Archives de catégorie : Mise à jour

Base de données, Cybersécurité, Entreprise, ID, Identité numérique, loi, Mise à jour, Particuliers, RGPD, Securite informatique

HMA! renforce la vie privée des internautes et permet l’accès à du contenu restreint en ligne

Quand le RGPD restreint la liberté d’expression ! En mai dernier, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur, offrant plus de transparence sur la collecte des données et des droits plus importants en termes de vie privée pour les Européens. Pourtant, comme le révélait alors une récente étude menée par HideMyAss!, près de la moitié des français (48 %) ne considèrent pas la vie privée comme un droit fondamental.

Le RGPD restreint la liberté d’expression ? Ils sont cependant 66 % à penser que le gouvernement, les fournisseurs d’accès à internet et les services de police peuvent accéder, à leur insu, à l’historique des sites qu’ils ont visité, et de leurs activités en ligne.

Pour répondre aux besoins des consommateurs soucieux du respect de leur vie privée, HMA! propose une couche d’anonymat supplémentaire lors de la navigation en ligne via son service gratuit Proxy Web. Cette fonctionnalité permet de masquer l’adresse IP d’un internaute et de lui en attribuer une nouvelle, afin d’acheminer le trafic web vers d’autres serveurs et adresses IP. Cela signifie que son adresse IP, qui représente également son identité en ligne, devient beaucoup plus difficile à repérer ou à suivre. En outre, la toute dernière version de HMA! est fournie via le protocole HTTPS, garantissant ainsi le cryptage des activités en ligne.

Elle permet également d’accéder à du contenu restreint. Un citoyen Européen pourra par exemple lire le Los Angeles Times, le New-York Daily News ou encore le Chicago Tribune, grâce à l’utilisation du Proxy Web. Impossible en effet de faire sans, car ces médias ont bloqué l’accès aux internautes basés en Europe, suite à l’entrée en vigueur du RGPD.

Un Proxy Web n’a cependant pas les mêmes fonctions qu’un réseau privé virtuel (VPN). Ce dernier devra en effet être envisagé par un internaute s’il recherche un anonymat en ligne avancé et une protection contre les regards indiscrets. En revanche, dans le cas où il veut se procurer un outil lui permettant de contourner la « censure locale » et de bénéficier d’un niveau convenable de confidentialité lors de sa navigation sur Internet, un Proxy Web constitue un bon point de départ.

backdoor, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

Malware Zacinlo : outil pour fraude publicitaire

2 commentaires

Un nouveau malware appelé Zacinlo, spécialisé dans la fraude publicitaire découvert. Il infecte le PC de l’utilisateur pour ensuite ouvrir des sessions de navigateur invisibles dans le but de charger des bannières publicitaires et de simuler des clics sur ces dernières, ou encore remplacer les publicités naturelles dans le navigateur par celles du pirate pour détourner les revenus publicitaires générés.

Cet adware a plusieurs caractéristiques qui ont attiré l’attention  :

  • Zacinlo contient un driver de type rootkit, qui se protège lui-même ainsi que ses autres composants. Celui-ci peut stopper des processus jugés dangereux pour le fonctionnement de l’adware, tout en empêchant son arrêt ou sa suppression. Les chercheurs ont également relevé la présence de fonctionnalités « man-in-the-browser » qui interceptent et déchiffrent les communications SSL. Cela permet à l’adware d’injecter du code JavaScript personnalisé dans les pages Internet visitées par l’utilisateur. Les malwares basés sur des rootkits sont EXTRÊMEMENT rares, et constituent généralement moins de 1% des menaces habituelles. Ils sont également très difficiles à éliminer car ils s’intègrent profondément au système d’exploitation.
  • Zacinlo inclut un programme de nettoyage d’adware, utilisé pour éliminer la « concurrence » potentielle pour l’espace publicitaire. Il est plutôt générique et ne cible pas de famille ou de type d’adware en particulier.
  • Il collecte des informations à propos de l’ordinateur infecté. Par exemple, si un logiciel antivirus est installé ou non (et si oui, lequel), quelles applications se lancent au démarrage, etc.
  • Il prend des captures d’écran et les envoie au serveur de commande et contrôle pour analyse. Cette fonctionnalité menace la vie privée des victimes car les captures d’écran peuvent contenir des informations sensibles telles que des e-mails, des conversations privées, des identifiants ou des coordonnées bancaires.
  • Il peut faciliter l’installation de quasiment n’importe quel nouveau logiciel de manière transparente, sans arrêter de fonctionner et ainsi étendre ses fonctionnalités.
  • Il ajoute ou remplace des publicités lors de la navigation en cherchant des objets de type « DOM » par taille, par style, par classe ou expressions régulières spécifiques.
  • Il extrait des publicités de plusieurs plateformes, dont Google AdSense.
  • Il ouvre des pages Internet en arrière-plan dans des fenêtres cachées, et interagit avec elles comme un utilisateur normal : en les faisant défiler, en cliquant et en utilisant le clavier. Il s’agit d’un comportement typique des fraudes publicitaires, qui inflige d’importants dommages financiers aux plateformes publicitaires en ligne.
  • Zacinlo utilise énormément de projets et de bibliothèques Open-Source (ex : chromium, cryptopop, jsoncpp, libcef, libcurl, zlib).
  • Il utilise des scripts Lua pour télécharger différents composants (très certainement afin de passer inaperçu aux yeux de certains programmes antivirus qui détectent les téléchargements suspects et les bloquent).
  • Il dispose d’un design extrêmement paramétrable et hautement modulaire, ce qui lui permet d’étendre ses fonctionnalités grâce à des scripts et des fichiers de configuration disponibles via les infrastructures de commande et contrôle.

