Archives de catégorie : Mise à jour

Cybersécurité, Emploi, Entreprise, Facebook, Justice, Mise à jour, Particuliers, Securite informatique

Vous ne fermez pas votre session Facebook ? Les messages deviennent publics

Voilà qui devrait vous faire réfléchir à deux fois quand vous laissez la session de votre compte Facebook ouvert. En cas d’oublie, les messages deviennent publics.

La justice Française vient de trancher. Une salariée d’une entreprise Toulousaine avait laissé la session de son compte Facebook ouvert. Son employeur, durant l’absence de cette dernière, avait eu accès au compte de l’employée via un ordinateur de l’entreprise. La session de la dame n’avait pas été coupée.

Bilan, le patron a pu lire des messages insultants diffusées sur le Facebook de la salariée.

Comme l’indique Legalis, pour sa défense, l’auteure des messages avait invoqué le caractère privé de ses communications.

La cour d’appel de Tooulouse a estimé que « les propos tenus par Mme X. sur son compte Facebook, affichés sur l’écran de l’ordinateur de l’entreprise et visibles de toutes les personnes présentes dans le magasin, avaient perdu leur caractère privé ».

Bitcoin, cryptomonnaie, Cybersécurité, Entreprise, Mise à jour, Securite informatique, Social engineering

Arnaque autour de la cryptomonnaie

Des pirates informatiques auraient réussi à détourner des millions de dollars dans une arnaque à la crypto-monnaie. De faux sites mis en place pour l’escroquerie.

Une petite dizaine de faux sites web. De fausses publicités exploitant le service publicitaire de Google (AdWords). Le tour était presque parfait pour une bande de pirates informatiques qui semble être basé du côté de l’Ukraine.

Une situation géographique qui semble être bonne, les autorités locales travaillant sur ce cas.

La campagne a été découverte en interne, chez Talos. Une campagne malveillante très simple, mais efficace. Les publicités Google AdWords ont permis aux escrocs de s’assurer un flux régulier de victimes.

Cette campagne ciblait des régions géographiques spécifiques et permettait aux assaillants d’amasser des millions de dollars de revenus grâce au vol de cryptomonnaie des victimes.

Data Security Breach a pu repérer plusieurs faux URL exploitant, par exemple, la fameuse technique des lettres exploitée par des langues étrangères (Faux sites Air France ; Faux URL Nike ; Faux URL Disneyland …) révélée par ZATAZ.

Pour le cas de cette arnaque, j’ai pu repérer des blokchaín.info (l’accent sur le i ; il manque le c à block) ; blockchaìn.com (l’accent sur le i) …

Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

L’outil gratuit G DATA Scanner détecte les failles de sécurité Meltdown et Spectre

L’éditeur de solutions de sécurité propose un scanner gratuit qui détecte les failles de sécurité Meltdown et Spectre dans le système. Quand une faille est trouvée, des astuces de défense contre les attaques sont proposées à l’utilisateur.   

Scanner votre machine ! Les failles Meltdown et Spectre découvertes il y a quelques semaines seront-elles exploitées à grande échelle dans des codes malveillants ? Sur ce sujet les avis des experts divergent et se positionner aujourd’hui clairement relève de la divination. Pour autant, mieux vaut être préparé à cette éventualité.

C’est dans ce but que G DATA met gratuitement à disposition un scanneur qui détecte les vulnérabilités face aux failles Meltdown et Spectre dans le système d’exploitation. Que fait exactement ce programme ?

Le scanneur interroge les paramètres et configurations importants du système, par exemple :

  • si des mises à jour Microsoft récentes sont installées ;
  • quel processeur est installé et s’il est affecté par les failles de sécurité ;
  • quel système d’exploitation est utilisé ;
  • si des configurations BIOS critiques ont été faites ;
  • si un produit antivirus vérifié compatible avec le correctif Microsoft est installé ;

Après avoir fait cette analyse, G DATA Scanner donne des conseils pour des améliorations possibles. Les internautes doivent appliquer les conseils sans attendre pour s’assurer que le système continue à jouir d’une protection efficace.

Prérequis système :

Windows 10, Windows 8.1, Windows 8, Windows 7 SP1, Windows Server 2016, Windows Server 2012 R2, ou Windows Server 2012.

