Archives de catégorie : backdoor

Adobe, Arnaque, backdoor, BYOD, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, ID, Identité numérique, Leak, Logiciels, Mise à jour, Particuliers, Patch, Piratage, Social engineering, Vie privée

Stegano, un malware publicitaire infectant de nombreux sites Internet

Découverte de Stegano, un nouveau kit d’exploitation se propageant via des campagnes publicitaires. De très nombreux sites Internet à forte notoriété ayant des millions de visiteurs quotidiens ont été touchés. Au cours des deux derniers mois, Stegano a été affiché auprès de plus d’un million d’utilisateurs. Stegano se cache dans les images publicitaires (en Flash) affichées sur les pages d’accueil des sites Internet.

Depuis le début du mois d’octobre 2016, des cybercriminels ciblent les utilisateurs d’Internet Explorer et analysent leur ordinateur pour détecter les vulnérabilités dans Flash Player. En exploitant leurs failles, ils tentent de télécharger et d’exécuter à distance différents types de malwares.

Ces attaques se rangent dans la catégorie des publicités malveillantes, c’est-à-dire que des codes malicieux sont distribués via des bannières publicitaires. La victime n’a même pas besoin de cliquer sur la publicité : il suffit qu’elle visite un site Internet l’affichant pour être infecté. Elle est alors renvoyée automatiquement vers un kit d’exploitation invisible permettant aux cybercriminels d’installer à distance des malwares sur son ordinateur.

« Certaines des charges utiles que nous avons analysées comprennent des chevaux de Troie, des portes dérobées et des logiciels espions, mais nous pouvons tout aussi bien imaginer que la victime se retrouve confrontée à une attaque par ransomware, » explique Robert Lipovsky, senior malware researcher chez ESET. « Cette menace montre combien il est important d’avoir un logiciel entièrement patché et d’être protégé par une solution de sécurité efficace et reconnue. Si l’utilisateur applique ces recommandations, il sera protégé contre ce genre d’attaque.» poursuit Robert Lipovsky.

« Stegano » fait référence à la sténographie, une technique utilisée par les cybercriminels pour cacher une partie de leur code malveillant dans les pixels d’images présents dans les bannières publicitaires. Ceux-ci sont masqués dans les paramètres contrôlant la transparence de chaque pixel. Cela entraîne un changement mineur des tons de l’image, rendant ces derniers invisibles à l’œil nu pour la victime potentielle.

Pour vous protéger, bannissez Flash de vos ordinateurs !

Argent, backdoor, Base de données, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Particuliers, Piratage, Social engineering

Lurk : business des codes malveillants

Pourquoi le groupe cybercriminel Lurk monétise l’exploit kit Angler, son outil le plus puissant ? Bienvenue dans le business des codes malveillants !

Au début de l’été, Kaspersky Lab a participé à l’arrestation de membres du gang Lurk, suspectés d’avoir dérobé plus de 45 millions de dollars, grâce à des codes malveillants, auprès d’un certain nombre d’entreprises et de banques en Russie. Il s’agit du plus grand groupe cybercriminel financier capturé ces dernières années. Cependant, il ne s’agissait pas du seul méfait de Lurk. D’après l’analyse de l’infrastructure informatique qui se cache derrière le malware du même nom, ses auteurs ont développé et louent leur kit d’exploitation de vulnérabilités à d’autres cybercriminels. Le kit Angler est un jeu de programmes malveillants capable d’exploiter les failles de sécurité de logiciels répandus afin d’installer en toute discrétion des malwares supplémentaires sur les PC.

Angler : un outil puissant pour la propagation de tous types de malwares
Le kit d’exploitation Angler est, depuis plusieurs années, l’un des outils les plus puissants disponibles sous le manteau pour les pirates. La dernière fois que l’on a entendu parler d’Angler remonte à la fin de 2013, lorsque le kit a été proposé en location. Plusieurs groupes cybercriminels s’en sont servi pour propager différents types de malwares : adwares, malwares bancaires, ou ransomwares. Ce kit d’exploitation a été utilisé activement par le groupe à l’origine de CryptXXX, l’un des ransomwares les plus virulents et dangereux sur Internet, de TeslaCrypt et d’autres menaces. Angler a également été utilisé pour la propagation du cheval de Troie bancaire Neverquest, conçu pour attaquer près d’une centaine de banques différentes. Les activités d’Angler se sont interrompues juste après l’arrestation du groupe Lurk.

