Archives de catégorie : Logiciels

Actualités liées logiciels de sécurité informatique et protections numériques des entreprises et particuliers.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Leak, Logiciels, Microsoft, Mise à jour, Patch, Piratage

PowerMemory, l’outil qui contre les faiblesses de Windows Active Directory

Un jeune Belge, aujourd’hui basé au Canada, a inventé PowerMemory, un outil qui a pour mission d’empêcher que Windows Active Directory diffuse vos identifiants de connexion aussi simplement qu’un clic de souris.

Pierre-Alexandre Braeken travaille dans l’ingénierie des systèmes depuis plus de 11 ans. Il est aujourd’hui architecte technologique. Cet informaticien  certifié MCITP SA, MCSA 2008/2012 ou encore MCSE 2012 a comme domaine de spécialité l’architecture des systèmes et les domaines d’entreprise Active Directory. A noter qu’il est open cfp pour la conférence infiltrate de Miami. Il a développé une expertise particulière autour de la sécurité de ces systèmes et développe des outils pour prouver les idées qu’il avance. J’ai rencontré l’auteur de PowerMemory lors du HackFest Canada 2015, l’outil qui a pour mission d’empêcher que Windows Active Directory diffuse vos identifiants de connexion. Interview !

DataSecurityBreach. Qu’est ce que PowerMemory ?  

Pierre-Alexandre Braeken. PowerMemory est un outil utilisé dans des audits de sécurité de domaine Windows Active Directory. PowerMemory permet de vérifier les faiblesses de ces domaines pour les corriger. Une de ses fonctionnalités phares est la révélation des mots de passe Windows directement depuis la mémoire. Son fonctionnement est totalement nouveau puisqu’il est indépendant de l’architecture ciblé et qu’il ne fait pas appels aux fonctions de Windows pour trouver les mots de passe et pour les déchiffrer. De plus il utilise le langage de script PowerShell qui fait partie intégrante du noyau de base depuis Windows 7. [Lire l’interview du chercheur enseignant Français Jérôme Ridet au sujet de la faille PowerShell capable de faire tomber la sécurité d’un système en 5 secondes]

DataSecurityBreach. Type de failles ?

Pierre-Alexandre Braeken. PowerMemory démontre à quel point il est désormais simple de récupérer les mots de passe de n’importe quel système Windows. Il peut récupérer les mots de passe stockés dans la mémoire locale d’un système, mais également à distance. La faille met en évidence que PowerMemory est capable de révéler des mots de passe sans être administrateur d’une machine. En effet, il peut révéler les mots de passe de machine virtuelle depuis le crash d’une machine (Blue Screen Of Death = BSOD) mais également à partir d’un snapshot de machine virtuelle. Ce qui veut dire qu’un simple opérateur d’un environnement virtualisé pourrait avoir plus de droit que l’administrateur même du domaine.

Ce type de faille pourrait mener à des scénarios d’attaque d’un domaine qui permettrait à une personne mal intentionnée, depuis l’extérieur, de récupérer d’abord des accès de plus faible niveau pour ensuite remonter toute la hiérarchie des systèmes et atteindre en bout de course le Saint-Graal représenté par un contrôleur de domaine. Dès ce moment, tout le système d’entreprise s’effondre en termes de sécurité et le réseau entier n’appartient plus aux administrateurs de l’entreprise mais bien au pirate informatique.

DataSecurityBreach. Comment est-ce possible qu’une telle possibilité n’ait pas été « pensée » par Microsoft ?  
Pierre-Alexandre Braeken. J’ai prévenu Microsoft du résultat de mes recherches. Ils ne considèrent pas ceci comme une faille de sécurité. Néanmoins, quelques jours après le report complet de mes travaux, l’outil RWMC (qui révèle les mots de passe) faisant partie de la suite d’audit PowerMemory a été catégorisé officiellement par Microsoft comme un « hacktool » de niveau d’alerte « medium ».

