Archives de catégorie : Hacking

L’actualité lié au Hacking

HummingBad et compagnie : Le nombre de ransomwares aurait doublé au second semestre 2016

HummingBad et compagnie ! Un rapport révèle que les attaques de logiciels rançonneurs, les ransomwares, ont doublé au second semestre 2016. Sur l’ensemble des incidents de logiciels malveillants reconnus à l’échelle mondiale, le pourcentage d’attaques des maîtres chanteurs 2.0 est passé de 5,5 % à 10,5 % entre juillet et décembre 2016.

HummingBad, Conficker and co ! Le nouveau rapport de Check Point, baptisé Threat Index, du second semestre 2016 présente les tactiques utilisées par les cybercriminels pour attaquer les entreprises, et détaille les principales catégories de logiciels malveillants : rançonneurs, bancaires et mobiles. Il repose sur des renseignements sur les menaces tirés de sa carte Threat Map, entre juillet et décembre 2016. Des chiffres qui ne concernent donc que les clients de la société. Des statistiques présentées dans ce rapport reposent sur des données tirées de la carte Threat Map et du réseau ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, fournissant des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. Plus de 250 millions d’adresses analysées pour la recherche de bots, ainsi que plus de 11 millions de signatures de logiciels malveillants et 5,5 millions de sites web infectés.

Le monopole sur le marché des logiciels rançonneurs – Des milliers de nouvelles variantes de logiciels rançonneurs ont été découvertes en 2016, et au cours des derniers mois, nous avons assisté à un changement suite à la consolidation du paysage des logiciels rançonneurs. Quelques familles de logiciels malveillants importantes dominent désormais le marché et frappent les entreprises de toute taille.

Attaques DDoS via les objets connectés – Le botnet Mirai a été découvert en août 2016. Tout premier de sa catégorie, ce botnet de l’Internet des objets s’attaque aux caméras de surveillance (CCTV) et aux enregistreurs vidéo numériques (DVR) vulnérables connectés à Internet. Il les transforme en bots pour lancer de multiples attaques de déni de service distribué (DDoS) à fort volume. On estime que des objets connectés vulnérables sont présents dans presque tous les foyers, et que des attaques DDoS massives les exploitant continueront de persister.

Nouveaux types de fichiers utilisés dans les campagnes de spam – Les téléchargeurs basés sur le moteur de scripts Windows (WScript) ont été le vecteur d’infection le plus répandu utilisé dans les campagnes de spam malveillantes tout au long du second semestre 2016. Rédigés en Javascript (JS) et en VBScript (VBS), ces téléchargeurs ont dominé le paysage de la diffusion de spam malveillant, ainsi que des formats similaires moins courants tels que JSE, WSF et VBE.

HummingBad, Conficker et compagnie : principaux logiciels malveillants du second semestre 2016

1.    Conficker (14,5 %) – Un ver permettant d’effectuer des opérations à distance et de télécharger des logiciels malveillants. Les postes infectés sont contrôlés par un botnet, qui contacte son serveur de commande et de contrôle pour recevoir des instructions.

2.    Sality (6,1 %) – Un virus permettant d’effectuer des opérations à distance et de télécharger des logiciels malveillants supplémentaires dans les systèmes infectés par son opérateur. Son objectif principal est de rester actif dans un système pour le télécommander et installer d’autres logiciels malveillants.

3.    Cutwail (4,6 %) – Un botnet principalement utilisé pour l’envoi de spam et des attaques DDoS. Une fois installés, les bots se connectent directement à leur serveur de commande et de contrôle, et reçoivent des instructions concernant les emails qu’ils doivent envoyer. Lorsque leur tâche est terminée, les bots communiquent à leur opérateur des statistiques précises sur leurs activités.

4.    JBossjmx (4,5 %) – Un ver ciblant les systèmes comportant une version vulnérable du serveur applicatif JBoss. Le logiciel malveillant crée une page JSP malveillante sur les systèmes vulnérables qui exécute des commandes arbitraires. Par ailleurs, une autre porte dérobée est créée pour obtenir des instructions auprès d’un serveur IRC distant.

