Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Argent, Arnaque, Banque, Chiffrement, Cyber-attaque, Cybersécurité, Emploi, Entreprise, escroquerie, Fuite de données, Paiement en ligne, Particuliers

Les e-commerçants cible numéro un des cybercriminels

La dernière étude d’Imperva s’est intéressée aux secteurs d’activités les plus touchés par les attaques d’applications web. Les sites de e-commerce se distinguent comme principale victime, ils représentent à eux seuls près de la moitié (48%) de ces attaques.

Les e-commerçants sont invités à redoubler de vigilance vis à vis des cyber-attaques. C’est l’un des principaux enseignements d’une étude récemment menée par  Imperva, Inc. (NYSE: IMPV), dans laquelle les e-commerçants apparaissent comme la principale cible des campagnes d’attaques visant les applications web, avec 48 % d’entre elles les ciblant directement, faisant de cette industrie une cible privilégiée par les cybercriminels.

Ce chiffre est issu du récent rapport Web Application Attack Report #5 (WAAR) réalisé par l’Application Defense Center (ADC), l’équipe de recherche d’Imperva. Pour ce rapport, l’équipe ADC a analysé un échantillon de 99 applications protégées par le pare-feu applicatif Web d’Imperva (WAF) sur une période de neuf mois (du 1er Août 2013 au 30 Avril 2014). Il révèle que les e-commerçants sont les plus lourdement ciblés par les cybercriminels, et que 40 % de toutes les attaques par injection SQL et 64 % des campagnes de trafic HTTP malveillant visent les sites de vente en ligne.

« Notre étude montre que ces sites sont une cible de choix pour les hackers. Ceci est en partie dû aux données qu’ils manipulent (noms des clients, leurs adresses, coordonnées bancaires), et que les cybercriminels peuvent utiliser et commercialiser dans un écosystème sous-terrain. Au cours de l’année dernière, nous avons vu un certain nombre d’e-commerçants être victime de fuites de données et je m’attends à ce que cela continu. Notre précèdent rapport publié en Juillet 2013, distinguait déjà ces sites comme principale cible des cybercriminels. En termes de volume, l’étude démontre que les sites de vente ligne ont subi deux fois plus d’attaques par injection SQL que la plupart des autres secteurs d’activité. Dans la mesure où les résultats de cette année ne montrent aucun signe d’amélioration par rapport à l’an dernier, il n’y a aucune raison que cette menace s’atténue sur l’année à venir. » explique Amichai Shulman, Directeur de la technologie d’Imperva.

L’étude révèle également que les sites hébergeant des données client, qui exigent une identification à la connexion, souffrent pour plus d’un sur deux de ces attaques (jusqu’à 59% d’entre eux). Cela montre très précisément qu’il s’agit du type d’informations qui motive le plus les cybercriminels. Les données relatives aux consommateurs telles que les détails personnels et les numéros de cartes de crédit sont une source précieuse de profit sur le marché noir des données.

« Les e-commerçants doivent prendre la menace de cyber attaque très au sérieux. Au cours de l’année passée, nous avons vu des sites de vente en ligne très connus, et apparemment sûrs, êtres victime de cyber-attaques dévastatrices et cela devrait être perçu comme un avertissement pour leurs confrères. Les cybercriminels voient les e-commerçants comme une cible très rentable qu’ils attaquent sans relâche par de multiples moyens. Les informations qu’un pirate est capable d’extraire à partir de ces sites doivent très probablement aboutir sur des sites commercialisant ce type de données. Le business est énorme. Les professionnels de la vente en ligne doivent verrouiller leurs bases de données et les data centers qui les hébergent, s’assurer que toutes leurs données soient cryptées et qu’ils aient mis en place des barrières solides pour repousser les intrus », conclut Amichai Shulman .

L’intégralité du rapport Imperva’s Web Application Attack, est disponible ICI.