Ce malware est présent principalement aux États-Unis et semble avoir une certaine affinité pour Windows 10. La France et l’Allemagne font également partie des pays qui en sont victimes, bien que le nombre d’infections soit un peu plus bas qu’aux États-Unis jusqu’ici.  Un livre blanc édité par BitDefender détaille ce nouveau malware ICI .

Communiqué de presse, Cybersécurité, DDoS, Mise à jour, Piratage, Securite informatique

Retour en force des attaques DDoS en Europe en 2018

2 commentaires

Les attaques par déni de service, ou DDoS, avaient marqué les esprits à la fin de l’année 2016. Perpétrées grâce au botnet « Miraï », l’un des premiers « thingbots » constitué exclusivement d’objets connectés (Internet of Thing), les deux attaques de plusieurs Tbit/s lancées contre OVH et DynDNS, avaient ébranlé le web mondial.

De l’avis des experts, ce type d’attaques était voué à se multiplier en 2017. Il n’en fut rien et les attaques tant redoutées ne se sont jamais produites. Pourtant les pirates n’ont pas mis un terme à leurs attaques volumétriques massives. Ils n’ont simplement pas exploité au maximum de leurs capacités, les impressionnantes cyberarmes à leur disposition.

F5 fait état d’une véritable explosion des attaques DDoS depuis janvier 2018 :   

  • Le thingbot « JenX » proposant ses services pour mener des attaques DDoS (DDoS-for-hire) a tout d’abord été découvert en janvier. Celui-ci permet de lancer des attaques DDoS de 300 Gbit/s pour la modique somme de 20 dollars, plaçant ainsi la neutralisation d’une cible à la portée de tous.
  • En mars, c’est un nouveau record du monde qui a été établi : le site de développement collaboratif GitHub a été ciblé par une attaque DDoS d’une puissance sans précédent, atteignant un débit de 1,35 Tbit/s. Techniquement, l’attaque a été lancée depuis des systèmes de mémoire cache (« memcached ») non sécurisés.

Le centre des opérations de sécurité (SOC) de F5 Silverline fait état d’une véritable explosion des attaques DDoS en 2018. Jusqu’à présent, le SOC F5 a écarté des attaques volumétriques de haut débit comprises entre 100 et 300 Gbit/s. Les attaques volumétriques reviennent ainsi sérieusement jouer les trouble-fête.

F5 a observé plusieurs tendances dans les attaques menées à la fin de l’année 2016 et les nombreuses attaques réapparues lors du 1er trimestre 2018.

  • Les entreprises de la zone Europe, Moyen-Orient et Asie-Pacifique sont désormais toutes autant ciblées que leurs homologues nord-américaines.
  • Les établissements financiers et les hébergeurs continuent de figurer parmi les secteurs les plus ciblés. Mais sur le 1er trimestre 2018, ce sont les sociétés de jeu en ligne qui ont été particulièrement ciblées. A eux trois, ces secteurs ont subi 76 % des attaques DDoS au 1er trimestre 2018.
  • Cependant, avec la montée en puissance de ressources à la location, bon marché, qui facilitent le ciblage de tout type d’entreprise, l’écart se rétrécit entre ces secteurs historiquement ciblés et les autres.
  • Le SOC de F5 a commencé à neutraliser des attaques DDoS ciblant directement des applications (et non le réseau) au 3ème trimestre 2016, et cela risque de devenir un vecteur d’attaque en hausse à mesure que les entreprises évoluent vers des processus de virtualisation de services orientés applications.
  • Après un hiatus en 2017, les attaques volumétriques à haut débit ont repris au premier trimestre 2018. En mars 2018, le SOC de F5 a neutralisé une attaque multi-vecteurs de 325 Gbit/s, principalement issue de systèmes basés aux États-Unis.

