Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
BYOD, Cyber-attaque, Entreprise, Fuite de données, Leak

Vous aider à détecter une faille de sécurité

Il y a des indicateurs tangibles qui peuvent vous aider à identifier une atteinte à la sécurité de votre environnement de travail.  Certains sont évidents, d’autres moins. Quels sont les premiers signes qui devraient vous conduire à vous inquiéter ? Voici quelques pistes pour vous aider à détecter une faille à temps. Par Jean-Philippe Sanchez, Consultant chez NetIQ France

1. Un trafic inattendu (ou un changement d’activité) entre systèmes sur le réseau constitue un indicateur communément surveillé par les entreprises parce qu’il montre qu’un système a été compromis et s’avère désormais utilisé pour étendre l’emprise de l’attaquant. Un tel trafic peut être révélateur d’une attaque en cours ou, pire, du déplacement d’informations en vue de leur récupération ultérieure. Les fournisseurs du domaine militaire sont particulièrement concernés car les informations hautement sensibles qu’ils manipulent sont souvent la cible d’attaques de long terme au coeur de leurs réseaux.

> Surveillez d’éventuels changements dans les flux réseau et concentrez-vous sur les systèmes concernés pour chercher à connaître les causes de ces changements.

2. Des changements dans les fichiers et la configuration de systèmes surviennent souvent lors d’une attaque. Le pirate va en effet installer des outils (y compris des logiciels malveillants ciblés) souvent impossibles à détecter avec les antivirus traditionnels. Toutefois, les changements qu’ils apportent aux systèmes infectés peuvent être détectés et sont ainsi utilisés pour identifier les systèmes compromis. Certaines industries telles que celle du commerce de détail utilisent notamment cette méthode pour suivre les attaquants cherchant à voler des informations relatives à des cartes bancaires. De fait, l’attaquant est susceptible d’installer des outils de capture de paquets réseau pour collecter des données relatives à des cartes bancaires alors qu’elles transitent sur le réseau. Les attaquants concentrent leurs efforts sur les systèmes susceptibles d’observer le trafic réseau.

> Bien que les chances de trouver un outil de capture de paquets réseau (parce qu’il sera développé sur mesure et probablement totalement nouveau) soient limitées, les changements de configuration des systèmes compromis peuvent être aisément observés.

3. Des changements d’activité d’utilisateurs à privilèges élevés, comme les administrateurs de systèmes, peuvent indiquer que le compte concerné est utilisé par un tiers pour essayer d’établir une tête de pont sur votre réseau. De fait, les utilisateurs à privilèges élevés sont souvent la cible d’opérations d’hameçonnage, dans le cadre d’une attaque avancée persistante puisqu’ils ont accès à des informations de grande valeur. La surveillance d’éventuels changements – tels que durée d’activité, systèmes connectés, type ou volume d’informations consultées – peut fournir une indication sur une violation de sécurité très tôt dans son déroulement. C’est un important sujet de préoccupation pour la plupart des entreprises, mais ça l’est encore plus dans le secteur de la santé. Dans celui-ci, de nombreuses personnes au sein des organisations sont susceptibles d’accéder à des données protégées dont elles n’ont pas véritablement besoin. Et un tel accès peut être utilisé par un attaquant pour dérober des informations pouvant conduire à une violation de sécurité très grave et très coûteuse.

> Surveillez les habilitations et les accès aux applications métiers, ainsi que la séparation des tâches (SOD).  Les risques liés à la séparation des tâches se manifestent suite à une série d’actions réalisées par une même personne et qui entraînent une erreur ou pire, une fraude. Par exemple, un utilisateur ayant accès aux transactions de création/modification des commandes fournisseurs et aux transactions de paiement pourrait créer un fournisseur fictif et initier un paiement…

4. Les schémas de trafic réseau sortant vers de nouveaux hôtes, tout particulièrement mis en perspective avec des informations provenant de services de réputation d’adresses IP, peuvent indiquer qu’un système compromis communique avec un serveur de commande et de contrôle. Toutes les organisations s’inquiétant d’un risque de compromission de leur système d’information devraient surveiller un éventuel trafic réseau sortant inattendu. Souvenez-vous : les chances d’empêcher un attaquant d’entrer sont faibles ; les attaques modernes se caractérisent par un niveau élevé de persistance et par une capacité avérée à passer les défenses.