Argent, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, Identité numérique, Leak, Mise à jour, Particuliers, Patch, Piratage, Propriété Industrielle, Vie privée

Regin: Un outil d’espionnage de pointe pour une surveillance furtive

4 commentaires

Un malware complexe, connu sous le nom de Regin, a été utilisé dans le cadre de campagnes d’espionnage systématique envers des cibles internationales depuis au moins 2008. Trojan de type backdoor, Regin est un malware complexe dont la structure suppose des compétences techniques rarement vues.

Avec un grand nombre de fonctionnalités qui s’adaptent selon la cible, il permet à ses commanditaires d’opérer une surveillance massive et a été utilisé dans des opérations contre des organisations gouvernementales, des opérateurs d’infrastructures, des entreprises, des scientifiques et des individus. Il est probable que son développement ait pris plusieurs mois, voire plusieurs années, et ses auteurs ont tout fait pour assurer sa discrétion. Ses capacités ainsi que le niveau de ressources derrière Regin indiquent qu’il s’agit de l’un des principaux outils de cyber espionnage utilisé par un état.

Comme décrit dans le livre blanc publié par Symantec, Backdoor.Regin est une menace en différentes phases, chacune d’entre elles étant dissimulée et chiffrée, à l’exception de la première. L’exécution de la première étape génère un effet domino de déchiffrement et de chargement de la phase suivante. Chaque étape individuelle fournit peu d’informations sur l’ensemble de la menace. Seule la réalisation de l’ensemble permet l’analyse et la compréhension de la menace.

Les cinq étapes de Regin

Regin utilise également une approche modulaire, lui permettant de charger des fonctionnalités adaptées selon la cible. Cette approche modulaire a déjà été vue dans des familles de malwares sophistiqués tels que Flamer et Weevil (TheMask), alors que l’architecture en plusieurs étapes est similaire à celle observé dans Duqu/Stuxnet.

Déroulé et profil des cibles
Les infections par Regin ont été observées dans différents types d’organisations entre 2008 et 2011, date à laquelle il a été brutalement retiré. Une nouvelle version du malware a refait surface à partir de 2013. Les cibles incluent des entreprises privées, des organisations gouvernementales et des instituts de recherche. Alors que près de la moitié des infections concerne des adresses appartenant à des fournisseurs de services Internet, les cibles de ces infections étaient les clients de ces sociétés plutôt que les sociétés elles-mêmes. De la même manière, les attaques contre des entreprises de télécommunications visaient l’accès aux appels passant par leurs infrastructures.

La géographie des infections est également diverse, et concerne principalement dix pays.

Vecteur d’infection et charges utiles
Le vecteur d’infection varie selon les cibles et aucun vecteur reproductible n’a été identifié à l’heure où ce rapport a été rédigé. Symantec estime que certaines cibles ont été leurrées vers la visite de fausses versions de site Internet bien connus, et que la menace s’est installée via un navigateur web ou lors de l’exploit d’une application. Sur un ordinateur, les fichiers log montraient que Regin venait de Yahoo ! Instant Messenger via une faille non confirmée.

Regin utilise une approche modulaire, donnant ainsi une certaine flexibilité à ses commanditaires et opérateurs qui peuvent ainsi adapter ses fonctionnalités selon les cibles individuelles et les besoins. Certaines charges utiles sont particulièrement avancées et laissent supposer un haut degré d’expertise dans des secteurs bien précis: une preuve supplémentaire du niveau de ressources dont ont bénéficié les auteurs de Regin.
Regin comporte des douzaines de charges utiles. Ses capacités de base incluent plusieurs fonctionnalités de Remote Access Trojan (RAT), telles que la capture d’écrans, la prise de contrôle de la souris, le vol de mots de passe, la surveillance du trafic réseau et  la restauration de fichiers supprimés.
Des modules de charge utile plus spécifiques et avancés ont également été découverts, tels que le monitoring de trafic de serveur web Microsoft IIS et l’aspiration du trafic des contrôleurs des stations de téléphonie mobile.
Furtivité.

