Archives de catégorie : Logiciels

Actualités liées logiciels de sécurité informatique et protections numériques des entreprises et particuliers.

Antivirus, Chiffrement, Cybersécurité, Logiciels, Mise à jour, Patch, Virus

L’outil de sécurité Malwarebytes corrige plusieurs failles de sécurité

Plusieurs failles de sécurité visant le logiciel anti malwares Malwarebytes en cours de correction. Un pirate aurait pu s’inviter entre un client et l’éditeur pour modifier les informations transmissent pour l’éditeur.

Tavis Ormandy est un chercheur en sécurité informatique, membre du Project Zero de Google. Mission, trouver des failles et les faire corriger. L’homme est spécialisé dans les antivirus et logiciels en charge de sécuriser les internautes. Après Avast, AVG, Eset, FireEye, Kaspersky et Trend Micro, Tavis Ormandy vient de secourir les utilisateurs de l’outil Malwarebytes.

Plusieurs failles avaient été découvertes et remontées à l’éditeur en novembre 2015. Malwarebytes vient de corriger une partie des problèmes. L’une des vulnérabilités était le fait que les mises à jour de l’anti codes malveillants se faisaient via un HTTP non chiffré.

A noter que l’entreprise a lancé son bug bounty permettant de payer les failles qui lui seront remontées. Prix maximum, 1.000 dollars. Autant dire qu’ils ne vont pas avoir beaucoup de participants. Un 0day pour un antivirus se commercialise plusieurs milliers de dollars dans le blackmarket !

Apache, Cybersécurité, Logiciels, Mise à jour, Patch, Tor

Quand un serveur Apache permet de surveiller un site TOR

Cacher un site Internet via TOR est simple. Au lieu d’un 92829.com, vous vous retrouvez avec un 92829.onion. Impossible, normalement, de trouver la moindre information sur l’hébergement, le propriétaire. Sauf si ce dernier les donne ou utilise un serveur Apache mal configuré.

Shaun, chercheur en sécurité informatique, vient d’expliquer sur son blog, comment il devient simple de remonter à un serveur caché sous TOR à partir d’un problème de configuration d’Apache. L’inventeur de la « faille » indique qu’il faut désactiver « mod_status » avec l’instruction: $ a2dismod status. Dans la plupart des distributions Apache proposées, « mod_status » est activé d’origine. Bilan, les informations sur le serveur s’affichent. Un outil accessible uniquement depuis localhost. Ca c’est pour la sécurité. Sauf que si le daemon Tor tourne en localhost, les sites, forums, blogs tournant en .onion affichent leurs statistiques, les liens exploités, … Il suffit de taper, dans le navigateur TOR http://your.onion/server-status pour savoir si votre site, blog, forum est en danger.

Apple, Cybersécurité, ID, Identité numérique, ios, iOS, Logiciels, Mise à jour, Particuliers, Smartphone, Téléphonie, Vie privée

Fuite de données via un iPhone 5

Un client de l’opérateur Telstra se retrouve avec les messages du répondeur de l’ancien propriétaire d’un iPhone 5.

Richard Thornton est Australien. Ce client de l’opérateur Telstra souhaitait changer d’iPhone. Bilan, il va effacer le contenu de son téléphone, réinitialiser « USINE » l’appareil, retirer sa carte sim. Bref, les actions logiques pour toutes personnes souhaitant revendre son matériel et ne pas laisser de traces dans l’ordiphone. Apple propose d’ailleurs une procédure à suivre avant de vendre ou de céder votre iPhone, iPad ou iPod touch.

Sauf que Richard Thornton a eu une très mauvaises surprises. Le nouveau propriétaire du téléphone de Richard reçoit les messages vocaux laissés sur le répondeur de l’ancien possesseur du smartphone. L’acheteur de l’iPhone d’occasion est aussi client de TelStra. Lorsque l’iPhone 5 a été mis hors tension, puis de nouveau branché, l’appareil d’Apple a téléchargé les messages vocaux de M. Thornton dans l’application de messagerie vocale visuelle du téléphone. Messages qu’il est possible d’écouter complétement.

La compagnie de téléphone n’a pas encore déterminé la cause du problème. « Ils connaissent les symptômes, mais ils ne savent pas la cause« , indique Thornton.

