Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Android, Cybersécurité, ios, Sécurité

Comment conserver le contrôle de la sécurité mobile aujourd’hui

L’attachement émotionnel des consommateurs à leurs téléphones portables signifie qu’ils sont de plus en plus nombreux à être sélectifs en termes de modèle et d’applications, même dans leur vie professionnelle. Ceci conduit les responsables informatiques à avoir le sentiment qu’ils perdent le contrôle de la sécurité mobile et que les employés la compromettent. Après tout, les entreprises prennent rarement des décisions sur le choix des terminaux mobiles. Et les responsables informatiques n’imposent pas comment les employés doivent interagir avec leurs appareils mobiles.

Dès lors, comment les entreprises peuvent-elles garder le contrôle de leur stratégie de mobilité sécurisée, alors qu’apparemment elles ne peuvent la contrôler ? La gestion des terminaux mobiles (MDM) contrôle la sécurité des appareils mobiles, mais elle n’aborde pas la sécurité de l’atout le plus précieux : les données de l’entreprise. Toutefois, il existe un moyen pour les services informatiques de sécuriser la fonctionnalité et les données de leurs entreprises : la conteneurisation.

L’état d’esprit des responsables informatiques d’aujourd’hui doit passer d’une focalisation sur le terminal à une focalisation sur les données qui s’y trouvent et comment les employés utilisent ces données. Cela va permettre aux organisations d’atteindre de nouveaux niveaux de productivité, d’efficacité et de collaboration mobile. Le défi n’est pas « Comment puis-je contrôler cela ? » mais « Comment puis-je mettre en place, en toute sécurité, des moyens plus efficaces pour travailler grâce aux appareils mobiles ? ». Pour parvenir à cela, les responsables informatiques ont besoin de créer un environnement mobile sécurisé pour l’utilisateur qui répond à tous les besoins.

Au final, il y assez d’applications fonctionnelles et faciles à utiliser pour que les employés en adoptent pour compléter au mieux leurs tâches. Celles-ci sont peut-être utiles pour l’employé mais pas forcément suffisamment intégrées ou sécurisées : en fonctionnant de manière isolée, il se peut que les applications limitent la productivité, l’efficacité et la collaboration.

La clé pour que les responsables informatiques gardent le contrôle, à cette étape, se trouve dans le fait de comprendre comment les employés veulent interagir avec les données. En maitrisant cette connaissance, les responsables informatiques peuvent proposer l’environnement mobile sécurisé le plus attractif pour les employés. Ils peuvent proposer des applications sur mesure et des applications tierces sécurisées qui sont meilleures – que ce soit en rapidité ou dans l’usage – que celles que les employés utilisent déjà, ce qui aide à transformer l’entreprise en même temps.

En particulier, l’usage des applications professionnelles personnalisées ne fait que croître. D’ici 2017, 25% des entreprises auront un magasin d’application (app store) d’entreprise pour gérer les applications approuvées par l’entreprise sur les PC et appareils mobiles, selon Gartner. Les magasins d’applications d’entreprise offrent un meilleur contrôle sur les applications que les employés utilisent. Cependant Gartner reconnait que ce contrôle n’est possible que si le magasin d’applications est largement adopté. C’est pourquoi il est si important pour les entreprises de comprendre ce que les employés veulent faire sur leurs appareils et comment ils veulent le faire. C’est comme ça qu’ils pourront proposer l’environnement sécurisé que l’employé va adopter, tout en servant les objectifs de l’entreprise. (Florian Bienvenu, VP Europe Centrale et Europe du Sud, Good Technology pour DataSecurityBreach.fr)

Argent, Arnaque, escroquerie, Particuliers

Jennifer Aniston plus dangereuse que Rihanna

Selon une étude des Laboratoires Bitdefender, Jennifer Aniston (19,55 %) est la célébrité la plus utilisée ces derniers mois par les scammeurs afin de piéger les utilisateurs et ainsi leur dérober des données privées, ou encore tenter d’exécuter du contenu malveillant sur leur ordinateur. Rihanna (16,26 %) et Selena Gomez (13,84 %) arrivent respectivement en 2e et 3e position. Cette étude montre aussi que les films attendus en salle se révèlent être un leurre efficace pour piéger les cinéphiles un peu trop curieux.

