Archives de catégorie : backdoor

backdoor, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Particuliers, Phishing, Piratage, ransomware, Social engineering, Vie privée

La menace du phishing plane sur les PME : trois étapes pour éviter le pire

Les attaques informatiques ciblant de grands groupes, comme TV5monde, font régulièrement la une des journaux. Selon le rapport 2014 PwC sur la sécurité de l’information, 117 339 attaques se produisent chaque jour au niveau mondial. Depuis 2009, les incidents détectés ont progressé de 66 %.

Ce type d’attaques, très répandue, cible en grande partie les PME. Selon un rapport de l’ANSSI, 77 % des cyber-attaques ciblent des petites entreprises. Les conséquences peuvent être désastreuses pour ces structures à taille humaine, n’ayant pas forcément la trésorerie suffisante pour assurer leur activité en attendant le remboursement de leur assurance. Le coût d’une attaque peut s’avérer très élevé et la crédibilité de l’entreprise visée peut également en pâtir. Suite à une attaque informatique du type « fraude au président », la PME française BRM Mobilier a ainsi perdu cet été 1,6 M€ et se trouve aujourd’hui en redressement judiciaire.

En mai dernier, le PMU a effectué un test grandeur nature en envoyant un faux email, proposant de gagner un cadeau, avec une pièce jointe piégée. Résultat : 22% des salariés ont téléchargé la pièce jointe et 6% ont cliqué sur le lien contenu dans l’email et renseigné leurs données personnelles.

Comment éviter que ce type de scénario ne vire à la catastrophe ?

1 – Connaitre le déroulé d’une attaque
Le phishing, également appelé hameçonnage, est une technique employée par les hackers pour obtenir des données personnelles, comme des identifiants ou des données bancaires. Le déroulement est simple : le hacker envoie un email en usurpant l’identité d’un tiers de confiance, comme un partenaire, un organisme bancaire, un réseau social ou encore un site reconnu. L’email contient une pièce jointe piégée ou un lien vers une fausse interface web, voire les deux. Si le subterfuge fonctionne, la victime se connecte via le lien, et toutes les informations renseignées via la fausse interface web sont transmises directement au cybercriminel. Autre possibilité : la pièce jointe est téléchargée et permet ainsi à un malware d’infester le réseau de l’entreprise.

2 – Comprendre la dangerosité d’une attaque pour l’entreprise
Pour les entreprises, le phishing peut s’avérer très coûteux. Il est bien évidemment possible que le hacker récupère les données bancaires pour effectuer des virements frauduleux. Puisque nous sommes nombreux à utiliser les mêmes mots de passe sur plusieurs sites, les informations recueillies sont parfois réutilisées pour pirater d’autres comptes, comme une messagerie, un site bancaire, ou autre. De trop nombreuses personnes utilisent les mêmes mots de passe sur plusieurs sites – il est aussi possible que le hacker réutilise les informations recueillies pour pirater une boite mail, ou un compte cloud. Le cybercriminel peut ainsi consulter l’ensemble de la boîte mail, ou des comptes de sauvegarde cloud, et mettre la main sur des documents confidentiels, comme des plans ou des brevets, pouvant nuire à l’entreprise.

Enfin, les hackers profitent du piratage des boîtes mails pour envoyer à tous les contacts un nouvel email de phishing. La crédibilité de l’entreprise peut ainsi être touchée et ses clients pourraient subir à leur tour des pertes.

3 – Se préparer et éduquer avant qu’il ne soit trop tard
Les emails de phishing ont bien souvent une notion « d’urgence », qu’il s’agisse d’une demande pressante de la part d’un organisme ou d’un partenaire, ou d’une participation à un jeu concours « express ». Le but étant bien évidemment de ne pas laisser le temps à la victime de prendre du recul.

Comprendre le procédé d’une attaque est la première étape pour organiser sa défense. Il faut donc éduquer les salariés et leur donner quelques astuces pour ne pas tomber dans le piège :
– faire attention aux fautes d’orthographe : bien que les emails de phishing soient de mieux en mieux conçus, on y retrouve régulièrement des erreurs de syntaxe ou d’orthographe.
– regarder l’adresse mail ou le lien URL : même lorsqu’un email ou une interface web est une parfaite copie de l’original, l’adresse de l’expéditeur ou l’URL n’est pas la bonne puisqu’elle ne provient pas du même nom de domaine.