Le problème pour Microsoft est que la façon dont ils ont conçu leur système les empêche de donner une solution applicable pour les entreprises pour tous les systèmes d’exploitation jusqu’à windows 2012R2 compris. Pour Windows 10 (seulement dans sa version professionnelle) et 2016, les choses changent puisque Microsoft a créé un nouveau système pour protéger les mots de passe stockés en mémoire. On parle de Trustlets tournant dans un environnement isolé. Pourquoi Microsoft ne protège pas ses clients tournant sur des systèmes d’exploitation non supporté ? Je pense que ceci demande des changements si majeurs au système de fonctionnement du noyau que Microsoft n’est pas prêt à apporter de changements sur des systèmes qui risquent encore d’être présent dans 15 ans…

DataSecurityBreach. Comment s’en protéger ? 

Pierre-Alexandre Braeken. Il est nécessaire d’adopter de bonnes pratiques en matière de gestion de parc informatique. Le sujet est vaste et il n’est pas évident de se protéger de ce genre d’attaque. Des gens comme Sean Metcalf (Master Active Directory, moins de 100 dans le monde) abordent le sujet de façon régulière (dont Black Hat 2015). J’ai également rédigé plusieurs documents que je compte bientôt publier sur mon blog.  J’ai également créé l’outil PowerMemory dans le but de faciliter le travail de la sécurité. L’objectif est de détecter les failles afin d’apporter des solutions qu’une entreprise peut mettre en place.  De plus, j’ai également développé un outil qui détecte la méthode utilisée par PowerMemory pour révéler des mots de passe.

DataSecurityBreach. Vous présentez votre solution aux entreprises, comment réagissent-elles ?
Pierre-Alexandre Braeken. Elles ont d’abord beaucoup de mal à comprendre les implications. En effet, les enjeux sont extrêmement importants et les réactions en conséquence. Les mots ahurissant et impressionnant ressortent souvent.  Même avec l’évidence, il est difficile pour les grandes entreprises de modifier leurs processus afin de se protéger de ce genre d’attaque.  Mon rôle consiste à les avertir et à les aider à trouver des solutions pour se protéger sans pour cela casser son modèle.

BYOD, Cloud, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Leak, Logiciels, Microsoft, Particuliers, Piratage, Social engineering

Dropbox utilisé par des pirates Chinois

Des pirates Chinois utiliseraient DropBox dans leurs attaques informatiques. Loin d’être une nouveauté, Dropbox est apprécié par les malveillants pour sa simplicité « cloudesque » !

La société américaine FireEye a annoncé avoir découvert une nouvelle attaque phishing lancée par un groupe de pirates Chinois. Ces derniers, comme des pirates que zataz a pu vous indiquer provenant d’Afrique ou de plusieurs pays de l’Est, utilisent Dropbox dans leur attaque.

Ces pirates utilisent le service de stockage pour sauvegarder leurs outils malveillants. Ils diffusent ensuite les liens Dropbox à leurs cibles. FireEye explique que depuis Août, ce « phishing » exploitant Dropbox aurait visé des militants tibétains, ainsi que des dizaines d’organisations basées au Bangladesh, au Népal, et au Pakistan.

Les pirates utilisent, entre autres, le RAT (logiciel espion) Poison Ivy. Dropbox a fait disparaître, depuis, les logiciel incriminés.

Argent, Arnaque, cryptolocker, Cybersécurité, Entreprise, escroquerie, Logiciels, Particuliers, ransomware, Social engineering

Des mails « alerte terrorisme » pour infiltrer les entreprises

De faux courriels annonçant aux entreprises qu’elles sont de potentielles cibles de terroristes cachent un fichier malveillant.

Un mail inquiétant a été diffusé au Canada, Dubaï, Bahreïn ou encore en Turquie indiquant aux entreprises ciblées par la missive qu’elles étaient des cibles potentielles d’actes de terroristes. Les escrocs derrières ces courriels surfent sur les craintes de nouvelles attaques meurtrières des membres de la secte de Daesh. Des attaques de type phishing comme on a pu le connaitre lors de médiatiques catastrophes, comme ce fût le cas pour le Tsunami qui a touché des plages Thaïlandaises en 2004.