TOP 10 des célébrités les plus utilisées dans les campagnes de spams ces derniers mois
Certains de ces spams associent le nom d’Aniston à du contenu sexuellement explicite, et un simple clic du destinataire sur le lien permet au scammeur d’installer un Cheval de Troie sur son système afin de récupérer ses données bancaires. Rihanna, quant à elle, apparaît dans des e-mails redirigeant l’utilisateur vers des pages Web au contenu pornographique et des sites plus ou moins frauduleux de vente d’accessoires en ligne (il est peu probable que l’utilisateur piégé reçoive un jour la marchandise commandée et payée sur ces sites). Enfin, les spams citant Selena Gomez vantent les mérites de la chirurgie esthétique ou des concerts gratuits en ligne. Ces publicités visent en fait à rediriger l’utilisateur piégé sur des sites de phishing permettant alors aux scammeurs de voler ses identifiants et mots de passe à des fins malveillantes. Miley Cyrus, Scarlett Johansson, Marilyn Monroe, Katy Perry, Beyonce Knowles, Sandra Bullock et Eminem sont également ces derniers mois, des célébrités très utilisées pour propager des campagnes de scams.

Outre les noms de célébrités, l’analyse de Bitdefender révèle que les scammeurs utilisent aussi des titres de films pour attiser la curiosité et piéger les utilisateurs. Gravity, occupe une place de premier ordre suivi de 12 Years a Slave, Insidious et The Avengers qui font figure d’appâts pour des campagnes de spams en cette fin d’année.

Selon Bitdefender, ces spams aux titres accrocheurs restent une stratégie payante pour piéger un grand nombre d’internautes trop curieux et maintenir ainsi la rentabilité de campagnes de scams et/ou de spams. Ces arnaques vont d’ailleurs souvent trop loin dans le sensationnel afin d’attirer le chaland, déclarant par exemple des célébrités comme étant prétendument mortes, photographiées battues ou impliquées dans des scandales sexuels sordides.

Ces e-mails promettant des photos ou des vidéos chocs ont un seul objectif : soutirer de l’argent à l’utilisateur. En effet, ce dernier, en ouvrant les pièces jointes et/ou en cliquant sur les liens associés, infecte sa machine avec un malware et/ou se retrouve exposé à des contenus inappropriés, offrant ainsi aux scammeurs la possibilité de récupérer ses informations personnelles à son insu et de les exploiter par la suite. Bitdefender rappelle aux utilisateurs que la meilleure chose à faire est de supprimer tout e-mail non sollicité et de rester vigilant contre ces messages promettant ce genre de contenus chocs.

Argent, Arnaque, Cyber-attaque, escroquerie, Virus

Faux courriel aux couleurs du PSG

Un commentaire

Depuis quelques jours, un pirate informatique diffuse un courriel aux couleurs du Paris Saint-Germain, et plus précisément de la boutique du club de football parisien. Le phishing est bien réalisé. L’escroc indique un achat dans la boutique du PSG. « Vous pouvez consulter votre facture FR9077796 via le lien suivant en cliquant dessus ou en le recopiant« . Dans la missive usurpatrice, un extrait d’une carte bancaire. Bref, de quoi inquiéter l’internaute qui n’a jamais rien acheté chez les footeux.

L’objet du courrier pirate « Confirmation de votre commande effectuée sur La Boutique officielle. » En cliquant sur le lien, direction non pas le club Qatari, mais un site piraté, utilisé pour cacher le logiciel espion. Un blog  basé en Suisse. En lieu et place d’une facture, un logiciel pirate, chargé de téléchargé un outil d’espionnage dans l’ordinateur du surfeur ainsi piégé. Même si l’icône à l’écran affiche un « PDF », il s’agit d’un exécutable qu’aucun antivirus, au moment de l’écriture de notre article, n’a détecté comme dangereux. Prudence, donc !

 

 

Cyber-attaque, Virus

Diffusion de virus via des publicités Yahoo!

La régie publicitaire de Yahoo! piégée par des publicités malveillantes qui diffusaient des virus. Vous avez très certainement du vous en rendre compte, d’étranges publicités sont apparues, en fin d’années dans d’importants sites Internet. A première vue, des iframes malveillants ont permis à des pirates informatiques d’exploiter le réseau publicitaire de Yahoo! pour tenter d’infiltrer les ordinateurs des visiteurs. C’est une entreprise belge qui vient de confirmer nos doutes. Fox-IT a annoncé que des appareils avaient été infectés après avoir visité Yahoo.com. Les iframes malveillants ne se trouvaient pas directement sur Yahoo! mais via des sous-domaines piégés.