Des salariés éduqués et conscients du danger sont le meilleur atout contre les cyber-attaques, en particulier contre le phishing. Mais, cela n’est pas suffisant, notamment sur les terminaux mobiles où nous avons tous tendance à être plus spontanés et donc, à adopter des comportement à risques. Data Security Breach propose des ateliers de formation à la Cyber Sécurité. (Par Marc Antoine Parrinello, Responsable Commercial Entreprises France)

backdoor, Cybersécurité, Espionnae, ID, Identité numérique, IOT, Mise à jour, Particuliers, Patch

Des ondes non audibles capables de lancer votre micro

Méfiez-vous des annonces publicitaires qui peuvent utiliser le son de vos enceintes pour permettre d’écouter votre téléphone, TV, tablette, et PC.

Supposez que votre navigateur Internet ouvre un site web avec une pub, et que celle-ci actionne par ondes acoustiques non-audibles le micro de votre smartphone. De la science-fiction ? Le Centre pour la démocratie et de la technologie (Center for Democracy and Technology) vient d’alerter la Commission Fédérale Américaine, la FTC, que cette possibilité était loin d’être à négliger.

Des entreprises (SilverPush, Drawbridge, Flurry) travaillent sur les moyens de suivre un utilisateur via les dispositifs informatiques qu’il utilise. Adobe développe également des technologies de suivi multi-appareils. A la vue du nombre de failles exploitées par les malveillantes dans les produits Adobe tels que Flash ou PDF, voilà qui a de quoi inquiéter.

La société Californienne SilverPush travaille sur des balises exploitant des ultrasons qu’un homme ne peut pas entendre. « SilverPush intègre également des signaux dans des publicités télévisées » confirme le document du CDT. L’idée de ce traçage, savoir quand le téléspectateur à vue la publicité. A-t-il zappé ? Est-il resté devant ? Cette idée semble être tirée de BadBIOS, un malware découvert par le chercheur Dragos Ruiu, qui utilise, lui aussi, les ultrasons dans ses basses besognes. (ArtTechnica)

backdoor, Chiffrement, cryptage, Cybersécurité, Mise à jour

Vulnérabilité de la porte de garage: le code radio de milliers de télécommandes a été piraté

Des moyens parfois simples permettent aux cambrioleurs de gagner un accès inaperçu aux garages et aux immeubles d’habitation. La Police préconise une vérification des télécommandes et un remplacement des appareils peu sûrs le plus rapidement possible.

Avec les jours qui commencent à raccourcir, le nombre de cambriolages augmente rapidement. De plus en plus souvent, les cambrioleurs profitent d’une faille de sécurité jusque-là sous-estimée. Le signal d’ouverture de nombreuses télécommandes de portes de garage peut être intercepté dans un rayon de 100 mètres de l’émetteur [lire]. Quiconque connaît l’astuce peut très facilement utiliser une télécommande clonée pour ouvrir la porte du garage et entrer dans la maison. Cette méthode fonctionne surtout sur des systèmes plus anciens, équipé d’un code dit KeeLoq Rolling. Certes, le cryptage de ces émetteurs change certes à chaque fois, pas de manière arbitraire, mais bien prévisible. Selon la police, cette méthode a été décryptée il y a déjà plusieurs années. Différents codes de fabricant sont maintenant proposés par les pirates sur des sites Internet pertinents.

Par conséquent, la police préconise aux propriétaires de vérifier si leur télécommande est concernée par ce problème. Le cas échéant, le système devra être remplacé. Des alternatives sûres existent pour cela. Chamberlain, le leader mondial des automatismes de portail, a développé déjà en 2000 sa propre technologie de commande et de cryptage. Depuis 2013, toutes les unités sont équipées de systèmes de cryptage brevetés qui vont bien au-delà du niveau des modèles habituels commercialisés. Une adaptation ultérieure d’anciens systèmes de commande vers un modèle à haute fréquence n’est pas possible en règle générale. En cas de doute, il faut procéder à un remplacement du moteur y compris le récepteur et la télécommande. Des moteurs de porte de garage à haute sécurité sont disponibles pour moins de 200 euros. Au vu d’un éventuel scénario de dommages, cet investissement est tout à fait raisonnable. En outre, grâce au moteur bloquant l’ouverture, les portes de garage motorisées contribuent généralement à une protection optimale contre les cambriolages.

En juin 2015, DataSecurityBreach.fr vous expliquait comment un jouet Mattel, légèrement modifié, permettait de pirater et ouvrir des portes de garages !

backdoor, Base de données, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, loi, Piratage, ransomware, Social engineering

Repenser la manière de se prémunir contre les cyber-attaques

Selon le dernier rapport publié par PwC, les cyber-attaques augmentent inexorablement et la France fait partie des premiers pays les plus touchés. Les pertes financières associées sont aujourd’hui estimées à 3,7 millions d’euros par entreprise, soit quasiment l’équivalent des budgets dédiés à la sécurité informatique évalué à 4,8 millions d’euros. Avec une hausse de 51% des incidents de sécurité sur les douze derniers mois, il devient urgent d’adresser les problématiques de sécurité au plus haut niveau de l’entreprise, avant que l’impact sur les résultats de l’entreprise ne soit irrémédiable.