Les services de banques en lignes principalement visés par des codes malveillants
Comme l’a montré l’étude réalisée par les experts en sécurité, le kit Angler a été créé à l’origine dans un unique but : fournir au groupe Lurk un moyen de diffusion fiable et efficace, lui permettant de cibler les PC à l’aide de son malware bancaire. Etant un groupe très fermé, Lurk s’est efforcé de conserver la maîtrise de son infrastructure cruciale au lieu d’en sous-traiter certaines parties à l’instar d’autres groupes. Cependant, en 2013, la situation a changé et la bande a ouvert l’accès à son kit pour tous ceux disposés à payer.

Nous supposons que la décision de Lurk d’ouvrir l’accès à Angler a été en partie motivée par une nécessité financière. A l’époque où le groupe a mis Angler en location, la rentabilité de sa principale activité – le cybervol d’entreprises – était en baisse sous l’effet d’une série de mesures de sécurité mises en place par les développeurs de logiciels de banque à distance, ce qui a rendu la tâche beaucoup plus difficile pour ces pirates. Or, à cette même époque, Lurk devait entretenir à ses frais une infrastructure réseau et un “personnel” considérables. Le groupe a donc décidé d’élargir ses activités et y est parvenu dans une certaine mesure. Tandis que le cheval de Troie bancaire Lurk menaçait exclusivement des entreprises russes, Angler a été employé dans des attaques visant des utilisateurs du monde entier. Son développement et son support – n’était que l’une des facettes de l’activité de Lurk. En l’espace de plus de cinq ans, le groupe est passé de la création de malware très puissant pour le vol automatisé de fonds avec des logiciels de banque à distance, à des stratagèmes évolués impliquant des fraudes à base d’échange de carte SIM et des spécialistes du piratage de l’infrastructure interne des banques.

backdoor, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Logiciels, Microsoft, Piratage

Backdoor : fichiers Publisher peuvent entrainer des vols de données

Une vague de spams ciblés infecte actuellement les ordinateurs Windows via une backdoor, permettant aux cybercriminels de dérober des informations sensibles d’entreprises.

Backdoor dans vos mails ? Les chercheurs antispam des Bitdefender Labs ont identifié quelques milliers d’e-mails contenant des pièces jointes ayant .pub, comme extension, et se faisant passer pour des commandes ou factures de produits. Les expéditeurs de ces courriers électroniques usurpent l’identité d’employés travaillant le plus souvent dans des petites et moyennes entreprises  au  Royaume-Uni ou en Chine, mais pas seulement, d’autres entreprises plus importantes sont également ciblées.

Les destinataires sont invités à ouvrir les fichiers joints avec Microsoft Publisher, un logiciel de Publication Assistée par Ordinateur (PAO), intégré à Microsoft Office 365. Publisher est communément utilisé pour éditer et mettre en page des textes, ou encore créer des flyers, newsletters, des e-mailings, etc.

« .pub n’est pas une extension de fichier souvent utilisée pour diffuser des logiciels malveillants », déclare Adrian Miron, Chef de la division Antispam des Bitdefender Labs. « Les spammeurs ont choisi ce type de fichiers, car, en général, les gens ne se doutent pas qu’il puisse être un vecteur d’infection ».

Backdoor : porte cachée 2.0

L’extension .pub infectée contient un script (VBScript) qui intègre une URL agissant comme un hôte distant. De là, le malware télécharge un dossier auto-extractible contenant un script AutoIt, outil qui sert à exécuter le script et un fichier chiffré en AES-256. Les chercheurs ont remarqué que ce fichier chiffré peut être déchiffré en utilisant une clé dérivée de l’algorithme MD5 (Message Digest 5), d’un texte écrit à l’intérieur du fichier AutoIt.

Une fois que le fichier est déchiffré et installé, les attaquants ont alors accès au système via une backdoor et peuvent contrôler les ressources sur l’ordinateur compromis. Le malware peut mémoriser des séquences de touches pour enregistrer les mots de passe et noms d’utilisateurs, dérober des informations de connexion à partir des navigateurs Web ou des e-mails, afficher les données du système et  réaliser d’autres actions intrusives.  « Nous avons des raisons de croire que ce type d’attaque provient de l’Arabie Saoudite et de la République tchèque », ajoute Adrian Miron.

