Archives de catégorie : Chiffrement

Android, Chiffrement, Cyber-attaque, Cybersécurité, double authentification, ios, Piratage, Sécurité, Smartphone, Téléphonie, Windows phone

Télécoms contre cybercriminalité

Télécoms contre cybercriminalité : perte de 300 milliards de dollars US à l’échelle mondiale en 2016

Telecoms IQ a récemment interrogé André Spantell, gestionnaire des fraudes chez Telia Company, l’une des plus grandes entreprises de télécommunications de Scandinavie, au sujet de la menace que la cybercriminalité pourrait poser à un secteur qui n’est pas prêt à faire face à ces attaques.

André souligne que les méthodes traditionnelles de lutte contre la cybercriminalité ne suffisent plus pour faire face aux nouvelles menaces dans le domaine des télécommunications. Le nouveau paysage de la cybercriminalité n’inclut plus seulement les criminels qui ciblent les revenus ; les opérateurs de télécommunications pourraient faire face à des menaces d’autres acteurs tels que des militants et des États-nations cherchant à obtenir plus d’informations.

André explique ensuite comment le contrecoup d’une attaque n’affecte pas seulement les revenus, mais peut être délétère pour votre image de marque et votre crédibilité sur le marché. « Une mauvaise réputation se traduit par une perte potentielle de millions de dollars et dun grand nombre de clients. »

André souligne que la facilité d’utilisation pour contrecarrer les cyberattaques n’est pas en tête des priorités et que cela peut empêcher certains clients d’adopter certains comportements. Il pense qu’une formation de base devrait être offerte, non seulement aux employés, mais également aux clients afin de les informer eux aussi et de les tenir continuellement au fait des comportements à adopter en ligne afin de protéger leurs données personnelles et sensibles telles que leurs mots de passe, etc.

« Je crois que si tout le monde sinvestissait davantage dans la protection des données sensibles, cela réduirait une partie de la « rentabilité«  pour les fraudeurs tout en amorçant la riposte. Par exemple, si nous commencions à utiliser des systèmes dauthentification à deux facteurs, il serait beaucoup plus difficile pour les criminels daccéder à nos outils, à nos services et à nos téléphones, quels quils soient. »

Android, Chiffrement, cryptage, Cybersécurité, Mise à jour, Sécurité, Smartphone, Social engineering, Téléphonie

En 2016, les ransomwares sous Android ont augmenté de plus de 50%

Sur l’ensemble des logiciels malveillants détectés en 2016, la catégorie des ransomwares a augmenté de plus de 50% par rapport à 2015, le plus fort taux de menaces enregistré.

Ransomwares et compagnie ! Au total, il a constaté une augmentation de près de 20% des logiciels malveillants (tous confondus) sous Android en un an. Sur cette plateforme, les ransomwares sont ceux qui se sont le plus développés. Selon le FBI (1), cette menace aurait rapporté jusqu’à 1 milliard de dollars aux cybercriminels l’année dernière. Avec une forte augmentation au cours du premier semestre 2016, « Nous pensons que cette menace ne disparaîtra pas de sitôt« , déclare Juraj MALCHO, Chief Technology Officer chez ESET.

Au cours des 12 derniers mois, les cybercriminels ont reproduit des techniques identiques à celles utilisées pour la conception de malwares infectant des ordinateurs, afin de concevoir leurs propres logiciels malveillants sur Android : écran de verrouillage, crypto-ransomwares… Ainsi, ils ont réussi à développer des méthodes sophistiquées permettant de cibler uniquement les utilisateurs des différentes versions de cette plateforme.

En plus d’utiliser des techniques d’intimidation comme le « Police ransomware (2) », les cybercriminels chiffrent et cachent la charge utile malveillante sous l’application compromise, afin de rendre sa présence indétectable.

D’après les observations d’ESET, les ransomwares sous Android se concentraient sur l’Europe de l’EST puis sur les États-Unis en 2015, avant de migrer vers le continent asiatique en 2016. « Ces résultats montrent la vitesse de propagation de cette menace, active à l’échelle mondiale », ajoute Juraj MALCHO.