Cette dernière enquête confirme la prise de conscience des entreprises vis-à-vis de la sécurité de leurs données et des conséquences financières et commerciales inévitables qu’une cyber-attaque engendre. Malgré la croissance effrénée des incidents de sécurité, les responsables d’entreprises ou de service IT interrogés dans le cadre de cette enquête semblent pourtant avancer dans la bonne direction.

En effet, l’extension du périmètre à protéger en raison de mauvaises pratiques de sécurité imputées aux employées ou aux prestataires externes, confirme la nécessité d’utiliser une méthode de surveillance globale du réseau et de l’ensemble des interactions avec l’extérieur. Les recommandations de PwC vont d’ailleurs dans ce sens : il n’existe pas de modèle standard de protection, c’est l’utilisation d’un mix de technologies intégrées et holistiques qui rend
le système de protection plus efficace.

Le fait que 59% des répondants préconisent l’analyse de toutes les sources de données de l’entreprise comme principal levier d’amélioration de la sécurité, grâce notamment à une surveillance accrue sur l’ensemble du périmètre à protéger en temps réel, prouve que la perception des entreprises évolue
et que l’idée d’une solution de sécurité unique disparaît peu à peu.

Chaque attaque est unique et les méthodes utilisées par les hackers diffèrent selon l’objectif à atteindre. En prenant en considération le fait que les pirates savent se faire discrets et restent parfois plusieurs mois, voire des années, à attendre le bon moment d’opérer leurs méfaits, les entreprises
peuvent passer à côté de failles importantes sans une surveillance permanente et en temps réel de ce qui se passe sur leur réseau. En cas d’attaque, des outils permettant la détection immédiate d’un comportement anormal sur le réseau sont également indispensables afin de pouvoir y remédier le plus rapidement possible.

Si l’augmentation des investissements des entreprises françaises dans la sécurité est une bonne nouvelle, les entreprises doivent repenser la manière dont protéger leurs données confidentielles en partant du principe que l’ennemi se trouve déjà à l’intérieur et qu’il ne reste qu’à le trouver et l’éliminer. (Par Jean-Pierre Carlin, LogRhythm)

backdoor, Chiffrement, cryptage, Cybersécurité, VPN

Jackpot – 150 000 CB volées à un casino

Un groupe de pirates informatiques baptisé FIN5 se serait invité dans un casino pour y ponctionner les données bancaires.

Les chercheurs Emmanuel Jean-Georges et Barry Vengerik de Mandiant FireEye ont annoncé l’existence d’un groupe de pirates informatiques baptisé FIN5. Des malveillants qui auraient, l’année dernière, visité l’architecture informatique d’un casino pour faire main basse sur le système de paiement et quelques 150 000 informations de cartes bancaires. Une douzaine d’entreprises auraient été impactées par ces assaillants. Un soupçon pour six autres société continue de planer.

Les consultants ont expliqué que les pirates ont utilisé une porte dérobée du nom de « Tornhull » et un VPN surnommé « Flipside ». Un troisième outil, « Driftwood » analyse les espaces à attaquer. FIN5 n’aurait aucun rapport avec un autre groupe baptisé FIN4, auteur d’une attaque informatique en 2014 à l’encontre de professionnels des marchés financiers, de la santé, d’entreprises cotées au New York Stock Exchange ou au NASDAQ. Une fois des données sensibles volées, elles étaient piégées et renvoyées à des interlocuteurs que FIN4 souhaitaient infiltrer ensuite.

backdoor, Cybersécurité, Social engineering

Du matériel d’espionnage découvert dans une école parisienne

Un commentaire

Découverte d’un matériel électronique d’espionnage dans les locaux d’une école du Nord-Est Parisien. Il visait des anarchistes locaux.

Le blog du groupe d’anarchistes La Discordia revient sur la découverte d’un étrange matériel d’espionnage qui semble avoir visé la bibliothèque de ce groupe politique parisien. Une caméra, une connexion GSM, du matos qui semble être une pirate box, un transmetteur GSM Jablotron (290€), un routeur de chez PEPLink et une puce GSM Orange. Le tout caché dans une boite « faite maison », raccordée à un chouette petit pc de la famille des Fit PC. Dans ce cas, un fit-PC2 à 400 euros, fabriqué en Israël. Bref, plus de 1.000€ de matos pour espionner cette bibliothèque qui est née en avril 2015 et qui s’est donnée comme mission de partager des informations sur l’actualité du mouvement révolutionnaire et anti-autoritaire à travers le monde.

backdoor, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle

Les installations nucléaires civiles ne demandent qu’à être piratées

Les infrastructures nucléaires civiles dans le monde entier seraient insuffisamment préparées à l’éventualité d’une cyberattaque.