G DATA Meltdown & Spectre Scanner requiert .NET Framework 4 ou plus récent, qui est préinstallé sur Windows 8 ou Windows Server 2012. Si Windows 7 SP1 est utilisé, alors  .NET Framework 4.7.1. doit être installé précédemment.

Cybersécurité, loi, Mise à jour, santé, Securite informatique

L’e-Santé et la santé connectée: la sécurité au cœur des enjeux

Aujourd’hui plus que jamais, la santé fait partie des préoccupations quotidiennes des Français . Et pour cause, les problématiques budgétaires liées au devenir de la sécurité sociale (7,2 milliards de déficit dont 4,1 milliards pour la branche assurance maladie en 2016 ), les déserts médicaux (initiés par la hausse de l’urbanisation), la remise en cause de la disponibilité des soins apportés dans les hôpitaux, une population de plus en plus vieillissante, amènent les pouvoirs publics à chercher des solutions.

Le Président Emmanuel Macron a exprimé à maintes reprises son souhait de débloquer un plan d’investissement de 5 milliards d’euros destiné à moderniser en profondeur le secteur médical. Depuis son élection, le gouvernement encourage les entrepreneurs à concevoir de nouvelles technologies pour développer l’e-Santé afin d’améliorer durablement la santé des citoyens tout en réduisant les coûts de l’assurance maladie .

L’e-santé ou la santé 3.0, qui peut être décrite comme le mariage entre les nouvelles technologies, les professionnels de santé et les patients, est déjà un domaine dynamique qui ne cesse de se développer en France. Ce marché est évalué à 4 milliards d’euros pour la France d’ici 2020 . Près 100 millions d’euros ont été investis dans le secteur de l’e-santé et du bien-être en 2016, ce qui en fait l’un des secteurs les plus attractifs de l’année .

A l’origine, la France est le pays précurseur en matière de numérisation du système de santé.
La diffusion de la première carte vitale en 1998 (qui va bientôt fêter ses 20 ans d’existence), permet à des millions de Français une gestion automatisée de leurs facturations de prestations de soins, et un remboursement plus rapide de leurs frais médicaux. Et pourtant aujourd’hui, l’Hexagone est classé parmi les pays « moyennement avancés » avec un niveau de déploiement de l’e-santé encore peu satisfaisant, qui le place loin derrière le Royaume-Uni, L’Espagne et les Etats-Unis . Etonnant pour un pays qui a pourtant des atouts considérables, fort de sa médecine et de son système de soins.

L’e-Santé offre pourtant de nouvelles opportunités comme la télémédecine, qui permet aux patients de bénéficier d’une consultation médicale à distance (en visioconférence) avec un ou plusieurs professionnels de santé (diagnostic, bilan de santé suivi médical etc.). La télémédecine est particulièrement bien adaptée pour répondre à la problématique des déserts médicaux en permettant non seulement le diagnostic à distance mais également une meilleure hospitalisation à domicile (télésurveillance) pour des suivis de maladies chroniques (cardiaque, diabète ; …), dans la prise en charge d’un AVC ou encore le suivi en continu des soins. Sur ce dernier point, l’installation d’équipements connectés au domicile du malade permet de fournir en permanence aux médecins des informations sur l’état de santé du patient. Les nouvelles technologies très poussées de ces appareils – miniaturisées à l’extrême avec des batteries allant jusqu’à 10 ans de durée de vie – rendent l’objet très peu intrusif dans le quotidien des patients qui l’adopte rapidement. La télésurveillance apporte aussi un confort non négligeable aux personnes âgées qui se sentent souvent mieux à leur domicile que dans des maisons de retraite. Par exemple, la société OnKöl a lancé en septembre 2017 un boitier intelligent prêt à l’emploi qui informe la famille du patient et les soignants de tous les détails des signes vitaux aux urgences, en passant par les rappels de prise de médicaments. Les données collectées sont chiffrées avant d’être transmises via le réseau mobile vers les professionnels de santé. Aux Etats-Unis, des appareils de lutte contre l’apnée du sommeil sont eux-aussi connectés pour vérifier que le traitement est efficace et l’ajuster si nécessaire.

La mise en place des systèmes d’informations de santé (SIS) ou hospitaliers (SIH) facilitent également les échanges de données et les dossiers médicaux numériques des patients entre le médecin, l’hôpital et la sécurité sociale.