Procédure à suivre avant de vendre votre iPhone, iPad ou iPod touch

Si vous avez jumelé une Apple Watch avec votre iPhone, mettez fin au jumelage.
Sauvegardez les données de votre appareil iOS.
Touchez Réglages > iCloud. Faites défiler la page vers le bas et touchez Déconnexion. Sous iOS 7 ou version antérieure, touchez Supprimer le compte.
Touchez à nouveau Déconnexion, puis Supprimer de l’iPhone, et saisissez enfin votre mot de passe.
Rendez-vous à nouveau dans Réglages > Réinitialiser > Effacer contenu et réglages. Si vous avez activé la fonctionnalité Localiser mon iPhone, il peut être nécessaire de saisir votre identifiant Apple et votre mot de passe.
Si vous êtes invité à saisir le code d’accès de votre appareil, ou celui applicable aux restrictions, effectuez cette opération. Touchez ensuite Effacer [appareil].
Contactez votre opérateur pour connaître la procédure à suivre en cas de changement de propriétaire. Si vous n’utilisez pas de carte SIM avec votre appareil, adressez-vous également à lui pour savoir comment faire bénéficier le nouveau propriétaire de votre forfait. (SMH)

Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise

Ransomwares au ministère des Transports

Un commentaire

Le problème des ransomwares se développe à grande vitesse. Ces derniers sont de plus en plus utilisés par les pirates informatiques car ceux-ci ont besoin de plus en plus d’argent et cela de plus en plus souvent. Si ceux-ci ne bloquent souvent que certains postes, l’ampleur du phénomène et sa récurrence pourrait en faire une menace plus importante que prévue. Le ministère des Transports en a fait les frais.

Un ransomware cryptographique est un outil malveillant chiffrant une partie des donnés d’un poste de travail. Pour cela, les pirates utilisent des mécanismes de clés publiques et clés privées (générées et téléchargées au moment de l’installation du ransomware). La clé privées étant en possession du hacker, ce dernier exigera de la victime attaquée le paiement d’une rançon, généralement en Bitcoin, afin de disposer de cette clé privée.

Le ransomware cryptographique le plus connu s’appelait CryptoLocker. Il a été éradiqué suite à la dissolution du botnet Gameover Zeus en 2014. Mais un petit nouveau arrive sous le nom de Cryptowall (version 3.0). Il est très proche de CryptoLocker mais surtout apporte de nouveaux mécanisme de non-détection par les outils de protection.

Il est quasiment impossible pour une victime – particulier ou entreprise – de récupérer ses données une fois le ransomware installé – hormis payer et récupérer la clé privée. Toutefois, le paiement de la rançon ne garantit en aucun cas que les criminels fourniront à la victime la clé qui lui permettra de retrouver ses données. Il est donc très important de se protéger contre ce type d’outil malveillant.

Comme DataSecurityBreach.fr vous l’explique depuis des années, les régles pour se protéger sont simple. F5 Networks en rappelle les bases. Ne jamais ouvrir un document venant d’un émetteur inconnu. Vérifier l’émetteur et son adresse. Il est très facile de se faire passer pour quelqu’un lors de l’envoi d’un email. Faire des sauvegardes régulières de ses données. J’avoue que je propose aussi aux entreprises pour je travaille de ne pas hésiter à appeler l’interlocuteur « connu » qui a envoyé le courriel. Est-il l’émeteur ? Est-il l’auteur de la piéce jointe ? Ca prend certe 1 minute de plus dans le traitement de l’information, mais c’est mieux de pleurer des heures, voir des jours devant le compte à rebour du ransomware.

Dernier point, pour que le ransomware puisse récupérer ses binaires et les clés de chiffrement, il devra accéder à Internet pour joindre son serveur. Il est donc important de disposer d’outil de filtrage internet à jour (liste de domains, d’URL et d’IP frauduleuses). Très souvent, les ransomware passent par le réseau Tor pour accéder à leur serveurs. Des outils de filtrages tels que les Passerelles Internet et les pare-feu permettent de contrôler l’accès à ce type de réseaux. L’éducation reste la meilleur des défenses.

Adobe, backdoor, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Logiciels, Piratage, Virus

Angler Exploit Kit : 90.000 sites piratés, des millions d’internautes ciblés

Le code malveillant Angler aurait déjà infecté plus de 90.000 sites Internet dont 30 présents dans le top 100.000 d’Alexa.