Dans ce nouveau cas, les pirates conseillent aux lecteurs d’alerter leurs collaborateurs et familles. Ils incitent aussi à cliquer sur les pièces jointes. L’un de ces fichiers n’est rien d’autre qu’un logiciel espion. Les escrocs ont, avant de lancer leur attaque, organisé un social engineering qui leur a permis de collecter suffisamment d’information sur leurs cibles pour crédibiliser le contenu de leurs faux messages d’alertes.

backdoor, Cybersécurité, Entreprise, Logiciels, Microsoft, Mise à jour, Patch, Propriété Industrielle, Sauvegarde, Sécurité, Smartphone

i-Guard, une solution Française de sécurité informatique

i-Guard s’annonce comme une solution innovante de protection de votre informatique fondée sur la nouvelle technologie Endpoint Detection and Response.

Pas un jour sans attaque et ce quelle que soit la taille de l’entreprise ou l’administration. La grande mutation des réseaux d’entreprise en termes d’accessibilité aux informations de ses utilisateurs salariés rend nécessaire la multiplication des points à partir desquelles les réseaux peuvent être consultés. Or, il s’agit d’autant de points d’accès potentiels pour un intrus malveillant. Les données sont partout, sur de multiples supports et toutes les machines doivent être protégées, qu’elles soient connectées au réseau d’entreprise ou non.

Les nouvelles menaces notamment les attaques personnalisées et ultra ciblées de logiciels malveillants sont conçues pour contourner les solutions antivirus traditionnelles. Ces dernières sont peu efficaces contre les pirates et autres hackers. Leur fonctionnement par signatures oblige à des mises à jour régulières qui sont autant de failles avouées.

Dans ce contexte, la détection précoce des menaces grâce à de nouveaux outils est devenue une composante essentielle de la sécurité des données et du réseau informatique de l’entreprise. En détectant, en analysant et en neutralisant les menaces avant qu’elles n’aient atteint leurs objectifs, i-Guard offre la solution la plus avancée aux problématiques de sécurité informatique actuelle. Une solution qui sera proposée, dans quelques jours, en mode bêta publique.

La solution i-Guard ?
i-Guard constitue, une solution unique sur le marché dont le moteur intelligent prend seul les décisions tout en laissant la possibilité à l’administrateur réseau ou au RSSI de modifier et d’améliorer la décision adoptée s’il l’estime nécessaire. Une console de management rend l’utilisation de i-Guard particulièrement simple.

i-Guard est la seule solution de sécurité Française Endpoint Detection and Response (ERD) multiplateforme et intelligente capable d’empêcher les menaces internes et externes de : bloquer, crypter, pirater et espionner votre réseau et vos PC. L’outil est auto-apprenant et n’a pas besoin d’un logiciel antivirus pour être fonctionnel. Il agit seul et apprend des comportements des logiciels en place.

Les capacités d’adaptation de ce logiciel 100% Français permettent également, grâce à son auto-apprentissage et à son intelligence artificielle, de faire évoluer, de façon autonome, les répliques aux menaces et de les adapter en fonction de la nature et de l’ampleur des attaques détectées. Une prévention proactive contre la perte de données (DLP), la gestion des événements de sécurité sur les machines, la protection contre les attaques « Zero-day » et la défense avancée contre les menaces (Advance Threat Defense – ATD).

i-Guard protégent tous les supports des serveurs, aux ordinateurs, ordinateurs portables, tablettes et smartphones (ordiphones). Une protection ultra fine machine par machine et une visibilité avancée de la sécurité via la console de managent permettant de détecter instantanément les menaces les plus avancées, bloquant la perte de données sensibles et le risque de destruction de données sur les machines.

i-Guard offre une console de management accessible simultanément depuis plusieurs machines : iPhone, tablette, smartphone, PC… Depuis la console de management, vous avez la possibilité de bloquer des applications malveillantes tant internes qu’externes à l’entreprise contre le cryptage, la copie, l’accès, ou la transmission de données sensibles. En outre, la technologie de sécurité extrême offre une visibilité sur une variété d’événements, y compris l’accès à l’activité des applications et du système d’exploitation.

L’installation et le fonctionnement de la solution i-Guard sont fort simples. Le logiciel recherche et identifie les machines sur le réseau. Il suffit ensuite, depuis la console d’administration, de procéder à une sélection des serveurs et terminaux à protéger. i-Guard va procéder à un profilage des logiciels installés et les valider ou non. Cette console fonctionne directement depuis un simple smartphone, tablette ou bien sûr un PC.