Les développeurs de Regin ont fourni des efforts considérables pour le rendre indétectable. Son caractère discret semble indiquer une utilisation lors de campagnes d’espionnage qui ont duré plusieurs années. Même lorsque sa présence est détectée, il est très difficile de déterminer précisément ses actions. Symantec n’a été en mesure d’analyser les charges utiles qu’après déchiffrement des échantillons de fichiers.

Regin présente plusieurs fonctionnalités de furtivité, notamment des capacités anti-forensics, un système de fichiers virtuel chiffré unique, un chiffrement alternatif sous la forme d’une variante de RC5, qui n’est pas communément utilisé. Regin utilise de multiples moyens sophistiqués pour communiquer avec l’attaquant, notamment via ICMP/ping qui intègre des commandes dans les cookies http, via des protocoles TCP et UDP sur mesure.

Regin est une menace hautement complexe qui a été utilisée dans la collecte systématique de données ou lors de campagnes de renseignements. Le développement et l’opération de ce malware ont certainement demandé des investissements financiers et en temps importants, laissant supposer qu’un état en est le commanditaire. Sa conception en fait un outil hautement adapté pour des opérations de surveillance persistantes et à long terme contre ses cibles.

La découverte de Regin met en lumière l’importance des investissements pour le développement d’outils informatiques à des fins de renseignement. Symantec estime que de nombreuses composantes de Regin restent à découvrir et que des fonctionnalités et des versions supplémentaires existent. Symantec continue son travail d’analyse et publiera les mises à jour de ses recherches. (Par Symantec Security Response)

Argent, Arnaque, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, escroquerie, Fuite de données, Identité numérique, Particuliers, Vie privée

Chantage Internet : Rex Mundi diffuse des données d’internautes belges

3 commentaires

Identités, adresses, numéros de registre national des travailleurs belges, le groupe de pirates informatiques Rex Mundi diffuse des données sensibles. Il souhaitait toucher 50.000 euros dans un chantage raté.

Le 15 novembre dernier, le groupe de pirates informatiques Rex Mundi, très actif sur le territoire Belge, refaisait parler de lui sur la toile. Après avoir diffusé un extrait de la base de données de Domino’s Pizza, après avoir attaqué Thomas Cook Belgium, Finalease Cars, c’est au tour de l’entreprise Mensura de faire les frais de ces maîtres chanteurs.

Les e.voleurs ont d’abord tenté de toucher 50.000 euros de ce spécialise du contrôle médical. Leur idée, toujours la même, faire chanter l’entreprise piratée. Vous donnez tant, et nous ne diffusons rien. Bilan, Menura n’a pas payé, Rex Mundi a diffusé les informations collectées, dont les fameux NATIONAAL RIJKSREGISTER.

Un millier de belges sont concernés. Mensura a déposé plainte auprès de la FCCU, la Federal Computer Crime Unit qui a une piéce compléte de dossiers sur le thème de Rex Mundi ! De son côté, Rex Mundi a indiqué que Mensura voulait payer, mais que l’avocat de l’entreprise a déconseillé cette alternative. Alternative que déconseille aussi les cyber policiers belges. Le compte Twitter de Rex Mundi a été suspendu. Il reviendra, très certainement, comme les 13 autres fois !

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Mise à jour, Particuliers, Patch, Vie privée

Objets connectés : Le mot de passe reste la meilleure sécurité, si on s’en sert !

Un pirate a récemment mis en ligne sur un site russe des liens qui permettent de regarder en direct les vidéos de milliers webcams de particuliers et d’entreprises, dans plus de 250 pays. En se connectant au site, on peut voir en direct ce qui se passe dans une chambre d’enfants à Birmingham ou dans un magasin de vêtements à Aix En Provence. Comment cela est-il possible ? Une grande partie de ces utilisateurs auraient tout simplement oublié de changer le mot de passe par défaut permettant d’accéder au flux vidéo de leur webcam.