AEK, connu aussi sous le nom d’Angler Exploit Kit, n’a pas fini son petit bonhomme de chemin. Comme l’indiquent les analyses de Palo Alto Networks, déjà 90.000 sites Internet ont été touchés par ce code pirate.

Dans cette liste, 30 serveurs web sont placés dans le top 100.000 d’Alexa, soit des millions de cibles potentielles pour le logiciel malveillant. Une opération parfaitement orchestrée. AEK se met à jour périodiquement, et cela sur l’ensemble des sites corrompus. Le script caché sur les sites se déclenche au bon vouloir des « contrôleurs », rendant sa détection très difficile.

Du 5 au Novembre 2015, 90 558 domaines Internet uniques étaient déjà infectés et utilisés par AEK. Le 14 décembre, seulement 2 850 sites étaient considérés comme dangereux pour les sondes de détections d’espaces malveillants.

L’attaque se fait par le biais d’Internet Explorer et d’une version flash non mise à jour (Ce qu’à fait Adobe, d’urgence, en décembre). La nouvelle version d’AEK s’attaque aussi à Firefox et Chrome.

Comme un grand nombre de kits pirate, Angler Exploit Kit vise les internautes selon une géolocalisation, par l’IP, décidée par le pirate. AEK se charge ensuite de télécharger une charge numérique dans le pc de sa victime. La plupart du temps, un ransomware.

Chiffrement, cryptage, Cybersécurité, Logiciels, Microsoft, Mise à jour, Smartphone, Windows phone

Les prochains ordinateurs fonctionneront uniquement sous Windows 10

Microsoft vient d’indiquer que les nouveaux ordinateurs ne fonctionneront que sous Windows 10. Les « vieux » Windows n’y auront plus y évoluer.

Microsoft vient d’annoncer que les prochaines machines ne tourneront plus que sous Windows 10. Adieu Windows 7, 8, 8.1. « En plus de nos partenaires OEM, tout au long de la conception de Windows 10, nous avons travaillé en étroite collaboration avec nos partenaires de silicium, y compris Intel, AMD, Nvidia et Qualcomm » indique la firme américaine.

L’Américain se félicite de son partenariat avec Intel et sa génération de processeurs Intel Core (Version 6, Skylake). Bilan, les machines qui sortiront dans le futur ne pourront faire tourner que la version 10 (et plus) de l’OS de Microsoft. Skylare sera le dernier a accepté autre chose. Une transition douce car ensuite, il ne sera plus possible de ne pas suivre le chemin tracé par la firme de Redmond.

Même son de cloche pour AMD, son « Bristol Ridge » ne pourra faire tourner que Windows 10. De même pour le 8996 de Qualcomm. Bref, Microsoft continue sa marche en avant de l’utilisateur forcé. Pour la bonne cause affirme Microsoft « Une meilleure intégration du software et du hardware« .

backdoor, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Découverte d’un 0Day dans Silverlight

Un commentaire

Kaspersky Lab a découvert une vulnérabilité « Zero Day » dans Silverlight, une technologie web servant à visualiser des contenus multimédias. Cette faille offrirait à un pirate un accès total à un ordinateur infecté, lui permettant ainsi d’exécuter du code malveillant afin de dérober des informations confidentielles et de se livrer à d’autres activités illicites. La vulnérabilité (CVE-2016-0034) a été corrigée dans la dernière mise à jour de sécurité publiée par Microsoft ce mardi 12 janvier 2016. Sa découverte est le fruit de cinq mois d’enquête ayant fait suite à un article paru dans Ars Technica.

A l’été 2015, une cyberattaque lancée contre la société Hacking Team (connue pour le développement de « spyware légal ») a fait les gros titres. L’un des articles à ce sujet, publié dans Ars Technica, mentionnait une fuite dans des échanges supposés entre des représentants de Hacking Team et Vitaliy Toropov, un développeur indépendant de programmes exploitant des vulnérabilités. Entre autres choses, l’article citait une correspondance dans laquelle Toropov tentait de vendre à Hacking Team une faille Zero Day particulièrement intéressante : il s’agissait d’exploiter une vulnérabilité présente depuis quatre ans et toujours non corrigée dans la technologie Microsoft Silverlight. C’est cette information qui a mis la puce à l’oreille des chercheurs de Kaspersky Lab.

