Archives de catégorie : Logiciels

Actualités liées logiciels de sécurité informatique et protections numériques des entreprises et particuliers.

Une nouvelle technologie brevetée contre l’espionnage audio

Afin d’aider les utilisateurs à se protéger contre la menace d’une surveillance audio, Kaspersky Lab a fait breveter une méthode pour contrer les accès non autorisés au microphone des machines Windows.

Pour contrôler l’accès aux données audio de l’utilisateur, il est nécessaire de surveiller toutes les requêtes adressées au micro dans le système d’exploitation, afin de bloquer tout accès non autorisé ou provenant d’un programme non fiable. Il ne suffit pas à l’utilisateur de simplement couper le micro ou de le recouvrir avec du ruban adhésif, car cela n’empêche pas un intrus d’enregistrer les sons autour de l’ordinateur moyennant des haut-parleurs ou d’autres méthodes. Or Windows n’offre actuellement en standard aucune protection spéciale contre les accès non autorisés aux données audio de l’utilisateur. C’est pourquoi les experts de Kaspersky Lab ont développé une nouvelle méthode, qu’ils ont fait breveter.

La technologie de Kaspersky Lab filtre les commandes internes envoyées au service Windows Audio, ou reçues par ce dernier, et signale la création de chaque nouveau flux audio par toute application quelle qu’elle soit. Ensuite, elle fait appel à la fonction Application Control de Kaspersky Lab, qui classe tous les programmes en diverses catégories (fiable, restreint, non fiable) suivant sa réputation, son contenu et son fabricant. Si un programme considéré « non fiable » ou bien « restreint » tente d’accéder au micro, sa requête est immédiatement bloquée.

Alexander Kalinin, chercheur senior en sécurité chez Kaspersky Lab et l’un des inventeurs de la technologie, commente : « La vie privée des utilisateurs est primordiale à nos yeux. C’est pourquoi nous développons des technologies permettant de préserver leur univers numérique de tout accès malveillant. En matière de protection audio, la principale difficulté tient à l’existence d’un système de multiplexage des flux audio dans Windows, de sorte que plusieurs applications peuvent enregistrer des sons simultanément. Cependant, nous avons pu résoudre ce problème facilement grâce à notre riche infrastructure de pilotes pour le noyau, qui comprend un mécanisme de contrôle des commandes entre les services Windows ».

La protection Audio fait partie des technologies de protection de la vie privée incorporées aux solutions de sécurité de Kaspersky Lab pour les particuliers. Elle intervient ainsi aux côtés de la technologie qui avertit l’utilisateur de tout accès à sa webcam intégrée ou connectée, ou encore de la navigation privée, qui bloque toute tentative de collecte des données personnelles via un navigateur web. Ces deux dernières fonctionnalités sont disponibles sur Mac et PC. Pour en savoir plus sur le brevet US9652625, suivez ce lien. Kaspersky Lab détient aujourd’hui plus de 580 brevets déposés aux Etats-Unis, en Russie, dans l’Union européenne et en Chine.

Fruitfly : code malveillant pour MAC

Le malware, nommé Fruitfly, a été détecté en janvier 2017. Le chercheur en sécurité pour Synack, Patrick Wardle, a récemment détecté une variante du virus qui serait présente dans certains MAC depuis au moins cinq ans.

Fruitfly, le malveillant pour MAC ! Les capacités de ce logiciel-espion couvrent plusieurs fonctionnalités comme l’activation des webcams et micros, la modification d’un fichier ou l’enregistrement de la saisie clavier. L’espion peut alors surveiller les gestes de l’utilisateur mais aussi subtiliser ses données. Fruitfly a touché 400 appareils selon Mashable, principalement aux États-Unis, mais le chiffre pourrait être revu à la hausse selon le chercheur en sécurité.

Patrick Wardle voit dans ce virus une attaque sans but financier : Un pirate a conçu cet espiogiciel pour espionner des utilisateurs, en précisant que ce logiciel d’espionnage a été conçu pour de la surveillance de pointe. Le chercheur, qui a déjà travaillé pour la NSA, a déjà vu ce type de surveillance auparavant mais d’habitude, on voit ça dans des logiciels gouvernementaux ou d’État-nation selon lui.

Wardle estime que les créateurs de cette variante de Fruitfly avaient déjà abandonné leur malware. La menace est d’ailleurs en partie oubliée puisque les adresses des serveurs et les noms de domaines utilisés par le malware sont déjà désactivés.