5.    Locky (4,3 %) – Un logiciel rançonneur dont la diffusion a débuté en février 2016, qui se propage principalement via des emails de spam contenant un téléchargeur déguisé en pièce jointe au format Word ou Zip. Il télécharge et installe un logiciel malveillant chiffrant les fichiers des utilisateurs.
Principaux logiciels rançonneurs du second semestre 2016 : Le pourcentage d’attaques de logiciels rançonneurs a presque doublé durant la seconde moitié de 2016, passant de 5,5 % à 10,5 %.

Les variantes les plus courantes détectées étaient les suivantes

1.    Locky 41 % – Le troisième logiciel rançonneur le plus courant au 1er semestre, qui s’est considérablement répandu durant la seconde moitié de l’année.

2.    CryptoWall 27 % – Le logiciel rançonneur qui était initialement une imitation de CryptoLocker, puis qui l’a finalement surpassé. Après le retrait de CryptoLocker, CryptoWall est devenu l’un des logiciels rançonneurs les plus importants à ce jour. CryptoWall utilise le chiffrement AES et communique avec son serveur de commande et de contrôle via le réseau anonyme Tor. Il est largement diffusé via des kits d’exploitation de vulnérabilités, des publicités malveillantes et des campagnes de phishing.

3.    Cerber 23 % – Le plus important logiciel rançonneur sous forme de service.  Cerber est commercialisé sur le modèle de la franchise. Ses développeurs recrutent des affiliés qui répandent le logiciel malveillant moyennant un pourcentage des bénéfices.

HummingBad, Conficker et les  principaux logiciels malveillants mobiles du second semestre 2016

1.    HummingBad 60 % – Un logiciel malveillant Android installant un rootkit persistant et des applications frauduleuses sur les appareils, qui permettent, à l’aide de légères modifications, des activités malveillantes supplémentaires telles que l’installation d’un enregistreur de frappes, le vol d’identifiants et le contournement des conteneurs chiffrés de courrier électronique utilisés par les entreprises.

2.    Triada 9 % – Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système. Triada charge également de fausses URL dans le navigateur.

3.    Ztorg 7 % – Un cheval de Troie utilisant les privilèges root pour télécharger et installer des applications sur des téléphones mobiles à l’insu de leurs utilisateurs.

Principaux logiciels malveillants bancaires du second semestre 2016

1.    Zeus 33 % – Un cheval de Troie ciblant les plates-formes Windows, qui est souvent utilisé pour dérober des informations bancaires via l’enregistrement des frappes et le détournement de formulaires.

2.    Tinba 21 % – Un cheval de Troie bancaire dérobant les informations d’identification des victimes à l’aide d’injections web activées lorsque les utilisateurs tentent de se connecter au site web de leur banque.

3.    Ramnit 16 % – Un cheval de Troie bancaire dérobant les informations d’identification de sites bancaires, mots de passe FTP, cookies de session et données personnelles.

« Le rapport démontre la nature des cybermenaces d’aujourd’hui, » précise Maya Horowitz, Threat Intelligence Group Manager chez Check Point. « Les attaques de logiciels rançonneurs se développent rapidement car elles sont tout simplement efficaces et génèrent des revenus importants pour les agresseurs. Les entreprises rencontrent des difficultés pour lutter efficacement contre ces menaces ; la plupart d’entre elles ne possède pas les bonnes défenses, ni de personnel capable de reconnaître les signes potentiels d’une attaque de logiciel rançonneur dans les emails entrants. »

« Nos données démontrent qu’un petit nombre de familles sont à l’origine de la majorité des attaques, tandis que des milliers d’autres familles de logiciels malveillants sont rarement utilisées, » poursuit Mme Horowitz. « La plupart des cybermenaces sont véritablement mondiales, mais la région Asie-Pacifique se classe cependant au premier rang avec 5 familles de logiciels malveillants qui ne figurent dans aucune autre région. »

Le rapport complet est disponible sur cette page :
http://blog.checkpoint.com/2017/02/21/ransomware-doubled-in-second-half-of-2016/

Un pirate russe recherché par le gouvernement Américain arrêté à Prague

Le pirate informatique du réseau Linkedin, en 2012, aurait été arrêté à Prague. Il serait aussi à l’origine des attaques informatiques à l’encontre de la Convention Nationale Démocrate.

Tiens donc ! Elle est ou cette super mega armée de pirates informatiques, à la solde de la Russie, s’attaquant à l’informatique de l’Oncle Sam. A première vue, et comme dans la majorité des cas, cette cyber armée est forte… de quelques adolescents. Dans la nuit du 18 octobre dernier, un pirate informatique russe a été arrêté à Prague par la police tchèque.