Dans les codes malveillants, que les pirates ont tenté d’injecter via de fausses mises à jour Flash et autres fausses applications Android, les virus ZeuS et Andromeda. Yahoo! a indiqué que « le » malware avait été supprimé. Le malware ne visait, parait-il, que les internautes européens : France, Roumanie et Grande-Bretagne en tête. Chose tout à fait possible. Les kits pirates permettant ce genre de sélection géographique.

Fox-IT indique que les sites Yahoo! auront été responsables de 27.000 infections par heure. Pour atténuer ce chiffre, l’attaque ne fonctionnait qu’à la condition ou la machine touchée n’était sécurisée, que l’antivirus n’était pas mis à jour et que le surfeur validait le téléchargement du faux produit proposé.

 

 

Espionnae, Vie privée

LPM promulguée : la dérive du politique vers la surveillance généralisée

Le président la République a promulgué [1] la Loi de programmation militaire dont le texte est paru au Journal Officiel. L’adoption de son article 20 et l’absence de saisine du Conseil constitutionnel manifestent une profonde crise d’un pouvoir politique n’hésitant plus à porter massivement atteinte aux droits fondamentaux. La Quadrature du Net remercie tous ceux qui ont participé à la lutte contre ces dispositions et appelle à poursuivre le combat contre la surveillance des contenus et communications sur Internet par tous les moyens : législatifs, juridiques, technologiques et de choix d’usage.

Le texte de la Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale [2] a été publié cette nuit au journal officiel. Son article 20 (anciennement 13) ouvre la porte à une surveillance largement étendue des informations et documents sur Internet, y compris par la sollicitation du réseau en temps réel et avec la participation des opérateurs de télécommunication et de services Web, pour des finalités dépassant très largement les impératifs de la défense et la sécurité nationales.

L’adoption de ces dispositions à la rédaction ambiguë et n’ayant rien à faire dans une loi de programmation militaire, puis l’absence de saisine constitutionnelle, manifestent une très grave crise de la représentation démocratique et de son respect des droits fondamentaux. Cette loi a été adoptée unanimement par les élus socialistes, pourtant très largement divisés sur l’article 20 (à l’époque article 13), et alors qu’ils avaient voté en sens inverse sur des dispositions provisoires et moins dangereuses en 2006 et 2008. Ceux de l’UMP, du groupe écologiste et de la gauche GDR y ont rejeté la loi dans les 2 chambres [3].

Pourtant, une fois cette loi adoptée, les clivages politiques et la discipline de groupe ont été la principale cause de l’échec des tentatives pour réunir les 60 signatures nécessaires à la saisine du Conseil constitutionnel, malgré la mobilisation citoyenne et les nombreuses alertes [4] d’organisations diverses [5]. Le vote politicien d’un PS tenu en laisse, le sectarisme de l’UMP refusant de co-signer avec des députés verts ou communistes et l’intimidation brutale de ses membres par son chef de groupe Christian Jacob [6] resteront dans nos mémoires comme emblématiques de la dérive vers un régime post-démocratique.

De nombreuses étapes permettront aux citoyens de continuer la lutte contre le développement d’une surveillance généralisée devenue l’instrument de pouvoirs politiques incapables d’agir pour l’intérêt commun. Sur le plan juridique, la parution du décret en Conseil d’État prévu dans la loi et les lois annoncées sur le renseignement et les libertés numériques donneront de nouvelles occasions de débats, de décision et de recours. Mais c’est sur le plan politique et celui des usages que se joueront tout autant nos droits et nos libertés.

« Avec les autres associations de défense des droits et libertés qui se sont mobilisées contre l’article 20, nous allons mener campagne sans relâche contre la surveillance et ces violations de la séparation des pouvoirs. Nous demanderons une affirmation forte du rôle du judiciaire, du droit à la vie privée et des libertés individuelles dans les lois à venir et par toutes les voies de recours possibles » déclare Jérémie Zimmermann, co-fondateur et porte-parole de l’association La Quadrature du Net.