> Surveillez l’activité au sein du réseau et le trafic quittant votre périmètre. Les systèmes compromis communiquent souvent avec des serveurs de commande et de contrôle et le trafic correspondant peut être observé avant que ne soient causés des dégâts réels.
> Cherchez le trafic sortant visant des adresses IP inhabituelles. Les listes Noires / Blanches des adresses IP utilisées sur Internet font aujourd’hui parties des points indispensables à surveiller.

5. Un événement imprévu, tel que l’application impromptue de correctifs sur des systèmes, peut indiquer qu’un attaquant est parvenu à établir une tête de pont sur votre réseau et s’attache à supprimer des vulnérabilités pour éviter que des concurrents ne le suivent. Il peut s’agir par exemple de l’application soudaine de correctifs comblant des vulnérabilités connues, tout particulièrement sur des applications ouvertes au Web. Cela peut paraître à première vue comme une bonne chose, et donc ne pas éveiller les soupçons. Une analyse des systèmes de l’organisation conduisant à découvrir que quelqu’un a comblé des vulnérabilités connues, mais préalablement non corrigées, peut indiquer qu’un attaquant s’est infiltré sur le réseau et referme derrière lui les portes qu’il a utilisées afin d’éviter l’arrivée de concurrents. Après tout, la plupart des attaquants cherchent à gagner de l’argent à partir de vos données ; ils n’ont aucune raison de vouloir partager les profits avec quelqu’un d’autre.

> Il est parfois payant de s’interroger avec suspicion sur un cadeau qui semble trop beau pour être sincère…

Android, Cybersécurité, Fuite de données, ios, Téléphonie

Les smartwatchs interdites d’examens

Une université Belge fait interdire le port des montres pendant les examens pour faire face aux possibilités de tricherie avec une smart watch. Il n’aura pas fallu bien longtemps aux tricheurs pour trouver un intéret certain aux montres connectées, les fameuses smartwatchs. Samsung (Galaxy Gear), Sony, le Chinois ZTE, et prochainement Apple, proposent ces petits bijoux de technologies. L’université Belge de l’Arteveldehogeschool, située à Gand, vient de faire interdire le port de la montre lors d’un examen. Les « smartwatchs » permettent de se connecter sur Internet, et donc d’apporter des réponses aux tricheurs (qui ont les moyens de se payer ce type de montre intélligente).

Sur la Samsung, pas possible de lire les courriels, sur Sony, oui. La Galaxy Gear permet cependant de filmer son voisin d’examen. En juin dernier, un étudiant vietnamien de la Ho Chi Minh City University a d’ailleurs été coincé en train de tricher avec son chronographe numérique. Data Security Breach a pu se procurer le document internet de l’école, expliquant les montres à surveiller. Bref, d’ici peu, les concours et examens se passeront à poil !

Cyber-attaque, DDoS, Entreprise

Piratage : Bitcoins dans la ligne de mire

4 commentaires

Décidément, la monnaie Bitcoins, monnaie virtuelle qui peut se transformer rapidement en argent sonnant et trébuchant, connait un regain d’intérêt chez les pirates informatiques. La place d’échange Bitcoin danoise BIPS est la dernière victime en date. Une attaque DDoS qui a permis aux attaquants de dérober près de 1 million de dollars. Au moins deux attaques DDoS (les 15 et 17 novembre) ont précédé ce piratage et il était logique de penser que de nouvelles tentatives seraient menées.