Vincent Lavergne, expert attaques DDoS de F5 explique : « Avec l’explosion des objets connectés, du Cloud computing et des bases de données en ligne, les pirates disposent plus que jamais de systèmes plus vulnérables leur permettant de lancer des attaques DDoS dévastatrices ».

Rappel – Quelques bonnes pratiques pour se prémunir de ce type d’attaques :

  1. Ne pas exposer l’administration à distance à l’ensemble du réseau Internet, en particulier aux appareils IoT ou aux bases de données en ligne.
  2. Protéger ses systèmes au moyen de protocoles d’accès sécurisés, d’identifiants d’administration complexes (ou de clés SSH lorsque cela est possible), et ne pas laisser se produire des attaques par force brute.
  3. Appliquer régulièrement des correctifs sur tous les systèmes en contact avec Internet, et immédiatement dès la détection d’une faille dans l’exécution de code à distance ou d’un défaut de conception susceptible de conduire à une exploitation à distance.

L’analyse approfondie menée par F5 révèle également les enseignements suivants :

  • Croissance des attaques mondiales

Le nombre d’attaques neutralisées au niveau mondial par F5 entre 2016 et 2017 a augmenté de 26 %. Sur le premier trimestre 2018 (vs le 1er trimestre 2017), F5 a analysé une augmentation plus significative, de 33% du nombre d’attaques.

Toutes les zones observées par F5 ont connu une hausse constante des attaques depuis 2016, mais le nombre d’attaques DDoS commises contre des cibles dans la région Asie-Pacifique (APAC) augmente plus rapidement que dans n’importe quelle autre région du monde.

L’Amérique du Nord, historiquement la zone la plus touchée par les attaques DDoS, est depuis 2017 passées sous la barre des 50% du total d’attaques DDoS mondiales, alors que les attaques DDoS ciblant la région EMEA ont augmenté d’environ un tiers. La région APAC a, quant à elle, fait un bond de 8 % en 2016 à 17 % en 2017. Au premier trimestre 2018, les entreprises de la région APAC ont subi presque autant d’attaques que les entreprises situées en Amérique du Nord.

  • Répartition des attaques par secteur

Les hébergeurs Web et les établissements financiers ont toujours figuré parmi les principales cibles d’attaques DDoS, une tendance qui ne s’est pas démentie en 2017.

Vincent Lavergne explique : « Dans ces deux secteurs, tout temps d’arrêt se traduit directement en pertes financières. C’est pourquoi les attaques DDoS avec chantage à la clé sont très lucratives, car le fait de payer la rançon est pour les entreprises un moyen efficace de régler le problème ».

Le fossé se rétrécit entre les principales cibles traditionnelles et d’autres secteurs ; les profils des cibles sont variés et comptent notamment les fournisseurs de technologies, les FAI, l’univers du jeu en ligne et les fournisseurs de services aux entreprises.

Vincent Lavergne ajoute : « Chaque année, nous continuons à observer un plus large éventail de cibles d’attaques DDoS, en corrélation avec la hausse des services « DDoS for hire » à des prix extrêmement abordables et la mise à disposition des outils DDoS accessibles même aux néophytes ».

  • Origine des attaques

F5 a analysé un ensemble d’attaques de très fort débit, persistantes pendant 4 jours en mars 2018 et a observé que les 10 principaux pays à l’origine du trafic ont conservé le même débit tout au long des attaques, ce qui pourrait laisser entendre que ces attaques ont été lancées par les mêmes systèmes sur toute la durée de quatre jours. Ce type de comportement d’attaque cadre avec l’utilisation d’objets connectés, dans lesquels des failles et les attaques qui en découlent ne sont pas détectées, ou, dans un scénario moins probable, avec la compromission de systèmes appartenant à des entreprises (qui ne sont pas au courant de la faille) et qui sont utilisés pour lancer des attaques.

Fait inhabituel, la plus importante source de cette campagne d’attaques est venue des États-Unis. Cela indique qu’un nombre significatif de systèmes vulnérables (appareils IoT ou systèmes « memcached » potentiellement compromis) est ciblé aux États-Unis pour lancer des attaques DDoS.