Ce nouveau piratage illustre les nouveaux défis de sécurité qui sont induits par le développement des objets connectés. Ces derniers, souvent regroupés sous l’appellation « Internet des objets » connaissent une croissance fulgurante. Le Gartner prévoit ainsi qu’en 2015 4,9 Milliards d’objets connectés seront en circulation. Qu’il s’agisse de votre maison (domotique), de votre corps (capteur d’activité, montres connectées, appareils médicaux), de votre voiture ou de vos vêtements, de nouveaux objets et services connectés sont inventés tous les jours. Ils collectent des données de votre quotidien, les interprètent via des logiciels en ligne et vous aident à améliorer différents aspects de votre vie : confort, santé, dépenses, performance, productivité…

Ces données qui partent dans le Cloud
Pour pouvoir vous aider au mieux et pour stocker toutes ces données collectées sur votre quotidien, ces objets communiquent généralement avec des logiciels hébergés sur des serveurs sur Internet, « dans le Cloud », accessibles via des identifiants et mots de passe, comme n’importe quel site web. Mais cela n’est pas sans danger car si les français digitalisent leur vie quotidienne, ils n’adoptent pas pour autant les comportements de sécurité en ligne qu’ils ont dans la vie réelle. L’étude IFOP réalisée pour Dashlane en 2012 l’avait montré : Alors que 100% des français mettent leur ceinture de sécurité en voiture, 42% utilisent encore le même mot de passe sur plusieurs sites. Et pourtant, c’est une règle de base que d’utiliser un mot de passe différent par site web…

Et alors ?
Beaucoup minimisent sans doute le risque : on pense que lorsque l’on se fait pirater son compte email ou sa carte bancaire,  il y a toujours un moyen de réinitialiser son compte ou d’annuler les transactions frauduleuses réalisées avec la carte. Il n’y a pas « mort d’homme ». Maintenant imaginez-vous ce que peut être un piratage à l’heure de l’Internet des objets : une webcam pour surveiller vos enfants qui s’éteint toute seule, une voiture automatisée qui ne s’arrête plus, des données médicales modifiées qui conduisent à un traitement inapproprié, un pacemaker ou une pompe à insuline qui se mettent à fonctionner anormalement… Ce ne sont plus uniquement nos comptes en banque ou notre vie privée qui sont menacés, c’est notre intégrité physique et celle de nos proches.

Certains prennent ces menaces très au sérieux. Par exemple l’ancien Vice-Président américain Dick Cheney est en effet allé jusqu’à se faire opérer pour retirer les possibilités de connexion sans fil de son Pacemaker, par crainte d’un piratage potentiellement mortel. Solution radicale mais qui a le mérite d’être efficace. La sécurité en ligne n’est plus uniquement une question d’argent ou de confidentialité. Avec l’explosion des objets connectés c’est maintenant une question qui va concerner nos proches, notre intimité, notre santé, notre vie quotidienne dans toutes nos activités.

La nature du risque a changé. Il y a encore quelques années, pour les consommateurs, les risques associés au monde digital étaient limités à cet objet encombrant posé sur leur bureau, l’ordinateur. On se protégeait de ces risques à l’aide d’antivirus, d’anti spam, de firewall….Aujourd’hui, le risque s’est déplacé vers le Cloud : nos données personnelles y sont stockées et c’est aussi par-là que des hackers peuvent prendre le contrôle des objets connectés. Le seul rempart qui protège nos données et nos objets dans le Cloud, ce sont nos mots de passe. Ne l’oublions pas ! (Par Emmanuel Schalit, CEO de Dashlane)

Banque, BYOD, Cloud, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Mise à jour, Patch, Piratage

Pour une approche mixte de la protection des données contre les attaques DDoS à venir

Pour de nombreuses entreprises qui veulent mettre en œuvre une stratégie de défense anti-DDoS, se pose le dilemme d’une réelle efficacité : doivent-elles déployer des appliances sur site ou s’abonner à un service cloud anti-DDoS ? Cette décision ne peut pas être prise à la légère ni sans analyser le vaste champ des nouvelles menaces DDoS.