Le code malveillant est détecté sous le nom de W97M.Downloader.EGF, ainsi que la charge utile de la backdoor comme Generic.Malware.SFLl.545292C0. [MD5 : 8bcaf480f97eb43d3bed8fcc7bc129a4]. Pour rester protégé contre ce type de menaces, il est conseillé aux entreprises d’installer un filtre antispam fiable. Les utilisateurs doivent éviter d’ouvrir et de télécharger des pièces jointes suspectes provenant de sources inconnues.

Android, Arnaque, backdoor, Cyber-attaque, Cybersécurité, escroquerie, IOT, Leak, Logiciels, Particuliers, Piratage, Smartphone, Téléphonie

Android domine le secteur et concentre les menaces informatiques

Menaces informatiques – Dans son rapport semestriel, G DATA fait un bilan des dangers ciblant les systèmes mobiles. Android, présent dans 68 % des appareils mobiles dans le monde, est en première ligne. Au-delà des malwares, les utilisateurs sont également ciblés par des campagnes de publicité dangereuses.

Vous vous demandiez ce qu’étaient des menaces informatiques dans le monde du mobile ? Les experts sécurité de G DATA ont identifié 1 723 265 nouveaux échantillons de codes malveillants ciblant Android durant le premier semestre 2016. Ceci représente une augmentation de 29 % comparé au semestre précédent (1 332 839). En moyenne, 9 468 nouveaux dangers sur le système Android apparaissent chaque jour.

Menaces informatiques  – Le malvertising en croissance sur mobile

Si l’attaque « FakeAV », qui consiste à faire installer de faux antivirus payants, n’est plus très courante sous Windows, elle le devient sous Android. En pratique, lors de la navigation Internet avec une tablette ou un smartphone, des fenêtres pop-up alarment l’utilisateur de la supposée présence de virus sur l’appareil et les conduisent vers le téléchargement d’application de nettoyage, d’optimisation ou de faux antivirus. Techniquement, ces systèmes de pop-up détectent le système utilisé pour la navigation et affichent la fenêtre adéquate. Ainsi, sur un même site, un internaute sous Windows voit une page différente de l’internaute sous Android. Différents scénarios sont alors possibles. Sous Windows, les publicités légitimes côtoient les tentatives d’arnaque à l’appel téléphonique surtaxé. Sous Android, la majorité des campagnes pointent vers le téléchargement d’applications sur le Play Store.

Pay Per Install à la sauce FUD

Le Pay Per Install est un instrument marketing qui permet aux fournisseurs d’application de distribuer plus rapidement leur logiciel à l’aide de publicité. Plus l’application est téléchargée, plus elle devient visible dans le store, attirant ainsi encore plus d’utilisateurs. Différents prestataires se sont spécialisés dans ces méthodes marketing, mais tous n’utilisent pas des méthodes légitimes. Les campagnes de malvertising qui ciblent les appareils Android en sont un exemple frappant. La technique du FUD (Fear, uncertainty and doubt) y est largement pratiquée : en utilisant des pop-up mensongers sur l’état de protection de l’appareil, ces prestataires peu scrupuleux attirent les utilisateurs inquiets vers des applications à l’utilité discutable, voire vers de véritables arnaques. Le rapport complet.

backdoor, Chiffrement, cryptage, Cybersécurité, Facebook, ID, Identité numérique

Une faille du Login de Facebook corrigée

Les pirates se faisaient passer pour les titulaires des comptes en exploitant une faille du Login de Facebook.

Les Bitdefender Labs ont révélé une vulnérabilité  lors de l’authentification en ligne sur des sites Web tiers via Facebook. Un manque de mesure de sécurité lors de la validation permet aux pirates d’usurper l’identité des internautes et d’accéder, sans mot de passe, à leurs comptes en ligne.

Les social logins sont une alternative à l’authentification traditionnelle et un mode apprécié par les utilisateurs pour leur côté pratique : ils permettent aux utilisateurs de se connecter à leurs comptes Web sans saisir leur nom d’utilisateur ni leur mot de passe. La plupart des sites offrent des social logins via Facebook, LinkedIn, Twitter ou Google Plus. Les chercheurs des Bitdefender Labs ont trouvé un moyen d’usurper l’identité de l’utilisateur et d’avoir accès à ses comptes Web en utilisant le plug-in Facebook Login.