Une arrestation en coopération avec le FBI, le Federal Bureau of Investigation. Le suspect serait impliqué dans les cyber-attaques menées contre des cibles aux États-Unis, et notamment dans les hacks de la Convention Nationale Démocrate. L’individu est également soupçonné d’être responsable des attaques massives contre le réseau social professionnel LinkedIn en 2012. « Même les pirates de renom font des erreurs, et il est parfois possible pour les autorités de les pister jusqu’à leur adresse IP d’origine. Puisque ce pirate informatique était prétendument impliqué dans une série d’attaques sur des systèmes de base de données électorales en Arizona et dans l’Illinois plus tôt cette année, il aurait pu être suivi à travers les journaux d’accès aux serveurs. » indique l’un des enquêteurs.

Si les pirates ont utilisé un proxy dans l’attaque, les autorités auraient pu collaborer avec les victimes propriétaires des ordinateurs hébergeant ce serveur mandataire, et obtenir ainsi l’accès aux informations qui y étaient stockées. Par ailleurs, après avoir déterminé l’adresse IP du pirate, les autorités auraient pu également demander au fournisseur de service internet le nom de l’utilisateur. Puis, une fois le suspect transféré dans un pays coopérant avec le gouvernement Américain, les autorités locales auraient été en mesure d’arrêter le pirate. (Michal Salat, Directeur du Service de Renseignements sur les Menaces Informatiques chez Avast)

DNS et GDPR, ou quand sécurité et réglementation se retrouvent

Le nouveau GDPR (Règlement général sur la protection des données) est un règlement de l’Union européenne qui vise à renforcer la protection des données dans tous les Etats membres de l’UE, en remplacement de la Directive 95/46/CE de 1995.

Ce règlement – contrairement à une directive – n’a pas besoin d’être légiféré pour être adopté par les gouvernements. Plus important encore, il ne se limite pas à l’Union européenne – toutes les organisations non-UE qui partagent les données personnelles des citoyens européens sont également couvertes par la nouvelle loi. Cela inclut presque toutes les organisations ayant des clients, fournisseurs ou employés dans l’UE.

Quelles sont les mesures à mettre en place ?
En vertu de la nouvelle loi, adoptée par le Conseil de l’UE et le Parlement le 14 avril 2016, les organisations européennes seront tenues d’appliquer de nouvelles mesures, y compris des évaluations d’impact sur la protection des données, des normes de sécurité extrêmement exigeantes ou la mise en œuvre de politiques de confidentialité appropriées. Beaucoup seront tenues de nommer un délégué à la protection des données, et les ‘Processeurs de données’ et ‘Contrôleurs de données’ devront garder une trace de toutes les activités de traitement de données dans leurs entreprises.

Les ingénieurs impliqués dans la plupart des projets technologiques au sein de l’Union européenne devront se conformer dès la conception à une démarche de sécurité et de respect de la vie privée. Cela suppose que la confidentialité des données soit conforme aux plus hautes exigences. Quant aux paramètres de protection des données, ils devront être insérés dans tous les processus de gestion à un niveau élevé et par défaut. La sécurité des données jouera un rôle encore plus critique et devra être assurée de bas en haut. Cela comprend notamment la couche de DNS.

Les architectures de réseau devront décourager le détournement de DNS et l’utilisation des DNS pour l’exfiltration de données. Les principales difficultés ici ne concernent ni les hacktivistes ni les logiciels malveillants cherchant à vandaliser les systèmes, mais les attaquants sophistiqués qui savent quelles données spécifiques ils visent à exfiltrer.

Des conséquences déplorables en cas de non-conformité et d’attaques
Le GDPR impose une règle générale de notification de violation des données, et les organisations tous secteurs d’activité confondus devront suivre certaines procédures spécifiques si un tel événement se produit. Les Contrôleurs de Données n’auront que 72 heures pour informer les autorités compétentes de ce qui s’est produit et des volumes de données concernées. Dans le pire des cas, les organisations devront également informer le public de la violation ou vol de données, ce qui aura inévitablement des retombées négatives sur leur réputation.