Cybersécurité, Mise à jour, Patch, Securite informatique

Patch Tuesday : 51 nouveaux correctifs pour juin

Le Patch Tuesday de juin est plus léger que ceux des mois précédents, avec 51 CVE uniques résolues dont 11 classées comme critiques. Adobe a également publié la semaine dernière une mise à jour urgente pour une vulnérabilité qui affecte Flash Player, qui est activement exploitée.

Speculative Store Bypass Microsoft a publié des correctifs pour Speculative Store Bypass lors de son patch Tuesday, une vulnérabilité également dénommée Variante 4 de Spectre. Ces patches déploient une protection Speculative Store Bypass Disable (SSBD) pour les processeurs Intel. Le nouveau microcode Intel devra être pleinement protégé contre la Variante 4. Microsoft a publié un article contenant des actions recommandées.

Windows DNSAPI Des patches ont été publiés pour des vulnérabilités détectées dans la bibliothèque DLL DNSAPI de Windows. Ces dernières peuvent permettre à un attaquant de compromettre un système via un serveur DNS malveillant. Les postes de travail mobiles se connectant à des points wifi non fiables sont à risque. Ce patch est donc une priorité pour eux.

Protocole HTTP Une faille critique dans le fichier HTTP.sys de Microsoft est également corrigée dans le Patch Tuesday de juin. HTTP.sys « écouteur en mode noyau » utilisé par IIS et différents services Windows. Un attaquant qui exploite cette vulnérabilité peut prendre le plein contrôle de la machine ciblée. Ce patch doit être déployé de manière prioritaire sur tous les systèmes, serveurs et postes de travail Windows.

Navigateurs et moteur de script Les autres patches Microsoft critiques de ce mois-ci sont destinés principalement aux navigateurs, au moteur de script Windows et à Windows Media Foundation. Ces correctifs doivent être déployés en priorité sur les équipements de type poste de travail.

Adobe Adobe a donc publié la semaine dernière une mise à jour non programmée pour une vulnérabilité découverte dans son module Flash Player. Selon Adobe, cette vulnérabilité est exploitée activement et doit être corrigée en priorité sur les équipements de type postes de travail. En mai dernier, une autre mise à jour en urgence avait déjà été publiée pour Adobe Reader qui faisait aussi l’objet d’un exploit disponible publiquement. Ce patch est également une priorité pour les postes de travail impactés. (Par Jimmy GrahamThe Laws of Vulnerabilities)

Chiffrement, Cybersécurité, Hacking, Mise à jour, Patch, Securite informatique, Travel

14 failles de sécurité pour des modèles BMW

Un commentaire

Des chercheurs en cybersécurité découvrent 14 failles de sécurité dans des modèles de la marque automobile BMW. Ces vulnérabilités permettraient d’intervenir à distance sur le fonctionnement interne d’une voiture ciblée.

Depuis plusieurs années déjà, de nombreux chercheurs ont mis en garde les constructeurs automobiles contre leurs systèmes électroniques qui sont souvent conçus sans qu’une profonde attention ne soit portée à la sécurité. On se rappelle notamment de Charlie Miller et Chris Valasek qui avaient montré en 2015 comment ils parvenaient à prendre le contrôle d’une Jeep alors que le véhicule roulait sur l’autoroute.

L’intérêt de telles démonstrations basé sur un scénario catastrophe a permis aux grand public mais surtout aux constructeurs, de prendre conscience du risque qui n’est plus du tout hypothétique. Dans le cas présent, BMW a travaillé conjointement avec ce groupe de chercheurs chinois et a reconnu leur effort pour, au final, améliorer la sécurité de ses voitures. « Il ne reste plus qu’à espérer que cette démonstration incite d’autres marques à faire de même. » confirme Jérôme Ségura, de chez Malwarebytes.

Les chercheurs ne sont pas à leur coup d’essai. Ils avaient déjà trouvé plusieurs vulnérabilités dans divers modules embarqués utilisés par Tesla. La société Allemande a confirmé les problèmes et leurs corrections en cours.

Cybersécurité, Mise à jour, Patch, Securite informatique, Social engineering, Téléphonie

Cosiloon : les appareils Android livrés avec des malwares pré-installés

Cosiloon – Des chercheurs découvrent un adware pré-installé sur plusieurs centaines de modèles et de versions d’appareils Android différents, y compris ceux fabriqués par ZTE, Archos ou encore myPhone. La majorité de ces appareils ne sont pas certifiés par Google.