La popularité du Bitcoin, monnaie virtuelle dont l’utilisation au niveau mondiale ne cesse de croitre a vu son cours progresser significativement au cours des derniers mois. Le cours du Bitcoin est passé, en octobre de 137 euros à… 647 euros en cette fin du mois de novembre (20 dollars, il y a un – La monnaie a grimpé jusqu’à 1000 dollars, mercredi). Bilan, après le piratage de mining.bitcoin.cz, de Inputs.io, voici donc le DDoS contre un Danois. « Les cyberattaques les plus conséquentes sont capables de mettre hors service les applications critiques d’une entreprise et peuvent avoir des impacts financiers importants, souligne Laurent Pétroque ingénieur chez F5 Networks, Les entreprises qui dépendent de leur présence en ligne pour leur activité se doivent absolument d’investir dans des solutions de sécurité que ce soit pour elles, leur personnel ou les clients et utilisateurs finaux et ce afin de les protéger contre ces vecteurs d’attaque. »

Que ce genre d’attaques DDoS soient l’œuvre de fauteurs de troubles, de rivaux effectuant des tentatives de sabotages ou tout simplement de cybercriminels appâtés par des opportunité de gains faciles, il est plus que flagrant que la défense contre ces dernières ne concerne plus uniquement une faible proportion d’entreprises des secteurs privés et public. Ces attaques sont devenues plus fréquentes, ce sont amplifiées ces derniers mois et nous pouvons nous attendre à en voir beaucoup plus, avec encore plus de puissance, dans les tous les secteurs en 2014. « Les autres places d’échange Bitcoin à travers le monde devraient, si ce n’est pas déjà fait, faire le nécessaire rapidement pour se prémunir d’attaques similaires. » termine l’informaticien.

Data security breach revenait, il y a peu, sur les attaques à l’encontre de Bitcoin et des utilisateurs de cette monnaie virtuelle. Depuis plusieurs mois, les attaques se sont intensifiées : botnet, kit exploit, phishing, DDoS. Certains pirates, comme le montre datasecuritybreach.fr affiche des transactions malveillantes de plusieurs dizaines de milliers de dollars/euros. Au cours des dernières années, la capacité de voler le fichier wallet.dat, le portefeuille Bitcoin, a été ajoutée à plusieurs familles de logiciels malveillants comme Zeus, Zbot, Dorkbot,  Khelios. Et ce n’est plus le mot de passe Bitcoin qui semble être un frein aux malveillants professionnels. A noter que des botnets IRC s’exécutent sur la base du « AthenaIRCBot », un code source qui a la capacité de voler le fameux fichier portefeuille. Bref, l’hiver s’annonce… chaud, d’autant plus que le Ministère de la Justice américaine et le SEC (le gendarme de la bourse US) ont déclaré au Sénat de l’Oncle Sam que le Bitcoin était un moyen de paiement légitime. A chypre, il est dorénavant possible de payer ses cours en Bitcoin.

 

 

Espionnae, Particuliers, Vie privée

Données personnelles: « Circulez, y’a rien à voir! »

2 commentaires

La Commission européenne doit adopter mercredi 27 novembre un texte dans lequel il est clairement indiqué qu’elle continuera à travailler étroitement avec les services de renseignement américains. Dans ce document de travail, il est souligné que la Commission européenne ne suspendra pas les transferts controversés de données personnelles vers les Etats-Unis, et ce malgré les révélations d’Edward Snowden et les demandes répétées des parlementaires relatives à la protection de la vie privée. En particulier, la Commission ne veut pas suspendre l’accord Swift-TFTP comme l’a réclamé le Parlement européen dans une résolution du 23 octobre dernier. Elle rejette également toute révocation de l’accord «Safe Harbour», permettant l’utilisation commerciale des données personnelles des Européens par les sociétés américaines.

