Archives de catégorie : backdoor

Android, backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle, Sécurité, Smartphone, Téléphonie

Des portes dérobées découvertes dans des terminaux Android

Un commentaire

DeathRing et CoolReaper, des portes cachées installées dans des téléphones Android. Ils ont pu toucher des millions d’utilisateurs.

Palo Alto Networks a révélé des informations sur une porte dérobée présente sur des millions de terminaux mobiles Android vendus par Coolpad, l’un des plus gros fabricants de Smartphones basé en Chine. Baptisée « CoolReaper », cette porte dérobée expose les utilisateurs à d’éventuels actes de malveillance et semblerait avoir été installée et conservée par Coolpad malgré les objections des clients.

Il arrive fréquemment que les fabricants d’équipements installent des logiciels sur le système d’exploitation mobile Android de Google pour doter les appareils Android de fonctionnalités et de possibilités de personnalisation supplémentaires. Certains opérateurs de téléphonie mobile installent même des applications permettant de recueillir des données sur les performances des appareils. Mais d’après l’analyse détaillée de l’Unité 42 – l’équipe d’analyse des menaces de Palo Alto Networks – CoolReaper ne se contenterait pas de collecter simplement des données d’utilisation de base. Son fonctionnement s’apparenterait davantage à celui d’une véritable porte dérobée permettant d’accéder aux appareils Coolpad. Coolpad semblerait également avoir modifié une version du système d’exploitation Android pour rendre cette porte dérobée quasi invisible pour les programmes d’antivirus.

Découvert par le chercheur Claud Xiao de Palo Alto Networks, CoolReaper a été identifié sur 24 modèles de téléphones vendus par Coolpad et pourrait, si l’on en croit les données commerciales de Coolpad accessibles au public, impacter plus de 10 millions d’utilisateurs.

« Il est naturel que les fabricants d’équipements sous Android préinstallent des logiciels qui offrent des fonctionnalités et permettent de maintenir leurs applications à jour. Mais la porte dérobée évoquée dans ce rapport dépasse le cadre que connaissent les utilisateurs : elle permet à Coolpad de prendre le contrôle complet des équipements affectés, de rendre le logiciel invisible pour les antivirus et expose les utilisateurs à la merci d’actes de malveillance. Nous encourageons vivement les millions d’utilisateurs Coolpad susceptibles d’être concernés par CoolReaper d’inspecter leurs appareils pour y rechercher l’éventuelle porte dérobée et prendre les mesures appropriées pour protéger leurs données. » – Ryan Olson, directeur de la recherche au sein de l’Unité  42 chez Palo Alto Networks

Contexte et effets de CoolReaper
L’intégralité des résultats de l’analyse de CoolReaper figure dans le rapport de l’Unité 42, « CoolReaper : The Coolpad Backdoor » préparé par Claud Xiao et Ryan Olson qui paraît aujourd’hui. Dans ce rapport, Palo Alto Networks publie également la liste des fichiers à vérifier sur les terminaux Coolpad susceptibles d’indiquer la présence de la porte dérobée CoolReaper. Comme l’ont observé les chercheurs, CoolReaper est capable d’effectuer chacune des tâches suivantes, avec un potentiel de dangerosité pour les données sensibles des utilisateurs ou des entreprises. Un pirate malintentionné pourrait par ailleurs exploiter une vulnérabilité découverte sur le système de contrôle (back-end) de CoolReaper.

CoolReaper est capable de télécharger, installer ou activer n’importe quelle application Android sans autorisation ou notification de l’utilisateur ; effacer des donnés utilisateur, désinstaller des applications existantes ou désactiver des applications système ; informer les utilisateurs d’une fausse mise à jour OTA (Over-The-Air) qui, au lieu de mettre à jour le terminal, installe des applications indésirables ; envoyer ou insérer des messages SMS ou MMS arbitraires sur le téléphone ; transmettre à un serveur Coolpad des informations concernant le terminal, sa localisation, l’utilisation des applications, l’historique des appels et des SMS.

