Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Argent, Banque, Cyber-attaque, DDoS

Une banque en ligne attaquée et bloquée

La NatWest, service bancaire en ligne, touchée par une attaque DDOS. Qui a souhaité bloquer la NatWest ? Pour le moment personne ne sait vraiment. Un ou des pirates informatiques ont lancé un DDoS, un Déni Distribué de Service (plusieurs milliers d’ordinateurs tentent de communiquer avec un serveur. La masse sature le service). Les clients ont été incapables d’accéder à leurs comptes en ligne. « En raison d’une hausse du trafic internet délibérément dirigée sur le site NatWest, certains de nos clients n’ont pu avoir un accès à nos sites Web. » a indiqué le service presse. Il y a quelques semaines RBS, dont NatWest est une filiale, était tombée sous les coups d’un autre DDoS. (Mirror)

Arnaque, Cybersécurité, Fuite de données, Mise à jour, Patch

Fausses clés de licence ADOBE

Un pirate exploite la base de données piratée à ADOBE pour inciter les clients à télécharger une fausse licence, mais virus. Il fallait un peu s’en douter. Diffuser la base de données volées à ADOBE, BDD comprenant des millions d’emails, ne pouvait qu’attirer les pirates et autres escrocs. Le dernier en date, son courriel a été detecté fin décembre, incite les clients ADOBE à télécharger une nouvelle clé d’activation pour leurs logiciels (Photoshop, Premiére, …) Bien entendu, la pseudo nouvelle clé n’est rien d’autre qu’un code malveillant, un logiciel espion.

Pour rappel, le 3 octobre dernier, Adobe a détecté sur son réseau des attaques informatiques (d’idiotes injections SQL) portant sur l’accès illégal à une base de données de sauvegarde contenant des identifiants Adobe et des mots de passe cryptés, ainsi que sur la suppression de cette base. « Nous vous informons que votre identifiant Adobe figurait dans cette base mais pas votre mot de passe actuel.  Par conséquent, nous n’avons pas réinitialisé votre mot de passe » explique dans son courriel de décembre, l’entreprise américaine.  La base de données piratée provenait d’un système de sauvegarde qui contenait de nombreuses entrées obsolètes et était destiné à être mis hors service. Le système Adobe d’authentification des enregistrements, qui pratique le hachage et le salage des mots de passe des clients, n’était pas la source de la base de données volée. Adobe conseille à ses clients de changer leurs mots de passe, sur les autres sites, dans le cas ou l’internaute aurait utilisé le même que chez ADOBE.

 

Cyber-attaque, Logiciels, Mise à jour, Patch

IP Board Forums attaqué par un exploit

Un exploit Kit du nom de DotkaChe s’attaque à l’outil web IP Board Forums. Un kit pirate, baptisé exploit kit DotkaChef, ou encore DotCache, DotCacheF, a été découvert, fin décembre. Il cible les sites Internet qui exploitent IP Board Forums. L’attaque a été découverte par Chris Wakelin de la société Kahu sécurité. Les cybercriminels auraient exploité une vieille faille PHP (CVE-2012-5692) affectant IPB 3.3.4 et anciennes versions. Une fois le site compromis, DotKaChef est téléchargé sur le site Internet de la victime dans un dossier au nom aléatoire. Vous pouvez trouver les détails techniques sur le site de Kabu Sécurity.

Cyber-attaque, Logiciels

Comment piéger les logiciels malveillants avec un bac à sable

L’émulation des menaces est une nouvelle technique clé pour stopper les attaques « zero-day » et ciblées. Thierry Karsenti, Directeur Technique Europe de Check Point, explique à DataSecurityBreach.fr comment cette méthode offre une protection inégalée contre les menaces connues et inconnues.

« Connaître son ennemi aussi bien que soi-même » est une maxime souvent citée dans le milieu de la sécurité informatique. Mais avec le nombre et la complexité des cyberattaques, apprendre à connaître son ennemi est une tâche énorme. Les agresseurs se bousculent chaque jour aux portes des entreprises. Ils déploient un nombre impressionnant de logiciels malveillants pour tenter de perturber l’activité des entreprises et siphonner furtivement des données confidentielles. Les entreprises continuent d’être vulnérables aux attaques « zero-day », si l’on en veut pour preuve le volume de nouveaux logiciels malveillants capables de se cacher dans des fichiers inoffensifs. Bien que nous ne puissions pas tout savoir de nos ennemis, les nouvelles technologies de sécurité peuvent fournir des renseignements vitaux pour identifier et neutraliser les nouveaux risques qui voient le jour quotidiennement.

