2.2 publiée le 10 novembre 2000. Les chercheurs de Qualys ont par ailleurs détecté plusieurs facteurs qui atténuent l’impact de cette vulnérabilité, parmi lesquels un correctif publié le 21 mai 2013 entre les versions glibc-2.17 et glibc-2.18. Malheureusement, ce correctif n’ayant pas été classé comme bulletin de sécurité, la plupart des distributions stables et bénéficiant d’un support à long terme ont été exposées, dont Debian 7 (« Wheezy »), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7 et Ubuntu 12.04.

Les clients Qualys peuvent détecter GHOST à l’aide de la signature QID 123191 fournie par le service Cloud Qualys Vulnerability Management (VM). Lorsqu’ils lanceront le prochain cycle de scan, ils obtiendront des rapports détaillés sur l’exposition de leur entreprise à cette vulnérabilité sévère. Ils pourront ainsi estimer son impact sur leur activité et suivre efficacement la vitesse de résolution du problème.

« GHOST expose à un risque d’exécution de code à distance qui rend l’exploitation d’une machine par un pirate terriblement enfantine. Il suffit par exemple qu’un pirate envoie un mail sur un système sous Linux pour obtenir automatiquement un accès complet à cette machine », explique à dataSecuritybreach.fr Wolfgang Kandek, Directeur technique de Qualys, Inc. « Compte tenu du nombre de systèmes basés sur glibc, nous considérons qu’il s’agit d’une vulnérabilité sévère qui doit être corrigée immédiatement. La meilleure marche à suivre pour atténuer le risque est d’appliquer un patch fourni par votre fournisseur de distributions Linux. »

Mise à jour RedHat publiée ce 27 janvier. Explication technique sur open wall.

Mise à jour : 

L’éditeur Ve-hotech vient de diffuser une mise à jour 5.1.1 de son système d’exploitation en vue de prévenir la vulnérabilité CVE-2015-0235 dans la bibliothèque libc6. libc6 étant la principale bibliothèque utilisée par l’ensemble des programmes fonctionnant sous Linux, Ve-hotech a pris des mesures immédiates pour régler le problème.

  • Si le serveur est paramétré pour se mettre automatiquement à jour, il est probablement déjà à jour. Il suffit de vérifier que le numéro de version est bien 5.1.1 dans l’interface utilisateur.
  • Si le serveur est paramétré pour être mis à jour manuellement, l’utilisateur doit effectuer la mise à jour à partir de l’onglet maintenance de l’application de configuration avancée.
  • Si la version du serveur est inférieure à la 4.0, il est fortement conseillé de mettre à niveau le serveur vers la génération 4 du micro-logiciel.
  • Les versions 1.x du micro-logiciel ne sont pas concernées.
Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

Le site de l’Élysée géré par une ferme américaine ?

Faut-il s’inquiéter de cette idée numérique ? Le site Internet de la Présidence de la République Française serait hébergé par une société américaine.

Loin de nous de penser que l’hébergeur américain COLT soit une mauvaise entreprise. Loin de nous de penser que Level 3 espionne ses clients. Mais s’il existe bien un site en France qui doit être hébergé sur le territoire, et par une entreprise hexagonale, c’est bien celui de l’Élysée. Nous imaginons mal voir le site de la Maison Blanche finir dans les serveurs d’Oceanet Technology ou OVH, même sur le sol américain.

Le site de l’Élysée est hébergé par qui ?

D’après les informations de l’AFNIC, le site passerait par les câbles et serveurs de la société COLT Imaginet ; Selon Geolook, Elysee.fr passe aussi par une ferme du Kensas (La localisation à la sauce Google Map, ndr), mais plus sérieusement par les tuyaux de l’américain Level 3 Communications, Inc (certainement, entre autre, pour soutenir une éventuelle attaque DDoS, NDR). Les deux géants ont débarqué en force, en 2012, sur le territoire français.

En visitant le portail présidentiel, nous découvrons une autre information. Le site serait hébergé par Bears Tech. Bref, la souveraineté de la France 2.0 semble promenée d’ hébergeur et hébergeur ?

Google Map situe le site de l’Élysée… dans une ferme du Kansas 🙂

Bref, dans une période ou des Snowden (officiels ou non) expliquent les infiltrations étatiques, que le FBI arrête encore des espions sur son sol, les plus paranoïaques peuvent se dire que tant de partenaires pour un hébergement multiple, voilà qui est troublant. Rien que pour les correspondances entre les Français et le Président. Un formulaire, comme des pages, qui n semblent pas utiliser le https. Même plus besoin de lancer des satellites d’espionnages ou de mettre une pince crocodile sur les câbles sous-marin au large de Marseille.

Android, backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle, Sécurité, Smartphone, Téléphonie

Des portes dérobées découvertes dans des terminaux Android

Un commentaire

DeathRing et CoolReaper, des portes cachées installées dans des téléphones Android. Ils ont pu toucher des millions d’utilisateurs.