(1) http://money.cnn.com/2016/04/15/technology/ransomware-cyber-security/index.html

(2) Police ransomware : fraude en ligne utilisée pour extorquer de l’argent. Le logiciel malveillant affiche un message demandant le paiement d’une somme d’argent afin de récupérer l’accès à sa machine. Pour intimider l’utilisateur, le message prétexte un comportement illégal de la part de l’utilisateur et utilise des symboles de l’autorité nationale pour contraindre la victime à effectuer le paiement.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Mise à jour, RFID

Label Objets Digital Security

Le groupe Econocom va lancer se trimestre un label dédié à la sécurité des objets connectés. Mission annoncée, permettre une identification fiable et objective du niveau de sécurité des solutions connectées.

Digital Security, filiale de la société Econocom, va lancer d’ici la fin mars 2017 son label dédié aux objets connectés. Baptisé IoT Qualified Security, le but annoncé de cette norme privée est de permettre aux acteurs du marché des objets connectés de posséder une identification reconnue sur la sécurité de leurs produits. Pour être très honnêtes avec vous, je n’en sais pas beaucoup plus. Impossible d’avoir plus de détails par le service communication d’Econocom contacté plusieurs fois, mais à première vue, problème de connexion !

En attendant, le projet a tout pour plaire. Il faut dire aussi que d’ici 3 ans, la planète sera équipé de plus de 25 milliards d’objects connectés. Un marché de plusieurs milliards de dollars. Autant dire que ne pas protéger cette masse de caméras, cafetières, montres, panneaux d’affichages urbains… risque de rendre l’ambiance numérique du XXIème particulièrement chaotique. Les attaques DDoS, bloquer un site, un serveur, … à coups de connexions pirates via des objets connectés infiltrés sont devenues légions. Face à ce genre d’attaques, une armée doit pouvoir y répondre.

Ce genre de label en fait parti, en plus de l’éducation des utilisateurs. « La multiplicité des socles technologiques, l’émergence de nouveaux protocoles de transport, les contraintes de consommation d’énergie et les délais très courts de mise sur le marché sont autant de facteurs qui nécessitent la création d’un référentiel de sécurité pour les acteurs de la filière de l’Internet des Objets. » indique Cédric Messeguer, Directeur général de Digital Security.

IoT Qualified Security doit permettre aux futurs acquéreurs (entreprises et particuliers) d’être capable d’identifier le degré de sécurité d’une solution connectée selon un indicateur fiable, neutre et indépendant. Ce label n’est pas contrôlé par n’importe qui. Derrière cette idée, le CERT-UBIK, première mondiale (et Française, NDR), spécialisé des sujets de la sécurité de l’IoT. L’un des fondateurs de ce CERT, « maestro » Renaud Lifchitz, expert français du sans fil/sans contact.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Phishing, Piratage, Social engineering, Vie privée

Forte augmentation des faux comptes sur les réseaux sociaux

Rapport trimestriel sur les menaces cyber : le Quarterly Threat Summary pour le dernier trimestre 2016. On y retrouve l’analyse des tendances en matière de menaces emails, mobiles et sur les réseaux sociaux. Il permet également de visualiser de manière globale les changements importants apparus en 2016 dans le paysage des menaces.

Les attaques de phishing sur les médias sociaux ont augmenté de 500% entre début 2016 et fin 2016. Parmi ces attaques on retrouve le « angler phishing » par le biais duquel les pirates interceptent les données personnelles des utilisateurs en détournant les services client. Au quatrième trimestre, le « angler phishing » est apparu le plus fréquemment dans les domaines des services financiers et des divertissements.

Les comptes frauduleux sur les réseaux sociaux ont augmenté de 100% du troisième au quatrième trimestre 2016. Ces comptes frauduleux ont été utilisés entre autres pour du phishing, du spam, de la distribution de malwares. À cette fin, les chercheurs de Proofpoint ont observé une augmentation de 20% du contenu de type spam sur Facebook et Twitter de trimestre en trimestre.