La cybercriminalité est devenue une grande entreprise, et comme dans n’importe quel autre secteur d’activité, les criminels cherchent à augmenter leurs revenus et accroître leurs parts de marché. Ils ciblent des centaines voire des milliers d’entreprises, pour augmenter leurs chances de succès. Rien qu’en 2012, de 70 000 à 100 000 nouveaux échantillons de logiciels malveillants ont été créés et diffusés chaque jour, soit plus de 10 fois plus par jour qu’en 2011 et plus de 100 fois plus qu’en 2006. Le Rapport Sécurité 2013 de Check Point a constaté que 63% des entreprise sont infectées par des bots, et plus de la moitié sont infectées par de nouveaux logiciels malveillants au moins une fois par jour. Il s’avère impossible pour les approches antimalwares traditionnelles de suivre le rythme de cette croissance effrénée.

Cachés aux yeux de tous
Les logiciels malveillants furtifs sont la technique d’attaque la plus couramment utilisée. Ils sont conçus pour être difficiles à détecter par les équipes informatiques. Le code de la majorité de ces nouveaux logiciels malveillants est caché dans des types de fichiers courants que nous utilisons tous pour nos activités : emails et leurs pièces jointes, documents Word, PDF, Excel et ainsi de suite. Des boîtes à outils de piratage permettent d’obscurcir ces scripts exécutables pour dissimuler leurs actions malveillants, par exemple la modification de la base de registre sur l’ordinateur d’un utilisateur, ou le téléchargement d’un fichier exécutable capable d’infecter un réseau.

Et même si les défenses multicouches de détection et de prévention des intrusions peuvent aider à bloquer certaines actions des logiciels malveillants, elles ne peuvent pas toujours stopper les infections atteignant le réseau et s’y propageant. Ces menaces exploitent de nouvelles failles ou encore des variantes de failles connues pour lesquelles il n’existe pas de signatures et donc de défenses conventionnelles pour les détecter. Tandis que les antivirus, les antispywares et autres solutions de protection similaires sont utiles pour « nettoyer » après une attaque, ils sont inefficaces comme moyen de défense contre ces nouveaux types d’attaques.

Tout comme les contrôles frontaliers d’un pays font appel à différentes techniques pour observer les individus qui entrent et identifier ceux qui représentent une menace, de nouvelles techniques de sécurité permettent de scruter les emails, les fichiers et les données qui entrent dans un réseau en temps réel. Les fichiers malveillants peuvent être isolés sur la passerelle à la périphérie du réseau ou dans le Cloud, selon le choix de l’entreprise, de manière à empêcher les infections. Cette couche externe protège contre les attaques sans impacter l’activité de l’entreprise.

À la recherche des logiciels malveillants
Ce processus d’isolation et d’évaluation est effectué à l’aide d’une technique appelée « émulation des menaces ». À la manière des scanners à rayons X installés aux frontières, cette technique permet de regarder à l’intérieur des fichiers suspects qui arrivent dans la passerelle, qu’il s’agisse de pièces jointes d’emails ou de fichiers téléchargés depuis le web, et d’inspecter leur contenu dans une zone de quarantaine virtualisée appelée « bac à sable ». Cette version virtualisée et isolée d’un environnement informatique agit comme une zone de sécurité permettant l’exécution des différentes applications à risque ou destructives.

Les fichiers y sont ouverts et surveillés pour détecter tout comportement inhabituel en temps réel, tel que les tentatives de changements anormaux de la base de registre ou les connexions réseau non autorisées. Lorsqu’un comportement est jugé suspect ou malveillant, le fichier est bloqué et mis en quarantaine, empêchant ainsi toute infection d’atteindre le réseau et entraîner des dommages. À ce stade, d’autres actions peuvent être effectuées pour identifier et classifier la nouvelle menace afin de faciliter toute identification ultérieure.

Regardons maintenant de plus près comment l’émulation des menaces identifie de nouveaux types d’attaques et de logiciels malveillants pour lesquels il n’existe pas de signatures, et comment elle met fin à ces nouvelles attaques furtives.

Construction du bac à sable
Le moteur d’émulation des menaces et le bac à sable sont gérés par un hyperviseur, qui exécute simultanément plusieurs environnements : Windows XP, 7 et 8 ; Office 2003, 2007 et 2010 ; et Adobe 9, ainsi que des instances virtualisées des applications de bureautique les plus couramment utilisées, telles que Word, Excel, PowerPoint et autres. Comme l’écrasante majorité des logiciels malveillants modernes utilise des méthodes d’ingénierie sociale pour inciter les utilisateurs à cliquer sur des pièces jointes ou télécharger des fichiers semblant légitimes, l’inspection des fichiers utilisant ces environnements et applications courantes est le meilleur moyen d’empêcher les infections.