Deux modes de fonctionnement peuvent coexister sur le réseau en fonction des machines et du type de client. Le mode Normal et le mode Stricte.
– Le mode normal permet l’installation et la mise à jour de logiciels de confiance. L’administrateur réseau peut ajouter un logiciel en liste de confiance et i-Guard l’autorisera à s’exécuter, tout en le surveillant. Les logiciels non validés par i-Guard sont mis en liste noire et ne peuvent ni s’exécuter ni se mettre à jour. La seconde possibilité, le mode strict, bloque le/les postes dans l’état de sécurité qui a été établi par i-Guard et l’administrateur réseau. Il est ainsi impossible grâce à ce mode d’installer ou modifier une application, garantissant un très haut niveau de sécurité.

L’EDR définit une catégorie d’outils et de solutions qui mettent l’accent sur la détection d’activités suspectes directement sur les hôtes et les PC du réseau. L’ERD était initialement dénommée « Endpoint Threat Detection & Response » (EDTR).

D’ici quelques jours, une version béta stable sera proposée au public. Elle n’intègre pas encore toutes les fonctionnalités (notamment sur le déploiement en réseau et dans le support des OS). L’installation de i-Guard nécessite une double installation : la console de management et le client i-Guard. La console de management peut s’installer sur un PC du réseau (windows 10 seulement pour le moment) ou sur un iPhone/iPad. D’autres plateformes sont en développement. Dans cette bêta, depuis la console de management, il est possible de voir toute l’activité des machines protégées et interagir avec elles pour fixer le type de sécurité ou encore bloquer/débloquer des logiciels que i-Guard a stoppé.

Android, Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, ios, Logiciels, Mise à jour, Particuliers, Patch, Sécurité, Smartphone, Windows phone, Wordpress, Wordpress

Double authentification pour votre site web

Un commentaire

Vous avez un site web ? En plus de votre mot de passe d’accès à votre espace d’administration utilisez la double authentification.

Après les modes d’emplois pour mettre en place la double authentification pour Youtube, gMail, Amazon, DropBox, Facebook, DataSecurityBreach.fr vous propose la même sécurité dédiée à votre site Internet. Ce mode d’emploi est à destination des utilisateurs de WordPress.

La validation en deux étapes contribue à protéger le compte d’un utilisateur contre les accès non autorisés au cas où un tiers parviendrait à obtenir son mot de passe. Même si une personne malveillante parvient à décrypter, deviner ou dérober un mot de passe, elle ne peut se connecter si elle ne dispose pas des informations de validation supplémentaires de l’utilisateur. Ces dernières se présentent sous la forme de codes que seul l’utilisateur peut obtenir via son mobile ou via une signature chiffrée contenue dans une clé de sécurité.

Mode d’emploi double authentification WordPress

Commençons par la base, télécharger l’application qu’il faudra installer dans votre smartphone. Plusieurs choix possibles : Google Authenticator ; Authy ; encore FreeOTP ou encore Duo Mobile Authentication. Ensuite, installer sur votre site Internet l’application dédiée. Une fois c’est deux actions réalisées, direction l’espace « utilisateurs » de votre espace web. Sélectionnez votre identité. Dans cette partie, apparait un espace baptisé « Code secret ».

Cliquez, soit sur « créer nouveau code secret » ou « Montrer le QR Code« . Il vous suffit de lancer l’application mobile. Ensuite, sélectionner le menu, en haut à droite du logiciel. De choisir « configurer un compte« . Plusieurs choix : de viser le QR Code avec votre ordiphone (le plus simple). Rentrer le code secret, la clé fournie, généré par l’application dans votre site web. Dorénavant, une seconde entrée de mot de passe apparaît dans votre ouverture d’administration. Il suffira d’y insérer le code fourni par votre téléphone portable.

Des hébergeur tels que OVH propose aussi la double authentification.
Chiffrement, cryptage, Cybersécurité, Facebook, ID, Identité numérique, Logiciels, Mise à jour, Particuliers, Patch, Phishing, Wordpress, Wordpress

Double authentification pour Facebook

Le site communautaire Facebook propose la double authentification. A utiliser sans modération !