Le logiciel publicitaire en question porte le nom de « Cosiloon », et crée une superposition pour afficher une annonce sur une page web dans le navigateur de l’utilisateur. Des milliers d’individus sont touchés, et le mois dernier, Avast a identifié la dernière version de l’adware sur environ 18 000 appareils appartenant aux utilisateurs situés dans plus de 100 pays, dont la France, l’Italie, le Royaume-Uni, l’Allemagne ou encore la Russie parmi d’autres, ainsi que quelques cas aux États-Unis.

L’adware est actif depuis au moins trois ans, et s’avère difficile à supprimer. Il est en effet installé au niveau du firmware (ou micrologiciel) et utilise un code rendu impénétrable par procédé d’offuscation. Le géant du Web a ainsi pris des mesures pour atténuer les capacités malveillantes de nombreuses variantes d’applications sur plusieurs modèles d’appareils, en exploitant des techniques développées en interne.

Google Play Protect a été mis à jour pour garantir la protection de ces applications à l’avenir. Néanmoins, étant donné qu’elles sont pré-installées avec le firmware, le problème reste donc difficile à résoudre. Google a contacté les développeurs de micrologiciels pour les sensibiliser et les encourager à prendre des mesures pour y remédier.

Identifier Cosiloon

Au cours des dernières années, le Threat Labs d’Avast a régulièrement observé des échantillons Android à caractère étrange, dans sa base de données. Ils ressemblaient à n’importe quel autre échantillon, à l’exception que l’adware semblait pas disposer de point d’infection et présentait plusieurs noms de packages similaires, les plus communs étant :

  • com.google.eMediaService
  • com.google.eMusic1Service
  • com.google.ePlay3Service
  • com.google.eVideo2Service

La façon dont le logiciel publicitaire est arrivé sur les appareils n’est pas claire. Le serveur de contrôle était en service jusqu’en avril 2018, et les auteurs ont continué de le mettre à jour avec de nouvelles charges utiles. Les fabricants ont également continué d’expédier de nouveaux appareils avec l’injecteur (ou dropper, en anglais), également appelé « programme seringue » ou « virus compte-gouttes » qui est un programme informatique créé pour installer un logiciel malveillant sur un système cible.

Certaines applications antivirus signalent les charges utiles, mais l’injecteur les ré-installe et ne peut pas lui-même être supprimé. Ce qui signifie que le terminal aura toujours un dispositif permettant à un inconnu d’installer n’importe quelle application. Les chercheurs ont par ailleurs noté que l’adware permet d’installer le dropper sur les appareils, mais il est également en mesure de télécharger facilement un logiciel espion, un ransomware ou tout autre type de menace.

Avast a tenté de désactiver le serveur C&C (Command and Control) de Cosiloon en envoyant des demandes de retrait au registraire de noms de domaines et aux fournisseurs de serveurs. Le premier fournisseur, ZenLayer, a rapidement répondu et désactivé le serveur, mais il a été restauré après un certain temps par le biais d’un autre fournisseur. Le registraire n’a lui pas donné suite, ce qui signifie que le serveur fonctionne toujours.

Désactiver Cosiloon

Les utilisateurs peuvent trouver le dropper dans leurs paramètres (intitulé « CrashService », « meMess » ou « Terminal » avec l‘icône d’Android), et cliquer sur le bouton « désactiver » sur la page des applications, si disponible (selon la version Android). Cela désactivera l’injecteur qui ne reviendra pas.

Communiqué de presse, Cybersécurité, double authentification, Facebook, Mise à jour, Particuliers, Securite informatique

Facebook annonce son entrée au conseil d’administration de l’Alliance FIDO

Un commentaire

Alliance FIDO : Facebook rejoint d’autres grandes entreprises du secteur high-tech, de la finance et du commerce en ligne pour réduire la dépendance des utilisateurs vis-à-vis des mots de passe.

L’Alliance FIDO annonce l’entrée de Facebook au sein de son conseil d’administration. Le réseau social rejoint ainsi d’autres grands noms des secteurs des hautes technologies, des services financiers et du commerce en ligne, afin de concrétiser la vision stratégique de l’Alliance de réduire la dépendance des utilisateurs du monde entier vis-à-vis des mots de passe, grâce à une authentification plus forte et plus simple.

L’Alliance FIDO développe des spécifications d’authentification forte interopérables pour les plateformes informatiques, ainsi que les applications web et mobiles. Grâce à l’intégration de la technique de chiffrement à clé publique dans des outils d’authentification simples d’emploi, tels que les clés de sécurité ou la biométrie, l’approche proposée par l’Alliance FIDO se distingue par un plus haut niveau de sécurité, de confidentialité et de simplicité que les mots de passe et autres formes d’authentification forte.