Prise en compte par Coolpad
L’Unité 42 a commencé à observer ce que l’on a baptisé CoolReaper suite aux nombreuses réclamations publiées sur les forums Internet par des clients de Coolpad en Chine. Au mois de novembre, un chercheur qui travaillait avec le site Wooyun.org a identifié une vulnérabilité sur le système de contrôle back-end de CoolReaper. Cette découverte a permis de comprendre que Coolpad contrôlait lui-même le backdoor présent dans le logiciel. Un site d’information chinois, Aqniu.com, a par ailleurs signalé l’existence de la porte dérobée et ses pratiques abusives dans un article paru le 20 novembre 2014. Au 17 décembre 2014, Coolpad n’a toujours pas répondu aux nombreuses demandes d’assistance de Palo Alto Networks. Les informations de ce rapport ont également été transmises à l’équipe de sécurité Android de Google.

De son côté Lookout découvre un logiciel malveillant pré-chargé dans des smartphones. DeathRing est un cheval de Troie chinois, préinstallé sur toute une série de smartphones parmi les plus populaires en Asie et en Afrique. Bien que sa détection ne soit pas plus fréquente qu’un autre logiciel malveillant, nous le considérons menaçant, notamment de par sa présence sur les smartphones dès leur sortie d’usine, et car il a été détecté aux quatre coins de la planète.

Autre particularité de ce malware, sa méthode de distribution. Pour la seconde fois en 2014, c’est en pré-chargeant le malware directement dans la chaîne d’approvisionnement que DeathRing atteint sa cible. Nous n’arrivons pour le moment pas à déterminer à quelle étape de la chaîne d’approvisionnement DeathRing est installé sur les smartphones. Nous savons toutefois que, pour de nombreux portables, il est installé dans le répertoire système le rendant extrêmement difficile à éradiquer. Il n’est malheureusement pas possible aux prestataires de services de sécurité de supprimer ce logiciel malveillant car il est installé dans le répertoire système des portables.

Recommandations

·         Vérifiez la provenance du téléphone que vous achetez.
·         Téléchargez une application de sécurité comme celle de Lookout, qui sert de première ligne de défense pour votre portable. Si vous découvrez qu’un tel logiciel malveillant est pré-chargé sur votre portable, demandez à vous faire rembourser.
·         Consultez régulièrement votre facture téléphonique afin de détecter les frais suspects.

Argent, Arnaque, backdoor, Banque, Cyber-attaque, Cybersécurité, DDoS, escroquerie, Identité numérique, Leak, Particuliers, Piratage

La réalité de l’industrialisation de la cybercriminalité

Selon le Centre de lutte contre la Cybercriminalité d’Europol, il n’y aurait qu’une centaine de personnes responsables de la cybercriminalité dans le monde.

Ce chiffre reflète effectivement la réalité de l’industrialisation de la cybercriminalité d’aujourd’hui, à laquelle sont confronté les entreprises, les États et les individus. Ainsi, seul un tout petit nombre de programmes permettant d’exploiter des failles logicielles connues (exploits) et d’outils en matière de cybercriminalité sont très largement exploités par les réseaux cybercriminels professionnels dans le monde entier.

Le dernier rapport semestriel sur la sécurité de Cisco a d’ailleurs mis en évidence le fait que le nombre de kits d’exploits a chuté de 87 % depuis que le créateur présumé de Blackhole a été arrêté en 2013. Cela montre à quel point ce kit a largement été utilisé par la communauté cybercriminelle.

Nous savons également que les réseaux de cybercriminels sont si bien organisés qu’ils achètent désormais « clef en main » les kits d’exploits et logiciels qu’ils utilisent pour mener à bien leurs activités. La plupart du temps, ces logiciels sont même fournis avec des manuels d’utilisation et un support technique 24/7. Ensuite, les cybercriminels utilisent Internet pour mettre en place un « réseau de distribution » dans le monde entier et diffuser leurs attaques, que ce soit physiquement ou en ligne, via des réseaux de botnets.

Selon Europol, ces kits et ces malwares sont si sophistiqués qu’avec très peu d’effort ils peuvent être réutilisés maintes fois et adaptés aux cibles des cybercriminels.

Mais si ces outils sont si fréquemment et si largement répandus, pourquoi les entreprises ne parviennent-elles pas à prévenir les attaques de leurs réseaux et leurs PC ?

Ceci est en partie dû au fait que les cybercriminels ont une longueur d’avance sur les responsables de la sécurité en trouvant de nouvelles variantes à leurs kits d’exploit alors que les experts en sécurité cherchent le moyen de les bloquer. Cette « course à l’armement » ne cessera jamais et nous savons même que de nombreux réseaux de cybercriminels vont jusqu’à acheter les solutions de sécurité pour tester leurs exploits afin de voir si ces dernières parviennent à les arrêter. Et, si tel est le cas, ils développent une nouvelle version de l’exploit pour la communauté cybercriminelle.