Après les modes d’emplois pour mettre en place la double authentification pour Youtube, Google, Amazon, DropBox, voici venir la sécurité dédiée pour Facebook. La double authentification permet de créé un second mot de passe via votre téléphone portable, valable quelques secondes, en plus de votre identifiant de connexion de base. Bilan, si votre mot de passe est subtilisé, le pirate ne pourra pas l’utiliser. Il faut les deux identifiants pour accéder à votre compte.

Mode d’emploi double authentification Facebook

D’abord, connectez-vous à votre compte Facebook. Dans la partie « Paramètres« , option cachée dans le petit menu, en haut à droite, sur la droite du petit cadenas, cliquez sur « Générateur de code« . Votre téléphone vous fournira, via l’application Facebook, un second code à rentrer, en plus de votre mot de passe, lors de toutes connexions via un ordinateur ou appareil non connu. Par exemple, pour les joueurs et utilisateurs de PS4, Xbox One… Facebook vous communiquera un code, par SMS.

Il est possible d’utiliser l’application Authenticator de Google pour générer le précieux second mot de passe. Un code qui change toutes les 30 secondes. A noter que des sociétés Françaises telles que Gandi ou encore OVH utilisent aussi la double authentification pour protéger leurs clients.

Chiffrement, cryptage, Cybersécurité, Logiciels, Mise à jour, Patch, Wordpress, Wordpress

Double authentification pour Amazon

2 commentaires

Le site de vente en ligne Amazon propose une nouvelle sécurité, la double authentification. Explication !

Comme DataSecurityBreach.fr a déjà pu vous le proposer pour DropBox, gMail, Facebook, Youtube… la sécurité par double authentification est devenue une obligation aujourd’hui. « L’attaque est le secret de la défense, la défense permet de planifier une attaque. » comme le dit l’adage. La double authentification permet de créé un second mot de passe via votre téléphone portable, valable quelques secondes, en plus de votre identifiant de connexion de base. Bilan, si votre mot de passe est subtilisé, le pirate ne pourra pas l’utiliser. Il faut les deux identifiants pour accéder à votre compte. Amazon vient de rentrer dans cette grande famille. DataSecurityBreach.fr vous conseille fortement de l’utiliser.

Mode d’emploi double authentification Amazon

D’abord, connectez-vous à votre compte Amazon. Ensuite, dans « Your Account« , dirigez-vous vers les options de modification de votre compte « Change Account Settings« . Choisissez ensuite « Advanced Security Settings« . C’est dans cette option qu’il va vous être possible de créer la double authentification Amazon. Intéressant, Amazon propose deux sécurités. D’abord par le logiciel Authenticator, et par SMS. Bilan, dès que vous souhaitez vous connecter, Amazon vous contactera par l’un de ces deux moyens.

A noter qu’il est possible d’utiliser cette double authentification pour votre blog, site Internet, Steam, Cloudflare, Gandi ou encore OVH.

Chiffrement, cryptage, Cybersécurité, Justice, Logiciels, Tor

TOR a-t-il été piraté par le FBI ?

Des documents judiciaires utilisés par le gouvernement américain à l’encontre de réseaux de BlackMarket font référence à un groupe de recherche universitaire qui aurait aidé à trouver une faille dans TOR. Le FBI réfute les accusations.

Le service de chiffrement Tor a été conçu pour garder ses utilisateurs anonymes, mais l’année dernière, une faille aurait été découverte. Il y a quelques jours, les informaticiens derrières TOR ont annoncé que cette faille était plausible. Le groupe affirme que Tor a été « infiltré » par le FBI, avec l’aide de chercheurs de l’Université Carnegie Mellon. Ces derniers auraient été payée 1 million de dollars pour leur travail. Le FBI a réfuté ces accusations.

Dans son témoignage, le Projet Tor souligne que l’attaque ayant visé son service a débuté en février 2014. Plus d’une centaine de nouveaux relais sur le réseau Tor avaient été créés à la fin du mois de janvier, et avaient été utilisés jusqu’au 4 juillet 2014. Une infiltration qui aurait permis de collecter des informations. A l’époque, le Projet TOR ne connaissait pas encore le niveau de données collectables. Seule chose certaine pour l’équipe, c’était le Computer Emergency Response Team Carnegie Mellon (CERT) qui était derrière cette « visite ».