« Il s’agit d’une vulnérabilité grave qui permet aux pirates de créer un compte avec une adresse e-mail ne leur appartenant pas et de changer l’adresse e-mail liée au compte d’un site par une autre adresse non vérifiée », prévient Ionut Cernica, chercheur spécialiste des vulnérabilités chez Bitdefender. « Cela signifie qu’un pirate peut effectuer des paiements en ligne au nom de l’utilisateur, arrêter son moteur antivirus pour infecter ses périphériques, propager des malwares à ses contacts et bien plus encore. »

Pour que l’attaque réussisse, l’adresse e-mail de la victime ne doit pas déjà être enregistrée sur Facebook. La plupart des internautes ont plus d’une adresse e-mail publiée sur différents sites Web, accessibles à tout le monde. Il est donc assez simple pour le pirate d’obtenir une de ces adresses et de créer un compte Facebook avec cette dernière.

Pour vérifier l’identité d’un utilisateur sans exposer ses identifiants d’authentification, Facebook Login utilise le protocole OAuth. Grâce à OAuth, Facebook est autorisé à partager certaines informations de l’utilisateur avec le site Web tiers.

Comment se fait l’usurpation d’identité ? Une faille du Login de Facebook

Bitdefender a réussi à contourner l’étape de confirmation généralement requise lors de l’enregistrement d’une nouvelle adresse e-mail Facebook.

L’un de ses chercheurs a créé un compte Facebook avec l’adresse e-mail de la victime.

Après l’inscription, il a remplacé l’adresse e-mail par une autre dont il a le contrôle.

Après actualisation de la page, il apparaît que l’adresse e-mail de la victime a également été validée.

Lorsque le chercheur a tenté de se connecter sur un autre site via le bouton Facebook Login (avec l’adresse e-mail de la victime), il a dû confirmer sa propre adresse e-mail, et non celle de la victime.

Bien que le chercheur de Bitdefender n’ait confirmé que son compte personnel dans les paramètres du compte Facebook, l’adresse de la victime était bien le contact principal.

« J’ai utilisé à nouveau Facebook Login et décidé de mettre mon adresse comme contact principal à la place de celle de la victime, puis de la changer à nouveau pour faire du compte de la victime le compte principal. C’est une étape importante pour reproduire le problème », a ajouté Ionut Cernica.

Puis, sur un autre site Web, le chercheur de Bitdefender a utilisé Facebook Login pour se connecter sous l’identité de la victime. Le site a fait le lien entre l’adresse e-mail de la victime (en passant par Facebook) et le compte existant et a permis au chercheur, qui aurait pu être un pirate, de contrôler ce compte. « Le fournisseur d’identité – dans ce cas, Facebook – aurait dû attendre que la nouvelle adresse e-mail ait bien été vérifiée », affirme Ionut Cernica à DataSecurityBreach.fr.

Une faille du Login de Facebook corrigée rapidement. Facebook a réparé la vulnérabilité après en avoir été alerté par Bitdefender.

backdoor, Cyber-attaque, Cybersécurité, Mise à jour, Patch, Piratage, Wordpress, Wordpress

Le fichier Pagat.txt dans votre site, attention danger

2 commentaires

Plus de 45% d’augmentation, selon IBM Security, de la présence du fichier Pagat.txt dans les machines de ses clients. Le programme, une porte cachée qui permet bien des malveillances.

La force de WordPress, sa souplesse et ses nombreux plugins (options permettant d’agrémenter de services son site web). Cette force et aussi une faiblesse si vous ne mettez pas à jour votre CMS (WordPress, mais aussi Joomla! et compagnie, NDR) et les outils que vous avez pu y installer.

Au cours des mois de février en mars 2016, l’équipe IBM Managed Security Services (MSS) a découvert une augmentation de 45% de la présence d’un fichier baptisé pagat.txt dans les machines des clients.

Derrière ce faux fichier texte, une backdoor, un shell, bref une porte cachée codée en php. L’outil pirate est connu, aussi, sous le nom de C99. Une arme numérique ultra exploitée sur la toile. On trouve ce webshell sous forme d’image, de vidéo… Pagat semble être diffusé en profitant de failles dans les plugins de WordPress. Une quinzaine serait exploité à cet effet.

Rien de bien nouveau cependant, en janvier 2015, lors de l’opération pirate Anti Charlie, 80% des sites défacés (barbouillés) en France étaient le résultat de l’installation de C99 (grand frêre de Pagat) dans les serveurs des sites non sécurisés. Rien de plus simple, pour le pirate, de modifier la page index, de mettre la main sur les données privées. Cela démontre aussi que les mises à jour ne sont pas prises au sérieux par les utilisateurs. Google indique que 31 829 sites seraient touchés par cette malveillance.

backdoor, Cybersécurité, Justice, Tor

Le FBI aurait un faille 0Day visant firefox

La police fédérale américaine, le FBI, aurait en sa possession une faille agissant à partir du navigateur Firefox. Une faille 0Day visant firefox permettrait de piéger les utilisateurs de TOR ?

