Alors que la campagne d’espionnage hyper sophistiquée Regin continue de faire parler d’elle, le spécialiste en sécurité informatique Kaspersky Lab s’intéresse aux revenus générés par les cyber-attaques de façon générale. Il ressort sans surprise que les activités cyber criminelles sont très lucratives. Selon cet éditeur, DataSecurityBreach.fr rencontre d’autres moyennes de prix (+/- 25% de ceux annoncés par l’éditeur) une page web de phishing imitant un réseau social coûte en moyenne 150$. Si les criminels piègent 100 internautes, ils peuvent gagner 10 000$ en revendant les données personnelles obtenues. Un trojan qui bloque les appareils mobiles coûte plus cher à l’achat et la distribution, en moyenne 1 000$. Mais le retour sur investissement est très intéressant puisque les rançons demandées aux utilisateurs pour débloquer leur appareil mobile sont fixées entre 10$ et 200$. En touchant 100 victimes, le butin peut donc s’élever à 20 000$. Les trojans bancaires sont l’assurance de toucher le jackpot. En dépensant à peu près 3 000$ pour un exploit et une campagne de spams, les gains peuvent atteindre 72 000$ pour 100 victimes (la moyenne des pertes d’un utilisateur est de 722$).
Archives de catégorie : Cybersécurité
Actualités liées à la CyberSecurité.
Opération MouseTrap : 15 utilisateurs de RAT arrêtés
Cette semaine, Europol et plusieurs services de police et autorités judiciaires ont mené des actions contre des citoyens européens suspectés d’utiliser des chevaux de Troie (ou RAT) pour réaliser des activités cybercriminelles. Il s’agit principalement d’adolescents et de jeunes adultes. Cette action et les perquisitions associées ont permis l’interpellation ou l’audition d’une quinzaine de suspects dans plusieurs pays Européens.
Les individus interpellés ou interrogés, en Estonie, France, Roumanie, Lettonie, Italie, Norvège, Royaume-Uni, utilisaient de façon frauduleuse ces troyens d’administration à distance pour commettre différents types de délits dont le vol de données personnelles, des attaques en déni de service et des extorsions. Cette opération, pilotée par la France qui réalise six enquêtes dans le cadre de cette opération, prend place dans le cadre d’EMPACT – le plan multi-annuel d’action de l’Union européenne – en collaboration avec le Centre européen de lutte contre la cybercriminalité d’Europol (EC3) et les autorités européennes concernées. EC3 a apporté son soutien à sept pays dans leurs efforts pour identifier les individus utilisant de façon frauduleuse ce type de RATs, en hébergeant deux réunions de coordination, en collationnant le renseignement et en fournissant un appui en analyse criminelle.
Un objectif important de cette action coordonnée au plan Européen est d’informer le public sur la menace posée par ce type de virus informatiques. Les exemples de ces RATs parmi les plus connus sont Blackshades, Poisonivy et DarkComet. Des actions similaires sont d’ores et déjà programmées au cours de l’année à venir.
Les chevaux de Troie ou troyens d’administration à distance (Remote access trojans – RATs) sont des codes informatiques qui sont utilisés pour espionner l’ordinateur des victimes (pour accéder à des informations personnelles, enregistrer l’activité à l’écran ou encore enregistrer l’image de la caméra ou le son du microphone intégrés ou connectés à l’ordinateur, collecter des mots de passe ou des numéros de cartes bancaires). Ces RATs frauduleux sont distincts des outils légitimes d’administration à distance (remote administration tools) qui sont par exemple souvent utilisés dans les réseaux d’entreprises pour assister les utilisateurs ou installer des logiciels à distance, avec le consentement et la connaissance de l’utilisateur légitime de la machine.
Ils sont souvent utilisés dans la réalisation des formes graves de criminalité organisé pour détourner des informations confidentielles des entreprises ou des réseaux des administrations, mais ils sont utilisés pour cibler des individus pour commettre différentes formes de fraude ou d’atteinte à la vie privée. Parfois, la motivation des délinquants est décrite comme un amusement ou une distraction consistant à s’immiscer dans la vie privée d’inconnus. Dans tous les cas, l’utilisation de ces RATs est une infraction dans la plupart des pays du Monde et en tous cas dans toute l’Europe (infractions d’accès illégal à un système de traitement automatisé de données, collecte illégale de données à caractère personnel ou d’atteintes à la vie privée). A titre d’exemple l’article 323-3-1 du code pénal français punit l’utilisation de ce type de virus informatiques de peines pouvant aller au maximum de 2 ans à 7 ans d’emprisonnement suivant les circonstances.