L’année dernière, lors du Black Hat de Las Vegas, des chercheurs du Carnegie Mellon devaient expliquer comment, avec du matériel n’ayant pas coûté plus de 3.000 dollars, ils avaient réussi à pirater le réseau TOR. Une conférence annulée au dernier moment. Le projet Tor dit que les chercheurs en question ont cessé de répondre à leurs mails.

TOR accuse le FBI, à la suite de la lecture des documents utilisés par le gouvernement, et le Département de la Justice US, à l’encontre de la boutique de blackmarket Silk Road 2.0. Son créateur, Brian Richard Farrell, aka DoctorClu, avait été arrêté en janvier 2015, et jugé. Le document indique que Farrell avait été identifié grâce à une information obtenue par « un institut de recherche universitaire. » Lors de la perquisition, le mandat judiciaire indiquait, dans les mots de l’agent spécial Michael Larson, que la source du FBI avaient permis de trouver « les adresses IP fiables Tor et des services cachés tels que Silk Road 2.0 ». Des adresses collectée entre Janvier 2014 et Juillet 2014, lors de l’opération Onymous.

L’opération Onymous a été lancée, en 2014, contre des boutiques du blackmarket par Europol, Eurojust, le FBI, le département américain de la Sécurité intérieure, et plusieurs autres services de police. 17 vendeurs et administrateurs de Silk Road 2.0 seront arrêtés, 1 million de dollars US, en Bitcoin, seront saisis.

Cybersécurité, Logiciels, Microsoft, Mise à jour, OS X, Patch

Patch Tuesday – Novembre 2015

Retour à la normale pour le Patch Tuesday de Novembre 2015. Douze bulletins concernent un large éventail de produits, depuis Internet Explorer (MS15-112) jusqu’à Skype (MS15-123). Les six petits bulletins du mois dernier étaient une anomalie probablement due aux vacances d’été. La différence marquée entre les patches pour Internet Explorer et pour Edge, en revanche, n’est pas une anomalie mais le fruit d’une ingénierie sérieuse de la sécurité.

Manifestement plus sécurisé qu’Internet Explorer, Edge s’avère être un puissant choix de navigateur Internet si vos utilisateurs peuvent s’en servir pour exécuter toutes leurs applications métier.

Pour le classement des patchs, le cru de ce mois comprend un correctif pour une vulnérabilité connue fournie dans le bulletin critique MS15-115 qui résout sept vulnérabilités dans Windows. Deux des vulnérabilités se trouvent dans le sous-ensemble de polices, ce qui les rend exploitables à distance via la navigation Web et la messagerie. Elles affectent toutes les versions de Windows, y compris Windows 10 et RT. Ce mois-ci, le bulletin MS15-115 figure en haut de la liste.

Vient ensuite MS15-112 pour Internet Explorer, avec 25 correctifs dont 23 pour des vulnérabilités critiques à base d’exécution de code à distance (RCE). Le vecteur d’attaque est une page Web, très courante, malveillante. Les cybercriminels lancent les attaques en exploitant des vulnérabilités au sein de pages Web par ailleurs anodines et en prenant le contrôle du contenu des pages dans lesquelles ils insèrent des liens invisibles qui pointent vers leurs pages d’attaque basées sur des kits d’exploits commerciaux. Ces kits concernent essentiellement des vulnérabilités récentes au sein de navigateurs et de plug-ins (Flash étant choisi dans 80% des cas selon une récente enquête de Recorded Future) et s’enrichissent de nouveaux exploits quelques jours seulement après la publication d’une vulnérabilité.

Les attaques via les navigateurs et la messagerie sont si fréquentes que le Centre pour la sécurité Internet (CIS) a revu sa liste des 20 contrôles de sécurité critiques et ajouté un contrôle dédié aux navigateurs/à la messagerie ayant une priorité de niveau 7, ce qui le positionne devant les défenses classiques contre les codes malveillants concernées par le contrôle 8.

Quoi qu’il en soit, le MS15-112 doit être déployé le plus vite possible.