Francoise Castex ironise: « C’est la façon qu’a la Commission de lancer la campagne des européennes! Déjà en 2008, lors de l’adoption du paquet Telecom, Viviane Reding nous avait fait le coup[1]. Votez ce que vous voudrez, on n’en tiendra pas compte! » Avant d’ajouter, plus sérieusement: « C’est un très mauvais signal envoyé aux électeurs qui n’en finissent plus de se demander à quoi sert l’Europe! ». Pour l’eurodéputée socialiste: « Après ACTA et le TTIP, Barroso se fait une nouvelle fois le supplétif des intérêts américains. » L’élue gersoise conclut: « Le rôle de la Commission européenne est de défendre le projet européen, pas de le vendre!« 

[1] Le 24 septembre 2008, quelques heures après l’adoption de l’amendement 138 sur le paquet Telecom, Viviane Reding  avait annoncé que la Commission européenne ne reprendrait pas cet amendement pourtant voté par 80% des parlementaires, avant de se rétracter.

A lire, le document de la Direction Générale des Politiques Internets du Parlement Européen sur Les programmes de surveillance des Etats-Unis et leurs effets sur les droits fondamentaux des citoyens de l’UE.

Cyber-attaque, Cybersécurité, Facebook, Fuite de données, Linkedin, Social engineering, Twitter

Les réseaux sociaux, « faille insidieuse » des cyberattaques ?

Les cyberattaques sont plus sophistiquées que jamais et les techniques de hacking ne cessent d’évoluer, de se renouveler. Aujourd’hui, force est de constater que la menace ne provient plus exclusivement de l’extérieur. Au sein d’une organisation, les utilisateurs sont à la fois victimes et potentiels « cybercriminels » notamment dans le cadre de leur usage des réseaux sociaux.

Les bonnes pratiques de l’usage des réseaux sociaux au bureau
Afin de réduire les risques d’attaques et de renforcer la sécurisation des données, les entreprises doivent former les employés aux bonnes pratiques de l’usage des réseaux sociaux au bureau ; de nombreux utilisateurs ont un comportement à risque par manque de sensibilisation et/ou parce qu’ils ne mesurent pas les dangers qu’ils font prendre aux organisations. Pourtant, les menaces les plus importantes proviennent surtout des sites professionnels tels que LinkedIn ou Viadeo, qui sont des sources intarissables d’informations à très forte valeur ajoutée sur les entreprises pour les hackers.

Ceux-ci ont accès en « libre-service » à un très grand nombre d’informations sur l’activité de l’entreprise qui leur permettent de récupérer des données sensibles. Les réseaux sociaux professionnels sont, en effet, le point d’entrée à des informations sur les employés, leur rôle dans l’entreprise, leurs fonctions quotidiennes, voire les nombreuses informations sur les outils de sécurité utilisés et les problématiques auxquelles ils ont été exposés. Les hackers utilisent actuellement l’ensemble des vecteurs à leur disposition : ils peuvent également pirater des informations professionnelles via un terminal personnel lorsque l’employé utilise ses propres outils (BYOD) ou travaille de chez lui à partir de son ordinateur personnel. Aujourd’hui, les brèches de sécurité sont progressives et permettent aux pirates de s’introduire dans les systèmes informatiques de la manière la plus discrète possible pour collecter le maximum d’informations et accéder petit à petit aux données les plus critiques.

Le Community Manager, danger insoupçonné
Le Community Manager a un rôle clé dans une entreprise puisqu’il gère son image et sa présence sur les réseaux sociaux. Il ne s’agit pas tant de ses privilèges (qui sont finalement peu élevés) que de son impact sur l’image et la communication officielle de l’entreprise sur les médias sociaux. Le détournement de ce type de compte est aujourd’hui une cible privilégiée de groupes cherchant à nuire à l’image d’une société ou à profiter de sa notoriété pour passer des messages non sollicités ou diffuser des informations confidentielles. Par ailleurs, lorsqu’un salarié quitte l’entreprise, il doit rendre ses clés, son badge mais les employeurs ne pensent pas nécessairement à changer ses mots de passe. Or, un Community Manager ou autre employé mécontent qui quitte l’entreprise emportant avec lui identifiants et mots de passe pourrait également lui nuire sans difficultés – tout salarié d’une entreprise est susceptible de conserver ses données de connexion après son départ de la société.