« L’équilibre des droits ne pourra être retrouvé que si les citoyens manifestent fortement qu’il n’y a pas de démocratie ni d’être humain libre de s’exprimer dans une société de surveillance diffuse et si chacun, dans ses choix de services, d’outils et d’usage se réapproprie ce que l’on a abandonné aux opérateurs centralisés » déclare Philippe Aigrain, co-fondateur de La Quadrature du Net.

* Autres références *
http://www.assemblee-nationale.fr/14/cri/2013-2014/20140093.asp#P123495
http://www.senat.fr/seances/s201312/s20131210/s20131210_mono.html#Niv1_SOM7
4. https://www.laquadrature.net/fr/loi-de-programmation-militaire-les-parlementaires-doivent-saisir-le-conseil-constitutionnel
5. https://www.laquadrature.net/fr/pcinpact-surveillance-du-net-deluge-de-contestations-contre-le-patriot-act-francais

Argent, Banque, Cyber-attaque, DDoS

Une banque en ligne attaquée et bloquée

La NatWest, service bancaire en ligne, touchée par une attaque DDOS. Qui a souhaité bloquer la NatWest ? Pour le moment personne ne sait vraiment. Un ou des pirates informatiques ont lancé un DDoS, un Déni Distribué de Service (plusieurs milliers d’ordinateurs tentent de communiquer avec un serveur. La masse sature le service). Les clients ont été incapables d’accéder à leurs comptes en ligne. « En raison d’une hausse du trafic internet délibérément dirigée sur le site NatWest, certains de nos clients n’ont pu avoir un accès à nos sites Web. » a indiqué le service presse. Il y a quelques semaines RBS, dont NatWest est une filiale, était tombée sous les coups d’un autre DDoS. (Mirror)

Arnaque, Cybersécurité, Fuite de données, Mise à jour, Patch

Fausses clés de licence ADOBE

Un pirate exploite la base de données piratée à ADOBE pour inciter les clients à télécharger une fausse licence, mais virus. Il fallait un peu s’en douter. Diffuser la base de données volées à ADOBE, BDD comprenant des millions d’emails, ne pouvait qu’attirer les pirates et autres escrocs. Le dernier en date, son courriel a été detecté fin décembre, incite les clients ADOBE à télécharger une nouvelle clé d’activation pour leurs logiciels (Photoshop, Premiére, …) Bien entendu, la pseudo nouvelle clé n’est rien d’autre qu’un code malveillant, un logiciel espion.

Pour rappel, le 3 octobre dernier, Adobe a détecté sur son réseau des attaques informatiques (d’idiotes injections SQL) portant sur l’accès illégal à une base de données de sauvegarde contenant des identifiants Adobe et des mots de passe cryptés, ainsi que sur la suppression de cette base. « Nous vous informons que votre identifiant Adobe figurait dans cette base mais pas votre mot de passe actuel.  Par conséquent, nous n’avons pas réinitialisé votre mot de passe » explique dans son courriel de décembre, l’entreprise américaine.  La base de données piratée provenait d’un système de sauvegarde qui contenait de nombreuses entrées obsolètes et était destiné à être mis hors service. Le système Adobe d’authentification des enregistrements, qui pratique le hachage et le salage des mots de passe des clients, n’était pas la source de la base de données volée. Adobe conseille à ses clients de changer leurs mots de passe, sur les autres sites, dans le cas ou l’internaute aurait utilisé le même que chez ADOBE.

 

Cyber-attaque, Logiciels, Mise à jour, Patch

IP Board Forums attaqué par un exploit

Un exploit Kit du nom de DotkaChe s’attaque à l’outil web IP Board Forums. Un kit pirate, baptisé exploit kit DotkaChef, ou encore DotCache, DotCacheF, a été découvert, fin décembre. Il cible les sites Internet qui exploitent IP Board Forums. L’attaque a été découverte par Chris Wakelin de la société Kahu sécurité. Les cybercriminels auraient exploité une vieille faille PHP (CVE-2012-5692) affectant IPB 3.3.4 et anciennes versions. Une fois le site compromis, DotKaChef est téléchargé sur le site Internet de la victime dans un dossier au nom aléatoire. Vous pouvez trouver les détails techniques sur le site de Kabu Sécurity.