4500 applications mobiles associées aux Jeux olympiques d’été de Rio et à ses sponsors étaient jugées risquées ou malveillantes. Les menaces à la fois sur mobile et réseaux sociaux profitent fréquemment des événements majeurs et phénomènes populaires ; Les applications à risques qui peuvent potentiellement diffuser des données volées sont monnaie courante sur les deux plates-formes mobiles majeures.

Le nombre de nouvelles variantes de ransomwares a été multiplié par 30 par rapport au quatrième trimestre 2015. Une grande majorité de ces variantes est lié à Locky, mais leur nombre continue de croître rapidement. Cerber, CryptXXX et d’autres étaient également importants, distribués à la fois par e-mail et par exploit kit.

L’arnaque au faux président chutait à 28% en décembre alors que son son pic le plus important était de 39% en août. En parallèle, l’adoption à DMARC a augmenté de 33% lors du troisième trimestre 2016. Les entreprises sont de plus en plus agressives dans leur gestion des attaques BEC (Business Email Compromise), tout comme les auteurs de ces attaques qui adaptent leur méthode, en employant des techniques toujours plus efficaces. À la fin du dernier trimestre, il est clair que les acteurs de BEC s’étaient aperçus que les emails de spoofing envoyés au Directeur Financier par l’adresse mail du PDG étaient moins efficaces que ces mêmes messages adressés aux employés. Le rapport de ProofPoint est accessible ici.

Base de données, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, Logiciels, Mise à jour, Patch, Piratage, Social engineering

Le business du chiffrement des données des entreprises

Publication d’un livre blanc sur la rentabilité de l’activité de chiffrement des données des entreprises par les cybercriminels.

Le ransomware, cybermenace la plus prolifique du moment, se propage au sein des entreprises via les réseaux de partage de fichiers, les pièces jointes, les liens malveillants ou encore les sites Internet compromis autorisant les téléchargements directs. Le premier trimestre 2016 a enregistré une croissance de 3 500% du nombre de domaines utilisés pour la diffusion de ransomwares, établissant au passage un nouveau record.

Principaux pays touchés par des ransomwares, sous Windows au premier semestre 2016

Les ransomwares ont généré plusieurs centaines de millions de d’euros de gains au moyen d’actes d’extorsion explique BitDefender. Au cours du premier semestre 2016, c’est aux États-Unis que le plus grand nombre d’attaques de ransomwares ont été recensées, avec 19,09% de l’ensemble des attaques de ransomwares déclarées dans le monde.

Le Royaume-Uni est arrivé en deuxième position, avec 11,89%, soit seulement 2,26 points de plus que l’Allemagne (9,63%), laquelle figurait à la troisième place de notre classement des pays les plus touchés par des attaques de ransomwares.

Principales familles de ransomwares sous Windows en France, premier semestre 2016

Teslacrypt arrive en tête avec 9,38% de l’ensemble des attaques de ransomwares déclarées, Locky se classe en seconde position avec 7,48% et Cryptolocker se hisse à la troisième place, avec 5,66%. Les écarts minimes qui séparent la France des Etats-Unis, de l’Allemagne et du Royaume-Uni semblent indiquer que les cybercriminels ont utilisé une large palette de techniques pour infecter leurs victimes. Si d’autres pays ont été plus particulièrement visés par des infections de ransomwares spécifiques, il semblerait qu’en France, les cybercriminels aient recouru à tout l’arsenal de techniques possibles pour diffuser des ransomwares…

Quelques actions utiles pour se protéger contre les ransomwares en milieu professionnel

– Sauvegarder régulièrement les données et contrôler l’intégrité de ces sauvegardes. Les sauvegardes sont essentielles en cas d’incidents liés à des ransomwares ; en cas d’infection, elles peuvent constituer le meilleur moyen de récupérer les données critiques.

– Sécuriser ses sauvegardes. Veiller à ce que les sauvegardes ne soient pas connectées aux ordinateurs et aux réseaux qu’elles sauvegardent. Faire des sauvegardes dans le Cloud ou les stocker sur un support physique hors ligne. Il convient de noter que certains ransomwares ont la capacité de verrouiller les sauvegardes basées dans le Cloud lorsque les systèmes réalisent en continu des sauvegardes en temps réel, une action également connue sous le nom de « synchronisation continue ».