« Les mots de passe faibles continuent de causer des problèmes inutiles qui pourraient être évités en déployant et en utilisant des techniques d’authentification forte sur une plus grande échelle. Nous sommes fiers de rejoindre le conseil d’administration de l’Alliance FIDO et d’aider ses membres à atteindre leur objectif : élargir et simplifier la disponibilité de l’authentification forte sur les navigateurs web, ainsi que sur les plateformes mobiles et de bureau », a déclaré Brad Hill, ingénieur logiciel, chez Facebook.

Malgré son arrivée toute récente au sein du conseil d’administration de l’Alliance, Facebook a joué un rôle actif en faveur de l’authentification préconisée par l’Alliance FIDO depuis janvier 2017 en permettant à ses 2 milliards d’utilisateurs quotidiens d’utiliser une clé de sécurité compatible FIDO pour s’identifier et accéder à leur compte.

Outre Facebook, de nombreux prestataires de services de premier plan, parmi lesquels Aetna, Google, PayPal, Samsung, Bank of America, NTT DOCOMO, Dropbox ou Github, mettent la technologie d’authentification FIDO à la disposition de leurs vastes bases d’utilisateurs. Le mois dernier, Google, Microsoft et Mozilla se sont ainsi engagés à prendre en charge la norme WebAuthn récemment annoncée dans leurs navigateurs, rendant l’authentification FIDO accessible aux internautes aux quatre coins du Web.

« Nous sommes heureux d’accueillir Facebook parmi les membres de notre conseil d’administration, a déclaré Brett McDowell, Directeur Exécutif de l’Alliance FIDO. Facebook est l’un des services web et mobiles les plus largement utilisés à travers le monde et, à ce titre, contribuera fortement à la mission de l’Alliance FIDO, à savoir proposer des expériences d’authentification à la pointe de l’innovation qui satisfont pleinement les utilisateurs, tout en résolvant les problèmes de sécurité liés à l’utilisation de mots de passe. »

Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Piratage, Securite informatique

Une exploit 0-Day pour Internet Explorer utilisée in the wild

Un commentaire

Fin avril 2018, un exploit inconnu jusqu’alors détécté. Après analyse, il s’avère que cet exploit utilise une vulnérabilité zero-day CVE-2018-8174 pour Internet Explorer. L’exploit a été utilisé dans des attaques ciblées. Depuis le 8 mai, Microsoft propose la contre-mesure de sécurité.

Il est intéressant de noter que l’exploit Internet Explorer a été téléchargé au sein d’un document Microsoft Word. C’est la première fois que l’on note l’utilisation d’une telle technique. A noter également qu’une version de Microsoft Word entièrement patchée a été exploitée avec succès. Après cette découverte, Microsoft diffuse un patch disponible ici, depuis mardi 8 mai.

Un exploit est une forme de logiciel qui se sert des bugs ou des vulnérabilités d’autres logiciels pour infecter des victimes avec un code malveillant. Les exploits sont utilisés très largement par les cybercriminels à la recherche de profits mais aussi par des acteurs plus sophistiqués, qui disposent de soutiens étatiques, dans un but malveillant.

Dans ce cas particulier, l’exploit identifié se base sur le code malveillant exploitant la vulnérabilité zero-day – un bug typique « use-after-free » quand un code exécutable légitime, comme celui d’Internet Explorer, comporte une logique de traitement de la mémoire incorrecte. Cela conduit à la communication d’un code avec de la mémoire disponible. Alors que dans la plupart des cas, cela débouche sur un simple crash du navigateur, l’exploit permet aux attaquants de prendre le contrôle de l’appareil.

Des analyses approfondies de l’exploit ont permis de mieux comprendre la chaine d’infection :

  • La victime reçoit un document Microsoft Office RTF malveillant
  • Après avoir ouvert le document malveillant, la seconde phase de l’exploit est téléchargée – une page HTML avec un code malveillant
  • Le code déclenche un bug UAF de corruption de la mémoire
  • Le shellcode qui télécharge la charge malveillante est alors exécuté.