L’article en question ne fournissant aucune autre information sur la faille exploitée, les chercheurs ont entamé leur enquête en partant du nom du vendeur. Ils ont rapidement découvert qu’un utilisateur qui se nommait Vitaliy Toropov était un contributeur très actif de la base de données open source des vulnérabilités (OSVDB), où tout un chacun peut publier des informations dans ce domaine. En analysant son profil public sur le site OSVBD.org, les chercheurs de Kaspersky Lab se sont aperçu qu’en 2013, Toropov avait publié une preuve de concept (POC) décrivant un bogue dans la technologie Silverlight. Ce POC portait sur une ancienne vulnérabilité connue et aujourd’hui corrigée. Cependant, il donnait également des détails supplémentaires qui ont indiqué aux chercheurs de Kaspersky Lab comment l’auteur écrivait du code destiné à exploiter cette faille.

Au cours de l’analyse effectuée par les experts de Kaspersky Lab, certaines chaînes de code spécifiques se démarquaient véritablement. Grâce à ces informations, ils ont créé plusieurs règles de détection pour les technologies de protection de Kaspersky Lab : dès lors qu’un utilisateur, ayant accepté de communiquer des données sur les menaces à Kaspersky Security Network (KSN), rencontrait un logiciel malveillant qui présentait le comportement correspondant à ces règles de détection, le système marquait le fichier comme extrêmement suspect et adressait une notification à la société pour qu’il soit analysé. Cette tactique partait d’une hypothèse simple : si Toropov avait tenté de vendre l’exploitation d’une faille Zero Day à Hacking Team, il y avait de fortes chances pour qu’il ait fait de même auprès d’autres éditeurs de spyware. A la suite de cette activité, d’autres campagnes de cyber espionnage pouvaient s’en servir afin de cibler et d’infecter des victimes sans méfiance.

Cette hypothèse était fondée. Plusieurs mois après la mise en œuvre des règles spéciales de détection, un client de Kaspersky Lab a été la cible d’une attaque employant un fichier suspect présentant les caractéristiques recherchées. Quelques heures plus tard, quelqu’un (peut-être une victime des attaques) se trouvant au Laos a envoyé à un service multiscanner un fichier ayant les mêmes caractéristiques. Les experts de Kaspersky Lab, en analysant l’attaque, ont découvert que celle-ci exploitait en fait un bogue inconnu de la technologie Silverlight. Les informations concernant cette faille ont été communiquées sans délai à Microsoft pour validation.

« Bien que n’étant pas sûrs que la faille que nous avons découverte soit en fait celle évoquée dans l’article d’Ars Technica, nous avons de bonnes raisons de penser que c’est bien le cas. En comparant l’analyse de ce fichier aux travaux précédents de Vitaliy Toropov, nous sommes parvenus à la conclusion que l’auteur de l’exploitation de la vulnérabilité découverte récemment et l’auteur des POC publiés sur OSVDB sous le nom de Toropov était une seule et même personne. En même temps, il n’est pas impossible que nous ayons trouvé une autre faille Zero Day dans Silverlight. Globalement, ces recherches ont contribué à rendre le cyberespace un peu plus sûr en mettant au jour une nouvelle vulnérabilité Zero Day et en la révélant de manière responsable. Nous encourageons tous les utilisateurs des produits Microsoft à mettre à jour leurs systèmes dès que possible afin de corriger cette vulnérabilité », commente Costin Raiu, Directeur de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.

Les produits Kaspersky Lab détectent la vulnérabilité CVE-2016-0034 sous le nom de  HEUR :Exploit.MSIL.Agent.gen.

Adobe, Apple, Cybersécurité, Firefox, IBM, iOS, Joomla, Linux, Linux, Logiciels, Microsoft, Mise à jour, Patch

L’OS d’Apple, le logiciel le plus vulnérable aux pirates en 2015

Les temps changent ! Apple OS X aurait été l’environnement informatique le le plus vulnérable en 2015, selon le CVE.