– Examiner avec attention les liens contenus dans les e-mails et ne jamais ouvrir les documents joints à des e-mails non sollicités.

– Ne jamais télécharger des logiciels (en particulier gratuits) à partir de sites inconnus. Quand cela est possible, vérifier l’intégrité du logiciel au moyen d’une signature numérique, avant son exécution.

– Veiller à ce que les correctifs d’applications pour ses systèmes d’exploitation, logiciels et firmwares soient à jour, y compris Adobe Flash, Java, les navigateurs Web, etc.

– Veiller à ce que la solution antimalware soit paramétrée pour se mettre à jour automatiquement et pour effectuer des analyses régulièrement.

– Désactiver les scripts de macro des fichiers transmis par e-mail. Envisager d’utiliser le logiciel Office Viewer pour ouvrir les fichiers Microsoft Office transmis par e-mail plutôt que d’utiliser l’ensemble des applications de la suite Office.

– Mettre en place des restrictions logicielles ou d’autres contrôles afin d’empêcher l’exécution de programmes dans des emplacements couramment utilisés par les ransomwares, tels que les dossiers temporaires utilisés par les principaux navigateurs Internet ou les programmes de compression/décompression, y compris ceux qui se trouvent dans le dossier AppData/LocalAppData.

*Source : Bitdefender Labs. Auteurs : Liviu Arsene, et Răzvan Mureșan, Spécialistes Sécurité.

**Le livre blanc

Android, Chiffrement, cryptage, Cybersécurité, ios, Logiciels, Sécurité, Smartphone, Tor

Protonmail permet de passer par TOR pour sécuriser ses correspondances

Le service de courriel sécurisé, ProtonMail, propose son service en passant par une adresse utilisant les nœuds TOR pour sécuriser encore plus les correspondances de ses utilisateurs.

Le service de messagerie chiffrée, ProtonMail, vient d’annoncer le lancement de son service via TOR et l’anonymisation que peut procurer le système TOR et .Onon. L’idée, aider à lutter contre la censure et l surveillance des gouvernements totalitaires. Les développeurs de Protonmail soulignent sur leur blog que l’utilisation de Tor a plusieurs avantages, y compris des couches supplémentaires de chiffrement pour les communications, la protection de l’adresse IP réelle de l’utilisateur, et la possibilité de contourner les mécanismes de censure.

En revanche, l’accès au service aura un impact négatif sur la performance. Attention, le site caché est encore expérimental. Il n’est dont pas aussi fiable que le site « régulier ». Le service passant par TOR peut-être utilisé via l’adresse protonirockerxow.onion.

Il ne peut être utilisé que par le navigateur TOR. Il est uniquement accessible via HTTPS et il utilise un certificat de Digicert, la même société qui a également émis un certificat SSL pour l' »oignon » de Facebook. Des instructions détaillées sur la façon d’accéder au service sur Tor ont été mis à disposition par ProtonMail. Lancé officiellement en 2014, ProtonMail est accessible au public depuis Mars 2016. Le service est accessible via un navigateur Web, ou les applications mobiles iOS et Android.

Protonmail est actuellement le plus grand service de courrier électronique chiffré avec plus de 2 millions d’utilisateurs. Il utilise le système de chiffrement de PGP toujours considéré comme inviolable à ce jour.

Base de données, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, Logiciels, Piratage, ransomware, Social engineering

Les écoles bordelaises attaquées par un code malveillant

La moitié des écoles de Bordeaux victimes d’un étrange code malveillant.

Voilà qui est fâcheux ! Qui a cliqué sur le fichier joint qui a mis à mal l’informatique de quasiment la moitié des écoles de Bordeaux.  Une attaque « sans précédent » indique l’adjointe au maire en charge de l’éducation, Emmanuelle Cuny, dans les colonnes de Sud Ouest. A première vue, un ransomware qui s’est promené de machine en machine dans au moins 40 écoles sur les 101 du périmètres de la ville bordelaise.

Les données pédagogiques pourraient être perdues suite à cette infection selon le quotidien r. Espérons que le mot sauvegarde soit dans la bouche et le cahier des charges de la municipalité concernant les écoles maternelles et primaires de la ville.