Ce que les professionnels de la cybersécurité ont bien compris depuis longtemps, c’est que les hackers sont très motivés, bien équipés et très qualifiés pour s’enrichir grâce à leurs activités illégales.

Les entreprises doivent ainsi s’assurer que leur sécurité est à jour et dispose des toutes dernières signatures, protections et solutions disponibles. Car, tandis que de nombreuses attaques sont destinées à une entreprise en particulier (attaque ciblée) , nous savons que beaucoup d’entre elles sont moins ciblées mais réussissent grâce à un manque de patching ou de mise à jour des signatures, des protections ou des solutions dont sont équipées les entreprises.

Aussi, les entreprises doivent s’assurer que leurs solutions de sécurité ne prennent pas seulement en compte uniquement la défense des postes de travail, mais qu’elles soient également capables de détecter les activités malicieuses potentielles sur l’ensemble de leur réseau – où les menaces peuvent apparaître. Il est fort probable que votre entreprise soit attaquée un jour, mais plus vite vous le saurez et vous agirez, plus vite vous pourrez déterminer l’ampleur des dommages sur votre business et sur la réputation de votre entreprise.  (Par Christophe Jolly, Directeur France Security Group Cisco / BBC.)

backdoor, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Virus

Un code malveillant JeSuisCharlie

5 commentaires

Des pirates informatiques diffusent un code malveillant du nom de JeSuisCharlie. Il aurait déjà infecté plusieurs millions d’ordinateurs.

Un virus informatique diffusé par des malveillants aurait touché des millions d’ordinateurs depuis les attentats parisiens. Les chercheurs de Blue Coat Systems auraient découvert la chose, indique que les pirates ont baptisé leur microbe : JeSuisCharlie.

L’outil permet de prendre la main sur un ordinateur connecté et transformer le pc en zombie capable de participer à des Dénis Distribués de Service, en proxy pour servir de rebond à d’autres attaques distantes, … Cet espiogiciel utilise le code du RAT Français DarkComet. Le microbe se cache en réalité dans une photo, partagée plus de 5 millions de fois sur Twitter en 48 heures. Cette image reprend la main de ce nouveau né baptisé Charlie.

« C’est énervant de voir mon outil repris par le premier criminel qui passe, souligne à DataSecurityBreach.fr l’auteur du RAT. J’ai arrêté de travailler dessus il y a deux ans quand, déjà, le gouvernement Syrien l’avait détourné à des fins malveillantes. » A noter qu’il existe un outil permettant de contrer DarkComet.

Argent, Arnaque, backdoor, Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Espionnae, Fuite de données, Paiement en ligne, Particuliers, Piratage

Les pirates d’Anunak s’attaquent aux banques russes

Un commentaire

Des pirates informatiques baptisés Anunak se sont spécialisés dans les attaques numériques à destination des banques russes. 20 millions d’euros auraient été volées.

La société néerlandais Fox-IT, spécialisée dans la sécurité informatique, a annoncé avoir terminé une enquête sur un groupe de pirates qu’elle a baptisé Anunak. Ces « visiteurs » ne visent que les banques russes. Méthode employée, courriels piégés et infiltration/installation d’outils malveillants comme des keylogger [logiciel d’espionnage, NDR] qui ont pour mission d’intercepter la moindre frappe sur un clavier.

En 2013, les voleurs 2.0 se seraient invités dans une cinquantaine de banques. D’après la société FOX It, les pirates auraient ainsi pu manipuler des distributeurs de billets. Deux entreprises bancaires piratées ont perdu leur licence bancaire suite aux méfaits d’Anunak.

Android, backdoor, Cybersécurité, Espionnae, Fuite de données, Mise à jour, Particuliers, Patch, Sécurité, Smartphone, Vie privée

Logiciels espions dans la derniere mise à jour Galaxy Note de Samsung

Un commentaire

Mais que viennent donc faire là Cookie Jam, Drippler et RetailMeNot dans la nouvelle mise à jour de T-Mobile concernant les Galaxy Note 4 de chez Samsung. Les applications sont avides d’informations… sans que les propriétaires des smartphones soient alertés.