Prenons l’exemple récent de l’affaire PRISM, il ressortirait que l’ancien analyste de la NSA, Edward Snowden, aurait accédé à des informations extrêmement confidentielles grâce aux identifiants de connexion de plusieurs de ses collègues, qu’il aurait convaincu de lui fournir en prétextant un travail qu’il devait faire, en tant qu’administrateur du système informatique. Ce type de comportements peut avoir des conséquences catastrophiques sur l’économie d’une entreprise et engendrer des dommages collatéraux durables (perte de clients, impact sur le cours des actions en bourse pour les sociétés cotées, retrait d’investisseurs/business angels…).

De l’importance d’appliquer et transmettre les bonnes pratiques
Les cyberattaques sont une réalité pour tous et les entreprises comme les employés doivent prendre conscience que chaque individu est une porte d’accès aux données sensibles d’une société. Pour ce faire, les organisations peuvent appliquer plusieurs règles simples et peu coûteuses afin de renforcer la sécurisation des informations :

[dsb] Sensibiliser les utilisateurs au fait que le risque existe et  qu’ils doivent adopter un comportement de méfiance vis-à-vis d’informations en provenance de l’extérieur, mais également de l’intérieur – le fait de partager un simple mot de passe avec un collègue, peut aussi être considéré comme un comportement à risque.

[dsb] Identifier la source et le parcours des hackers afin de paralyser l’attaque et le retrait de données sensibles.

[dsb] Mettre en place des solutions de détection pour alerter les personnes responsables de l’entreprise qu’un compte sensible est en cours d’utilisation (peut-être frauduleuse) afin de favoriser une intervention rapide.

[dsb] Identifier et sécuriser les comptes à privilèges au sein des entreprises, premières cibles des attaquants puisque souvent méconnus et négligés.

En conclusion, pour parer au maximum à ces « failles humaines », employés et entreprises doivent redoubler de vigilance pour un usage plus réglementé des réseaux sociaux professionnels et privés. Commentaire d’Olivier Prompt, Regional Sales Engineer, Northern Europe & Africa chez Cyber-Ark Software pour Data Security Breach.

Cyber-attaque, Piratage

Une multiplication des cyber-attaques pour les fêtes de fin d’année ?

Des experts révèlent une vague soutenue de sites de phishing utilisant la marque Apple et une recrudescence des malware ciblant les services de banque en ligne. Alors que les fêtes de fin d’année approchent à grands pas, le rapport de sécurité de Trend Micro pour le troisième trimestre 2013 révèle une prolifération inquiétante de sites de phishing visant iOS, ainsi qu’une forte augmentation du nombre de malware ciblant les services de banque en ligne. Des découvertes qui appellent les consommateurs à davantage de prudence au cours de cette période de fêtes souvent synonyme de shopping intensif, afin de protéger leurs données personnelles et financières contre d’éventuels piratages.

« Les consommateurs étant de plus en plus attirés par l’aspect pratique des banques en ligne, les cybercriminels conçoivent de nouveaux outils à un rythme effréné afin de tirer profit du manque de vigilance ambiant », explique JD Sherry à DataSecurityBreach.fr, Vice-President of Technology and Solutions chez Trend Micro. « Par ailleurs, si Apple a toujours été perçu comme un gage de sécurité face aux menaces, nos dernières découvertes montrent que les campagnes de phishing ciblant iOS continuent de se multiplier, mettant en péril les données personnelles des utilisateurs. Ces deux tendances augurent une potentielle explosion du nombre d‘attaques pour cette fin d’année, notamment parce que le mobile sera un élément clé des achats de Noël, tant pour les commerçants que pour les consommateurs. »

Après le pic constaté au second trimestre (5 800 en mai), le nombre de sites de phishing utilisant la marque Apple est resté stable sur le troisième trimestre, avec 4 100 sites identifiés en juillet, 1 900 en août et 2 500 en septembre. L’inquiétude est cependant d’actualité pour le quatrième trimestre, les analystes tablant sur la vente de 31 millions d’iPhones et de 15 millions d’iPads sur cette période.