Detekt, le logiciel anti espion
Amnesty International a diffusé, ce 20 novembre, un outil permettant aux victimes d’espionnage de détecter les manœuvres de surveillance gouvernementales. L’utilisation et le commerce de technologies de surveillance des télécommunications se sont développés de manière exponentielle ces dernières années.
La Coalition contre l’exportation illégale de technologies de surveillance, dont Amnesty International est membre, estime que le commerce mondial des technologies de surveillance représente 4 milliards d’euros par an, et qu’il est en expansion. Detekt propose donc de voir si votre ordinateur, votre smartphone ou votre tablette sont surveillés. Le fonctionnement est assez simple. Plusieurs versions sont téléchargeables sur le site officiel de l’opération resistsurveillance.org. La version PC, par exemple, demande d’être exécutée en mode Administrateur, connexion web coupée. Attention, nous avons remarqué que les PC sous Windows 8.1 se retrouvaient avec un message d’alerte leur indiquant l’impossibilité d’utiliser Detekt.
1 – Télécharger Detekt
2 – Exécuter le logiciel en mode « Administrateur ».
3 – Choisissez la langue (le Français n’est pas présent).
4 – Cliquez sur le bouton « Scan ».
5 – Attendre entre 30 et 45 minutes.
6 – Découvrez si vous avez un espion dans votre machine.
Si un espion est découvert dans votre PC, dites vous qu’il est malheureusement trop tard. Nous ne pouvons que vous conseiller de changer d’ordinateur très rapidement. Ensuite, réfléchissez à comment le piège s’est installé dans votre machine (mail, liens, Facebook, Twitter clé USB, smartphone, baladeur mp3, …). Ne reconnectez plus cette machine au web. Bloquez son wifi/Bluetooth. Analysez les documents contenus dans la machine en question. Qu’est ce que le pirate/espion a pu intercepter, lire, copier, modifier. Alertez vos contacts. Il est préférable à ce niveau de crier au feu que d’attendre que tout le monde soit bruler pour s’inquiéter. N’hésitez surtout jamais à déposer plainte et alerter les autorités compétentes, surtout si vous êtes dans une entreprise.
Facebook sécurise WhatsApp à coup de chiffrement
L’outil de conversation WhatsApp chiffre dorénavant les messages diffusés par ses utilisateurs. Voilà une nouvelle qui a de quoi étonner. Non pas que Facebook soit considéré comme un pirate, mais plutôt comme un aspirateur de données.
WhatsApp, la messagerie rachetée par Facebook se lance dans la grande aventure du chiffrement qui transitent par ses bits. Facebook vient d’annoncer un chiffrement de bout-en-bout, comprenez que même Facebook ne possède pas les clés de lecture. Whisper Systems, développeur de TextSecure, considéré comme étant l’application de messagerie la plus sécurisée du moment, a aidé à la mise en place de cette protection qui doit permettre aux internautes de chiffrer leurs messages. Bilan, la derniére mise à jour de WhatsApp pour Android transporte cette sécurité. Les 600 millions d’utilisateurs de WhatsApp vont donc apprécier cette attention. Attention, elle ne chiffre que les messages textes.
TextSecure est une application de messagerie qui vous permet de vous réapproprier votre vie privée tout en communiquant facilement avec vos amis. Avec TextSecure, vous pouvez communiquer instantanément tout en évitant les frais de SMS, créer des groupes pour discuter en temps réel avec tous vos amis à la fois, et partager des pièces jointes, photos ou autres en toute confidentialité. Le serveur n’a jamais accès à vos communications et n’enregistre aucune donnée vous concernant. (The Verge)
Protéger votre wp-config.php de votre WordPress
Adrien Thierry, Gérant-Fondateur de la société française SERAUM vient d’éditer une petite option intéressante pour les utilisateurs de WordPress.