Cyber-attaque, Logiciels

Comment piéger les logiciels malveillants avec un bac à sable

L’émulation des menaces est une nouvelle technique clé pour stopper les attaques « zero-day » et ciblées. Thierry Karsenti, Directeur Technique Europe de Check Point, explique à DataSecurityBreach.fr comment cette méthode offre une protection inégalée contre les menaces connues et inconnues.

« Connaître son ennemi aussi bien que soi-même » est une maxime souvent citée dans le milieu de la sécurité informatique. Mais avec le nombre et la complexité des cyberattaques, apprendre à connaître son ennemi est une tâche énorme. Les agresseurs se bousculent chaque jour aux portes des entreprises. Ils déploient un nombre impressionnant de logiciels malveillants pour tenter de perturber l’activité des entreprises et siphonner furtivement des données confidentielles. Les entreprises continuent d’être vulnérables aux attaques « zero-day », si l’on en veut pour preuve le volume de nouveaux logiciels malveillants capables de se cacher dans des fichiers inoffensifs. Bien que nous ne puissions pas tout savoir de nos ennemis, les nouvelles technologies de sécurité peuvent fournir des renseignements vitaux pour identifier et neutraliser les nouveaux risques qui voient le jour quotidiennement.

La cybercriminalité est devenue une grande entreprise, et comme dans n’importe quel autre secteur d’activité, les criminels cherchent à augmenter leurs revenus et accroître leurs parts de marché. Ils ciblent des centaines voire des milliers d’entreprises, pour augmenter leurs chances de succès. Rien qu’en 2012, de 70 000 à 100 000 nouveaux échantillons de logiciels malveillants ont été créés et diffusés chaque jour, soit plus de 10 fois plus par jour qu’en 2011 et plus de 100 fois plus qu’en 2006. Le Rapport Sécurité 2013 de Check Point a constaté que 63% des entreprise sont infectées par des bots, et plus de la moitié sont infectées par de nouveaux logiciels malveillants au moins une fois par jour. Il s’avère impossible pour les approches antimalwares traditionnelles de suivre le rythme de cette croissance effrénée.

Cachés aux yeux de tous
Les logiciels malveillants furtifs sont la technique d’attaque la plus couramment utilisée. Ils sont conçus pour être difficiles à détecter par les équipes informatiques. Le code de la majorité de ces nouveaux logiciels malveillants est caché dans des types de fichiers courants que nous utilisons tous pour nos activités : emails et leurs pièces jointes, documents Word, PDF, Excel et ainsi de suite. Des boîtes à outils de piratage permettent d’obscurcir ces scripts exécutables pour dissimuler leurs actions malveillants, par exemple la modification de la base de registre sur l’ordinateur d’un utilisateur, ou le téléchargement d’un fichier exécutable capable d’infecter un réseau.

Et même si les défenses multicouches de détection et de prévention des intrusions peuvent aider à bloquer certaines actions des logiciels malveillants, elles ne peuvent pas toujours stopper les infections atteignant le réseau et s’y propageant. Ces menaces exploitent de nouvelles failles ou encore des variantes de failles connues pour lesquelles il n’existe pas de signatures et donc de défenses conventionnelles pour les détecter. Tandis que les antivirus, les antispywares et autres solutions de protection similaires sont utiles pour « nettoyer » après une attaque, ils sont inefficaces comme moyen de défense contre ces nouveaux types d’attaques.

Tout comme les contrôles frontaliers d’un pays font appel à différentes techniques pour observer les individus qui entrent et identifier ceux qui représentent une menace, de nouvelles techniques de sécurité permettent de scruter les emails, les fichiers et les données qui entrent dans un réseau en temps réel. Les fichiers malveillants peuvent être isolés sur la passerelle à la périphérie du réseau ou dans le Cloud, selon le choix de l’entreprise, de manière à empêcher les infections. Cette couche externe protège contre les attaques sans impacter l’activité de l’entreprise.

À la recherche des logiciels malveillants
Ce processus d’isolation et d’évaluation est effectué à l’aide d’une technique appelée « émulation des menaces ». À la manière des scanners à rayons X installés aux frontières, cette technique permet de regarder à l’intérieur des fichiers suspects qui arrivent dans la passerelle, qu’il s’agisse de pièces jointes d’emails ou de fichiers téléchargés depuis le web, et d’inspecter leur contenu dans une zone de quarantaine virtualisée appelée « bac à sable ». Cette version virtualisée et isolée d’un environnement informatique agit comme une zone de sécurité permettant l’exécution des différentes applications à risque ou destructives.