En février 2016, FBI avait reçu une demande particulièrement gênante de la part d’un avocat. Dans l’affaire du réseau de pédophiles Paypen, le FBI avait réussi à retrouver des utilisateurs via une network investigative technique (NIT). L’espace pédophile officiant via le système d’anonymisation TOR avait été stoppé par le Federal Bureau of Investigation grâce à l’exploitation d’une NIT. 137 internautes avaient été arrêtés. Des arrestations rendues possibles via l’utilisation de ce NIT. Bref, l’avocat voulait connaitre les petits secrets de ce fameux code du FBI.

Faille 0Day visant firefox ?

Aujourd’hui, des experts estiment que le FBI a peut-être bien plus qu’un simple outil permettant de tracer les internautes utilisateurs de TOR. Une vulnérabilité dans le navigateur Firefox, un logiciel utilisé par des centaines de millions de personnes partout dans le monde, est montré du doigt. Un chercheur de l’Université de Berkeley pense que le FBI cache ce petit secret informatique qui lui permettrait de remonter aux informations des « anonymes ».

Pour rappel, le FBI avait utilisé une faille dans Flash d’Adobe lors d’une enquête, en 2012, contre un autre espace numérique proposant de la pédopornographie. « Les Efforts acharnés du FBI à protéger son exploit suggère qu’il fonctionne toujours » indique Christopher Soghoian de l’American Civil Liberties Union (ACLU). En 2013, le journal britannique The Guardian expliquait comment la NSA utilisait un exploit dans Firefox, baptisé EgotisticalGiraffe afin de tracer les utilisateurs de TOR. (Vice)

backdoor, Base de données, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Piratage, Social engineering, Virus

Une tentative de piratage oblige une entreprise de transport à fermer ses serveurs

L’autorité des transports publics australienne, qui gère trains, bus et ferries, a du fermer ses sites web et serveurs informatiques internes à la suite d’une tentative de piratage.

Une tentative de piratage a mis en panique totale l’autorité des transports publics australienne. Une tentative malveillante suffisamment sérieuse, à première vue, pour obliger la compagnie à fermer l’accès de l’intégralité de ses sites Internet et serveurs informatiques internes. Bilan, les clients ne pouvaient plus accéder aux informations liées aux bus, trains et bateaux. Les employés ne pouvaient plus utiliser leur compte mail. « Les lignes téléphoniques ne sont pas affectées » annonce la société sur son fil Twitter !

backdoor, Banque, Base de données, Chiffrement, Cybersécurité, Entreprise, Mise à jour

Data Security Survey : Manque d’information sur la sécurité informatique

Dell annonce les conclusions de la première édition de son étude Dell Data Security Survey, dont il ressort que même si les membres de la direction mesurent les avantages d’une politique de sécurité, les entreprises peinent encore à développer des programmes cohérents, intégrant les stratégies de sécurité, sans pénaliser d’autres initiatives métier.

Malgré les outils en place pour satisfaire les besoins de sécurité, les décideurs métier et IT peinent en effet à mettre en œuvre ou à étendre des programmes fondés sur ces technologies. De plus, il s’avère que les questions autour de la sécurité freinent également l’adoption du Cloud, et ralentissent le déploiement de solutions de mobilité au service des organisations.

La sécurité des données, une priorité des hauts dirigeants, qui se disent préoccupés par la capacité à se protéger des menaces  
Si les hauts dirigeants sont plus impliqués dans la sécurité des données que par le passé, les équipes IT ont le sentiment que leurs supérieurs ne leur allouent ni les ressources, ni l’énergie nécessaire pour traiter les problématiques qui se posent réellement.

Près de trois décideurs sur quatre reconnaissent que la sécurité est une priorité pour la direction de leur organisation ; un sur quatre estime néanmoins que la direction n’est pas suffisamment au fait des problèmes relatifs à cette notion de sécurité. Trois décideurs sur quatre déclarent que leur direction prévoit de renforcer les mesures de sécurité en place, et ils sont plus de la moitié à espérer que les budgets sécurité seront augmentés au cours des cinq prochaines années. La question du coût reste un critère clé quand il s’agit de renforcer les programmes existants, avec 53% des répondants qui évoquent des contraintes financières pour expliquer l’absence de développement des mesures de sécurité à l’avenir. Un décideur sur quatre seulement se dit très confiant dans la capacité de sa direction à prévoir un budget suffisant pour les solutions de sécurité des données au cours des cinq ans à venir.