Palo Alto Networks a révélé des informations sur une porte dérobée présente sur des millions de terminaux mobiles Android vendus par Coolpad, l’un des plus gros fabricants de Smartphones basé en Chine. Baptisée « CoolReaper », cette porte dérobée expose les utilisateurs à d’éventuels actes de malveillance et semblerait avoir été installée et conservée par Coolpad malgré les objections des clients.

Il arrive fréquemment que les fabricants d’équipements installent des logiciels sur le système d’exploitation mobile Android de Google pour doter les appareils Android de fonctionnalités et de possibilités de personnalisation supplémentaires. Certains opérateurs de téléphonie mobile installent même des applications permettant de recueillir des données sur les performances des appareils. Mais d’après l’analyse détaillée de l’Unité 42 – l’équipe d’analyse des menaces de Palo Alto Networks – CoolReaper ne se contenterait pas de collecter simplement des données d’utilisation de base. Son fonctionnement s’apparenterait davantage à celui d’une véritable porte dérobée permettant d’accéder aux appareils Coolpad. Coolpad semblerait également avoir modifié une version du système d’exploitation Android pour rendre cette porte dérobée quasi invisible pour les programmes d’antivirus.

Découvert par le chercheur Claud Xiao de Palo Alto Networks, CoolReaper a été identifié sur 24 modèles de téléphones vendus par Coolpad et pourrait, si l’on en croit les données commerciales de Coolpad accessibles au public, impacter plus de 10 millions d’utilisateurs.

« Il est naturel que les fabricants d’équipements sous Android préinstallent des logiciels qui offrent des fonctionnalités et permettent de maintenir leurs applications à jour. Mais la porte dérobée évoquée dans ce rapport dépasse le cadre que connaissent les utilisateurs : elle permet à Coolpad de prendre le contrôle complet des équipements affectés, de rendre le logiciel invisible pour les antivirus et expose les utilisateurs à la merci d’actes de malveillance. Nous encourageons vivement les millions d’utilisateurs Coolpad susceptibles d’être concernés par CoolReaper d’inspecter leurs appareils pour y rechercher l’éventuelle porte dérobée et prendre les mesures appropriées pour protéger leurs données. » – Ryan Olson, directeur de la recherche au sein de l’Unité  42 chez Palo Alto Networks

Contexte et effets de CoolReaper
L’intégralité des résultats de l’analyse de CoolReaper figure dans le rapport de l’Unité 42, « CoolReaper : The Coolpad Backdoor » préparé par Claud Xiao et Ryan Olson qui paraît aujourd’hui. Dans ce rapport, Palo Alto Networks publie également la liste des fichiers à vérifier sur les terminaux Coolpad susceptibles d’indiquer la présence de la porte dérobée CoolReaper. Comme l’ont observé les chercheurs, CoolReaper est capable d’effectuer chacune des tâches suivantes, avec un potentiel de dangerosité pour les données sensibles des utilisateurs ou des entreprises. Un pirate malintentionné pourrait par ailleurs exploiter une vulnérabilité découverte sur le système de contrôle (back-end) de CoolReaper.

CoolReaper est capable de télécharger, installer ou activer n’importe quelle application Android sans autorisation ou notification de l’utilisateur ; effacer des donnés utilisateur, désinstaller des applications existantes ou désactiver des applications système ; informer les utilisateurs d’une fausse mise à jour OTA (Over-The-Air) qui, au lieu de mettre à jour le terminal, installe des applications indésirables ; envoyer ou insérer des messages SMS ou MMS arbitraires sur le téléphone ; transmettre à un serveur Coolpad des informations concernant le terminal, sa localisation, l’utilisation des applications, l’historique des appels et des SMS.

Prise en compte par Coolpad
L’Unité 42 a commencé à observer ce que l’on a baptisé CoolReaper suite aux nombreuses réclamations publiées sur les forums Internet par des clients de Coolpad en Chine. Au mois de novembre, un chercheur qui travaillait avec le site Wooyun.org a identifié une vulnérabilité sur le système de contrôle back-end de CoolReaper. Cette découverte a permis de comprendre que Coolpad contrôlait lui-même le backdoor présent dans le logiciel. Un site d’information chinois, Aqniu.com, a par ailleurs signalé l’existence de la porte dérobée et ses pratiques abusives dans un article paru le 20 novembre 2014. Au 17 décembre 2014, Coolpad n’a toujours pas répondu aux nombreuses demandes d’assistance de Palo Alto Networks. Les informations de ce rapport ont également été transmises à l’équipe de sécurité Android de Google.

De son côté Lookout découvre un logiciel malveillant pré-chargé dans des smartphones. DeathRing est un cheval de Troie chinois, préinstallé sur toute une série de smartphones parmi les plus populaires en Asie et en Afrique. Bien que sa détection ne soit pas plus fréquente qu’un autre logiciel malveillant, nous le considérons menaçant, notamment de par sa présence sur les smartphones dès leur sortie d’usine, et car il a été détecté aux quatre coins de la planète.