L’idée de l’application wp-obfuscator est de permettre de cacher un fichier sensible, le wp-config.php. L’application obfusque le contenu du document dédié à votre WordPress. Un fichier, malheureusement en texte clair. Dans les mains d’un malveillant, ce fichier pourrait permettre au pirate de récupérer suffisamment d’informations pour atteindre votre base de données. « Avec ce plugin, souligne à DataSecurityBreach.fr Adrien Thierry, en un clic, le wp-config.php est illisible, et le site toujours fonctionnel ». Ce nouveau plugin est hébergé sur le site de wordpress. Vous pouvez aussi installer directement cette option en vous rendant dans l’ongle Extension et chercheur dans le moteur de recherche dédié obfuscator d’Adrien Thierry.
Faille Windows Phone 8.1
Une faille considérée comme sérieuse découverte dans le plus jeune des OS de Microsoft, Windows Phone 8.1. Bilan, les données d’un téléphone portable sous cet OS pourraient finir entre de mauvaises mains.
Un internaute, du nom de DJAmol, vient d’annoncer sur le forum XSA Developers la découverte d’une faille dans le plus récent des OS de Microsoft. D’après ce chercheur, une vulnérabilité sérieuse a été mise à jour dans Windows Phone 8.1. Bilan, le système d’exploitation de la firme de Redmond serait très facile à pirater. La vulnérabilité pourrait permettre à un malveillant d’exécuter l’application avec les privilèges d’un autre utilisateur et modifier à souhait le registre de l’appareil.
DJAmol s’est rendu compte qu’en changeant simplement le contenu d’une application OEM, application de confiance transférée vers la carte SD du téléphone, l’application hérite des privilèges de l’application d’origine. Une fois la copie effectuée, un pirate pourrait alors supprimer le répertoire existant et créer un nouveau répertoire avec le même nom original de l’App de base. La vulnérabilité a été annoncée à Microsoft. (XDAD)
Une nouvelle histoire de hack du PSN de Sony ?
Un chercheur autrichien affirme qu’une nouvelle faille, grave, dans le PSN permet de mettre la main sur les données des utilisateurs des consoles de Sony.
Souvenez-vous, en 2011, des « Anonymous » annonçaient et diffusaient sur la toile, des informations concernant le piratage du Playstation Network. A l’époque, une faille iSQL (SQLi) avait permis de mettre la main sur la base de données des joueurs inscrits, 77 millions de personnes dans le monde. Sony avait été obligé de fermer son espace durant de longue journée, perdant au passage, plus de 100 millions de dollars. L’été dernier, un autre groupe s’attaquait à grands coups de DDoS au PSN pour des raisons futiles.
Trois ans plus tard, nouvelle possibilité d’injection SQL ? C’est du moins ce qu’affirme Aria Akhavan, bidouilleur de 20 ans. Il a expliqué au journal EH que la faille n’ayant pas encore été corrigée, il ne pouvait en dire plus. Espérons que son message a été entendu par Sony. C’est l’espace assistance de Sony qui serait vulnérable. Rappelons que Sony avait annoncé du chiffrement pour sécuriser les données de ses clients après les attaques de 2011. (Golem)
Une faille corrigée dans Windows, problème pour Drupal et Yosemite
Depuis 19 ans, une faille présente dans Windows n’avait jamais été corrigée. Voilà qui est dorénavant de l’histoire ancienne.
Imaginez, un bug informatique connu et présent dans Windows depuis 19 ans. Depuis Windows 95, cette « faille » permettait dans certaines mesures difficiles (mais pas impossibles, ndlr zataz.com) de prendre la main sur un ordinateur. Une attaque possible à distance. Baptisée par les ingénieurs sécurité de chez IBM, inventeurs de la faille, WinShock, l’exploit permettait d’infiltrer un ordinateur sous Windows (95, 98, 2003, 2008, Vista, 7, 8) à distance. Il suffisait de mettre en place un site Internet particulièrement fabriqué (XSS, …) pour déclencher l’attaque via Internet Explorer. Microsoft a corrigé la faille… sauf pour Windows XP dont le support n’existe plus. « Les utilisateurs qui ont paramétré leur Windows de telle manière à recevoir automatiquement les mises à jour, ne doivent rien faire de particulier. Ils seront protégés » explique le service presse de Microsoft.