« Cette technique, jusqu’à ce qu’elle soit corrigée, permettait aux criminels de forcer le chargement d’Internet Explorer, peu importe le navigateur habituellement utilisé par la victime. Cela démultiplie le potentiel de l’attaque, pourtant déjà énorme. Heureusement, la découverte proactive de la menace a permis à Microsoft de sortir un patch correctif dans les temps. Nous invitons les organisations et utilisateurs à installer les patchs les plus récents immédiatement après leur disponibilité, car il ne faudra pas beaucoup de temps avant que les exploits de cette vulnérabilité ne trouvent leur place dans des kits d’exploits populaires et soient utilisés non seulement par les acteurs de menaces sophistiqués, mais également par des cybercriminels de plus petit calibre », explique Anton Ivanov, Security Researcher, Kaspersky Lab

APT, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Mise à jour, Piratage, Securite informatique

ZooPark : une nouvelle campagne de malware Android propagée par l’infection de sites web légitimes

Des chercheurs en cybersécurité viennent de découvrir ZooPark, une campagne élaborée de cyberespionnage. ZooPark cible depuis plusieurs années les utilisateurs d’appareils Android dans divers pays du Moyen-Orient. Se servant de sites web légitimes comme sources d’infection, cette campagne paraît être une opération étatique visant des organisations politiques, des activistes et d’autres cibles dans la région.

Dernièrement, les chercheurs ont reçu ce qui semblait être un échantillon d’un malware Android inconnu. De prime abord, le malware ne paraissait guère sérieux, tout au plus un outil de cyberespionnage très simple sur le plan technique. Les chercheurs ont alors décidé d’enquêter plus avant et n’ont pas tardé à découvrir une version bien plus récente et complexe du même logiciel, qu’ils ont dénommé ZooPark. Sa cible : le Maroc, l’Egypte, le Liban, la Jordanie et l’Iran.

Certaines applications du code malveillant ZooPark sont diffusées à partir de sites d’actualités ou politiques très consultés dans certaines zones du Moyen-Orient. Elles se dissimulent sous la forme d’applications légitimes portant des noms tels que « TelegramGroups » ou « Alnaharegypt news ». Une fois l’infiltration réussie, le malware offre à l’auteur de l’attaque de nombreuse possibilités. Parmi les actes possibles : Exfiltration des contacts, identifiants de comptes, journaux et enregistrements audio des appels. A cela se rejoute les photos stockées sur la carte SD de l’appareil. Bien entendu, la localisation GPS. Les SMS. Les détails des applications installées, données du navigateur. Enregistrement des frappes clavier et contenu du presse-papiers. La backdoor peut envoyer, discrtement, des SMS. Téléphoner à des numéros, comme des lignes surtaxées.

Une autre fonction malveillante cible les messageries instantanées (Telegram, WhatsApp, IMO), le navigateur web (Chrome) et plusieurs autres applications. Elle permet au malware de dérober les bases de données internes des applications attaquées. Par exemple, dans le cas du navigateur, il s’agit des identifiants enregistrés pour d’autres sites web, susceptibles d’être infectés à la suite de l’attaque.

Les investigations laissent penser que les attaques ciblent en priorité des utilisateurs en Egypte, en Jordanie, au Maroc, au Liban et en Iran. En fonction des thèmes d’actualité choisis par les assaillants pour inciter par tromperie leurs victimes à installer le malware, des membres de l’Office de secours et de travaux des Nations Unies (UNRWA) font partie des cibles potentielles de ZooPark.

« Les utilisateurs sont de plus en plus nombreux à se servir de leur mobile comme principal voire unique moyen de communication. Or cette tendance n’est certainement pas passée inaperçue aux yeux des acteurs malveillants étatiques, qui développent leur arsenal afin de le rendre suffisamment efficace pour pister les utilisateurs mobiles. La menace persistante avancée (APT) ZooPark, qui espionne activement des cibles dans des pays du Moyen-Orient, en est un exemple mais il n’est sans doute pas isolé », commente Alexey Firsh, expert en sécurité chez Kaspersky Lab. Au total, au moins quatre générations du malware espion lié à la famille ZooPark ont été détéctées depuis 2015.

Android, Base de données, Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, ID, Identité numérique, ios, Mise à jour, Particuliers, Sécurité, Securite informatique, Smartphone, Vie privée, Windows phone

Psychology of Passwords : les comportements liés aux mots de passe restent inchangés

Psychology of Passwords – 62% des internautes réutilisent le même mot de passe sur leur comptes personnels et professionnels ! Vous avez dit suicidaire ?

Psychology of Passwords – La gestion des mots de passe, voilà bien un casse tête omnis présent chez les utilisateurs. LastPass présente les résultats d’une nouvelle enquête mondiale baptisée « La psychologie des mots de passe : la négligence aide les pirates à prospérer ». Cette étude révèle que malgré des menaces croissantes et une sensibilisation accrue vis-à-vis des cas de piratage et de fuites de données, les comportements en matière de mots de passe restent largement inchangés. Les résultats de l’enquête montrent que bien que 91% des individus soient conscients du risque de sécurité lié au fait d’utiliser le même mot de passe pour plusieurs comptes, 59% d’entre eux continuent de le faire. Les comportements en matière de création, de changement et de gestion de mots de passe professionnels comme personnels n’évoluent donc pas aussi vite que les menaces de cybersécurité.