Les plus visibles sont les attaques volumétriques par force brute qui cherchent à saturer le réseau et perturber les services et les opérations, tandis que les attaques ‘low et slow’ qui s’en prennent à la couche applicative, sont plus difficiles à détecter. Quelle que soit la taille ou la complexité de l’attaque, l’arrêt de l’activité provoqué par un DDoS entraîne d’importantes baisses d’activité et des pertes de revenus. On estime qu’un incident peut coûter plusieurs centaines de milliers d’euros. Sans parler des conséquences et du nécessaire examen des faits pour déterminer quelles infractions ont eu lieu et comment gérer les dommages survenus auprès des clients.

Solution cloud anti-DDoS
Les attaques volumétriques massives se produisent quand l’agresseur sature la  bande passante du réseau en envoyant énormément de trafic. Les attaques par saturation sont largement médiatisées et le plus souvent associées à un DDoS,  car elles sont le plus évident et le plus manifeste exemple de ces vecteurs d’attaque de plus en plus subtils. Avec un service cloud de défense à la demande contre les DDoS qui se trouve hors site, l’intervention humaine joue un rôle-clé. Lorsqu’une attaque est détectée, le Responsable de la Sécurité doit prendre la décision d’activer la bascule vers le fournisseur Cloud de service anti-DDoS. Le temps moyen entre la détection et la mitigation d’une attaque est variable et peut atteindre une heure. Or, la majorité des attaques volumétriques consommant une grande quantité de bande passante ne dure pas plus d’une demi-heure : le temps que la défense à la demande se mette en place, l’attaque est terminée et le mal est fait.

De plus, avec une solution Cloud anti-DDoS hors site, la visibilité de l’attaque et l’analyse correspondante commencent seulement après que le trafic ait été re-routé vers le service de nettoyage, ce qui fournit très peu d’informations sur l’événement de sécurité. Certaines entreprises qui subissent des attaques volumétriques* à grande échelle, souscrivent à un service cloud anti-DDoS continu. Cette solution apporte évidemment plus de sécurité, mais elle génère des coûts très importants.

Défense sur site en temps réel
Les solutions de défense DDoS sur site, conçues à cet effet, sont des produits de sécurité des réseaux basés sur des appliances déployées entre Internet et le réseau de l’entreprise. Cette approche crée une première ligne de défense qui empêche les pannes de réseau et de service provoquées par les attaques DDoS. Comment ? En inspectant la fréquence du trafic de la ligne et en bloquant les attaques en temps réel, tout en laissant circuler les « bons » flux, sans les interrompre. La défense sur site a comme avantage de procurer une visibilité complète et sophistiquée, tout en fournissant les renseignements de sécurité sur l’attaque DDoS (et toutes les autres cyber-menaces) qui ciblent les services exposés à Internet.

Une fois connue la nature du déploiement, l’exécution de la politique de mitigation contre le trafic dû aux attaques doit être réalisée sans faux-positifs, avec un niveau de débit performant et une efficacité maximale en termes de sécurité. La technologie sur site est conçue pour gérer les attaques volumétriques du réseau par DDoS, de type SYN Flood, les attaques par réflexion et usurpation amplifiées** frauduleuses, utilisant par exemple les protocoles DNS et NTP ou les attaques de la couche applicative qui sont presque impossibles à détecter avec les solutions hors site de mitigation des attaques DDoS.

