Piratage de banques ! Plusieurs institutions financières polonaises ont confirmé l’infiltration de leurs systèmes informatiques par un malware.
Piratage de banques ! Étonnante attaque informatique, surtout quelques jours après l’arrestation de neuf pirates Russes du groupe Lurk, professionnels de l’infiltration bancaire, dans les serveurs de plusieurs institutions financières polonaises. L’aspect intéressant de cette attaque, la partie social engineering. Les escrocs ont utilisé le régulateur financier polonais, la KNF, pour diffuser plusieurs logiciels malveillants.
Un porte-parole de la KNF a confirmé que les systèmes internes du régulateur avaient été compromis par des pirates « d’un autre pays« . Une fois dans les serveurs de la KNF, les pirates ont modifié un JavaScript (JS), puis ils ont écrit aux banques, leur proposant de venir visiter KNF. Une usurpation d’identité particulièrement efficace. Le JS malveillant téléchargeait plusieurs codes pirates, dont un cheval de Troie, dans les machines des visiteurs ciblés.
Le « bombe 2.0 » était caché sur des sites basés en Suisse (sap.misapor.ch) et en Inde (eye-watch.in). Afin d’éviter la propagation des logiciels malveillants, les autorités ont pris la décision de fermer l’ensemble du réseau de la KNF.
Du côté des banques, les personnels informatique des plus importantes banques du pays ont remarqué le trafic anormal associé à la présence d’exécutables sur plusieurs serveurs. Ironiquement, le KNF est l’organisme de réglementation qui surveille et promeut des mesures de sécurité a adopter dans les banques polonaises.
Publication d’un livre blanc sur la rentabilité de l’activité de chiffrement des données des entreprises par les cybercriminels.
Le ransomware, cybermenace la plus prolifique du moment, se propage au sein des entreprises via les réseaux de partage de fichiers, les pièces jointes, les liens malveillants ou encore les sites Internet compromis autorisant les téléchargements directs. Le premier trimestre 2016 a enregistré une croissance de 3 500% du nombre de domaines utilisés pour la diffusion de ransomwares, établissant au passage un nouveau record.
Principaux pays touchés par des ransomwares, sous Windows au premier semestre 2016
Les ransomwares ont généré plusieurs centaines de millions de d’euros de gains au moyen d’actes d’extorsion explique BitDefender. Au cours du premier semestre 2016, c’est aux États-Unis que le plus grand nombre d’attaques de ransomwares ont été recensées, avec 19,09% de l’ensemble des attaques de ransomwares déclarées dans le monde.
Le Royaume-Uni est arrivé en deuxième position, avec 11,89%, soit seulement 2,26 points de plus que l’Allemagne (9,63%), laquelle figurait à la troisième place de notre classement des pays les plus touchés par des attaques de ransomwares.
Principales familles de ransomwares sous Windows en France, premier semestre 2016
Teslacrypt arrive en tête avec 9,38% de l’ensemble des attaques de ransomwares déclarées, Locky se classe en seconde position avec 7,48% et Cryptolocker se hisse à la troisième place, avec 5,66%. Les écarts minimes qui séparent la France des Etats-Unis, de l’Allemagne et du Royaume-Uni semblent indiquer que les cybercriminels ont utilisé une large palette de techniques pour infecter leurs victimes. Si d’autres pays ont été plus particulièrement visés par des infections de ransomwares spécifiques, il semblerait qu’en France, les cybercriminels aient recouru à tout l’arsenal de techniques possibles pour diffuser des ransomwares…
Quelques actions utiles pour se protéger contre les ransomwares en milieu professionnel
– Sauvegarder régulièrement les données et contrôler l’intégrité de ces sauvegardes. Les sauvegardes sont essentielles en cas d’incidents liés à des ransomwares ; en cas d’infection, elles peuvent constituer le meilleur moyen de récupérer les données critiques.
– Sécuriser ses sauvegardes. Veiller à ce que les sauvegardes ne soient pas connectées aux ordinateurs et aux réseaux qu’elles sauvegardent. Faire des sauvegardes dans le Cloud ou les stocker sur un support physique hors ligne. Il convient de noter que certains ransomwares ont la capacité de verrouiller les sauvegardes basées dans le Cloud lorsque les systèmes réalisent en continu des sauvegardes en temps réel, une action également connue sous le nom de « synchronisation continue ».
– Examiner avec attention les liens contenus dans les e-mails et ne jamais ouvrir les documents joints à des e-mails non sollicités.
– Ne jamais télécharger des logiciels (en particulier gratuits) à partir de sites inconnus. Quand cela est possible, vérifier l’intégrité du logiciel au moyen d’une signature numérique, avant son exécution.
– Veiller à ce que les correctifs d’applications pour ses systèmes d’exploitation, logiciels et firmwares soient à jour, y compris Adobe Flash, Java, les navigateurs Web, etc.