Les citoyens français se montrent en grande majorité favorables au développement de nouvelles technologies liées à l’e-Santé, notamment à la transmission électronique de leurs résultats d’examen médicaux entre professionnels de santé (87%), au renouvellement d’ordonnances à distance (84%) et à la réception de leurs données médicales ou de leurs résultats d’examen sous format électronique (81%) . Malheureusement le projet de Dossier Médical Partagé (DMP) lancé initialement en 2004 sous le nom de Dossier Médical Personnalisé qui devait placer la France en tête, est loin de répondre aux attentes. En effet, le déploiement a été très faible, freiné par des problèmes techniques et une absence d’incitation des médecins généralistes qui doivent supporter le coût de mise à jour du DMP de chaque patient sans véritable contrepartie.

L‘autre frein au développement de l’e-santé réside dans la crainte des patients que le secret médical et la confidentialité de leurs données ne soient pas assez sécurisés. Cette crainte concernant la sécurité atteint 41% des personnes interrogées et 50% chez les jeunes.

Si la France est mature d’un point de vue politique et citoyens pour développer l’e-santé, il lui manque encore un cadre sécuritaire bien établi pour que cet écosystème voie le jour. La multiplication des cyberattaques d’envergure mondiale (Wannacry, NotPetya, Botnet Mirai) ces deux dernières années est révélatrice des failles encore existantes et invite à ne prendre aucun risque, surtout à l’échelle de données personnelles et privées, concernant des millions de citoyens. La sécurité des données passe par l’utilisation de technologies de chiffrement qui doivent être accompagnées de moyens de mise à jour régulière afin de faire face aux évolutions constantes des cyberattaques. La sécurité du système de santé, système dit « critique », doit donc être pensée dans sa globalité et de façon « bout en bout », de l’appareil de santé au stockage, usage et partage des données générées.

Pour assurer le bon fonctionnement d’un système de santé connectée dans son ensemble, il est indispensable de garantir l’efficience des nouvelles technologies et la protection des données sensibles qu’elles contiennent. Pour cela, il est nécessaire que la sécurisation des données personnelles de santé soit pensée à échelle nationale voire européenne avec une norme claire et définie. En effet, l’Union Européenne a défini un plan pour la santé au sein du marché unique numérique qui se focalise sur 3 objectifs prioritaires : permettre l’accès sécurisé et l’utilisation des données de santé par les citoyens sans frontière à l’intérieur de l’Europe, aider à la mise en place d’une infrastructure de données européenne pour faire avancer la recherche et les soins personnalisés, et enfin faciliter échanges et interactions entre les patients et les prestataires de santé.

L’essentiel à retenir est que tout est là : la volonté d’un Etat, l’attente d’une population, la technologie. L’e-Santé a aujourd’hui tous les ingrédients pour révolutionner notre système de santé et proposer des services plus adaptés à notre ère digitale. Il s’agit maintenant que tous les acteurs collaborent efficacement pour mettre en place une infrastructure fiable en collaboration avec l’UE pour que la France bénéficie des énormes avancées que l’Internet des Objets rend possibles tout en garantissant une sécurisation sans faille des données personnelles des patients. (Par Stéphane Quetglas, Directeur Marketing Internet des Objets (IoT) chez Gemalto)

Source : https://www.journalducm.com/sante-connectee-e-sante/
Source : http://www.lepoint.fr/societe/chomage-sante-retraites-premieres-preoccupations-des-francais-13-01-2017-2096886_23.php
Source : https://www.maddyness.com/entrepreneurs/2017/05/10/presidentielle-2017-emmanuel-macron-medecine-connectee/
Selon une étude de juillet 2017 menée par le cabinet Xerfi-Precepta
Source : https://www.journalducm.com/sante-connectee-e-sante/

Communiqué de presse, cryptomonnaie, Entreprise, Mise à jour

Atari : Développements dans le domaine des blockchains, crypto-monnaies et crypto-casinos

Crypto-casinos : Signature du contrat relatif à l’Atari Token, crypto-monnaie associée à une plateforme de blockchains dans le domaine de l’Entertainment. Projets supplémentaires en cours dans le domaine des crypto-monnaies, notamment dans les crypto-casinos.