L’ approche mixte est sans doute la solution
Comme l’a mentionné récemment le SANS Institute, « des solutions anti-DDoS composées d’équipements sur site, d’équipements des fournisseurs d’accès à Internet et/ou d’architectures de mitigation sont près de quatre fois plus efficaces que les solutions sur site seules ou les solutions de services seuls. La sophistication croissante des attaques DDoS et le caractère sensible de la perturbation des services marchands exigent à la fois une protection locale et une protection en amont, travaillant en totale synchronisation « . L’expérience des entreprises qui ont mis en place avec leur fournisseur de service à la demande un système assis sur la visibilité des attaques apportée par les solutions sur site montrent toute la pertinence de cette analyse
Autre avantage d’une telle approche : le dispositif local réduit considérablement la fréquence de passage à la mitigation cloud, ce qui allège les coûts associés à ces basculements et fournit toujours une protection contre toutes les formes d’attaques par DDoS.

Cette nouvelle stratégie de lutte contre les DDoS fournit aux entreprises le meilleur des deux mondes, en combinant la résilience et la dimension des solutions du cloud computing avec la protection en temps réel, la visibilité sophistiquée et l’inspection granulaire du trafic des solutions sur site. Ce type d’approche constitue une véritable ligne de défense avancée contre la panoplie des menaces DDoS qui évoluent en permanence. (Par Adrian Bisaz, Vice President Sales EMEA de Corero Network Security))

*Les attaques à volume important représentent moins que 20% des attaques par déni de service. La plupart sont inférieures à la bande passante de l’accès.
**En quoi consiste une attaque par réflexion ? C’est une attaque où le pirate ment sur son adresse IP. Il envoie des paquets avec une adresse IP source qui n’est pas la sienne. Les réponses à ces paquets mensongers sont envoyées à l’adresse IP source indiquée, c’est-à-dire celle de la victime. Le trafic reçu par la victime peut être énorme en raison de l’amplification. Les attaques par déni de service par réflexion utilisent un protocole comme DNS ou NTP.

Argent, Arnaque, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Particuliers, Phishing, Piratage, spam, Vie privée

Phishing : quand le chiffrement s’invite dans les liens

Le phishing est une menace majeure, qui accroît de manière importante la méfiance d’un nombre croissant d’internautes dans leur utilisation d’Internet, notamment dans le cadre d’opérations sensibles telles que les opérations bancaires et le commerce électronique. Cette méfiance freine grandement le développement d’Internet en tant qu’espace de confiance et de sécurité. En réponse à ce problème, des efforts importants sont menés au quotidien par les principaux acteurs de l’écosystème numérique : généralisation des moyens de protection tant au niveau des messageries électroniques que des navigateurs, information et éducation des utilisateurs – menées en particulier par les marques dont la réputation est ternie par le phishing. Toutefois, en dépit de tous ces efforts, on constate une pérennisation – ainsi qu’une évolution – de cette menace.

En effet, d’une part, le spectre des marques concernées par le phishing s’est considérablement élargi. Il y a quelques années, un nombre relativement limité de marques était confronté à cette menace, au premier rang desquels on pourra citer PayPal, Apple ainsi que les grandes banques et les principaux services de messagerie. Dorénavant, tous les acteurs de l’écosystème numérique sont concernés : la totalité des banques – et même des banques de dimension régionale – les sites de commerce électronique, les services publics, les réseaux sociaux… Cet élargissement du spectre pose un nouveau défi, car d’une part cela rend la tâche de protection de l’utilisateur plus complexe, et d’autre part cela crée un climat d’insécurité numérique permanent.

D’autre part, on constate que les phishers utilisent des techniques de plus en plus sophistiquées pour contourner les mécanismes de filtrage mis en place pour protéger l’utilisateur. L’une de ces techniques consiste à encoder ou à chiffrer le contenu de la page, pour rendre son analyse par des systèmes automatisés plus complexe et plus coûteuse.