Menée auprès de 2 000 individus aux États-Unis, en Australie, en France, en Allemagne et au Royaume-Uni, cette enquête mondiale prouve qu’une connaissance accrue des meilleures pratiques de sécurité ne se traduit pas nécessairement par une meilleure gestion des mots de passe. Les résultats mettent également en évidence l’influence des différences régionales, générationnelles et de personnalité sur les comportements vis-à-vis des mots de passe.

Voilà les principaux enseignements du rapport Psychology of Passwords.

• Psychology of Passwords – Des comportements inchangés malgré une montée en flèche des cybermenaces

Les comportements à risques constatés restent largement identiques à ceux enregistrés il y a 2 ans dans le cadre de la même étude : 53% des personnes interrogées affirment ne pas avoir changé leurs mots de passe durant les 12 derniers mois malgré l’annonce dans les médias de cas de piratages. En outre, bien que 91% des individus soient conscients du risque de sécurité lié au fait d’utiliser le même mot de passe pour plusieurs comptes, 59% d’entre eux le font encore systématiquement ou la plupart du temps.

• Psychology of Passwords – La peur de l’oubli : le principal motif de réutilisation des mots de passe

La plupart des répondants (59%) utilisent le même mot de passe sur plusieurs comptes. En outre, beaucoup continuent de s’en servir autant que possible (soit jusqu’à ce que leur service informatique exige le changement ou à cause d’un incident de sécurité). La peur de l’oubli est citée comme la principale raison de la réutilisation de mots de passe (61%), suivie par la volonté de connaître et de pouvoir contrôler tous ses mots de passe (50%).

• Psychology of Passwords – Avertissement aux équipes informatiques : les comportements vis-à-vis des mots de passe sont les mêmes au bureau et à la maison

La majorité des répondants (79%) auraient entre 1 et 20 comptes en ligne utilisés à des fins professionnelles et personnelles. Près de la moitié d’entre eux (47%) affirment réemployer des mots de passe identiques. Seuls 19% créent des combinaisons plus sécurisées pour leurs comptes professionnels. Enfin 38% ne réutilisent jamais des mots de passe professionnels à des fins personnels ou vice versa – ce qui signifie que 62% des répondants le font.

• Psychology of Passwords – Les personnalités de type A prennent les mots de passe avec sérieux

Le mauvais comportement des personnalités de type A découle de leur besoin d’avoir le contrôle, alors que les personnalités de type B ont une attitude plus décontractée à l’égard de la sécurité des mots de passe. Les répondants s’identifiant comme étant de Type A sont plus enclins que les personnalités de Type B à maîtriser la sécurité de leurs mots de passe : 77% d’entre eux réfléchissent sérieusement lors de la création de mots de passe, contre 67% des individus de Type B. En outre, 76 % des utilisateurs de Type A s’estiment informés des meilleures pratiques en la matière, contre 68% des utilisateurs de Type B.

• Psychology of Passwords – La prise de conscience de l’importance de la sécurité ne se concrétise pas forcément

Les données révèlent plusieurs contradictions, les répondants affirmant une chose, puis en faisant une autre : ainsi, 72% des personnes interrogées estiment connaître les meilleures pratiques en matière de mots de passe, mais 64% d’entre eux affirment que le plus important est de pouvoir s’en souvenir facilement. Parallèlement, bien que 91% des individus soient conscients du risque de sécurité lié au fait d’utiliser le même ou des mots de passe similaires pour plusieurs comptes, 59% d’entre eux le font encore systématiquement ou la plupart du temps.

« Les cybermenaces auxquelles les consommateurs et les entreprises doivent faire face sont de plus en plus ciblées et efficaces. Pourtant, il reste un net fossé entre ce que pensent les utilisateurs et leur volonté de passer à l’action », déclare Sandor Palfy, directeur technique chargé des solutions de gestion des identités et des accès chez LogMeIn. « Bien qu’ils semblent connaître les meilleures pratiques en la matière, les comportements des individus vis-à-vis de leurs mots de passe sont souvent de nature à exposer leurs informations aux cybercriminels. Quelques mesures simples suffisent pour améliorer ces pratiques et renforcer la sûreté des comptes en ligne, qu’ils soient personnels ou professionnels. »