Le Groupe Atari annonce deux projets de développement majeurs dans le domaine des blockchains, des crypto-monnaies et crypto-casinos, avec d’une part une prise de participation dans une crypto-plateforme et la création d’un Token dédié (l’« Atari Token »), et d’autre part le lancement prochain de plateformes de casinos offrant des options de jeux en crypto-monnaies.

Prise de participation dans Infinity Networks Ltd (Gibraltar) et création de l’Atari Token
Atari a pris une participation de 15% du capital, avec un droit à 17,5% des résultats, de la société Infinity Networks, Ltd (Gibraltar). Cet investissement, réalisé sans décaissement de trésorerie par Atari, démontre tout l’attrait de la marque Atari. Infinity Networks, Ltd (Gibraltar), société créée par une équipe de vétérans reconnus de l’industrie de l’Entertainment et de la finance et dirigée par Ron Dimant et Daniel Doll-Steinberg, est dotée d’un conseil consultatif rassemblant des personnalités de premier plan dans le domaine des blockchains. La société développe une plateforme décentralisée donnant accès à toute forme de digital Entertainment, c’est à dire une offre très large allant des jeux vidéo aux films et à la musique. Cette plateforme, en cours de développement, fonctionnera en utilisant une crypto-monnaie, l’Atari Token. En échange de ces participations au capital, aux résultats et à des royautés futures, Atari a consenti à Infinity Networks, Ltd (Gibraltar) une licence long-terme d’utilisation de la marque Atari.

« La technologie des blockchains est vouée à prendre une place très importante dans notre environnement et à transformer, sinon révolutionner, l’écosystème économique actuel, en particulier dans les domaines de l’industrie du jeu vidéo et des transactions en ligne », a déclaré Frédéric Chesnais, PDG d’Atari, SA. « Compte tenu de nos atouts technologiques avec les studios de développement, et de la notoriété mondiale de la marque Atari, nous avons l’opportunité de nous positionner de façon attractive dans ce secteur. Notre objectif est de prendre des positions stratégiques avec un risque de trésorerie limité, afin de valoriser au mieux les actifs et la marque Atari ».

Lancement prochain de plateformes de casino acceptant les crypto-monnaies

L’investissement dans Infinity Networks, Ltd (Gibraltar) est le premier investissement réalisé par Atari dans le domaine des blockchains et crypto-monnaies. Le Groupe Atari travaille activement à l’identification et à la négociation d’opportunités supplémentaires, en prenant des participations capitalistiques en échange d’une licence de marque et avec un décaissement de trésorerie très limité. Le second projet en cours est le renforcement du partenariat avec Pariplay, Ltd dans le cadre du lancement au cours de l’année 2018 de plateformes de casino permettant aux joueurs de parier soit en argent réel soit avec la plupart des crypto-monnaies actuellement en circulation. Ces sites de casino offriront de nombreux jeux Atari. Pour élargir l’attrait de ces nouveaux casinos, et une fois l’Atari Token disponible, Atari a pour projet de lancer le Pong Token, un second Token dédié aux crypto-casinos et utilisable sur ces sites de jeux. Les modalités détaillées de ce lancement de crypto-casinos seront annoncées prochainement.

Cybersécurité, Mise à jour, Patch, Securite informatique

Hide’N Seek : botnet à la sauce brute force

Détection d’un nouveau botnet IoT baptisé Hide ‘N Seek, utilisant son propre système de communication peer-to-peer.

Les chercheurs des Bitdefender Labs ont détecté l’émergence d’un botnet qui utilise des techniques de communication avancées pour infecter les victimes et créer son infrastructure. Le botnet, baptisé HNS (Hide ‘N Seek), a été intercepté par notre système d’honeypots d’objets connectés suite à une attaque par force brute via le service Telnet.

Le bot a été détecté pour la première fois le 10 janvier, puis a disparu quelques jours après, avant de réapparaitre le 20 janvier sous une forme nettement améliorée.

Impact

Le botnet HNS communique d’une manière complexe et décentralisée et utilise de multiples techniques contre l’altération pour empêcher qu’un tiers puisse le détourner. Le botnet peut procéder à l’exploitation web de toute une série d’appareils via le même exploit que Reaper (CVE-2016-10401 et d’autres vulnérabilités des équipements réseau). Le botnet embarque une multitude de commandes permettant l’exfiltration des données, l’exécution de code et la perturbation du fonctionnement d’un appareil.