Les chercheurs de Trend Micro ont également identifié plus de 200 000 infections par des malware ciblant les services de banque en ligne sur le troisième trimestre. Trois pays ont été pris plus particulièrement pour cible : les Etats-Unis qui représentent près du quart (23%) de l’ensemble des infections dans le monde, suivis par le Brésil (16 %) et le Japon (12 %). L’Allemagne et la France, les pays les plus touchés en Europe, ne représentent chacun que 3 % des infections. Ce chiffre bas est sans doute le résultat des hauts niveaux d’exigence en termes d’authentification à facteurs multiples pour les transactions bancaires dans la région. A noter également que les cybercriminels font appel à des techniques d’obfuscation* de plus en plus sophistiquées. Les chercheurs ont ainsi identifié des routines visant à bloquer les debuggueurs et à empêcher toute analyse dans le cheval de Troie KINS.

Cyber-attaque, Cybersécurité, Mise à jour, Patch

Une étude révèle l’augmentation fulgurante des attaques via Java sur les 12 derniers mois

Le nombre d’attaques exploitant des failles Java entre septembre 2012 et août 2013 a atteint 14,1 millions, un chiffre supérieur d’un tiers à celui observé au cours de la même période en 2011-2012, selon l’étude Kaspersky Lab Java under attack – the evolution of exploits in 2012-2013. 1 210 000 sources d’attaques distinctes ont été identifiées dans 95 pays.

Les « Exploits » sont des programmes malveillants conçus pour tirer parti des vulnérabilités des logiciels légitimes et pénétrer dans les ordinateurs des utilisateurs. Leur nature furtive les rend d’autant plus dangereuses. Lorsqu’un ordinateur utilise des versions vulnérables de logiciels, il suffit de visite une page Web infectée ou d’ouvrir un fichier contenant du code malveillant pour déclencher l’infection. Les cibles les plus fréquemment attaquées sont Oracle Java, Adobe Flash Player et Adobe Reader. L’étude de Kaspersky Lab indique, l’an passé, Java est devenu la cible privilégiée des cybercriminels.

L’étude s’appuie sur des données recueillies auprès d’utilisateurs de produits Kaspersky à travers le monde ayant accepté de fournir des informations au réseau Kaspersky Security Network. Parmi les 14,1 millions d’attaques détectées qui exploitent des failles Java, la plupart d’entre elles l’ont été au cours des six derniers mois de la période étudiée, soit plus de 8,54 millions d’attaques entre mars et août 2013, un chiffre en hausse de 52,7% par rapport au semestre précédent.

Pour les particuliers, l’installation des dernières mises à jour des logiciels constitue rarement une priorité, ce qui fait le jeu des cybercriminels. Selon l’étude, la majorité des utilisateurs continuent de travailler avec une version vulnérable de Java pendant six semaines après la diffusion d’une mise à jour. Environ 50% de l’ensemble des attaques ont exploité au maximum six familles de vulnérabilités Java.

Environ 80% des utilisateurs attaqués se trouvent dans 10 pays, au premier rang desquels arrivent les Etats-Unis, la Russie et l’Allemagne. En l’espace de 12 mois, les produits de Kaspersky Lab ont protégé plus de 3,75 millions d’utilisateurs dans le monde contre des attaques Java. Le Canada, les Etats-Unis, l’Allemagne et le Brésil ont connu les plus fortes progressions du nombre d’attaques. En un an, chaque utilisateur a été confronté en moyenne à 3,72 attaques. Cette moyenne est passée de 3,29, entre septembre 2012 et février 2013, à 4,15 entre mars et août 2013, soit une augmentation de 26,1%.