« Ces conclusions appellent à un engagement accru des hauts dirigeants en faveur de l’intégration des stratégies de sécurité des données dans la conduite des opérations », déclare Steve Lalla, vice-président en charge des logiciels et solutions pour clients professionnels, Dell. « Ils comprennent la nécessité d’investir dans leur infrastructure de sécurité, mais sans que cela n’aboutisse pour autant à la modernisation ou à l’extension des systèmes en place pour mieux se protéger contre les nouveaux types d’attaques. »

Malgré le soutien plus actif de la direction, les services IT ont besoin d’être épaulés pour réussir l’intégration de règles et de mesures de sécurité
Le rapport établit que des investissements insuffisants dans des technologies éprouvées, ajoutés à une pénurie de talents, entravent l’application de programmes de sécurité des données réellement optimisés.

La majorité des décideurs (58%) pense que leur organisation souffre d’une pénurie de professionnels de la sécurité correctement formés. 69% des décideurs considèrent toujours la sécurité des données comme une perte de temps et d’argent. Mais près de la moitié (49%) des sondés estiment qu’ils devront consacrer plus de temps à protéger leurs données au cours des cinq prochaines années. 76% estiment que leurs solutions leur sembleraient moins pesantes et laborieuses s’ils pouvaient tout concentrer auprès d’un fournisseur unique.

« Il ressort de cette étude que les services IT des entreprises déplorent les contraintes de coûts et de temps qui accompagnent traditionnellement les solutions tactiques », ajoute Steve Lalla. « Il n’est pas du tout efficace, quand on doit administrer les centaines ou les milliers de postes de travail de salariés, de devoir intervenir sur chacun séparément via plusieurs consoles. Sans compter que le risque de conflit ou d’incompatibilité est grand. Dans ces cas-là, il est vivement recommandé de se doter d’une suite intégrée d’administration IT. »

Les malwares et autres techniques d’attaques continuent de préoccuper les décideurs IT et métier
Les sondés se disent extrêmement préoccupés par les malwares, même en étant majoritairement équipés de solutions anti-malwares. Près de trois décideurs sur quatre (73%) craignent les malwares et les menaces persistantes avancées. Les préoccupations vis-à-vis des malwares sont les plus fortes aux Etats-Unis (31% très préoccupés), en France (31% très préoccupés) et surtout en Inde (56% très préoccupés) ; alors qu’elles sont moindres en Allemagne (11% très préoccupés) et au Japon (12% très préoccupés). Un sondé sur cinq seulement prétend avoir entière confiance dans la capacité de son entreprise à se protéger contre les attaques de malwares sophistiquées. Les sondés craignent les attaques de harponnage de type « spear phishing » (73% très préoccupés) plus qu’aucune autre méthode. « Le fait que les décideurs IT et métier n’aient pas confiance dans leur défense anti-malware s’explique peut-être par l’utilisation d’outils obsolètes ou inefficaces », commente Brett Hansen, directeur exécutif de la division Data Security Solutions de Dell. « Quand des équipes IT n’ont pas les ressources nécessaires pour adopter une protection proactive contre les menaces et se tenir à jour des nouvelles menaces qui émergent, leur défense se cantonne nécessairement à la détection des menaces et aux interventions de dépannage. »

Les employeurs en viennent à vouloir limiter la mobilité pour protéger les données

Tout le monde pense que les services internes des entreprises deviennent tous plus mobiles, or ce rapport nous apprend que les choses sont en réalité plus compliquées.

La majorité des entreprises de taille moyenne (65%) diffère leurs projets de mobilité des équipes pour des questions de sécurité, et 67% hésitent même à adopter les pratiques BYOD (bring-your-own-device). Alors que 82% des décideurs s’efforcent de limiter les points d’accès aux données pour renforcer la sécurité, 72% estiment que c’est en sachant d’où provient l’accès aux données qu’ils pourront renforcer l’efficacité des mesures de protection. 69% des sondés envisagent toujours de sacrifier les terminaux individuels pour mieux protéger leurs données des risques de compromission, or 57% se disent toujours préoccupés par la qualité du chiffrement dans leur entreprise. Deux sondés sur cinq sont enthousiastes vis-à-vis des gains de productivité d’une plus grande mobilité des équipes, en dehors des considérations de sécurité.