Personne ne peut se permettre d’ignorer le GDPR. Ce règlement entrera en vigueur le 25 mai 2018, ce qui signifie que les organisations (et peut-être la vôtre !) ont moins de deux ans pour s’y conformer ; un délai relativement court au vu des différentes étapes préparatoires à suivre. De lourdes sanctions et des amendes élevées sont prévues en cas de perte de données : elles pourront en effet atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Il est maintenant temps de commencer à construire une infrastructure conforme au GDPR, qui assure la sécurité et le respect de la vie privée des données. Le fait de fournir une sécurité suffisante au niveau du DNS peut permettre aux entreprises de réaliser d’énormes économies et d’éviter les poursuites inutiles. Mais l’évitement des coûts ne doit pas être la seule motivation pour agir. La confiance des clients, des partenaires et des salariés dans la marque d’une entreprise est cruciale pour protéger l’activité de celle-ci, tant sur le court que sur le long terme.

Le trafic de DNS doit être soigneusement surveillé et analysé pour détecter les tentatives d’exfiltration de données cachées dans le trafic réseau. Les systèmes de filtration DNS qui fonctionnent comme la filtration web, peuvent contrôler la réputation des liens par rapport à une liste noire en temps réel et vérifier automatiquement si la requête DNS est digne de confiance ou si elle peut représenter un risque de vol de données.

La sécurité du DNS est un principe de base de la sécurité et du respect de la vie privée dès la conception d’une architecture. Les organisations désireuses d’être préparées au GDPR doivent se demander si elles ont un plan conforme pour protéger leurs réseaux, leurs données, leurs clients… et leur réputation. (Par Hervé DHELIN, EfficientIP)

Vol de données via un pixel malveillant

Vol de données : Détection de l’étrange comportement d’un pixel d’ouverture qui fait un pré-remplissage d’information.

L’entreprise TrackUp a mis la main, il y a quelques jours, d’une technique de collecte d’information, on peut parler de vol de données, qui mérite de s’y pencher. Nous savons que les techniques de vols d’informations se multiplient. « Nous pensons qu’il est aussi notre devoir d’informer le marché sur ces pratiques frauduleuses et condamnables au regard de la loi » souligne la PME basée dans le Nord, à Wasquehal. Le vol est opéré, selon les constatation du nordiste, par des acteurs de la collecte d’adresses électroniques. Ils réalisent des campagnes d’acquisition au CPM pour divers annonceurs.

Dans ces campagnes publicitaires que l’on peut qualifier de malveillante a été cachée un pixel, vous savez ce petit « carré » qui permet, avec des millions d’autres, d’afficher image, texte… Bref, ce pixel permet aussi de tracker le nombre d’ouvertures d’une campagne publicitaire. A chaque fois que le mail est lu, par exemple, le pixel communique avec le serveur de l’annonceur.

Sauf que ce nouveau pixel malveillant dispose en plus d’une variable de pré-remplissage d’adresse électronique en clair.

Bref, à chaque ouverture du message, l’adresse électronique est transmise automatiquement à l’agence, qui pour le rappel, n’est pas propriétaire des données. Les adresses pièges créées par TrackUp, des honey pots, ont reçu des campagnes commerciales provenant d’expéditeurs inconnus et surtout non autorisés à communiquer avec les données volées. TrackUp est soumis à un processus de certification par huissier de justice.

La société victime de piratage dispose donc de toutes les preuves juridiques pour aller devant les tribunaux… « Un bon nombre de sociétés spécialisées dans les campagnes d’acquisition à la performance contournent la loi et ne respectent pas les bonnes pratiques de l’emailing : vols de bases, échanges de bases, non-respect de l’opt-in. termine Trackup. Ces sociétés continuent d’exercer, et vendent leurs services à des annonceurs de bonne foi qui ne savent évidemment pas de quelle manière les adresses ont été collectées.« .

Les nouvelles technologies placent la sécurité au cœur du FIC 2017

Le FIC 2017, qui réunira l’ensemble des acteurs publics et privés, les 24 et 25 janvier prochains à Lille, permettra d’échanger autour des défis d’un monde toujours plus connecté et de participer à la construction d’un espace numérique sécurisé.

FIC 2017 – Organisé conjointement par la Gendarmerie Nationale, CEIS et EuraTechnologies, et co-financé par la Région Hauts-de-France, la 9è édition du Forum International de la Cybersécurité sera consacrée à la sécurité de demain et aux nouveaux usages.