Le nombre élevé d’attaques exploitant des failles Java n’est guère surprenant : au cours des 12 mois sur lesquels a porté l’étude de Kaspersky Lab, 161 vulnérabilités de ce type ont été identifiées. En comparaison, de septembre 2011 à août 2012, ce sont 51 d’entre elles qui avaient été rendues publiques. Six des nouvelles failles repérées ont été qualifiées de critiques, c’est-à-dire très dangereuses. Or ces six vulnérabilités ont été les plus activement utilisées dans les attaques lancées par des cybercriminels.

« Java est victime de son succès », commente à DataSecurityBreach.fr Vyacheslav Zakorzhevsky, chef du groupe d’étude des vulnérabilités chez Kaspersky Lab. « Les cybercriminels savent qu’ils ont tout intérêt à concentrer leurs efforts sur la recherche d’une faille dans Java afin de pouvoir s’attaquer à des millions d’ordinateurs simultanément, plutôt que d’exploiter des vulnérabilités dans des logiciels moins répandus, ne leur permettant d’infecter qu’un nombre restreint de machines. »

Nous vous indiquions, il y a peu, comment de fausses alertes java étaient diffusées, sur Internet. Une méthode radicale pour piéger les internautes.

Justice, Logiciels

Technologie Google anti pédophile

Pour éviter de voir apparaitre des sites et photos à caractère pédopornographiques, Google vient d’annoncer la mise en ligne d’une nouvelle technologie permettant de bloquer certaines demandes des internautes par le biais de son moteur de recherche. 200 informaticiens maisons se sont penchés sur le projet. Le géant américain indique qu’il sera plus compliqué, pour les pays anglophones, de retrouver des documents illicites sur son internet. Eric Schmidt, le CEO de Google, indique dans le journal britannique Daily Mail que son groupe a déjà pu « épurer les résultats de plus de 100.000 commandes de recherche liées à l’abus sexuel d’enfants. » L’algorithme sera étendu, dans les mois à venir à l’ensemble du globe.

Pendant ce temps en Espagne, des chercheurs de l’université de Deusto Bilbao, dirigés par le Docteur Pablo García Bringas ont annoncé la création d’un nouveau bot, un robot, dédié aux discussions sur les forums et autres chats IRC. Si l’outil n’a rien de nouveau, il en existe des centaines sur la toile, Negobot (son nom, Ndr zataz.com) est capable de tenir une discussion sur la longueur. L’idée, permettre de traquer les pédophiles sur la toile. C’est en collaboration avec une association locale que les chercheurs ont réalisé l’outil en ligne. L’ONG « Protége les » a offert des milliers de pages de discussions d’internautes diffuseurs, revendeurs ou acheteurs de documents à caractères pédophiles. Bilan, la lolita virtuelle, qui peut aussi se faire passer pour un garçon, répond aux questions, participe aux propos, faits des fautes, et serait capable de feindre l’embarras au moment d’échange intime. Negobot dispose de 7 phases d’actions. L’algorithme exploité est capable d’identifier le niveau d’“obscénité” de la discussion.

Les outils se multiplient, il y a quelques semaines, une autre association présentait son avatar 3D baptisé Sweeties. Robot représentant une petite fille de 10 ans, capable de piéger 20.000 internautes pédophiles et permis d’en tracer un millier.

Chiffrement, cryptage, Entreprise, Espionnae, Fuite de données

Les services secrets britanniques font dans le phishing

2 commentaires

Quoi de plus sympathique qu’un bon gros phishing pour mettre la main sur les données privées et sensibles d’une cible. Les services secrets de sa gracieuse majesté britannique, le British Intelligence Agency GCHQ (Government Communications Headquarters) aurait utilisé de fausses pages du portail professionnel communautaire Linkedin pour mettre la main sur des données ciblées.