Autre particularité de ce malware, sa méthode de distribution. Pour la seconde fois en 2014, c’est en pré-chargeant le malware directement dans la chaîne d’approvisionnement que DeathRing atteint sa cible. Nous n’arrivons pour le moment pas à déterminer à quelle étape de la chaîne d’approvisionnement DeathRing est installé sur les smartphones. Nous savons toutefois que, pour de nombreux portables, il est installé dans le répertoire système le rendant extrêmement difficile à éradiquer. Il n’est malheureusement pas possible aux prestataires de services de sécurité de supprimer ce logiciel malveillant car il est installé dans le répertoire système des portables.

Recommandations

·         Vérifiez la provenance du téléphone que vous achetez.
·         Téléchargez une application de sécurité comme celle de Lookout, qui sert de première ligne de défense pour votre portable. Si vous découvrez qu’un tel logiciel malveillant est pré-chargé sur votre portable, demandez à vous faire rembourser.
·         Consultez régulièrement votre facture téléphonique afin de détecter les frais suspects.

Argent, Arnaque, backdoor, Banque, Cyber-attaque, Cybersécurité, DDoS, escroquerie, Identité numérique, Leak, Particuliers, Piratage

La réalité de l’industrialisation de la cybercriminalité

Selon le Centre de lutte contre la Cybercriminalité d’Europol, il n’y aurait qu’une centaine de personnes responsables de la cybercriminalité dans le monde.

Ce chiffre reflète effectivement la réalité de l’industrialisation de la cybercriminalité d’aujourd’hui, à laquelle sont confronté les entreprises, les États et les individus. Ainsi, seul un tout petit nombre de programmes permettant d’exploiter des failles logicielles connues (exploits) et d’outils en matière de cybercriminalité sont très largement exploités par les réseaux cybercriminels professionnels dans le monde entier.

Le dernier rapport semestriel sur la sécurité de Cisco a d’ailleurs mis en évidence le fait que le nombre de kits d’exploits a chuté de 87 % depuis que le créateur présumé de Blackhole a été arrêté en 2013. Cela montre à quel point ce kit a largement été utilisé par la communauté cybercriminelle.

Nous savons également que les réseaux de cybercriminels sont si bien organisés qu’ils achètent désormais « clef en main » les kits d’exploits et logiciels qu’ils utilisent pour mener à bien leurs activités. La plupart du temps, ces logiciels sont même fournis avec des manuels d’utilisation et un support technique 24/7. Ensuite, les cybercriminels utilisent Internet pour mettre en place un « réseau de distribution » dans le monde entier et diffuser leurs attaques, que ce soit physiquement ou en ligne, via des réseaux de botnets.

Selon Europol, ces kits et ces malwares sont si sophistiqués qu’avec très peu d’effort ils peuvent être réutilisés maintes fois et adaptés aux cibles des cybercriminels.

Mais si ces outils sont si fréquemment et si largement répandus, pourquoi les entreprises ne parviennent-elles pas à prévenir les attaques de leurs réseaux et leurs PC ?

Ceci est en partie dû au fait que les cybercriminels ont une longueur d’avance sur les responsables de la sécurité en trouvant de nouvelles variantes à leurs kits d’exploit alors que les experts en sécurité cherchent le moyen de les bloquer. Cette « course à l’armement » ne cessera jamais et nous savons même que de nombreux réseaux de cybercriminels vont jusqu’à acheter les solutions de sécurité pour tester leurs exploits afin de voir si ces dernières parviennent à les arrêter. Et, si tel est le cas, ils développent une nouvelle version de l’exploit pour la communauté cybercriminelle.

Ce que les professionnels de la cybersécurité ont bien compris depuis longtemps, c’est que les hackers sont très motivés, bien équipés et très qualifiés pour s’enrichir grâce à leurs activités illégales.

Les entreprises doivent ainsi s’assurer que leur sécurité est à jour et dispose des toutes dernières signatures, protections et solutions disponibles. Car, tandis que de nombreuses attaques sont destinées à une entreprise en particulier (attaque ciblée) , nous savons que beaucoup d’entre elles sont moins ciblées mais réussissent grâce à un manque de patching ou de mise à jour des signatures, des protections ou des solutions dont sont équipées les entreprises.

Aussi, les entreprises doivent s’assurer que leurs solutions de sécurité ne prennent pas seulement en compte uniquement la défense des postes de travail, mais qu’elles soient également capables de détecter les activités malicieuses potentielles sur l’ensemble de leur réseau – où les menaces peuvent apparaître. Il est fort probable que votre entreprise soit attaquée un jour, mais plus vite vous le saurez et vous agirez, plus vite vous pourrez déterminer l’ampleur des dommages sur votre business et sur la réputation de votre entreprise.  (Par Christophe Jolly, Directeur France Security Group Cisco / BBC.)