A noter que l’Académie de Bordeaux a un contrat avec l’éditeur d’antivirus TrendMicro. Ce dernier  propose Internet Security dans « toutes les écoles du 1er degré, publiques et privées« . A première vue, tout le monde ne l’a pas installé. Une bonne formation ne fera pas de mal non plus !

Le site ZATAZ indiquait il y a peu des chantages informatiques ayant visé des écoles britanniques. Un pirate réclamait plus de 9000 euros à plusieurs établissements scolaires après avoir chiffré les données sauvegardées dans les ordinateurs des écoles.

Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, Particuliers, Sauvegarde, Social engineering

Fuite de données sensibles concernant des juges

Un document papier retraçant les identités, les adresses et les numéros de téléphones de dizaines de juges découvert… par terre !

Le moins que l’on puisse dire est que les fuites de données peuvent prendre toutes les formes possibles et imaginables. 126 juges canadiens viennent de découvrir les joies du document ulta sécurisé, tellement qu’il n’existe qu’en version papier… mais qui se retrouve au sol, sur une place de parking. Un dossier comprenant les identités, les adresses postales privées, les numéros de téléphones de juges. Une tête en l’air l’a oublié ? la fait tomber ?

Comme l’indique nos cousins de « La Presse« , une copie a été retrouvée sur la place de stationnement d’un commerce des Laurentides. Un document qui n’existerait pas en mode numérique [ils l’ont tapé avec une vieille machine à écrire ?, NDR], sur aucun serveur et qu’il « est interdit de transmettre par voie électronique » [donc en numérique !, NDR].

Plus étonnant, cette liste, en plus des données professionnelles, comporte aussi les données privées, dont les identités des conjoints. Vue l’ambiance locale entre les nombreuses affaires de corruptions, de détournement d’argent, une telle liste pourrait être particulièrement préjudiciable pour le pays et ces hommes de loi.

Arnaque, Base de données, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Espionnae, Fuite de données, ID, Identité numérique, Leak, Mise à jour, Particuliers, Patch, Piratage, Social engineering, Vie privée

Nouveau piratage Yahoo : Des Français concernés

Un nouveau piratage informatique de Yahoo! vient d’être confirmé par le géant de l’Internet Américain. Cette fois, 1 milliard de données clients sont concernées. Des Francophones sont visées par cette fuite de données massive.

Depuis quelques heures, Yahoo!, partout dans le monde, écrit aux clients de ses services (mails, …) concernés par une nouvelle fuite de données concernée par un nouveau piratage de données. Comme le confirmait ZATAZ.COM depuis le mois d’août 2016, les attaques et fuites d’informations sensibles appartenant au géant américain ne font que commencer tant les failles et « tuyaux percées » étaient nombreux.

En novembre 2016, les autorités policières ont fourni à Yahoo des fichiers de données qu’un tiers déclarait être des données d’utilisateurs Yahoo. « Nous avons analysé ces données avec l’aide de spécialistes externes et avons découvert qu’il s’agit de données d’utilisateurs Yahoo » indique le courriel envoyé aux internautes Francophones concernés. D’après les résultats de l’analyse plus approfondie qu’ont réalisé les spécialistes sur ces données, un tiers (1 seul ?) non autorisé a dérobé en août 2013 des données associées à un ensemble de comptes utilisateur « y compris le vôtre » annonce la missive. « Nous n’avons pas été en mesure d’identifier l’intrusion associée à ce vol. Nous avons des raisons de penser que cet incident est probablement distinct de celui que nous avons révélé le 22 septembre 2016« .

Il est possible que les informations dérobées dans les comptes utilisateur concernent des noms, des adresses mail, des numéros de téléphone, des dates de naissance, des mots de passe cryptés (au format MD5) et, dans certains cas, des questions/réponses chiffrées ou non chiffrées concernant la sécurité. Votre compte ne comporte peut-être pas toutes ces données. Les recherches indiquent que les informations dérobées n’incluent ni les mots de passe en texte clair, ni les données de carte de paiement, ni les informations concernant les comptes bancaires. Les données de carte de paiement et les informations relatives aux comptes bancaires ne sont pas stockées dans le système que nous pensons être concerné. Pour ce qui concerne le mot de passe, un « simple » hash MD5 qui se « crack » très rapidement si votre mot de passe est connu des bases de données.