« Les usages pour le meilleur sont parfois au service du pire. Les prédateurs l’ont bien compris. Ils viennent dans l’espace numérique qui leur offre le meilleur rapport gain/risque pénal. La cybercriminalité est la criminalité du XXIe siècle, comme nous l’écrivions lors de la fondation du FIC, en 2007. Il est désormais urgent de mobiliser tous les acteurs publics et privés, car l’enjeu est bien la nature de la « nouvelle société » qui sera la nôtre dans une quinzaine d’année » explique le Général Marc Watin-Augouard, fondateur du FIC.

Dans un contexte de loi pour une République numérique sur le plan national, et d’une Europe de la cybersécurité plus que jamais en marche, l’événement européen de référence réunissant tous les acteurs de la confiance numérique rassemblera représentants de la société civile, offreurs de services et de solutions de sécurité de confiance, utilisateurs finaux, monde public et sphère académique.

Des interrogations stratégiques à l’échelle européenne

La directive NIS met déjà en place un groupe de coordination, ainsi qu’un réseau réunissant les CERT. Mais la Commission souhaite aller plus loin et proposera début 2017 un schéma directeur prévoyant un plan de coordination en cas de cyber attaque de grande ampleur avec la participation de l’ENISA, des CERTs et d’EC3 (Europol).

Placé au cœur de l’actualité, le FIC 2017 sera l’occasion d’avancer des pistes de réflexion dans la gestion des crises cyber à l’échelle européenne et, après l’adoption du « Privacy Shield », d’échanger sur les ambitions numériques de l’Europe.

Le partage d’expérience : une piste d’amélioration pour la filière cybersécurité
Les 3 premiers arrêtés pris à la suite de la Loi de programmation militaire (LPM) ont été publiés récemment (produits de santé, gestion de l’eau, alimentation). Le FIC 2017 permettra d’assister à des retours d’expérience d’infrastructures critiques de nos voisins européens.

FIC 2017 – L’humain, clé de la réussite d’une stratégie de cybersécurité

La formation, la sensibilisation, la mobilisation des métiers autour des enjeux de cybersécurité, la recomposition du paysage des fonctions IT… Ces sujets, traités lors de la prochaine édition du Forum International de la Cybersécurité, place l’homme au cœur des débats. Quels sont les nouveaux outils de la sensibilisation ?  Comment associer les métiers aux démarches de sécurité ? Quelle place donner à la sécurité dans l’entreprise ? Autant de questions auxquelles tenteront de répondre les experts en cybersécurité et les directeurs métiers, des secteurs publics et privés.

Répartis sous 7 thèmes : Enjeux internationaux – La filière cybersécurité – La sécurité en entreprise – Lutte anti-cybercriminalité – Nouvelles technologies – Questions de société – et Technologies de sécurité, les plénières, conférences et ateliers du FIC permettront de couvrir les sujets selon un enjeu stratégique, juridique, industriel ou technologique.

Parmi les  sujets phares de cette 9è édition du Forum International de la Cybersécurité figurent également :
– Bug bounty, mode d’emploi
– Le développement du Shadow-IT : risque ou opportunité ?
– Le ransomware : quelles solutions pour ces nouvelles menaces multiformes ?
– Droit et cybercriminalité : quelles évolutions pour une législation plus efficace ?
– Le véhicule autonome : comment sécuriser la conduite en toute sécurité
–  La blockchain : quelles applications concrètes pour une technologie prometteuse ?
– Smart City : big mother en puissance ?
–   La santé peut-elle être connectée en toute sécurité ?
– La maitrise de la sphère numérique individuelle, un nouveau défi pour les utilisateurs connectés
– Monde virtuel, monde réel, liaisons dangereuses ?
– Cyberdéfense : l’automatisation est-elle synonyme d’intelligence ?

FIC 2017 – Ouverture des inscriptions pour le prix de la PME innovante

En janvier dernier, 40 PME avaient concourues au Prix de la PME innovante qui vise à la fois à encourager la recherche et l’innovation dans le secteur de la cybersécurité et à valoriser les PME. Lors du FIC 2016, le Prix de la PME innovante avait été attribué à Cyber Test Systems et le Prix spécial du jury à TrustinSoft. Les inscriptions pour le Prix de la PME 2017, parrainé par Airbus Defence and Space sont ouvertes.

Pédophiles piratés via le réseau TOR

La police Australienne met la main sur un groupe de pédophiles utilisateurs d’Internet. Parmi les personnes arrêtées, des américains piratés via le réseau TOR.