« Quand des organisations se désengagent des programmes de mobilité à la sécurité encadrée, elles s’exposent à d’autres risques », déclare Brett Hansen. « Les aspects de mobilité et de sécurité peuvent tout à fait coexister grâce aux technologies modernes de sécurité des données qui ont recours à des algorithmes de chiffrement intelligent pour protéger les données en toutes circonstances, en transit comme au repos. »

Les sondés se méfient des plateformes de cloud public
L’utilisation croissante des services de cloud public comme Box et Google Drive par les salariés amène les décideurs à douter de leur capacité à contrôler les risques que posent ces applications. Quatre sondés sur cinq hésitent à télécharger des données d’importance stratégique dans le cloud et 58% sont plus inquiets aujourd’hui qu’il y a un an. 38% des décideurs restreignent l’accès aux sites de cloud public dans leur organisation pour des questions de sécurité. 57% des décideurs qui autorisent l’utilisation du cloud et 45% de ceux qui prévoient d’autoriser l’utilisation des plateformes de cloud public attendront des fournisseurs de services cloud qu’ils assument les responsabilités liées à la sécurité. Une organisation sur trois seulement cite l’amélioration de la sécurité des accès aux environnements de cloud public comme une priorité concernant leur infrastructure de sécurité, alors que 83% des organisations reconnaissent que leurs salariés utilisent ou utiliseront les environnements de cloud public pour partager et stocker leurs données professionnelles.

« Les programmes de sécurité doivent permettre aux salariés d’être productifs en toute sécurité, ce qui suppose de les équiper d’outils et de technologies qui les aident dans leur travail », conclut Brett Hansen. « Les entreprises peuvent tenter de limiter ou d’interdire l’utilisation du cloud public, mais elles ont plutôt intérêt à utiliser des solutions de chiffrement intelligent, capables de protéger leurs données confidentielles où qu’elles aillent, et qui décourageront les salariés de vouloir contourner les règles qu’ils jugent trop restrictives. »

Android, Argent, Arnaque, backdoor, Banque, Chiffrement, cryptage, cryptolocker, Cybersécurité, escroquerie, Logiciels, Particuliers, Smartphone, Social engineering

Malwares mobiles : le volume a triplé en 2015

Le volume de malwares ciblant les utilisateurs d’appareils mobiles a plus que triplé en 2015, comparé à 2014. Les menaces les plus dangereuses observées au cours de l’année dernière sont des ransomwares, c’est-à-dire des malwares capables d’obtenir le contrôle illimité d’un appareil infecté, ainsi que les voleurs de données, y compris les malwares financiers. Ces conclusions sont le résultat du travail de l’équipe de recherche antimalware de Kaspersky Lab, compilées dans son rapport annuel de virusologie.

Les chiffres clés du paysage des menaces mobiles 2015 :
·         884 774 nouveaux programmes malicieux ont été détectés, soit trois fois plus qu’en 2014 (295 539).
Le nombre de Trojans bancaires mobiles a diminué à 7 030, alors qu’ils étaient 16 586 en 2014.
·         94 344 utilisateurs uniques ont été attaqués par un ransomware mobile, soit cinq fois plus qu’en 2014 (18 478).

Explosion du nombre de ransomwares
2015 a été l’année des ransomwares. Une fois un appareil infecté, l’application malicieuse le bloque grâce à une fenêtre pop-up annonçant que l’utilisateur a commis un acte illégal. Pour débloquer son appareil, il doit payer une rançon pouvant aller de 12$ à 100$.

La part d’utilisateurs de produits Kaspersky Lab pour mobiles attaqués par un ransomware est passée de 1,1% à 3,8% entre 2014 et 2015. 156 pays sont concernés par ces attaques, avec en haut de la liste la Russie, l’Allemagne et le Kazakhstan. Le malware Trojan-Ransom.AndroidOS.Small et sa modification, Trojan-Ransom.AndroidOS.Small.o étaient les plus actifs en Russie et au Kazakhstan. Small.o a été le ransomware mobile le plus répondu et détecté l’année dernière. Le nombre de modifications d’applis de ransomware a été multiplié par 3,5, prouvant que les fraudeurs voient un intérêt toujours plus grand à gagner de l’argent grâce au chantage.

En 2016, les malwares vont probablement gagner en complexité et le nombre de modifications va augmenter, augmentant en parallèle le nombre de zones géographiques touchés.