Tout le petit monde du nucléaire c’est donné le mot, la semaine dernière, pour annoncer que les centrales nucléaires ne tiendraient pas face à une attaque informatique. C’est selon un nouveau rapport des chercheurs de la Chatham House, un think-tank basé à Londres, que l’on apprend que les pirates informatiques ne feraient qu’une bouchée des centrales nucléaires.

Les installations deviennent de plus et plus dépendantes des systèmes numériques et autres logiciels, et que la sensibilisation de haut niveau des menaces liées à la cybersécurité stagne, un événement grave semble s’écrire. « Les récentes attaques de grande envergure, y compris le déploiement du worm Stuxnet, ont soulevé de nouvelles inquiétudes concernant les failles de sécurité des cyber d’installations nucléaires, commente le rapport. Les cyber-criminels, les États et les groupes terroristes augmentent leurs activités en ligne, la crainte d’une cyber-attaque sérieuse est toujours présente.« 

D’ici là à penser que le survol de centrales françaises par des drones avaient pour mission de sniffer les connexions wifi des installations !

backdoor, Cybersécurité, Logiciels, Tor, VPN

Le FBI utilise Flash d’Adobe pour infiltrer des pédophiles

Les enquêteurs du FBI ont utilisé un logiciel espion passant par de fausses publicités au format flash pour stopper des pédophiles.

Il y a quelques jours, un pédophile notoire était arrêté par le FBI. Luis Escobosa, a été incarcéré  pour s’être rendu sur un site pédophile. Il lui a été aussi reproché d’avoir utilisé et téléchargé des  photos et des vidéos à partir de différents sites web dédiés à la pornographie juvénile.

Le FBI a arrêté l’homme originaire de Staten Island, vendredi dernier. Le FBI a expliqué au tribunal son mode d’action. Le pédophile utilisait, entre autre, le site PlayPen. Un portail du blackmarket fort de 215.000 utilisateurs. Un site qui a été fermé, par le FBI, en Mars 2015. Seulement, avant sa fermeture définitive, les agents spéciaux avaient installé des spywares dans ce site, sous forme de publicités au format flash, un outil de la société Adobe. Durant quelques semaines, Mulder et Scully ont pu suivre à la trace les utilisateurs de PlayPen, dont Luis Escobosa.

Les Spywares ont été utilisés pendant un certain temps par le FBI. Un outil créé par un white hat du nom de HD Moore qui exploite Metasploit Decloak v2. Le processus fonctionne assez simplement. Un fichier, généralement un fichier flash, est hébergé par un site de pornographie juvénile saisis par les forces de l’ordre. Le fichier est envoyé naturellement et automatiquement (sauf si les navigateurs refusent de lire des documents de la société Adobe, NDR) dans les navigateurs Web des visiteurs. Ce fichier Flash était exécuté dans le plugin Adobe et établissait une connexion directe avec un serveur contrôlé par le FBI, sans que TOR ne puisse « cacher » l’ip des internautes pédophiles.

Arnaque, backdoor, BYOD, Cloud, Cyber-attaque, Cybersécurité, DDoS, Entreprise, escroquerie, Fraude au président, Leak, Particuliers, Piratage, Social engineering, Vie privée

TOP 10 des méthodes de piratage

L’ingénierie sociale serait la méthode la plus utilisée, suivie par la compromission de comptes et les attaques web de type injections SQL/de commandes selon une étude de Balabit.

BalaBit, fournisseur européen de technologies de sécurité contextuelle, a présenté lors de la 15è édition des Assises de la Sécurité, les résultats d’une étude menée auprès des participants de la Black Hat en août dernier, conférence de référence mondiale en matière de sécurité de l’information. BalaBit a interrogé 349 professionnels de la sécurité afin de définir le top 10 des méthodes de hacking actuellement les plus populaires. Cette étude offre aux entreprises l’opportunité de mieux connaître leurs ennemis en identifiant les méthodes et les vulnérabilités les plus utilisées par les hackers lorsqu’il s’agit de s’attaquer à leurs données sensibles. Cette base de connaissance est la première étape fondamentale pour toute entreprise souhaitant mettre en place une stratégie de sécurité IT efficace, et cela quelque soit son secteur d’activité.