Fonctionnement Hide ‘N Seek

Le botnet intègre un mécanisme d’autoréplication qui génère de manière aléatoire une liste d’adresses IP pour obtenir des cibles potentielles. Il initie ensuite une connexion raw socket avec flag SYN avec chaque hôte de la liste et continue à communiquer avec ceux ayant répondu à la requête sur des ports de destination spécifiques (23 2323, 80, 8080). Une fois la connexion établie, le botnet recherche si une bannière spécifique (« buildroot login: ») est présente chez la victime. S’il détecte cette bannière de connexion, il tente de se connecter à l’aide d’un ensemble d’identifiants prédéfinis. En cas d’échec, le botnet tente une attaque par force brute en utilisant une liste codée en dur.

Une fois qu’une session est établie avec une nouvelle victime, l’échantillon exécute un automate pour identifier correctement l’appareil ciblé et sélectionne la méthode de compromission la plus adaptée. Par exemple, si la victime a le même LAN que le botnet, celui-ci crée un serveur TFTP pour permettre à la victime de télécharger le code malveillant depuis le bot. Si la victime est connectée à Internet, le bot tente d’utiliser une méthode spécifique d’installation de charge active à distance, pour que la victime télécharge et exécute l’échantillon du malware. Ces techniques d’exploitation sont préconfigurées et stockées dans une adresse mémoire signée numériquement pour empêcher les modifications. Cette liste peut être mise à jour à distance et diffusée parmi les hôtes infectés.

Les échantillons identifiés par nos honeypots le 10 janvier s’attaquent à des caméras IP fabriquées par une entreprise coréenne. Ces appareils semblent jouer un rôle majeur sur le fonctionnement du botnet, car sur les 12 adresses codées en dur dans l’échantillon, 10 appartiennent à des appareils de la marque Focus H&S. La nouvelle version, détectée le 20 janvier, n’utilise plus d’IP codées en dur.

Comme d’autres botnet, HNS n’est pas persistant, et un simple redémarrage permet de nettoyer les appareils infectés. Il s’agit du second botnet connu à ce jour, après le célèbre botnet Hajime, qui utilisait lui aussi une architecture peer-to-peer décentralisée. Néanmoins, dans le cas de Hajime, la fonctionnalité p2p était basée sur le protocole BitTorrent, tandis qu’il s’agit ici d’un système p2p conçu sur mesure.

Hide ‘N Seek : Mécanisme de communication UDP

Le botnet ouvre un port aléatoire sur la victime et ajoute des règles de pare-feu pour permettre le trafic entrant sur ce port. Il reste ensuite en écoute sur ce port ouvert et n’accepte que les commandes décrites ci-dessous. Notre analyse initiale de l’échantillon a révélé la présence d’une clé basée sur les courbes elliptiques à l’intérieur du fichier utilisé pour authentifier la commande de mise à jour de la zone mémoire où sont stockées les options de configuration afin d’empêcher les tentatives d’infiltration ou d’infection du botnet.

Une fois exécuté, le botnet reste à l’écoute des commandes transmises soit sur le port indiqué à l’exécution soit, le cas contraire, sur un port généré aléatoirement. S’il reçoit une commande, le bot répond habituellement à l’expéditeur avec un paquet qui respecte le protocole de communication pré-établi. Comme l’analyse et le traitement des données sont exactement les mêmes en mode récepteur et émetteur, nous pouvons en conclure que la communication du botnet est basée sur une architecture peer-to-peer.

Outre leurs capacités de bot, les codes analysés intègrent également un composant de serveur web qui héberge et sert des fichiers binaires à d’autres victimes potentielles.

backdoor, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Piratage, Securite informatique

Opération de la Corée du nord baptisée HIDDEN COBRA

HIDDEN COBRA, une attaque informatique signée par des pirates informatiques de la Corée du Nord selon les autorités américaines.

Ce rapport d’analyse de malware (MAR) de Hidden Cobra est le résultat d’efforts d’analyse entre le département de la sécurité intérieure (DHS) et le Federal Bureau of Investigation (FBI). En collaboration avec des partenaires du gouvernement, le DHS et le FBI ont identifié des variantes de logiciels malveillants de type cheval de Troie utilisés par le gouvernement nord-coréen – communément appelé HARDRAIN.

Le gouvernement américain fait référence à la cyberactivité malveillante du gouvernement nord-coréen sous le nom de HIDDEN COBRA.