– Veiller à ce que la solution antimalware soit paramétrée pour se mettre à jour automatiquement et pour effectuer des analyses régulièrement.
– Désactiver les scripts de macro des fichiers transmis par e-mail. Envisager d’utiliser le logiciel Office Viewer pour ouvrir les fichiers Microsoft Office transmis par e-mail plutôt que d’utiliser l’ensemble des applications de la suite Office.
– Mettre en place des restrictions logicielles ou d’autres contrôles afin d’empêcher l’exécution de programmes dans des emplacements couramment utilisés par les ransomwares, tels que les dossiers temporaires utilisés par les principaux navigateurs Internet ou les programmes de compression/décompression, y compris ceux qui se trouvent dans le dossier AppData/LocalAppData.
MacDownloader – Un groupe de pirates informatiques Iraniens utiliseraient un logiciel spécialisé dans le vol de données sauvegardées dans les appareils d’Apple.
Un groupe d’espions informatiques, il serait lié à l’Iran [Iran Cyber Security Group ?], utiliserait un logiciel nommé MacDownloader. Le programme malveillant réussirait à voler les informations d’identification et d’autres données sauvegardées dans les appareils Apple. Le malware a été analysé par Claudio Guarnieri et Collin Anderson, deux chercheurs spécialisés dans les campagnes iraniennes de surveillance et d’espionnage visant les droits de l’homme, la politique étrangère et les entités de la société civile.
MacDownloader a été déguisé par les attaquants comme une mise à jour de Flash Player et un outil de suppression d’adware de l’éditeur d’antivirus Bitdefender. L’outil aurait été créé vers la fin de 2016. Une grande partie du code a été copiée à partir d’autres sources et les experts pensent que cela pourrait être une première tentative mise en place par des développeurs amateurs.
Lorsque Guarnieri et Anderson ont effectué leur analyse, le logiciel malveillant était totalement inconnu par les antivirus [plus d’une trentaine, NDR] proposés sur VirusTotal. Depuis quelques jours, une douzaine de fournisseurs ont signalé les fausses applications Flash Player (15/53) et Bitdefender (11/53) comme étant malveillantes. MacDownloader a été découvert, la première fois, sur un faux site Web aux couleurs de la société aérospatiale United Technologies Corporation. Un espace connu pour avoir déjà diffusé, l’année dernière, des logiciels malveillants visant des ordinateurs sous Windows.
Ce malware macOS est lié à Charming Kitten, alias Newscaster et NewsBeef, une menace iranienne connu pour la création de faux comptes sur les réseaux sociaux. Son but, récolter des informations auprès de personnes ciblées aux États-Unis, Israël ou encore en Irak.
Une fois que MacDownloader infecte un périphérique, le malware récolte des informations sur le système, y compris les processus et les applications, et collecte les mots de passe stockés. Le malware Windows utilisé par le groupe est similaire, collectant les informations d’identification et l’historique du navigateur enregistrés depuis Chrome et Firefox. Bien que son code montre que les développeurs de MacDownloader ont tenté d’implémenter des fonctionnalités de mise à jour et de persistance à distance, ces mécanismes ne semblent pas être fonctionnels.
Protection des données, vie privée et biométrie: l’Université suisse à distance distance university lance une formation en ligne unique en Europe.
Accéder à son smartphone avec son empreinte digitale, entrer dans son entreprise par un terminal de reconnaissance faciale, voyager grâce à son identité biométrique… les technologies biométriques régissent peu à peu nos actes de tous les jours, changeant les enjeux en matière d’identité des citoyens et de la vie privée.
Aujourd’hui, de nombreuses entreprises, administrations et organisations sont confrontées aux questions soulevées par les nouvelles technologies en matière de protection des données. Reconnaissant leurs besoins, l’Université suisse à distance (UniDistance) et l’Institut de recherche IDIAP ouvrent une formation unique en Europe, le 1er avril 2017 : un Certificate of Advanced Studies in Biometrics and Privacy, enseigné en ligne par les meilleurs experts européens.
Maîtriser les défis à venir et se préparer à la nouvelle loi européenne sur la protection des données
Pour la première fois, une formation aborde l’ensemble des aspects liés à la biométrie: technologies, lois, règles et normes en matière de protection des données et de vie privée, aspects éthiques, culturels et sociaux ou encore sciences criminelles.
La nouvelle législation européenne sur le traitement des données, qui vise à préparer l’Europe à l’ère numérique, entrera en vigueur en mai 2018. Applicable à toutes les entreprises et organisations qui offrent des services, elle exige de ces dernières l’instauration de systèmes de gestion des données et des risques. La formation proposée les préparera de manière optimale à cette situation nouvelle.