Attaquant interne ou externe ? Pas si évident…
Les menaces sont différentes et plus sophistiquées aujourd’hui et la frontière entre les menaces internes et externes est devenue très étroite. La majorité des attaquants externes tentent de pénétrer le réseau, d’acquérir des niveaux d’accès basiques et d’utiliser leurs droits pour petit à petit remonter jusqu’à des niveaux d’accès privilégiés. Dans la plupart des cas, ils restent invisibles dans le réseau pendant plusieurs mois, puisqu’ils parviennent à s’identifier comme des utilisateurs internes. Qu’en est-il des utilisateurs internes malveillants ? : Sont-ils conscients des conséquences de leurs actes lorsqu’ils partagent leurs identifiants ou lorsqu’ils cliquent sur des liens de phishing – dans ce cas, la fuite de données est-elle le résultat d’actions intentionnelles ou accidentelles ? Doivent-ils être considérés comme malveillants seulement si leur action était intentionnelle ? Cela a t-il vraiment beaucoup d’importance si la fuite de données est très grave ?

70% des personnes interrogées considèrent les menaces internes comme les plus risquées.
54% des personnes interrogées déclarent avoir très peur des hackers qui pénètrent au sein du réseau de l’entreprise via leur pare-feu, alors même que 40% d’entre elles déclarent qu’un pare-feu n’est pas assez efficace pour empêcher les hackers d’entrer.

Les participants ont également été interrogés sur les attaquants – internes ou externes – qu’ils considèrent les plus à risques : Les résultats soulignent un point important en vue de la définition d’une stratégie de défense efficace : 70% des personnes interrogées considèrent que les utilisateurs internes présentent le plus de risques (et seulement 30% estiment que les attaquants externes posent plus de risques). Une chose est sûre : les attaquants externes cherchent à devenir des utilisateurs internes, et les utilisateurs internes les aident pour y parvenir – accidentellement ou intentionnellement. Quelque soit la source de l’attaque, la liste des 10 méthodes de piratage les plus populaires -présentées ci-dessous – démontre qu’il est crucial pour les entreprises de savoir ce qu’il se passe sur leur réseau en temps réel. Qui accède à quoi ; est-ce le bon utilisateur derrière l’identifiant et le mot de passe ou est-ce un attaquant externe utilisant un compte compromis ?

Le top 10 des méthodes de piratage les plus utilisées :

1. Ingénierie sociale (ex : phishing).
2. Compromission de comptes (sur la base de mots de passe faibles par exemple).
3. Attaques web (ex : injection SQL/de commandes).
4. Attaques de clients de l’entreprise ciblée (ex: contre des destinataires de documents, navigateurs web).
5. Exploits avec des mises à jour de serveurs connus (ex: OpenSSL, Heartbleed).
6. Terminaux personnels non sécurisés (manque de politique de sécurité BYOD, datasecuritybreach.fr vous en parle très souvent).
7. Intrusion physique.
8. Shadow IT (utilisation personnelle de services Cloud à des fins professionnelles).
9. Attaque d’une infrastructure outsourcée en ciblant un fournisseur de services externe.
10. Attaque de données hébergées sur le Cloud (via l’IaaS, le PaaS).

backdoor, Cybersécurité, Mise à jour, Patch, Virus

Wifatch, le virus qui vous veut du bien

Un code viral baptisé Wifatch s’attaque aux routeurs pour mieux les protéger des autres virus.

Voilà une action qui est à saluer. Un hacker aurait mis en action depuis quelques jours un code informatique baptisé Wifatch. L’idée de ce « virus » s’infiltrer dans les routeurs pour empêcher que les autres virus, beaucoup plus malveillants, ne puissent exploiter les boîtiers. Les routeurs sont mal sécurisés, rarement mis à jour et exploités par des attaques informatiques ayant pour mission, par exemple, de participer à des Dénis Distribués de Services (DDoS) contrôlés par des bots qui contrôlent les routeurs infiltrés.

Symantec explique que ce code se tient informé via le P2P et bloque les canaux par lesquels les logiciels malveillants peuvent attaquer les routeurs que Wifatch a pris en main. Un virus qui protège les victimes potentielles en quelque sorte. Les auteurs expliquent que la création de Wifatch est due, tout d’abord, pour l’apprentissage. Deuxièmement, pour la compréhension. Troisièmement, pour le plaisir, et la quatrième et derniére raison, pour votre (et notre) sécurité. Il n’infecte que les routeurs dont le mot de passe n’a pas été changé, comme « password » !

Une belle bête qui a pointé le bout de ses bits en novembre 2014.