Les fichiers y sont ouverts et surveillés pour détecter tout comportement inhabituel en temps réel, tel que les tentatives de changements anormaux de la base de registre ou les connexions réseau non autorisées. Lorsqu’un comportement est jugé suspect ou malveillant, le fichier est bloqué et mis en quarantaine, empêchant ainsi toute infection d’atteindre le réseau et entraîner des dommages. À ce stade, d’autres actions peuvent être effectuées pour identifier et classifier la nouvelle menace afin de faciliter toute identification ultérieure.

Regardons maintenant de plus près comment l’émulation des menaces identifie de nouveaux types d’attaques et de logiciels malveillants pour lesquels il n’existe pas de signatures, et comment elle met fin à ces nouvelles attaques furtives.

Construction du bac à sable
Le moteur d’émulation des menaces et le bac à sable sont gérés par un hyperviseur, qui exécute simultanément plusieurs environnements : Windows XP, 7 et 8 ; Office 2003, 2007 et 2010 ; et Adobe 9, ainsi que des instances virtualisées des applications de bureautique les plus couramment utilisées, telles que Word, Excel, PowerPoint et autres. Comme l’écrasante majorité des logiciels malveillants modernes utilise des méthodes d’ingénierie sociale pour inciter les utilisateurs à cliquer sur des pièces jointes ou télécharger des fichiers semblant légitimes, l’inspection des fichiers utilisant ces environnements et applications courantes est le meilleur moyen d’empêcher les infections.

La sélection des fichiers jugés suspects et devant être inspectés – à savoir, le cheminement vers le bac à sable – se déroule soit au niveau des passerelles de sécurité de l’entreprise soit dans le Cloud, à l’aide d’un agent fonctionnant en parallèle du serveur de messagerie de l’entreprise. Cette sélection peut même se faire dans le trafic chiffré des tunnels SSL et TLS qui contournent habituellement de nombreuses implémentations de sécurité.

Le processus de sélection se fait à l’aide d’une combinaison de méthodes heuristiques et d’autres méthodes d’analyse. Par exemple, lorsque plusieurs instances d’un même fichier ont déjà été mises en cache dans la passerelle ou par l’agent de messagerie, le système peut considérer que le fichier fait partie d’une tentative de phishing visant plusieurs employés. Cette approche optimise et accélère l’analyse en ne choisissant que les fichiers suspects pour une inspection plus approfondie. Lorsque des fichiers sont sélectionnés, ils sont ensuite envoyés au bac à sable contenant le moteur d’émulation, qui fonctionne soit sur la passerelle de sécurité soit dans le Cloud.

Détection des menaces
Les fichiers envoyés au moteur d’émulation des menaces sont copiés et lancés dans plusieurs systèmes d’exploitation et environnements applicatifs virtuels. Ils sont ensuite soumis à un processus d’inspection en cinq étapes :

1.     Tout fichier entraînant le malfonctionnement de l’instance virtualisée du programme, ou tentant de décompresser et substituer un autre document, est signalé comme étant malveillant. De plus, toute tentative d’appel d’un fichier .dll ou .exe signale un comportement potentiellement anormal et malveillant.
2.     La base de registre virtuelle est analysée pour détecter toute tentative de modification, qui est une caractéristique des logiciels malveillants et une action qu’un document courant ne devrait jamais tenter.
3.     Le système de fichiers et les processus sont également analysés à la recherche de toute tentative de modification apportée. Comme indiqué ci-dessus, un document ordinaire ne devrait pas tenter de faire des changements.
4.     Le moteur vérifie toute tentative de communication avec le web, par exemple, pour communiquer avec un centre de commande et de contrôle ou télécharger du code malveillant.
5.     Enfin, le moteur consigne et génère un rapport de toutes les activités effectuées par le fichier, avec des captures d’écran des environnements virtuels, et crée une « empreinte numérique » du fichier qui peut être rapidement utilisée lors de détections ultérieures.