Le suivant sur la liste est le bulletin de sécurité MS15-116 qui résout sept failles sous Microsoft Office. Cinq de ces vulnérabilités peuvent être exploitées pour prendre le contrôle du compte de l’utilisateur qui ouvre le document malveillant et permettre ainsi une exploitation à distance. Cet accès permet de contrôler suffisamment la machine pour lancer un certain nombre d’attaques, notamment de type Ransomware. Cependant, l’attaquant peut l’associer à une vulnérabilité locale dans le noyau Windows pour compromettre totalement la machine et en prendre pleinement le contrôle afin d’y installer de nombreuses backdoors.

Les deux autres bulletins critiques concernent Edge Browser (MS15-113) et le Journal Windows (MS15-114). Ils doivent être appliqués le plus vite possible, ne serait-ce que pour votre machine bénéficie de la toute dernière mise à niveau.

Tous classés comme importants, les autres bulletins doivent être déployés dans votre cycle de patch usuel:

  • MS15-118 concerne .NET et corrige trois vulnérabilités, dont une permettant d’exécuter du code pendant que l’utilisateur visite un site Web (Cross Site Scripting). Ces vulnérabilités sont souvent exploitées pour dérober les informations de la session de l’utilisateur et se substituer à ce dernier. Selon l’application concernée, les conséquences peuvent être lourdes. En effet, l’attaquant peut ainsi accéder à un compte de niveau Administrateur associé à votre application Web.

  • MS15-119 résout une vulnérabilité d’élévation de privilèges dans la bibliothèque de sockets Windows présente dans toutes les versions dont Windows 10.

  • Quant au bulletin MS15-117, il corrige une vulnérabilité au sein du composant réseau NDIS et qui affecte uniquement les systèmes plus anciens (Vista, Windows 7 et Server 2008).

  • MS15-120, MS15-121, MS15-122 et MS15-123 corrigent des failles uniques dans IPSEC, SChannel, Kerberos et Skype pouvant être exploitées par des dénis DoS, des attaques Man In The Middle ainsi que par des contournements de chiffrement.

Dernier point et non des moindres, Adobe a également publié une mise à jour pour Adobe Flash. APSB15-28 résout plusieurs vulnérabilités critiques permettant à un attaquant d’exécuter du code dans le contexte de l’utilisateur. Sachant que Flash est cette année une cible favorite des attaquants, n’oubliez pas de le mettre à jour sur vos machines clientes. (Analyse par Wolfgang Kandek, CTO , Qualys, Inc. (wkandek)

Chiffrement, cryptage, cryptolocker, Cybersécurité, Entreprise, Fuite de données, Logiciels, Paiement en ligne

1 spam sur 4 est européen

L’entreprise Proofpoint vient de publier son rapport trimestriel sur les menaces cyber (« Quarterly Threat Report ») qui étudie les attaques, tendances et transformation aperçues dans le paysage des risques informatiques sur la période de juillet à septembre 2015.

Dans ce rapport, on apprend que l’Union européenne génère le plus de spams à travers le monde (25,75 %) et, au sein de l’UE, l’Allemagne (3,2 %). Les Etats-Unis demeurent le pire pays globalement (11,46 % du total mondial). Les auteurs d’attaques très ciblées continuent de privilégier le courriel comme vecteur mais les réseaux sociaux ne cessent de gagner en importance. Par exemple, nous avons récemment vu des cybercriminels exploiter les demandes de service client des réseaux sociaux via Twitter.

Les campagnes diffusant le cheval de Troie bancaire Dridex ont éclipsé les autres malwares en volume et innovent constamment en matière de formats de pièces jointes, de modèles de documents ou encore de techniques de dissimulation et d’infection. Même si des efforts de lutte contre Dridex ont été signalés au trimestre précédent, cela n’a guère eu pour effet un recul de son activité sur le long terme. L’arrestation, début septembre, d’un membre du groupe à l’origine de Dridex a certes causé une pause dans cette activité mais celle-ci est repartie de plus belle, accompagnée rapidement de nouvelles formes de malware, illustrant de manière éclatante la résilience et la capacité d’adaptation des menaces.

« Angler » (Axpergle/Bedep) domine la scène des kits d’exploitation des vulnérabilités, où quatre autres acteurs (Neutrino, Nuclear, Magnitude et RIG) représentent l’essentiel du reste de ce type d’activité. Angler est connu, comme le montre notre capture écran, comme étant un grand acteur des vagues de ransomware de la planète web.