Pour novembre, Microsoft a publié un Patch Tuesday conséquent, avec 17 bulletins dont 5 concernent l’exécution de codes à distance (RCE), un type de vulnérabilité dont les pirates sont particulièrement friands. À ce jour, avec ces 17 bulletins, Microsoft en aura diffusé 79 en tout pour 2014. Nous finirons donc l’année sous la barre des 100 bulletins de sécurité, soit un peu moins qu’en 2013 et 2011 et à peu près autant qu’en 2012.
Pendant ce temps…
Une grave et importante faille a été découverte dans Drupal. La communauté Drupal, et son logiciel Open Source gratuit pour créer et administrer des sites Web, annonçait l’existence d’une vulnérabilité dans la couche d’API d’abstraction de base de données de Drupal 7. Cette vulnérabilité (CVE associé : CVE-2014-3704) permet à un pirate d’envoyer des requêtes personnalisées qui rendent arbitraire l’exécution de SQL. Selon le contenu des requêtes, ceci peut entraîner une élévation des privilèges, une exécution arbitraire de PHP ou d’autres attaques. Ce que nous savons La vulnérabilité affecte toutes les principales versions 7.x de Drupal antérieures à la 7.32. Survenue au moment de l’annonce de POODLE, cette vulnérabilité a été un peu occultée, même si elle est directement exploitable et similaire à Heartbleed.
Depuis le 15 octobre 2014, les exploits automatisés ciblant cette vulnérabilité spécifique ont semé le chaos sur Internet. L’équipe chargée de la sécurité Drupal conseille aux administrateurs de sites Web fonctionnant sous Drupal 7.x de considérer comme compromis les sites qui n’ont pas été mis à jour ou patchés avant le 15 octobre 2014, ou bien 7 heures après la première annonce de la vulnérabilité. Corriger ou mettre à niveau un site Web compromis ne suffira pas pour supprimer les portes dérobées et autres chevaux de Troie qui auraient pu être installés.
La société Qualys propose une vérification de cette vulnérabilité via son logiciel Qualys Freescan, accessible depuis son site Internet dédié.
Du côté d’Apple, une faille a été détectée dans la dernière version de l’OS de la grosse pomme, Mac OS X Yosemite. Le problème a été révélée par la société suédoise Truesec. Baptisée ‘RootPipe’, la faille pourrait permettre à un pirate, en local, de prendre la main sur l’ordinateur en mode administrateur. Un mode qui permet de faire tout et n’importe quoi dans la machine. Emil Kvarnhammar, l’inventeur de la probable faille n’a pas donné plus d’information. Il attend qu’Apple corrige. Un mot de passe sudo, il permet d’avoir des privilèges temporaires de super utilisateur, est demandé afin q’un administrateur puisse agir sur une machine sans pour autant être le Kalif à la place du Kalif. La faille RootPipe contournerait cette restriction sous Mac OS X Yosemite, mais aussi sous Mountain Lion et Mavericks.
Cyber sécurité et protection des données personnelles : en avant marche !
Deux jambes qui se doivent d’être coordonnées. Telles sont, d’un côté, la « cyber sécurité », et de l’autre la « protection des données personnelles ». Car si la liste des entreprises victimes de cyberattaques continue de s’allonger – Ebay, Orange et Domino’s Pizza ne sont qu’un échantillon des cibles atteintes en 2014 – il est évident que les moyens de lutte à privilégier doivent être aussi efficaces que respectueux, dans leur mise en œuvre, des règles en matière de protection des informations privées. Délicat équilibre.
Les autorités européennes ont déjà fait d’importants progrès en matière de cybercriminalité. Une directive relative aux attaques contre les systèmes d’information a ainsi été adoptée en 2013, alors que des textes sur la protection du secret d’affaire, ainsi que sur l’identification électronique et les services de confiance pour les transactions électroniques ont été proposés au Parlement européen. Dernier en date : la directive sur la protection des systèmes d’information (NIS) – que la loi de programmation militaire française avait largement anticipée – a été adoptée en mars 2014. Les « opérateurs d’importance vitale » (IOV) se voient notamment imposer quelques obligations en matière de prévention et de notification des « incidents ».
Les solutions qui permettent de répondre de la manière la plus efficace possible à ces nouvelles obligations existent aussi. Certaines permettent ainsi de valider en quelques heures seulement la véracité d’un incident, d’identifier son origine, le chemin emprunté, l’agresseur et d’évaluer son impact… sachant qu’aujourd’hui le délai moyen actuel de découverte et d’identification d’une attaque se compte plutôt en semaines ou en mois ! Enfin, Bruxelles avance aussi sur la question des données personnelles – les discussions sur la directive dédiée devraient ainsi aboutir en 2015.