Les fichiers malveillants détectés par le moteur sont placés en quarantaine afin qu’ils n’atteignent pas l’utilisateur final et n’infectent pas le réseau. Même le code malveillant prévu pour détecter son exécution dans un environnement virtualisé n’est pas à l’abri du bac à sable. Ce type de code malveillant tente de camoufler ses actions ou d’agir de manière inoffensive dans l’environnement afin de contourner la détection. Toutefois, cette activité de camouflage contribue effectivement à identifier une intention malveillante. Cette tentative de déguisement est reconnue par le moteur d’émulation et consignée en tant qu’activité suspecte.

La totalité de ce processus se déroule de manière transparente pour la majorité des fichiers, ce qui signifie que, même dans les rares cas où un fichier est inspecté et marqué comme étant « sain », le destinataire du fichier ne remarque aucun impact dans son service de messagerie. Les informations relatives aux activités des fichiers sont mises à disposition de l’équipe informatique dans un rapport détaillé des menaces.

Partage d’informations sur les menaces au niveau mondial
Et si après la détection et le blocage d’un fichier par ce moyen, les entreprises étaient en mesure de partager les informations sur cette nouvelle menace pour aider d’autres entreprises à stopper également l’infection ? Après tout, la nouvelle menace a été identifiée et son empreinte numérique a été créée, ce qui signifie que les infections résultantes peuvent être évitées.

C’est le principe du service Check Point ThreatCloud, qui permet de diffuser les connaissances acquises au sujet d’un nouvel ennemi. De la même façon que les organismes de santé collaborent à l’échelle mondiale pour lutter contre les infections émergentes, développer des vaccins et autres traitements, l’approche collaborative de ThreatCloud réduit les délais entre la découverte d’une nouvelle attaque et la possibilité de s’en protéger. Dès qu’une nouvelle menace est identifiée, les détails la concernant (y compris les descripteurs clés tels que son adresse IP, son URL ou son DNS) sont communiqués à ThreatCloud et automatiquement partagés avec les abonnés du service à travers le monde. Lorsqu’une nouvelle menace est par exemple utilisée comme attaque ciblée sur une banque à Hong Kong et est identifiée par l’émulation des menaces, la nouvelle signature peut être appliquée en quelques minutes à des passerelles disséminées dans le monde entier. En vaccinant les entreprises contre les attaques avant que les infections ne se propagent, l’émulation des menaces empêche ces infections de se transformer en épidémies et améliore la sécurité pour tous.

Donc même si les cybercriminels ciblent des centaines ou des milliers d’entreprises, l’émulation des menaces peut jouer un rôle clé dans la protection des entreprises contre de nouvelles souches de logiciels malveillants et d’attaques « zero-day ». L’utilisation de l’émulation des menaces pour « connaître son ennemi » pourrait devenir l’une des méthodes les plus robustes pour sécuriser les réseaux des entreprises, en créant une nouvelle première ligne de défense contre les logiciels malveillants.

 

escroquerie, Espionnae, Particuliers, Vie privée

SnapChat, une faille dans ses bits

Un commentaire

L’application SnapChat dangereuse. Des hackers démontrent comment intercepter identité et numéro de téléphone d’un utilisateur. L’application SnapChat permet de diffuser des photos, via son smartphone (iOS et Android). Les hackers australiens de chez Gibson Security viennent de tirer à boulet rouge sur le prochain jouet de Facebook en annonçant des fuites de données. La vulnérabilité permet à un malveillant de mettre la main sur le numéro de téléphone et le nom de l’utilisateur visé.

Contacté voilà 4 mois, SnapChat fait la source oreille. Les hackers ont décidé de publier tous les détails de leur découverte le 25 décembre. Un « chantage pour le bien de la société » exprime les hackers au magazine Business Insider. « Espérons que Snapchat vérifiera son code et améliorera la façon dont la sécurité et les bugs sont traités dans l’entreprise ». Une faille qui fait suite à celle qui permettait de sauvegarder les photographies éphémères ou encore extraire d’un smartphone les documents pourtant effacés.  Si vous voulez vous rassurer, le site Snapchatdb.info proposait de s’avoir si vous étiez dans les 4,6 millions de gagnants. Cependant, l’espace web a été suspendu. Il est revenu via lookup.gibsonsec.org. Les derniers chiffres sont masqués, histoire de ne pas voir débarquer les spammeurs téléphoniques.