Un programme unique enseigné par les meilleurs experts en Europe
Le nouveau programme, extrêmement flexible, est enseigné en ligne. Les participants déterminent leur planning et le rythme de leurs études, quel que soit le pays où ils se trouvent. Une solution idéale pour concilier formation avec obligations professionnelles et familiales. Le diplôme, conçu conformément aux Accords de Bologne, est reconnu dans tous les États membres de l’Union Européenne.
Les cours seront dispensés par les meilleurs spécialistes internationaux. Citons le Dr Sébastien Marcel, expert en systèmes de reconnaissance et d’apprentissage machine, chercheur senior en biométrie à l’institut de recherche IDIAP, Suisse, la Prof. Katerina Kitrokotsa, Associate Professor à la faculté d’informatique de la Chalmers University, Suède, la Prof. Els Kindt, chercheuse en eLaw à Leiden University, Belgique ou encore le Dr Emilio Mordini, Président de Responsible Technology SAS, France.
UniDistance est le seul institut universitaire à distance – distance university – reconnu par le gouvernement suisse. Depuis 1992, il propose des formations académiques de type Bachelor et Master notamment dans les domaines du droit, de la psychologie, de l’économie et des sciences historiques. http://www.UniDistance.ch
L’Institut de Recherche Idiap est une fondation à but non lucratif spécialisée dans la recherche et le développement dans le domaine de la gestion de l’information multimédia. Cet institut abrite le centre suisse d’excellence en biométrie (Swiss Center for Biometric Research and Testing), qui a pour mission de développer les technologies liées à la sécurité des données biométriques et de faciliter la collaboration entre les chercheurs et les entreprises. http://www.idiap.ch
La moitié des écoles de Bordeaux victimes d’un étrange code malveillant.
Voilà qui est fâcheux ! Qui a cliqué sur le fichier joint qui a mis à mal l’informatique de quasiment la moitié des écoles de Bordeaux. Une attaque « sans précédent » indique l’adjointe au maire en charge de l’éducation, Emmanuelle Cuny, dans les colonnes de Sud Ouest. A première vue, un ransomware qui s’est promené de machine en machine dans au moins 40 écoles sur les 101 du périmètres de la ville bordelaise.
Les données pédagogiques pourraient être perdues suite à cette infection selon le quotidien r. Espérons que le mot sauvegarde soit dans la bouche et le cahier des charges de la municipalité concernant les écoles maternelles et primaires de la ville.
A noter que l’Académie de Bordeaux a un contrat avec l’éditeur d’antivirus TrendMicro. Ce dernier propose Internet Security dans « toutes les écoles du 1er degré, publiques et privées« . A première vue, tout le monde ne l’a pas installé. Une bonne formation ne fera pas de mal non plus !
Le site ZATAZ indiquait il y a peu des chantages informatiques ayant visé des écoles britanniques. Un pirate réclamait plus de 9000 euros à plusieurs établissements scolaires après avoir chiffré les données sauvegardées dans les ordinateurs des écoles.
Un document papier retraçant les identités, les adresses et les numéros de téléphones de dizaines de juges découvert… par terre !
Le moins que l’on puisse dire est que les fuites de données peuvent prendre toutes les formes possibles et imaginables. 126 juges canadiens viennent de découvrir les joies du document ulta sécurisé, tellement qu’il n’existe qu’en version papier… mais qui se retrouve au sol, sur une place de parking. Un dossier comprenant les identités, les adresses postales privées, les numéros de téléphones de juges. Une tête en l’air l’a oublié ? la fait tomber ?
Comme l’indique nos cousins de « La Presse« , une copie a été retrouvée sur la place de stationnement d’un commerce des Laurentides. Un document qui n’existerait pas en mode numérique [ils l’ont tapé avec une vieille machine à écrire ?, NDR], sur aucun serveur et qu’il « est interdit de transmettre par voie électronique » [donc en numérique !, NDR].
Plus étonnant, cette liste, en plus des données professionnelles, comporte aussi les données privées, dont les identités des conjoints. Vue l’ambiance locale entre les nombreuses affaires de corruptions, de détournement d’argent, une telle liste pourrait être particulièrement préjudiciable pour le pays et ces hommes de loi.
Le groupe britannique InterContinental a lancé une enquête interne à la suite de la découverte de données bancaires de clients utilisées hors de ses hôtels.
L’InterContinental Hotels Group est une société britannique forte de 5000 hôtels de part le monde. Des marques prestigieuses allant du Kimpton, en passant par Indigo, Even Hotels, HuaLuxe, Crowne Plaza ou encore les Holiday Inn. Bref, une marque présente dans 100 pays.
En France, on trouve des Crowne Plaza, Intercontinental et autres Holiday Inn à Lille, Marseille, Lyon, ou Cannes. Le plus connu étant l’InterContinental Carlton Cannes haut lieu people lors du festival du cinéma.