Reste que la coordination entre les deux jambes pourrait être améliorée. Le fait par exemple qu’il faille encourager le chiffrage des données pour sécuriser les informations personnelles, comme le recommande l’Agence Européenne de Cybersécurité ENISA, est incontestable. Mais les flux chiffrés sont aussi des voies d’accès privilégiées… pour les pirates. Quelles sont alors les conditions que les entreprises et organisations doivent respecter pour utiliser des outils de déchiffrage tout en respectant les impératifs en matière de protection des données personnelles ? A ce jour, aucun texte public – loi, règlement ou simple communication des autorités – ne répond clairement à la question. Rien non plus sur les règles internes à mettre en place pour utiliser des solutions d’enregistrement des données – qui permettent de « rembobiner le film » en cas d’attaque et donc d’identifier rapidement l’agresseur- tout en respectant les impératifs de protection des informations des individus. Résultat : certaines entreprises et organisations hésitent à se protéger…
Clarifier les conditions de mise en œuvre des solutions efficaces en matière de cybersécurité. Telle pourrait être une des priorités des nouvelles instances européennes. Pour faire de plus grands pas.(Par Dominique Loiselet, Directeur Général France Blue Coat)
Le paradoxe de la sécurité
Les salariés adoptent des pratiques à risques, alors qu’ils s’estiment sensibilisés sur la sécurisation des données.
Près de 3/4 des actifs interrogés se considèrent bien sensibilisés à la protection des données professionnelles, pourtant une majorité d’entre eux ont toujours des pratiques risquées. Les techniques de protection sophistiquées (changement de mot de passe régulier, système de cryptage des données) ne concernent qu’une moitié des actifs interrogés équipés d’un appareil mobile et seulement 30% disposent de ce type de protection sur l’ensemble de ces appareils fournis par leur entreprise. Le partage de fichiers en ligne via un service de cloud n’est pas jugé dangereux par la majorité des répondants (54%). Bien que les mots de passe soient imposés dans la majorité des entreprises (9/10), on observe de grandes disparités quant à leur élaboration et leur mise à jour, 63% laissent leur ordinateur allumé lorsqu’ils quittent le bureau en fin de journée ou ne le verrouillent pas en quittant leur poste.
De nombreuses études confirment l’influence des appareils mobiles sur le rétrécissement des frontières entre les sphères professionnelles et personnelles. Mais qu’en est-il de leur impact sur la sécurité des données des entreprises ? Les salariés sont-ils suffisamment sensibilisés sur les risques inhérents à ces nouveaux usages et mettent-ils en pratique les règles de sécurité ? Hiscox, en collaboration avec l’institut IFOP, s’est penché sur le sujet et les résultats de cette étude illustrent un important décalage entre le sentiment de connaître les consignes de sécurité et des pratiques à risques largement répandues dans les entreprises.
Des pratiques jugées sans risque par les salariés, mais qui exposent la sécurité de l’entreprise
72% des actifs interrogés se considèrent bien sensibilisés quant à la nécessité de protéger les données professionnelles. Ces actifs sont pourtant les mêmes à adopter des pratiques qui peuvent s’avérer dangereuses pour les données de l’entreprise. Les salariés équipés d’au moins un appareil mobile professionnel sont les plus concernés par ces pratiques risquées puisqu’ils sont 77% à déclarer transporter des fichiers professionnels sur une clé USB ou un disque dur externe (contre 63% pour l’ensemble du panel) et la moitié (53%) partage des fichiers en ligne via un service de cloud (contre 39% pour l’ensemble du panel).
Ces usages ne sont pourtant pas jugés risqués par les répondants : en effet, 54% estiment que le partage de fichiers via le cloud n’a pas d’incidence sur la sécurité et 57% ne voient aucun danger à transporter des données professionnelles sur une clé USB. De même, 63% des actifs laissent leur ordinateur allumé lorsqu’ils quittent le bureau ou ne le verrouillent pas en quittant leur poste. Moins de la moitié seulement perçoit cette pratique comme potentiellement imprudente.