La sélection des fichiers jugés suspects et devant être inspectés – à savoir, le cheminement vers le bac à sable – se déroule soit au niveau des passerelles de sécurité de l’entreprise soit dans le Cloud, à l’aide d’un agent fonctionnant en parallèle du serveur de messagerie de l’entreprise. Cette sélection peut même se faire dans le trafic chiffré des tunnels SSL et TLS qui contournent habituellement de nombreuses implémentations de sécurité.

Le processus de sélection se fait à l’aide d’une combinaison de méthodes heuristiques et d’autres méthodes d’analyse. Par exemple, lorsque plusieurs instances d’un même fichier ont déjà été mises en cache dans la passerelle ou par l’agent de messagerie, le système peut considérer que le fichier fait partie d’une tentative de phishing visant plusieurs employés. Cette approche optimise et accélère l’analyse en ne choisissant que les fichiers suspects pour une inspection plus approfondie. Lorsque des fichiers sont sélectionnés, ils sont ensuite envoyés au bac à sable contenant le moteur d’émulation, qui fonctionne soit sur la passerelle de sécurité soit dans le Cloud.

Détection des menaces
Les fichiers envoyés au moteur d’émulation des menaces sont copiés et lancés dans plusieurs systèmes d’exploitation et environnements applicatifs virtuels. Ils sont ensuite soumis à un processus d’inspection en cinq étapes :

1.     Tout fichier entraînant le malfonctionnement de l’instance virtualisée du programme, ou tentant de décompresser et substituer un autre document, est signalé comme étant malveillant. De plus, toute tentative d’appel d’un fichier .dll ou .exe signale un comportement potentiellement anormal et malveillant.
2.     La base de registre virtuelle est analysée pour détecter toute tentative de modification, qui est une caractéristique des logiciels malveillants et une action qu’un document courant ne devrait jamais tenter.
3.     Le système de fichiers et les processus sont également analysés à la recherche de toute tentative de modification apportée. Comme indiqué ci-dessus, un document ordinaire ne devrait pas tenter de faire des changements.
4.     Le moteur vérifie toute tentative de communication avec le web, par exemple, pour communiquer avec un centre de commande et de contrôle ou télécharger du code malveillant.
5.     Enfin, le moteur consigne et génère un rapport de toutes les activités effectuées par le fichier, avec des captures d’écran des environnements virtuels, et crée une « empreinte numérique » du fichier qui peut être rapidement utilisée lors de détections ultérieures.

Les fichiers malveillants détectés par le moteur sont placés en quarantaine afin qu’ils n’atteignent pas l’utilisateur final et n’infectent pas le réseau. Même le code malveillant prévu pour détecter son exécution dans un environnement virtualisé n’est pas à l’abri du bac à sable. Ce type de code malveillant tente de camoufler ses actions ou d’agir de manière inoffensive dans l’environnement afin de contourner la détection. Toutefois, cette activité de camouflage contribue effectivement à identifier une intention malveillante. Cette tentative de déguisement est reconnue par le moteur d’émulation et consignée en tant qu’activité suspecte.

La totalité de ce processus se déroule de manière transparente pour la majorité des fichiers, ce qui signifie que, même dans les rares cas où un fichier est inspecté et marqué comme étant « sain », le destinataire du fichier ne remarque aucun impact dans son service de messagerie. Les informations relatives aux activités des fichiers sont mises à disposition de l’équipe informatique dans un rapport détaillé des menaces.

Partage d’informations sur les menaces au niveau mondial
Et si après la détection et le blocage d’un fichier par ce moyen, les entreprises étaient en mesure de partager les informations sur cette nouvelle menace pour aider d’autres entreprises à stopper également l’infection ? Après tout, la nouvelle menace a été identifiée et son empreinte numérique a été créée, ce qui signifie que les infections résultantes peuvent être évitées.

C’est le principe du service Check Point ThreatCloud, qui permet de diffuser les connaissances acquises au sujet d’un nouvel ennemi. De la même façon que les organismes de santé collaborent à l’échelle mondiale pour lutter contre les infections émergentes, développer des vaccins et autres traitements, l’approche collaborative de ThreatCloud réduit les délais entre la découverte d’une nouvelle attaque et la possibilité de s’en protéger. Dès qu’une nouvelle menace est identifiée, les détails la concernant (y compris les descripteurs clés tels que son adresse IP, son URL ou son DNS) sont communiqués à ThreatCloud et automatiquement partagés avec les abonnés du service à travers le monde. Lorsqu’une nouvelle menace est par exemple utilisée comme attaque ciblée sur une banque à Hong Kong et est identifiée par l’émulation des menaces, la nouvelle signature peut être appliquée en quelques minutes à des passerelles disséminées dans le monde entier. En vaccinant les entreprises contre les attaques avant que les infections ne se propagent, l’émulation des menaces empêche ces infections de se transformer en épidémies et améliore la sécurité pour tous.