Dans l’enquête en cours sur un réseau de pédophiles menée par un groupe de policiers australiens baptisé Argos, il a été annoncé que les autorités australiennes avaient piraté des utilisateurs de Tor basés aux États-Unis. Des arrestations ont été réalisées dans le monde entier à partir des informations collectées par Argos. Une nouvelle affaire qui, il faut s’en féliciter retire de nos rues de véritables criminels, soulève cependant des questions sur la légalité du piratage d’internautes en dehors de la compétence d’un organisme judiciaire.

La Taskforce Argos est une unité de police spécialisée qui se compose d’agents de police, mais aussi de détectives, de spécialistes des nouvelles technologies et de consultants concernant le DEEP web. Cette unité de police, dont le logo est un scorpion, est basée à Queensland. Argos a pu faire tomber le monstrueux portail « The Love Zone » fort de 45 000 membres, 360 000 posts et 90 000 topics. L’un des utilisateurs, un britannique, a même été baptisé le plus important pédophile jamais arrêté.

Pour réussir à rassembler suffisamment de preuves pour poursuivre des centaines de pédophiles (et sauver 85 victimes enfants, NDR), Argos a dû infiltrer le site. Grâce à une série d’arrestations, les agents ont été en mesure de prendre le contrôle de ce portail. Ils ont arrêté le propriétaire du site sans la moindre communication sur le sujet. Une infiltration digne de l’Art de la guerre de Sun Tzu : on utilise cinq types d’espions : les agents d’influence, les agents de l’intérieur, les agents retournés, les agents sacrifiés, les agents qui doivent vivre. Lorsque les cinq types d’espions sont utilisés ensemble et que personne ne connaît leur agissements, ils constituent ce que l’on appelle l’écheveau des esprits.

La « Love Zone » était uniquement accessible via Tor. Les auteurs et leurs IP étaient donc Anonymes. L’infiltration du site, et son maintien en ligne, était crucial. Il montre aussi que l’infiltration d’internautes étrangers n’est plus vraiment un problème. Un homme du Michigan, Seth Piccolo, condamné à cinq ans de prison (il a plaidé coupable, NDR) en a fait les frais et découvert qu’il avait été piraté par les australiens d’Argos. Une infiltration avec l’accord du FBI qui a communiqué une liste de 30 personnes à Argos.

Un pirate sur la fréquence radio du NYPD

La police de New York est sur les dents. Un pirate s’amuse avec la fréquence sécurisée de la NYPD.

Voilà une pirate informatique qui risque gros, très gros. Un individu a joué avec la fréquence radio de la police de New York, une police considérée comme l’une des plus importantes « armées » du monde. Le pirate des ondes s’est amusé à insulter, durant de longues minutes, un policier. Le message s’est diffusé à travers plusieurs divisions de la NYPD. Parmi les « contacts » : une fausse intervention de la police, avec un tir mortel ; des menaces et des insultes. Un policier a répondu à ce trolleur « Hey, gars… faut grandir. Certaines personnes essaient de faire leur travail« . L’enquête est toujours en cours. Piratage de la fréquence ou utilisation d’une radio perdue par un policier ? (NYMag)

Un boitier sans fil pour protéger son ordinateur

ZATAZ Web TV ZATAZ Tv E24S5 est sorti. Au sommaire de ce 24ème épisode de l’année : retour sur la Nuit du Hack 2016 ; la découverte du boitier Glabys pour protéger son ordinateur ; les actualités à ne pas rater concernant la cybersécurité, le hacking et le petit monde du piratage informatique.

Au programme de ce nouveau numéro de ZATAZ Web TV (semaine du 04 juillet 2016) : Retour sur l’exceptionnelle Nuit du Hack 2016 qui s’est tenue à Disney Land Paris le week-end du 2 et 3 juillet 2016 ; découverte d’un petit boitier Bluetooth étonnant, le Glabys, qui permet de bloquer votre ordinateur quand vous vous éloignez de votre machine. Il suffit de se rapprocher pour que la machine soit de nouveau disponible. Bref, un étonnant boitier sans fil pour protéger son ordinateur ; et l’actualité du moment liée au piratage informatique, codes malveillants, conférences à ne pas rater…

Un million d’ordinateurs piégés par un botnet

Un botnet infectant près d’un million de machines détourne les requêtes effectuées sur Google, Bing et Yahoo. Les programmes d’affiliation publicitaires génèrent des millions de dollars de revenus, ce qui n’a pas échappé aux pirates. Les redirections frauduleuses de trafic et le détournement de clics sont exploités depuis longtemps.