Le CVE détails est la référence dédiée aux alertes liées aux vulnérabilités visant les logiciels que nous utilisons. Les données CVE sont collectées à partir du National Vulnerability Database (NVD), projet par l’institut National des Standards et de la Technologie. D’autres sources telles que les éditeurs eux-mêmes, ou encore Exploit DB, viennent peaufiner les bulletins d’informations.

Comme chaque année, CVE propose son top 50. Cette année, 6 412 vulnérabilités ont été annoncées par CVE. DataSecurityBreach.fr a remarqué qu’il y avait eu 1 534 failles de moins qu’en 2014. Une année qui avait été la plus chargée en alertes, avec 7 946 cas.

En 2015, le grand vainqueur en a étonné plus d’un : l’OS d’Apple avec 384 vulnérabilités. Windows 10 se placent en 35ème position avec 53 alertes. Alors que nous aurions pu penser que Flash caracolerait en tête, le format media d’Adobe ne s’est contenté « que » de 314 alertes. De son côté, Android affiche, à la 20ème place, 130 failles. Internet Explorer 231 failles. Chrome, 187 et Firefox, 178.

backdoor, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Social engineering

BadWinmail : Mail piégé via Outlook pour infiltrer un ordinateur

Un mail envoyé vers Outlook permettait de prendre la main sur le système informatique du récepteur de la missive.

Un chercheur en sécurité informatique, connu sous le nom de Li Haifei a découvert comment prendre la main sur la machine d’un utilisateur de Outlook. A la réception d’un courriel piégé, l’attaque pouvait être orchestrée. Baptisée BadWinmail, la vulnérabilité était très facile à exploiter et ne nécessitait pas beaucoup d’interaction avec le récepteur du courrier malveillant. Il suffisait, seulement, d’afficher le mail qui contenait le fichier Flash ouvrant la malveillance. Une fois de plus, le problème vient de Flash et de l’Object Linking and Embedding (OLE) qui permet l’intégration de quasiment n’importe quoi à l’intérieur de documents. L’infiltration par cette méthode permet ensuite au pirate d’injecter un logiciel espion, par exemple. Microsoft a déployé le patch correcteur début décembre.

Antivirus, Arnaque, Cybersécurité, Logiciels, Mise à jour, Particuliers, Patch, Vie privée

Effacer barres et publicités malveillantes

G DATA CLEAN UP s‘attaque aux barres d’outils, PUP et adwares L’outil de nettoyage anti PUP est disponible gratuitement.

Les adwares et autres logiciels indésirables (PUP) prolifèrent sur Internet. Généralement installés à l’insu de l’utilisateur, ces logiciels sont également difficiles à désinstaller. Avec CLEAN UP, G DATA offre un outil gratuit sans aucune installation, qui détecte et supprime les logiciels indésirables les plus courants. G DATA CLEAN UP est disponible gratuitement sur le site Internet de G DATA.

G DATA CLEAN UP peut être utilisé directement après le téléchargement et ne nécessite aucune installation. L’outil détecte actuellement 14 familles de programmes gênants ou potentiellement indésirables, et évoluera en fonction des risques. Après la localisation du programme malveillant, l’utilisateur décide si G DATA CLEAN UP le supprime ou non.

Que sont les adwares ?
Les adwares sont des logiciels qui s’installent en arrière-plan sans l’accord de l’utilisateur et qui sont difficiles à désinstaller. Ce programme n’est pas nuisible, mais il espionne le comportement de l’utilisateur pour placer des publicités ciblées et collecter des données.

Que sont des programmes potentiellement indésirables ?
En plus des adwares, il existe d’autres programmes indésirables, qui s’installent également en même temps que des programmes légitimes. Cela peut être des barres de navigation ou de prétendus outils pour optimiser le système. Des publicités agressives ou des promesses douteuses poussent l’utilisateur à l’achat. La plupart du temps, le logiciel agit pour soutirer de l’argent à l’utilisateur et a pour conséquence le ralentissement de l’ordinateur.

Configurations systèmes requises pour G DATA CLEAN UP ; PC avec Windows Vista (SP1 minimum), Windows 7/8.x/10.

G DATA CLEAN UP est indépendant de la solution de sécurité installée et compatible avec la plupart des antivirus du marché. Les fonctionnalités de l’outil évolueront en fonction des dangers par mises à jour régulières. G DATA CLEAN UP est disponible gratuitement en français.