Les petites entreprises plus vulnérables… Et friandes de solutions mobiles
Les salariés des petites entreprises (0 à 49 employés) font partie des publics qui identifient le moins ces pratiques comme pouvant mettre en péril la sécurité des données des entreprises. Des attitudes pourtant risquées quand on sait que les travailleurs « mobiles » et les salariés des très petites entreprises (moins de 10 salariés) sont également ceux disposant de la plus grande latitude en termes d’achats et d’opérations bancaires impliquant l’entreprise. 65% des employés travaillant dans des structures de moins de 10 salariés sont en effet amenés à effectuer des achats en ligne à titre professionnel contre 46% pour l’ensemble des actifs interrogés.
L’utilisation des appareils professionnels dans la sphère personnelle est un autre vecteur de menace pour la sécurité des données des entreprises. Les salariés des petites structures (moins de 10 employés) sont les mieux équipés en appareils mobiles. Ils font aussi partie de ceux qui utilisent le plus leur matériel professionnel à titre personnel. 82% des salariés de ces entreprises se connectent à Internet au moins une fois par semaine pour des raisons personnelles à partir de leur appareil professionnel (contre 72% de l’ensemble des actifs).
Des usages qui pèsent d’autant plus sur la sécurité de ces entreprises qu’elles ne disposent pas de services informatiques ou de services généraux pour assurer le contrôle et la gestion des appareils mobiles.
Des disparités dans la mise en place des techniques de sécurisation
Pour se prémunir des risques auxquels elles sont exposées et assurer la protection de leurs ordinateurs fixes, 9 entreprises sur 10 s’appuient sur la mise en place d’un mot de passe. Cependant, la fréquence de mise à jour exigée n’est pas la même partout. Seuls 18% des actifs doivent changer leur mot de passe tous les mois quand 34% déclarent devoir le changer moins de 2 fois par an. Une disparité également observée dans son élaboration : 62% des entreprises imposent un nombre minimum de caractères, 56% demandent à leurs salariés de choisir un mot de passe incluant des chiffres et des caractères spéciaux et 57% interdisent de réutiliser un ancien mot de passe. De manière globale, 70% des entreprises imposent au moins une règle à leurs salariés pour le choix du mot de passe mais cette proportion chute à 51% dans les structures de moins de 10 salariés.
Parmi les autres techniques, 35% des actifs interrogés déclarent disposer d’outils de cryptage des données mais 22% ne savent pas s’ils peuvent bénéficier de cette technique dans leur entreprise. De même, si les accès au réseau sont contrôlés dans 61% des entreprises, 16% des actifs ne connaissent pas la politique utilisée par leur entreprise dans ce domaine.
Sur les appareils mobiles, le mot de passe est également le mode de protection le plus répandu. Il concerne en effet 81% des actifs disposant d’appareils mobiles. Les techniques plus sophistiquées (changement de mot de passe tous les 3 mois, système de contrôle d’accès renforcé de type Token, données cryptées non accessibles) ne concernent qu’une moitié des actifs interrogés équipés d’un appareil mobile et seulement 30% disposent de ce type de protection sur l’ensemble des appareils que leur fournit leur entreprise.
Au delà de revoir leur méthode de sensibilisation des salariés aux risques informatiques, les entreprises doivent également faire évoluer leurs dispositifs techniques de sécurité pour les adapter aux nouveaux usages.
« L’explosion des appareils et solutions mobiles dans les entreprises soulève plus que jamais des problématiques de sécurité importantes. La mesure préventive la moins onéreuse consiste à sensibiliser le personnel à l’importance de la sécurité des données. Les connaissances en la matière sont souvent limitées, surtout dans les petites entreprises, et le recours à un expert pour en expliquer les bases peut représenter l’un des meilleurs investissements d’une entreprise » conseille François Brisson, Responsable marché Technologie-Média-Télécom chez Hiscox. « Néanmoins en cas de problème, les sociétés doivent disposer d’un plan de réaction rapide afin de limiter les dommages et de prouver qu’elles prennent toutes les mesures nécessaires. Dans ce cadre, elles sontparfois amenées à faire appel à des spécialistes en gestion de crise, voire à des conseillers en relations publiques. Notre assurance Data Risks permet de couvrir ces coûts et de réduire les conséquences d’une violation de données ».