Le FBI est convaincu que les acteurs de HIDDEN COBRA utilisent des variantes de logiciels malveillants en conjonction avec des serveurs proxy pour maintenir une présence sur les réseaux de victimes et poursuivre l’exploitation du réseau.

Le DHS et le FBI viennent de distribuer un document pour permettre la défense du réseau et réduire l’exposition à l’activité cybernétique malveillante du gouvernement nord-coréen. Cette alerte inclut des descriptions de logiciels malveillants liées à HIDDEN.

Mise à jour : https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-G.PDF pour Badcall

Android, Communiqué de presse, Cybersécurité, escroquerie, ID, Identité numérique, Mise à jour, Particuliers, Sécurité, Securite informatique, Smartphone, Téléphonie, Vie privée

AdultSwine : un malware affichant des publicités à caractère pornographique sur des applications à destination des enfants

AdultSwine : un malware affichant des publicités à caractère pornographique sur des applications à destination des enfants.

Les chercheurs de Check Point ont découvert un nouveau code malveillant sur le Google Play Store, baptisé AdultSwine, se cachant dans environ 60 applications de jeux, la plupart étant à destination des enfants. D’après les données disponibles sur Google Play, ces applications ont été téléchargées entre 3 millions et 7 millions de fois.

Ces applications malveillantes peuvent être dangereuses à trois niveaux :

  1. Afficher des publicités web souvent inappropriées et pornographiques
  2. Tenter de piéger les utilisateurs pour qu’ils installent de fausses applications de sécurité
  3. Inciter les utilisateurs à s’abonner à leurs frais à des services premium

Par ailleurs, le code malveillant peut être utilisé pour ouvrir une porte, laissant le champ libre à d’autres attaques telles que le vol de coordonnées.

Android, Antivirus, APT, backdoor, Chiffrement, Cyber-attaque, Cybersécurité, Espionnae, ID, Leak, Logiciels, Mise à jour, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Téléphonie, Vie privée

Skygofree : un puissant logiciel de surveillance pour Android

Skygofree : des chercheurs ont découvert un implant mobile avancé, actif depuis 2014 et conçu pour une cybersurveillance ciblée, peut-être afin de constituer un produit de « sécurité offensive ». Cet implant, nommé Skygofree, comporte des fonctionnalités inédites, telles que l’enregistrement audio suivant la géolocalisation via des appareils infectés. Le spyware se propage à travers des pages web imitant celles de grands opérateurs mobiles.

Skygofree est un logiciel-espion élaboré, à plusieurs modules, qui permet à des pirates de prendre totalement le contrôle à distance d’un appareil infecté. N’ayant cessé d’évoluer depuis la création de sa première version fin 2014, il est désormais capable d’intercepter les conversations et les bruits ambiants lorsque l’appareil infecté se trouve à un endroit donné, une fonctionnalité jamais vue jusque-là. Parmi les autres capacités avancées et inédites figurent des services d’accessibilité permettant de pirater des messages WhatsApp ou encore la possibilité de connecter l’appareil infecté à des réseaux Wi-Fi contrôlés par des individus malveillants.

Un logiciel espion très élaboré qui prend totalement le contrôle de l’appareil infecté.

L’implant exploite diverses vulnérabilités pour obtenir un accès root. Il peut également prendre des photos et des vidéos. Capturer des appels. Voler des SMS. Lancer une géolocalisation de l’appareil, des événements de l’agenda voire des informations professionnelles stockées en mémoire. Une fonction spéciale permet de contourner une technique d’économie de la batterie employée par un grand fabricant : l’implant s’ajoute alors à la liste des « applications protégées » de façon à ne pas être désactivé automatiquement lorsque l’écran est éteint.

Les pirates paraissent également s’intéresser aux utilisateurs Windows et les chercheurs ont découvert un certain nombre de modules développés récemment et ciblant cette plate-forme.

La plupart des pages web factices servant à répandre l’implant ont été enregistrées en 2015 alors que, selon les données télémétriques de Kaspersky Lab, la campagne de diffusion était à son paroxysme. La campagne est toujours en cours et le domaine le plus récent a été enregistré en octobre 2017. Les données indiquent plusieurs victimes à ce jour, toutes en Italie.