Voilà qui commence à faire beaucoup. Après la disparation de musique non acquise sur iTunes dans des iPod, Apple ayant décidé de faire le ménage sans que les utilisateurs ne puissent rien dire, voici le débarquement de logiciels « sniffeurs » d’informations dans les Galaxy Note 4 Samsung commercialisés par T-Mobile.

Une mise à jour, imposée par l’opérateur, en a profité pour installer sans que personne ne puisse dire « non », trois applications avec des autorisations incroyables… sans que le propriétaire du téléphone ne le sache. Cookie Jam, Drippler et RetailMeNot se sont retrouvés dans les smartphones. Les utilisateurs peuvent pas les effacer, ils se réinstallent dans la foulée.

Les logiciels malveillants ont été installés automatiquement après la mise à jour de T-Mobile. Parmi les autorisations autorisées, mais non validées par les clients : lire l’état du téléphone, l’identité, modifier, lire et supprimer le contenu de votre périphérique de stockage USB, modifier les paramètres de sécurité du système, télécharger des fichiers sans notification, voir toutes sortes de connexions et avoir accès complet au réseau… (Rick Farrow)

backdoor, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, Identité numérique, Leak, Particuliers, Piratage, Propriété Industrielle, Vie privée

007 espionne deux cables sous-marins de Vodafone

Un commentaire

L’agence britannique GCHQ aurait espionné deux câbles sous marins de Reliance Communication pour accéder aux données de millions de personnes.

L’Inde, comme des millions d’Internautes sont en colères après le GCHQ (General Communications Headquarters), les grandes oreilles britanniques, sœurs jumelles de la Nationale Security Agency de l’Oncle Sam. Dans ce qui peut être qualifié comme une autre révélation majeure des dossiers volés d’Edward Snowden, ancien analyste privé employé par la NSA, il vient d’être révélé par la presse britannique, allemande et indienne (Channel4, Süddeutsche Zeitung), que l’agence britannique « d’intelligence » a piraté deux grands câbles sous-marins de Reliance Communications. L’intimité numérique de millions d’utilisateurs aurait été compromise, sans parler de plusieurs gouvernements, dont l’Inde, l’Égypte, la péninsule arabique, la Malaisie, la Thaïlande, Hong Kong, la Chine continentale, Taïwan et le Japon.

Le piratage aurait été réalisé avec l’aide d’une société privée achetée dernièrement par le géant des télécommunication Vodafone. Ce « copain » aurait permis de pirater les câbles de Reliance Communication, ainsi que 27 autres « tuyaux » passant par le Royaume. Une action planifiée baptisée « Pfenning Alpha« , en partenariat avec la NSA américaine. Une ponction qui aurait durée de 2009 à 2011 à partir de Skewjack Farm, dans le sud de l’Angleterre.

Les câbles Reliance acheminent le trafic de données Internet entre l’Asie, l’Europe  (Flag) et le continent américain (Flag Atlantic 1).

Il y a un an, Le Monde rappelait que la France n’était pas en reste avec ce genre de « partenariat » avec la mise sur écoute d’un câble sous-marin. « Ce flux d’informations étranger-France, cette « matière première » comme la qualifie la NSA dans une note révélée par M. Snowden, fait l’objet d’une large interception par la DGSE« . Bref, la NSA a des pinces crocodiles un peu partout !

En février 2013, la NSA confirmait sa main mise sur les données transitant par le câble SEA-ME-WE 4 « Nous avons réussi à collecter les informations de gestion des systèmes du câble sous-marin SEA-ME-WE » confirmait alors la grande muette. (HindusTimes)

backdoor, Cybersécurité, Espionnae, Fuite de données, Identité numérique, Logiciels, Microsoft, Propriété Industrielle, Sécurité, Vie privée

La version Bêta de Windows 10 communique vos frappes clavier à Microsoft

Alors que vous testez la nouvelle version de Windows, sous forme de bêta, Microsoft intercepte vos frappes clavier… pour votre bien.

Les internautes qui ont téléchargé la version bêta de Windows 10, la technical preview, n’ont pas intérêt à taper trop d’informations personnelles et sensibles au risque d’avoir une mauvaise surprise. Comme l’explique le « Privacy Statements for Windows Technical Preview » de WIN10, bref la notice d’utilisation du nouveau bébé de Microsoft, la voix, mais aussi les frappes claviers sont communiqués à Microsoft.

Microsoft collects information about you, your devices, applications and networks, and your use of those devices, applications and networks. Examples of data we collect include your name, email address, preferences and interests; browsing, search and file history; phone call and SMS data; device configuration and sensor data; and application usage.