Quand les malwares prennent les pleins pouvoirs (et droits d’accès)
Près de la moitié des 20 plus importants Trojans de 2015 étaient des programmes malicieux diffusant des publicités intrusives sur des appareils mobiles. Les plus répandus l’année dernière étaient les Trojans Fadeb, Leech, Rootnik, Gorpro et Ztorg. Les fraudeurs derrière ces programmes ont utilisé toutes les méthodes à leur disposition pour les propager, à travers des bannières web malicieuses, des faux jeux et d’autres applications légitimes publiées dans des marketplaces légitimes. Dans certains cas, ils étaient présentés comme des logiciels légitimes préinstallés sur l’appareil.

Certaines de ces applis ont la capacité de s’approprier des “super” droits d’accès ou l’accès root. Cela permet aux cyber criminels de disposer de possibilités quasi infinies de modifier les informations stockées sur l’appareil de leur victime. Si l’installation est réussie, il devient presque impossible de supprimer le malware, même après un reset aux paramètres d’usine. Les malwares mobiles pouvant s’octroyer l’accès root sont connus depuis 2011, avec un pic de popularité l’année dernière auprès des cyber criminels. Cette tendance devrait se confirmer en 2016.

Mettre son argent en sécurité
Les Trojans bancaires sont de plus en plus complexes, en dépit d’une diminution du nombre de modifications. La mécanique de ces applis malicieuses n’a pas changé : après avoir infiltré l’appareil ou le système d’un client, le malware se superpose à la page ou à l’application d’une banque. Cependant, l’échelle à laquelle ces malwares peuvent être utilisés s’est accrue en 2015. Maintenant, les cyber criminels peuvent attaquer les clients de douzaines de banques situées dans des pays différents en utilisant un seul type de malware, alors que par le passé ils auraient utilisé des applications malicieuses capables d’attaquer un seul établissement bancaire, voire deux, dans quelques pays. Un exemple d’application aux victimes multiples est le Trojan Acecard, qui dispose d’outils pour attaquer plusieurs douzaines de banques et de services web.

« Avec l’avènement des technologies mobiles, les cyber criminels sont entrés dans une logique de monétisation qui transcende les plates-formes. C’est pourquoi il n’y a rien de surprenant à enregistrer un accroissement de l’activité des ransomwares et autres malwares sur mobiles.  Certains utilisateurs pourraient être tentés de payer, mais cela ne fait que renforcer le modèle des criminels sans aucune garantie de récupérer ses données ou les pleins pouvoirs sur son appareil. Pour limiter les risques, la prudence et la prévention restent encore et toujours la meilleure des protections. » explique Tanguy de Coatpont, directeur de Kaspersky Lab France.

Alerte sur la croissance considérable du malware mobile
Même son de cloche pour Intel Security qui vient de publier un nouveau rapport, intitulé ‘McAfee Labs Threat Report’, sur l’évolution du paysage des menaces ciblant les environnements mobiles.

Tandis qu’historiquement, les cybercriminels concentraient principalement leurs efforts sur les attaques de postes fixes et de PC portables, Intel Security pointe du doigt l’augmentation spectaculaire du nombre de malwares sophistiqués ciblant aujourd’hui les appareils mobiles. L’étude indique qu’au cours des 6 derniers mois, 3 millions d’appareils ont été touchés uniquement par des malwares qui se propagent via les AppStores.

En outre, il a été constaté une nouvelle augmentation de 24 % d’échantillons de malwares mobiles au cours du dernier trimestre 2015 par rapport au trimestre précédent. Parmi les autres chiffres : 37 millions d’échantillons de malware mobile identifié par Intel Security au cours de 6 derniers mois. Plus d’1 million d’URL redirigeant vers des sites malveillants ont été enregistrées sur 4 millions de dispositifs mobiles. Plus de 155 % de ransomwares en 2015 par rapport à l’année passée. 780 millions d’accessoires connectés dans le monde d’ici 2018, là où il en était recensé 500 millions en 2015. « Les appareils mobiles prennent une place prépondérante dans la vie numérique des consommateurs, notamment dans l’usage de services sensibles (banques, achats, etc.). Il est important de veiller à la mise en place d’une protection anti-malware efficace afin de mieux sécuriser les données des utilisateurs », précise John Giamatteo, vice-président chez Intel Security. « Intel Security est très impliqué dans la lutte contre les menaces mobiles, y compris à travers sa collaboration avec des constructeurs grand public, telle que Samsung, pour les aider à mieux intégrer la sécurité en native au sein de leurs produits et permettre aux consommateurs de surfer dans un monde connecté en toute sécurité ».