Le chercheur Krebs a eu vent de plusieurs enquêtes en cours concernant une probable fuite de données visant IHG, et plus précisément ses Holiday Inn sur le territoire américain. Voici le message officiel de la société hôtelière britannique à ce sujet :
« IHG takes the protection of payment card data very seriously. We were made aware of a report of unauthorized charges occurring on some payment cards that were recently used at a small number of U.S.-based hotel locations. We immediately launched an investigation, which includes retaining a leading computer security firm to provide us with additional support. We continue to work with the payment card networks.
We are committed to swiftly resolving this matter. In the meantime, and in line with best practice, we recommend that individuals closely monitor their payment card account statements. If there are unauthorized charges, individuals should immediately notify their bank. Payment card network rules generally state that cardholders are not responsible for such charges. »
Comme j’ai pu souvent le rappeler, les lieux de vacances ou professionnels sont de véritables nids de données pour les pirates. Je vous expliquais comment il était simple de mettre la main sur des informations sensibles dans les ordinateurs d’hôtels, mais aussi comment des pirates avaient pris le pouvoir dans l’informatique d’hôtels en Tunisie. Depuis quelques mois, les fuites de données et autres piratages s’accumulent comme nous avons pu le voir avec les Hotels Kimpton, Trump, Hilton, Mandarin Oriental, Starwood, Hyatt ou encore des hôtels basés sur l’Île Maurice.
L’Organisation pour la sécurité et la coopération en Europe (OSCE) confirme avoir fait l’objet d’un incident majeur de sécurité informatique.
L’OSCE, Le chien de garde international chargé de la sécurité et des droits de l’homme, a confirmé avoir été victime d’une violation de sa sécurité informatique en novembre 2016.
Selon un porte-parole de l’Organization for Security and Co-operation in Europe, les systèmes de l’organisation sont désormais sûrs : « Nous avons reçu de nouveaux mots de passe« .
Devinez qui est montré du doigt ? Le journal Le Monde indique qu’il s’agit, selon une source, de pirates Russes, très certainement le groupe APT28 – qui est aussi connu sous le nom de Fancy Bear, Pawn Storm ou Sofacy Group.
L’éditeur d’antivirus a mis en ligne des correctifs permettant de corriger une dizaine de faille visant son logiciel d’entreprise ViruScan Linux.
McAfee, filiale d’Intel, a publié des correctifs pour dix failles pour la version de VirusScan Entreprise tournant sous Linux [McAfee VirusScan Enterprise for Linux]. Des failles qui permettent à un attaquant de prendre la main, à distance, sur un système. McAfee avait été notifié de ces trous de sécurité… il y a six mois.
Le chercheur en sécurité Andrew Fasano du MIT Lincoln Laboratory a déclaré qu’au total, se sont 10 failles de sécurité qui ont été patchées. Les problèmes de sécurité permettaient l’exécution de code à distance en tant qu’utilisateur root. « Voilà donc un logiciel peut apprécié, qui fonctionne en tant que root, qui annonce sécuriser les entreprises, qui n’a pas été patché depuis des lustres » s’amuse le chercheur.
Quatre des failles sont considérées comme critiques : CVE-2016-8020, CVE-2016-8021, CVE-2016-8022 et CVE-2016-8023.
Toutes ces vulnérabilités ont déjà été confirmées dans les versions 1.9.2 à 2.0.2 de McAfee VirusScan Enterprise for Linux. Ils est largement recommandé de mettre à jourl’outil… ou d’en changer !
La firme Netgear, spécialiste dans le matériel informatique, vient de mettre à jour plusieurs de ses routeurs après la découverte d’une faille de sécurité.
Une faille de sécurité particulièrement gênante, elle permettait d’accéder à l’administration du matériel avec un simple URL, vient d’être corrigé par la société Netgear. L’entreprise a publié des mises à jour de firmware pour plusieurs de ses routeurs pour résoudre une vulnérabilité d’injection de commande critique qui peut être exploitée pour détourner à distance les périphériques concernés.
Cette fois, plusieurs routeurs Netgear ont été exposés à cette vulnérabilité permettant potentiellement aux pirates de prendre le contrôle de ces dispositifs. La faiblesse permet une injection de code qui permet d’obtenir des privilèges « root » dans les routeurs Netgear.
Initialement, seuls les routeurs Netgear R7000, R6400 et R8000 étaient considérés comme affectés, mais après analyse, les machines R6250, R6700, R7100LG, R7300DST et R7900 sont aussi impactés. Compte tenu de ce fait, Netgear a publié un firmware « bêta » pour chacun des périphériques affectés.
Netgear travaille sur la finalisation du firmware correcteur. Attention, le firmware bêta n’est qu’une solution temporaire et il peut ne pas fonctionner pour tous les périphériques. Il n’a pas été entièrement testé.
Petites entreprises, grandes menaces : restez informés, restez protégés