Un espionnage qui a pour mission d’enrichir le fonctionnement des futures options de Win10. Microsoft indique à WinBeta que cette « absorption » d’information ne sera activée que dans cette version de « démonstration », Windows 10 définitif n’aura pas cette big brother attitude.

Il ne faut cependant pas se voiler la face. Une commande clavier ou manipulation extérieure pourrait réactiver la « fonction » magique dans la condition ou cette dernière est implantée d’origine dans Windows 10. A moins que Microsoft le retire du code source, mais ça, personne ne pourra le vérifier.

backdoor, Cyber-attaque, Cybersécurité, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle

Bash Bug : mesures urgentes et nécessaires pour les entreprises

Un commentaire

Bash Bug ou ShellShock : voilà le nom de la nouvelle faille de sécurité qui vient d’être découverte au sein du programme Bash, un interpréteur en ligne de commande présent sur plusieurs systèmes Linux mais aussi Unix et OS X.

Cette vulnérabilité serait générée par l’exécution d’un code malicieux permettant de prendre le contrôle du système d’exploitation et de ce fait, d’accéder à toutes les données stockées sur les différents équipements. Des rapports avancent que de nombreux programmes exécutent le shell Bash en tâche de fond et que l’attaque est déclenchée dès que le code supplémentaire est ajouté au code Bash. Bien qu’elle vienne tout juste d’être identifiée, la faille serait du même niveau de gravité que Heartbleed révélée en avril dernier, ce qui signifie qu’un très grand nombre de systèmes et d’appareils vont très probablement être touchés.

Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, a fait les commentaires suivants : « Les entreprises vont devoir réagir et prendre les mesures nécessaires rapidement face à cette nouvelle attaque car il semblerait que de très nombreux appareils connectés soient exposés à d’importants risques. Si la faille est exploitée par les hackers, ils auront une longueur d’avance pour récupérer les données sensibles et confidentielles, mettre la main sur tout type d’information, des identifiants en passant par les mots de passe ou encore les données bancaires et personnelles. Il est clair que les conséquences d’une telle attaque peuvent être très graves et un nombre considérable d’individus et d’organisations sont susceptibles d’être touchés. »

$ env x='() { :;}; echo vulnerable’  bash -c « echo this is a test »

Alors que les antivirus et les firewalls sont les logiciels de base utilisés par les entreprises pour assurer leur sécurité informatique, ils ne suffiront pas pour arrêter les pirates et pour lutter contre cette cyberattaque. Ainsi, aujourd’hui plus que jamais, il est nécessaire que les organisations adoptent des solutions de sécurité complémentaires pour limiter des dommages qu’une telle faille peut engendrer. Une mesure efficace pour protéger ses ressources serait la mise en place d’outils permettant de fournir une visibilité complète de l’activité réseau. Non seulement les entreprises peuvent mettre ces solutions en place relativement rapidement, un enjeu majeur en raison du contexte, mais elles peuvent également bénéficier d’alertes en temps réel en cas d’activité anormale. Elles sont dès lors en mesure de réagir et de remédier aux éventuelles menaces immédiatement, avant que les conséquences ne soient trop lourdes.

Les cyberattaques contre les entreprises deviennent de plus en plus fréquentes et il n’y a aujourd’hui rien qui excuse les organisations de ne pas disposer des moyens de défense adéquats pour y faire face. Il est encore difficile de savoir si cette faille baptisée Bash Bug ou ShellShock peut être entièrement corrigée dans la mesure où de nombreux appareils considérés comme anciens ne pourront pas recevoir de patchs de sécurité. Dans ce cas, les organisations doivent se protéger du mieux qu’elles le peuvent en utilisant des outils qui leur permettront d’avoir une visibilité accrue de ce qu’il se passe sur leur réseau en temps réel. Aujourd’hui, la question n’est plus de savoir si une entreprise sera attaquée mais quand, et si les mesures nécessaires ne sont pas prises pour remédier à ce Bash Bug, cela se produira encore plus rapidement.

Adobe, Arnaque, backdoor, Cyber-attaque, Cybersécurité, escroquerie, Espionnae, Fuite de données, Leak, Microsoft, Phishing, Piratage, Vie privée

Google et Doubleclic exploités dans une diffusion malveillante

La méthode est connue, utilisée depuis des années : des pirates exploitent les réseaux publicitaires pour diffuser des codes malveillants dans les ordinateurs des visiteurs de site Internet. Des cyber-criminels ont exploité la puissance de deux réseaux de publicité en ligne pour infecter et infiltrer des millions de potentielles victimes.