Par exemple, une proportion importante de pages de phishing ont leur contenu encodé en percent encoding : le contenu de la page est alors décodé à la volée en javascript par le navigateur du client par l’intermédiaire de la fonction unescape, ce qui n’affecte en rien l’expérience utilisateur. Le phishing est une menace particulièrement pernicieuse et par conséquent difficile à combattre, qui nécessite une vigilance de tous les instants. A ce titre, il est particulièrement important de continuer à informer et à éduquer les utilisateurs, car la réponse à cette menace ne peut pas être que technologique. En particulier, l’application de quelques règles simples permet de réduire considérablement les risques : l’utilisateur doit d’une part, toujours vérifier l’identité d’un site web dès lors que des informations critiques sont échangées, et d’autre part, s’assurer qu’une communication chiffrée est utilisée.

A noter que les acteurs du monde numérique collaborent pour lutter contre cette menace, avec des projets tels que APWG, Phishing Initiative ou encore isitphishing.org. Ce dernier permet d’ailleurs à l’utilisateur de s’assurer de l’innocuité d’une URL. (par Sébastien Goutal, Responsable du Laboratoire R&D de Vade Retro)

Argent, Arnaque, Banque, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Leak, Paiement en ligne, Particuliers, Piratage

Revenus des pirates

Alors que la campagne d’espionnage hyper sophistiquée Regin continue de faire parler d’elle, le spécialiste en sécurité informatique Kaspersky Lab s’intéresse aux revenus générés par les cyber-attaques de façon générale. Il ressort sans surprise que les activités cyber criminelles sont très lucratives. Selon cet éditeur, DataSecurityBreach.fr rencontre d’autres moyennes de prix (+/- 25% de ceux annoncés par l’éditeur) une page web de phishing imitant un réseau social coûte en moyenne 150$. Si les criminels piègent 100 internautes, ils peuvent gagner 10 000$ en revendant les données personnelles obtenues. Un trojan qui bloque les appareils mobiles coûte plus cher à l’achat et la distribution, en moyenne 1 000$. Mais le retour sur investissement est très intéressant puisque les rançons demandées aux utilisateurs pour débloquer leur appareil mobile sont fixées entre 10$ et 200$. En touchant 100 victimes, le butin peut donc s’élever à 20 000$. Les trojans bancaires sont l’assurance de toucher le jackpot. En dépensant à peu près 3 000$ pour un exploit et une campagne de spams, les gains peuvent atteindre 72 000$ pour 100 victimes (la moyenne des pertes d’un utilisateur est de 722$).

Cyber-attaque, Cybersécurité, Justice, Piratage, Virus

Opération MouseTrap : 15 utilisateurs de RAT arrêtés

Cette semaine, Europol et plusieurs services de police et autorités judiciaires ont mené des actions contre des citoyens européens suspectés d’utiliser des chevaux de Troie (ou RAT) pour réaliser des activités cybercriminelles. Il s’agit principalement d’adolescents et de jeunes adultes. Cette action et les perquisitions associées ont permis l’interpellation ou l’audition d’une quinzaine de suspects dans plusieurs pays Européens.

Les individus interpellés ou interrogés, en Estonie, France, Roumanie, Lettonie, Italie, Norvège, Royaume-Uni, utilisaient de façon frauduleuse ces troyens d’administration à distance pour commettre différents types de délits dont le vol de données personnelles, des attaques en déni de service et des extorsions. Cette opération, pilotée par la France qui réalise six enquêtes dans le cadre de cette opération, prend place dans le cadre d’EMPACT – le plan multi-annuel d’action de l’Union européenne – en collaboration avec le Centre européen de lutte contre la cybercriminalité d’Europol (EC3) et les autorités européennes concernées. EC3 a apporté son soutien à sept pays dans leurs efforts pour identifier les individus utilisant de façon frauduleuse ce type de RATs, en hébergeant deux réunions de coordination, en collationnant le renseignement et en fournissant un appui en analyse criminelle.

 Un objectif important de cette action coordonnée au plan Européen est d’informer le public sur la menace posée par ce type de virus informatiques. Les exemples de ces RATs parmi les plus connus sont Blackshades, Poisonivy et DarkComet. Des actions similaires sont d’ores et déjà programmées au cours de l’année à venir.