Donc même si les cybercriminels ciblent des centaines ou des milliers d’entreprises, l’émulation des menaces peut jouer un rôle clé dans la protection des entreprises contre de nouvelles souches de logiciels malveillants et d’attaques « zero-day ». L’utilisation de l’émulation des menaces pour « connaître son ennemi » pourrait devenir l’une des méthodes les plus robustes pour sécuriser les réseaux des entreprises, en créant une nouvelle première ligne de défense contre les logiciels malveillants.

 

escroquerie, Espionnae, Particuliers, Vie privée

SnapChat, une faille dans ses bits

Un commentaire

L’application SnapChat dangereuse. Des hackers démontrent comment intercepter identité et numéro de téléphone d’un utilisateur. L’application SnapChat permet de diffuser des photos, via son smartphone (iOS et Android). Les hackers australiens de chez Gibson Security viennent de tirer à boulet rouge sur le prochain jouet de Facebook en annonçant des fuites de données. La vulnérabilité permet à un malveillant de mettre la main sur le numéro de téléphone et le nom de l’utilisateur visé.

Contacté voilà 4 mois, SnapChat fait la source oreille. Les hackers ont décidé de publier tous les détails de leur découverte le 25 décembre. Un « chantage pour le bien de la société » exprime les hackers au magazine Business Insider. « Espérons que Snapchat vérifiera son code et améliorera la façon dont la sécurité et les bugs sont traités dans l’entreprise ». Une faille qui fait suite à celle qui permettait de sauvegarder les photographies éphémères ou encore extraire d’un smartphone les documents pourtant effacés.  Si vous voulez vous rassurer, le site Snapchatdb.info proposait de s’avoir si vous étiez dans les 4,6 millions de gagnants. Cependant, l’espace web a été suspendu. Il est revenu via lookup.gibsonsec.org. Les derniers chiffres sont masqués, histoire de ne pas voir débarquer les spammeurs téléphoniques.

Apache, Cybersécurité, Fuite de données, Paiement en ligne, Patch, Sauvegarde

Malware pour les serveurs IIS

Un code malveillant capable de subtiliser mots de passe et informations bancaires via des serveurs IIS infiltrés. La société Trustwave, spécialiste en sécurité informatique, a lancé une alerte, mi décembre, concernant une découverte assez troublante. Une nouvelle attaque sournoise, via un malware, vise les serveurs IIS.

Baptisé ISN, le « machin » vise les machines Microsoft IIS6 32-Bit, IIS6 64-Bit, IIS7+ 32-Bit, IIS7+ 64-Bit. Le code malveillant, une fois installé, intercepte les requêtes POST http qu’il sauvegarde dans un fichier que le pirate peut consulter, à distance. Autant dire que les informations collectées peuvent faire de gros dégâts.

Comme le rappel Developpez, le chiffrement ne constitue en rien une méthode de protection efficace contre ISN, puisque le malware installé dans le serveur a accès aux données de la requête POST en clair. Au moment de l’alerte, seulement 9 antivirus sur 49 avaient detecté l’outil pirate qui installait ISN. Fin décembre, 31 sur 49.

Cyber-attaque, DDoS, Leak, Piratage

6 connexions sur 10 signées par un robot

Un commentaire

Les bots, des machines contrôlées pour agir sur le web en mode automatique, produiraient plus de 60% des connexions sur Internet. La société Incapsula, spécialisée dans la sécurité informatique, vient d’annoncer dans une étude réalisée par ses équipes que 61,5% des connexions sur Internet seraient produites par des bots. Seul 38,5% d’humains derrière la souris (49% en 2012). Une hausse de plus de 21% par rapport à 2012 (51%).

Dans les bots, de très nombreux spiders des moteurs de recherche, l’armada de Google en tête. L’étude Incapsula indique que les « gentils » bots sont en augmentation par rapport aux « vilains » bots (31%). Les robots informatiques pirates lancés à partir d’ordinateurs « infiltrés », les zombis, et contrôlés à distance par des pirates grimpent eux aussi de 31%.

L’étude se penche sur 90 jours de trafic visant 20 000 sites de clients de cette société américaine. Si l’augmentation est évidente, il ne faut cependant pas trop vite crier au tsunami automatisé (Cela ne concerne que leurs clients, mais donne une petite idée de la mode numérique du moment).