Lors de vos visites sur le site web, des publicités peuvent s’afficher. Des pirates informatiques ont rapidement compris le potentiel intérêt de ces supports pour diffuser leurs malveillances informatiques. Il y a quelques jours, les réseaux de DoubleClick et de l’agence de publicité Zedo, affiliée à Google, ont diffusé des publicités malveillantes qui avaient pour mission d’installer un logiciel espion dans les ordinateurs des visiteurs.

Un récent rapport publié par les chercheurs de la société Malwarebytes suggère que les cybercriminels ont pu profiter d’affiches piégés sur un certain nombre de sites web, y compris le Times d’Israël, le Jérusalem Post et encore le  site de streaming musical Last.fm.

L’attaque a été détectée à la fin du mois août dernier. Depuis, des millions d’ordinateurs ont probablement été exposés au code malveillant Zemot. Un microbe que les antivirus mis à jour détectent les yeux fermés. Google a confirmé l’attaque et a fermé l’ensemble des serveurs permettant la diffusion des publicités piégées. Ce qui est intéressant, dans ce cas, est la facilité déconcertante qu’ont eu les pirates à pirater les administrations de diffusion, à installer leurs publicités et à permettre la mise en ligne sans que personne ne puisse s’en inquiéter.

Les pirates ont exploité de nombreux sites supports, les publicités renvoyaient sur ces espaces. Des sites qui déclenchaient ensuite l’installation d’un kit pirate. Beaucoup de sites étaient basés au Pays-Bas (.nl), Suisse (.ch) et quelques pays de l’Est.

Zemot a été détecté, pour la première fois, en novembre 2013. Rien qu’en juin 2014, Microsoft annonçait 45.000 machines piégées ; plus de 35.000 en juillet, 27.000 en août. Zemot se concentre sur des ordinateurs exécutant Windows XP, mais il peut aussi infecter les systèmes d’exploitation plus modernes s’exécutant sur des machines tournant en x86 et 64 bits. Zemot est conçu pour contourner la sécurité d’un système avant d’infecter les ordinateurs avec des logiciels malveillants supplémentaires.

backdoor, Cybersécurité, Espionnae, Fuite de données, Leak, Propriété Industrielle

Le Groupement des Industries Françaises Aéronautiques et Spatiales attaqué

Depuis plus de trois semaines, des pirates informatiques louchent sur des données militaires appartenant à des sociétés américaines et Françaises. D’après la société WebSense, dans la liste des sites visés, celui du Groupement des Industries Françaises Aéronautiques et Spatiales (GIFAS). Les pirates, une nouvelle fois des Chinois sont montrés du doigt, auraient exploité un 0Day [CVE-2014-0322  – faille non publique, ndr] visant Internet Explorer 9 et 10.

Les pirates auraient diffusé des courriels ciblés à l’encontre d’employés membre de le GIFAS. Missives électroniques qui incitaient à visiter un site malveillant. Page web, comme le montre notre capture écran, qui  déclenche le téléchargement d’un outil d’espionnage à partir d’une « pixel » flash pirate.

L’url proposé dans le courriel usurpait l’adresse web de l’association : https://www.gifas.asso.fr. Les pirates ayant enregistré gifas.assso.net [assso.net, avec trois S, ndr datasecuritybreach.fr]. La page se fait passer, elle est toujours active, pour l’espace presse du GIFAS.

Finalité de l’attaque, intercepter mots de passe et permettre des accès à des documents sensibles. Les pirates (qui utilisent la même technique que les groupes Deputy Dog et Ephemeral Hydra) ont-ils cherché à connaitre les « contrats »/ »accords » signés entre les USA et le FRANCE lors de la visite du Président de la République Française sur le sol de l’Oncle Sam ? Il faut dire que de nombreux patrons de l’aéronautique française/US (Jean-Paul Herteman, PDG de Safran, David Joyce, PDG de GE Aviation, Jean-Paul Ebanga, PDG de CFM International, …) se sont retrouvés ces derniers jours à Washington.

A noter que Microsoft conseille de passer à Internet Explorer 11 pour éviter d’être piéger par de vieille faille. Voilà une bonne idée… comme celle de penser à stopper l’utilisation de Windows XP !