Il y a seulement quelques semaines, les auteurs du malware botnet DNSChanger ont été condamnés à sept ans de prison pour ce type de pratiques. Grâce à ce malware, Vladimir Tsatsin avait ainsi pu gagner un million de dollars en modifiant les paramètres DNS des ordinateurs infectés pour détourner les publicités, effectuer du « clickjacking » ou modifier les résultats des moteurs de recherche. Avec la nouvelle génération de clickbots tels que le Trojan Redirector.Paco ce type de détournement de revenus publicitaires prend une ampleur sans précédent. Le cheval de Troie Redirector.Paco repose sur un fichier PAC (Proxy auto-config) permettant de rediriger toutes les recherches effectuées via Google, Bing ou Yahoo des machines infectées sur des résultats définis par les pirates.

Comment ça marche ?
L’objectif du malware est de rediriger tout le trafic généré lors de l’utilisation d’un des principaux moteurs de recherche (Google, Yahoo ou Bing) et de remplacer les résultats de cette recherche par ceux obtenus à partir d’un autre moteur conçu à cet effet. Le but étant de permettre aux cybercriminels de gagner de l’argent grâce au programme AdSense. Le programme Google AdSense for Search affiche normalement des publicités contextuelles sur les pages de résultats du moteur de recherche et partage une partie de ses revenus publicitaires avec les partenaires du réseau AdSense. Pour rediriger le trafic, le malware effectue quelques réglages simples au niveau du registre. Il modifie les valeurs des clés AutoConfigURL et AutoConfigProxy des paramètres Internet de sorte que pour chaque requête effectuée par l’utilisateur, une requête de fichier PAC (Proxy auto-config) soit effectuée. Ce fichier impose au navigateur Web de rediriger le trafic vers une adresse différente.

Le malware s’efforce de donner une apparence d’authenticité aux résultats obtenus. Cependant, certains indices devraient normalement alerter les utilisateurs. Dans la barre d’état du navigateur, des messages tels que « Waiting for proxy tunnel » ou «Downloading proxy script » peuvent être affichés. Deuxièmement, la fausse page Google est anormalement longue à charger. De plus, le malware n’affiche pas les lettres colorées habituelles du logo Google au-dessus des numéros de page. Le botnet Redirector.Paco est en activité depuis la mi-septembre 2014. Depuis, il a réussi à infecter plus de 900 000 adresses IP dans le monde entier, principalement en Inde, Malaisie, Grèce, Italie, au Pakistan, au Brésil, aux États-Unis, et en Algérie.

GenPort : le portail web qui va engranger les infos ADN

Avez-vous vu le film « Bienvenue à Gattaca« , un monde de science fiction ou les individus sont contrôlés à partir de leur gênes et ADN. Le portail GenPort est-il la prémisse du contrôle de nos vie par l’ADN ? Il propose de regrouper les ADN de patients consultés lors d’études médicales.

Un nouveau portail en ligne, baptisé Genomics Portal (GenPort), s’est donné pour mission de permettre aux scientifiques d’accéder à de vastes quantités de données génomiques provenant de patients impliqués dans des études cardiaques, pulmonaires, du sang et sur les recherches liées au sommeil. Une idée qui a de quoi inquiéter. L’ADN n’est pas une simple data dans une base de données. Ici, on parle de ce qui fait l’identité physique et immuable de chaque individu dans ce monde.

GenPort est censé aider les chercheurs à se pencher sur les résultats d’études organisées en même temps, mais par des laboratoires différents. Un suivi des individus, via ces différents essais, qui pourraient partager les mêmes caractéristiques, appelées « cohortes synthétiques ».

Le ministère de la Santé et des Services sociaux américain est actuellement à la recherche d’entreprises qui auront pour mission d’aider à mettre en place cette plaque tournante de l’ADN. Un portail qui, selon le ministère, doit permettre aux chercheurs qui ne maîtrisent pas l’informatique, ou la génomique, d’accéder aux données rapidement. La base de données compterait, à ses débuts, 20.000 données génétiques uniques. Bref, Bienvenue à Gattaca.