Nous vous invitons à suivre ces recommandations concernant la sécurité :

  • Changez vos mots de passe et les questions/réponses de sécurité de vos autres comptes si vous avez repris des informations identiques ou semblables à celles que vous utilisez pour vous connecter à Yahoo.
  • Examinez vos comptes à la recherche de toute trace d’activité suspecte.
  • Faites preuve de la plus grande prudence si vous recevez des mails non sollicités vous demandant de fournir des informations personnelles ou qui vous envoient sur une page Web où vous devez indiquer des informations personnelles.
  • Évitez de cliquer sur des liens ou de télécharger des pièces jointes à des mails suspects.

Par ailleurs, pensez à utiliser une clé de compte Yahoo : cet outil d’authentification simple évite d’avoir à utiliser un mot de passe pour vos connexions avec Yahoo. Je vous conseille aussi, mais je ne suis pas le seul, à utiliser la double authentification, dont celle proposée par Yahoo! depuis peu ou encore Dailymotion, Google, Linkedin, Facebook, Twitter, Amazon ou encore votre propre site Internet.

Arnaque, Chiffrement, Cyber-attaque, Cybersécurité, escroquerie, Justice, Particuliers, Piratage, ransomware, Social engineering

désinfecter les machines Windows victimes du réseau criminel, Avalanche

Le 30 novembre, une enquête approfondie a été lancée sous le nom de code “Opération Avalanche“ et s’est concrétisée par un travail de grand nettoyage extrêmement complexe, trans-juridictionnel et interprofessionnel. Ce projet, coordonné par Europol et soutenu par des partenaires éditeurs de solutions de sécurité, a ciblé des familles de malwares qui ont fait des ravages ces dernières années, causant des dommages considérables à leurs victimes, dans le monde.

L’opération Avalanche cible vingt familles de programmes malveillants différents, qui sont d’anciens botnets (toujours en activité) tels que Goznym, Marcher, Dridex, Matsnu, URLZone, XSWKit, Pandabanker, mais aussi des menaces plus récentes et plus connues, comme les souches de ransomwares Cerber ou Teslacrypt. Bien que l’ampleur des dommages ne puisse être déterminée avec précision en raison du volume élevé d’opérations traitées par la plateforme Avalanche, ces malwares ont réussi à extorquer plusieurs centaines de millions d’euros dans le monde entier.

Dans le cadre de cette opération, Europol et ses partenaires internationaux ont saisi, neutralisé ou bloqué plus de 800 000 noms de domaines utilisés par les malwares, dans le but de confisquer plus de 30 serveurs et de mettre plus de 220 serveurs hors ligne via des protocoles de notification d’abus.

Tous ces efforts garantissent l’arrêt des mécanismes de commande et de contrôle des botnets ciblés, et les empêchent de recevoir de nouvelles instructions de leurs administrateurs.

En plus des procédures judiciaires en cours, le but de cette mobilisation massive est de procéder à un nettoyage complet des malwares ciblés, afin de garantir leur suppression totale des ordinateurs des victimes, après que les centres de commande et de contrôle (serveurs C&C) aient été bloqués.

Pourquoi le nettoyage est-il nécessaire ?

Une fois les centres de commande et de contrôle rendus inutilisables, les bots sur les ordinateurs infectés ne peuvent généralement plus causer de dommages directs. Cependant, leurs tentatives permanentes de communication avec ces centres pour d’autres instructions conduisent non seulement au gaspillage des cycles CPU précieux, mais génèrent aussi du trafic Internet indésirable. Dans certains cas, ces bots modifient la configuration de base de l’ordinateur, ce qui peut l’empêcher de se connecter à Internet ou d’accéder à des ressources spécifiques. Un exemple bien connu de ce comportement est le malware DNS-Changer qui a rendu impossible l’accès à Internet pour près de 25000 ordinateurs, suite à la fermeture de son centre de commande et de contrôle.

BitDefenser propose son outil.

Les tools d’Avast.