Les chevaux de Troie ou troyens d’administration à distance (Remote access trojans – RATs) sont des codes informatiques qui sont utilisés pour espionner l’ordinateur des victimes (pour accéder à des informations personnelles, enregistrer l’activité à l’écran ou encore enregistrer l’image de la caméra ou le son du microphone intégrés ou connectés à l’ordinateur, collecter des mots de passe ou des numéros de cartes bancaires). Ces RATs frauduleux sont distincts des outils légitimes d’administration à distance (remote administration tools) qui sont par exemple souvent utilisés dans les réseaux d’entreprises pour assister les utilisateurs ou installer des logiciels à distance, avec le consentement et la connaissance de l’utilisateur légitime de la machine.

Ils sont souvent utilisés dans la réalisation des formes graves de criminalité organisé pour détourner des informations confidentielles des entreprises ou des réseaux des administrations, mais ils sont utilisés pour cibler des individus pour commettre différentes formes de fraude ou d’atteinte à la vie privée. Parfois, la motivation des délinquants est décrite comme un amusement ou une distraction consistant à s’immiscer dans la vie privée d’inconnus. Dans tous les cas, l’utilisation de ces RATs est une infraction dans la plupart des pays du Monde et en tous cas dans toute l’Europe (infractions d’accès illégal à un système de traitement automatisé de données, collecte illégale de données à caractère personnel ou d’atteintes à la vie privée). A titre d’exemple l’article 323-3-1 du code pénal français punit l’utilisation de ce type de virus informatiques de peines pouvant aller au maximum de 2 ans à 7 ans d’emprisonnement suivant les circonstances.

Android, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, Identité numérique, Leak, Logiciels, Microsoft, Particuliers, Piratage, Propriété Industrielle, Smartphone, Virus

Detekt, le logiciel anti espion

3 commentaires

Amnesty International a diffusé, ce 20 novembre, un outil permettant aux victimes d’espionnage de détecter les manœuvres de surveillance gouvernementales. L’utilisation et le commerce de technologies de surveillance des télécommunications se sont développés de manière exponentielle ces dernières années.

La Coalition contre l’exportation illégale de technologies de surveillance, dont Amnesty International est membre, estime que le commerce mondial des technologies de surveillance représente 4 milliards d’euros par an, et qu’il est en expansion. Detekt propose donc de voir si votre ordinateur, votre smartphone ou votre tablette sont surveillés. Le fonctionnement est assez simple. Plusieurs versions sont téléchargeables sur le site officiel de l’opération resistsurveillance.org. La version PC, par exemple, demande d’être exécutée en mode Administrateur, connexion web coupée. Attention, nous avons remarqué que les PC sous Windows 8.1 se retrouvaient avec un message d’alerte leur indiquant l’impossibilité d’utiliser Detekt.

1 – Télécharger Detekt
2 – Exécuter le logiciel en mode « Administrateur ».
3 – Choisissez la langue (le Français n’est pas présent).
4 – Cliquez sur le bouton « Scan ».
5 – Attendre entre 30 et 45 minutes.
6 – Découvrez si vous avez un espion dans votre machine.

Si un espion est découvert dans votre PC, dites vous qu’il est malheureusement trop tard. Nous ne pouvons que vous conseiller de changer d’ordinateur très rapidement. Ensuite, réfléchissez à comment le piège s’est installé dans votre machine (mail, liens, Facebook, Twitter clé USB, smartphone, baladeur mp3, …). Ne reconnectez plus cette machine au web. Bloquez son wifi/Bluetooth. Analysez les documents contenus dans la machine en question. Qu’est ce que le pirate/espion a pu intercepter, lire, copier, modifier. Alertez vos contacts. Il est préférable à ce niveau de crier au feu que d’attendre que tout le monde soit bruler pour s’inquiéter. N’hésitez surtout jamais à déposer plainte et alerter les autorités compétentes, surtout si vous êtes dans une entreprise.