Une information que le magazine allemand Der Spiegel a révélé après l’analyse de documents secrets du GCHQ que l’ancien « analyste » Edward Snowden aurait volé. La première attaque connue visait le gouvernement belge et Belgacom, l’opérateur de télécommunication. Une fois le visiteur piégé par la fausse page Linkedin, un logiciel espion s’installait dans l’ordinateur des cibles de la GCHQ. L’objectif aurait été d’accéder au système de routeur GRX exploité par BICS pour intercepter le trafic téléphonique.

C’est quand même dingue de voir comment ces services secrets peuvent être bavards, dans leurs bureaux ; Ca n’étonne personne de savoir qu’un simple analyse « du privé » puisse accèder à autant d’informations variées !

En attendant, pour répondre aux écoutes probables de la NSA du trafic data de Yahoo! et Google, les deux géants de l’Internet viennent d’annoncer qu’ils allaient protéger leurs données internes. La CEO de Yahoo!, Marissa Mayer, a indiqué que les connexions de son groupe seraient désormais chiffrées.

Cyber-attaque, escroquerie, Espionnae, Virus

Propagation d’un trojan bancaire via Skype

3 commentaires

Le pic de ces envois a été enregistré dans la première moitié de novembre 2013. BackDoor.Caphaw est capable de voler les identifiants d’accès aux comptes en ligne et d’autres données sensibles stockées sur la machine infectée. Il exploite les vulnérabilités des navigateurs (par exemple les packages d’exploits BlackHole), et se copie sur les supports amovibles et réseau.

Depuis la deuxième quinzaine d’octobre 2013, les attaquants utilisent Skype pour distribuer le Trojan BackDoor.Caphaw. Le pic de la propagation, selon DrWeb, a été enregistré entre le 5 et 14 novembre 2013. Les attaquants envoient des messages via Skype en utilisant les comptes des utilisateurs déjà infectés. Les messages incluent un lien vers une archive portant le nom invoice_XXXXX.pdf.exe.zip (où XXXXX est un ensemble aléatoire de chiffres). L’archive contient le fichier exécutable du Trojan BackDoor.Caphaw.

Après son lancement, le Trojan sauvegarde sa copie dans un dossier d’application comme un fichier, avec un nom aléatoire, et modifie la clé du Registre chargée du lancement automatique des applications. Afin de faire face aux tentatives d’être étudié, ce Trojan possède un mécanisme de détection de lancement sur une machine virtuelle.

Suite à son installation, le Trojan BackDoor.Caphaw essaie de s’intégrer dans les processus en cours et de se connecter à un serveur des attaquants. Ce Trojan surveille l’activité de l’utilisateur et détecte les connexions aux banques en ligne. Dans ce cas, BackDoor.Caphaw peut injecter du contenu malveillant et intercepter les données entrées dans différents formulaires.

Une autre de ses fonctions est l’utilisation de la caméra et l’enregistrement, sur la machine infectée, de vidéos en streaming, afin de le transmettre au serveur des attaquants sous la forme d’une archive RAR. En outre le BackDoor.Caphaw peut télécharger depuis le serveur distant des composants additionnels et les lancer. Par exemple, des modules pour rechercher et transmettre aux attaquants les mots de passe des clients FTP ou créer un serveur VNC. Il existe également un module MBR bootkit, capable d’infecter des secteurs d’amorçage etc. Enfin, il existe un module pour l’envoi automatique de liens malveillants via Skype. Les utilisateurs doivent rester prudents et éviter de cliquer sur les liens reçus dans les messages via Skype, même si ces messages proviennent de leurs connaissances, car leurs ordinateurs peuvent être déjà infectés par le BackDoor.Caphaw.