31% des bots sont toujours malveillants, mais avec beaucoup moins de spammeurs.

Argent, Cyber-attaque, Leak, Logiciels

Pirater un distributeur de billets avec une clé USB

Un commentaire

Réussir le piratage d’un distributeur de billets avec une clé USB. Facile et efficace ! Dans l’émission podcast vidéo de décembre de ZATAZWEB.TV, il est expliqué comment il devient possible d’exécuter tout et n’importe quoi (injection code malveillant, interception connexion Wifi, récupération de données d’un disque dur) via une clé USB particulière. Une démonstration est d’ailleurs proposée dans l’émission.

A croire que ce genre d’outil n’est pas encore pris au sérieux par les entreprises et autres banques. La Banque Postale a demandé à deux informaticiens allemands de tester la sécurité de ses distributeurs. Il faut dire aussi que les GAB, les Guichets Automatiques de Billets de la banque avaient été ponctionnés sans que la société financière ne comprenne vraiment comment.

Les deux « hackers » ont repris le mode opératoire des pirates. Un petit trou dans le distributeur de billets, juste en face du PC (sous Windows XP) gérant le GAB afin d’y coller une clé USB. Le support de stockage comportait un script qui automatisait ensuite l’installation d’un code malveillant ayant permis de se servir en monnaie sonnante et trébuchante.

Bref, les pirates avaient réussi à installer un cheat code, comprenez une série de manipulations des touches du clavier du PC, pour se retrouver face à la gestion de la machine. Bilan, l’option « retrait illimité » aura fait fureur !

Malin, les pirates semblent avoir utilisé des « mules » pour retirer l’argent. Le « cheval de Troie » sauvegardé via la clé USB possédait deux codes, le second empêchant les « retraits » non autorisés par les pirates en chef.

 

 

Cyber-attaque, Piratage

Skype attaqué par la Syrian Electronic Army

Mercredi 1er janvier, vers 21h (heure Française), les hacktivistes du groupe de la Syrian Electronic Army, regroupement de pirates informatiques pros gouvernement Syrien, se sont attaqués à plusieurs espaces appartenant à la filiale VoIP de Microsoft, Skype.

Le compte Twitter, Facebook et le blog de l’entreprise ont été modifiés par les cybers manifestants. La SEA reproche à Skype d’espionner les utilisateurs. Dans les messages diffusés par l’Armée Électronique Syrienne, que Data Security Breach a pu constater, un appel à ne pas utiliser le webmail de Microsoft (Hotmail, Outlook) car « les comptes sont surveillés et les données communiquées au gouvernement« . « Don’t use Microsoft emails(hotmail,outlook),They are monitoring your accounts and selling the data to the governments. » affichait le compte Twitter de Skype.

Parmi les autres messages constatés par la rédaction de datasecuritybreach.fr un « Stop Spying! » ou encore l’affichage du logo du groupe. Très étonnamment, aucun message sur la guerre civile qui continue de faire rage en Syrie.

Trois heures après l’attaque, comme le montre zataz.com, le compte Twitter de Skype était toujours hors service et affichait toujours le message des pirates informatiques. Les applications et le système de VoIP ne semblent pas avoir été touchés par l’attaque. (Merci à Laurents)

 

 

 

 

Hacking

Fuite de données pour les tablettes et smartphones Samsung

Le géant coréen de l’électronique Samsung vient de corriger une fuite de données concernant le smartphone S4 et ses tablettes. Les utilisateurs de tablettes et smartphones Samsung ont très certainement du apercevoir, ces derniers jours, une mise à jour de l’application Samsung Hub. Pourquoi ? La correction d’un bug qui envoyait email, mot de passe et localisation GPS de l’utilisateur sans aucune sécurité, ni chiffrement.

Une brèche de confidentialité qui a été corrigée à quelques jours de Noël. Le constructeur coréen indique à ses clients qu’il est conseillé, sait-on jamais, de changer son mot de passe attenant à son compte Samsung online. Une fuite loin d’être négligeable. Un « espion » aurait pu intercepter les données diffusées, via une connexion wifi.

Faut-il rappeler, cependant, qu’utiliser une connexion wifi non maîtrisé n’est rien d’autre qu’un suicide numérique. Nous vous conseillons d’utiliser un VPN, comme celui proposé par la société VyprVPN qui fournit, en plus une application pour Android et iOS, ainsi que pour Linux, PC et MAC. A noter que la faille permettait aussi de géo-localisé le possesseur du smartphone ou de la tablette via l’application « Find My Mobile« . (MediaTest digital)