« Un malware mobile avancé est très difficile à identifier et à bloquer, et les développeurs qui se cachent derrière Skygofree en ont clairement tiré profit, en créant et faisant évoluer un implant capable d’espionner largement ses cibles sans éveiller les soupçons. Les éléments que nous avons découverts dans le code malveillant et notre analyse de l’infrastructure nous portent à croire avec un haut degré de certitude que les auteurs des implants Skygofree travaillent par une société informatique italienne proposant des solutions de surveillance, à la manière de HackingTeam », commente Alexey Firsh, analyste en malware spécialisé dans l’étude des attaques ciblées chez Kaspersky Lab.

Pour s’en protéger, être attentifs aux emails entrants, et équipés de logiciels de sécurité.

Les chercheurs ont identifié 48 commandes différentes pouvant être mises en œuvre par les pirates, pour un maximum de souplesse d’utilisation.

Pour assurer la protection contre la menace des malwares mobiles avancés, Kaspersky Lab recommande vivement l’installation d’une solution de sécurité fiable, capable d’identifier et de bloquer ces menaces sur les appareils des utilisateurs. Les utilisateurs sont en outre invités à faire preuve de prudence lorsqu’ils reçoivent des e-mails provenant de personnes ou d’entreprises inconnues ou comportant des demandes ou pièces jointes inattendues et de toujours vérifier à deux fois l’intégrité et l’origine des sites web avant de cliquer sur des liens. En cas de doute, mieux vaut contacter l’exploitant du site pour en avoir le cœur net. Les administrateurs système, pour leur part, doivent activer le contrôle des applications dans leur solution de sécurité mobile afin de maîtriser les programmes potentiellement dangereux vulnérables à cette attaque.

Kaspersky Lab détecte les versions de Skygofree sur Android sous HEUR:Trojan.AndroidOS.Skygofree et HEUR:Trojan.AndroidOS.Skygofree.b, et les versions Windows sous UDS:DangerousObject.Multi.Generic.

De plus amples informations, notamment la liste des commandes de Skygofree, les indicateurs d’infection (IoC), les adresses des domaines et les modèles d’appareils ciblés par les modules de l’implant, consultez le site Securelist.com.

Notes

Skygofree est nommé ainsi parce que le mot a été utilisé dans l’un des domaines. Le malware n’a rien à voir avec Sky, Sky Go ou une quelconque filiale de Sky, et n’affecte pas le service ou l’application Sky Go.

Argent, backdoor, Base de données, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Justice, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Securite informatique

Jugement de la FTC : Lenovo doit demander l’accord de ses clients pour les espionner

La Federal Trade Commission, la FTC, a donné son accord final à un règlement avec Lenovo Inc. Le constructeur d’ordinateurs avait été accusé de modifier les navigateurs. Des logiciels installés dans ses machines afin d’engranger les bénéficies des publicités qui s’y affichaient.

Dans sa plainte, la Federal Trade Commission ( FTC – Commission fédérale du commerce ) a déclaré qu’à partir d’août 2014, Lenovo a commencé à vendre aux États-Unis des ordinateurs portables grand public équipés d’un logiciel de publicité préinstallé. Appelé VisualDiscovery, cet outil interférait avec la façon dont le navigateur interagissait avec les sites Web. Il affichait de la publicité au profit de Lenovo. A cela s’est ajoutait de graves failles de sécurité. Dans le cadre du règlement avec la FTC, Lenovo à interdiction de modifier les fonctionnalités des logiciels préchargés sur ses ordinateurs portables.

Il est interdit à la marque d’injecter de la publicité dans les sessions de navigation Internet des consommateurs. Ensuite, interdit aussi de transmettre des informations sensibles des consommateurs à des tiers. Si la société préinstallé ce type de logiciel, la FTC exige que l’entreprise obtienne le consentement des consommateurs avant que le logiciel puisse fonctionner sur leurs ordinateurs portables. En outre, la société est tenue de mettre en œuvre un programme complet de sécurité. Sécurisation pour la plupart des logiciels grand public préchargés sur ses portables. Et cela durant les 20 prochaines années ! Enfin, ce programme de sécurité fera également l’objet d’audits par des tiers.

Pour conclure, VisualDiscovery est un adware développé par la société américaine Superfish, Inc. VisualDiscovery diffuse des annonces sous forme de pop-up dès qu’un internaute passait sa souris sur une image d’un produit vendu dans une boutique numérique.