La première version de FruitFly avait été détectée par Malwarebytes. La version cachée depuis 5 ans dans des centaines de MAC serait l’évolution de la souche découverte par MB. Jérôme Ségura, Expert en sécurité chez Malwarebytes nous livre les premiers éléments d’analyse sur ce nouveau malware : « Après la découverte de la première version du malware Mac FruitFly (détecté sous le nom de OSX.Backdoor.Quimitchin par Malwarebytes). FruitFly2 est lui aussi écrit avec du code assez rudimentaire. Ce genre de découverte nous rappelle que les Macs ne sont pas à l’abri des virus informatiques.« 

Comme le montrait ZATAZ.COM, les logiciels espions pour MAC existent, certains sont mêmes offerts. 2017 a déjà battu le record de l’année ou le nombre de malwares ciblant Apple a été le plus important. La légende selon laquelle posséder un Mac met à l’abri des malwares doit être reconsidérée car nous constatons de plus en plus d’infections où l’utilisateur se fait duper et installe un programme malveillant sur un MAC.

Microsoft corrige 94 vulnérabilités via une mise à jour massive

Microsoft vient de publier les patches pour résoudre 94 vulnérabilités, dont 27 corrigent des problèmes d’exécution de code à distance (RCE) donnant à l’attaquant le contrôle à distance des machines ciblées. Il s’agit d’une mise à jour massive qui résout deux fois plus de vulnérabilités qu’au cours des deux derniers mois.

La priorité absolue va à la vulnérabilité CVE-2017-8543 qui, selon Microsoft, est actuellement exploitée en mode aveugle. Les attaquants peuvent contrôler totalement l’ordinateur ciblé en envoyant une requête SMB au service de recherche Windows. Sont concernés : Windows Server 2016, 2012, 2008 ainsi que des systèmes bureautiques comme Windows 10, 7 et 8.1. Cette vulnérabilité étant actuellement utilisée pour mener des attaques, nous recommandons aux entreprises d’appliquer les patches dès que possible. Autre vulnérabilité en cours d’exploitation, CVE-2017-8464 elle permet de prendre le plein contrôle d’une machine par le biais d’une exécution de code à distance via l’icône de raccourci LNK (Windows).

Microsoft a également publié l’avis de sécurité 4025685 qui concerne aussi des plateformes plus anciennes en raison d’un risque d’exploitation élevé.

Autre priorité élevée, CVE-2017-8527, la vulnérabilité qui affecte le moteur de rendu graphique de Windows et déclenchée lors de la consultation d’un site Web pirate conçu à l’aide de polices malveillantes. Similaires au problème de police évoqué ci-dessus, les vulnérabilités CVE-2017-8528 et CVE-2017-0283 peuvent être déclenchées lorsque des utilisateurs consultent du texte Unicode encodé dans un but malveillant. Les deux problèmes entraînent une prise de contrôle complète de la machine ciblée.

Il est conseillé aux entreprises qui utilisent Outlook de corriger CVE-2017-8507, l’une des vulnérabilités permettant d’envoyer des emails malveillants et de prendre le contrôle complet d’un système lorsque ces emails sont consultés depuis Outlook. Les vulnérabilités Office CVE-2017-0260 et CVE-2017-8506 peuvent être déclenchées suite à l’ouverture de documents Office malveillants. Elles doivent donc être corrigées dès que possible car Office est un vecteur assez simple à exploiter pour lancer des attaques de type ingénierie sociale.

Les patches pour Microsoft Edge et IE résolvent de nombreux problèmes d’exécution de code à distance (RCE) tandis que les vulnérabilités CVE-2017-8498, CVE-2017-8530 et CVE-2017-8523 revêtent une importance toute particulière car elles ont été divulguées publiquement mais aucune attaque n’a encore été observée à ce jour. Parmi les autres problèmes d’exécution de code à distance résolus par la mise à jour de juin citons les vulnérabilités CVE-2017-0291 et CVE-2017-0292 PDF pour Windows.

En résumé, nous avons affaire à une mise à jour de sécurité importante et qui résout un nombre deux fois plus élevé de vulnérabilités qu’au cours des deux derniers mois. La vulnérabilité SMB CVE-2017-8543 activement exploitée ainsi que d’autres problèmes affectant les polices, Outlook, Office, Edge et IE vont pleinement occuper les administrateurs système et les équipes de sécurité. (Publié par amolsarwate dans The Laws of Vulnerabilities)

Vol de code : quand la rivalité entre pirates profite aux victimes de ransomwares

Un outil de déchiffrement pour des variantes du ransomware AES-NI grâce aux pirates eux-mêmes. Ils l’ont rendu public suite à la propagation d’un autre ransomware utilisant le même code.

Les clés de la variante A (Win32 / Filecoder.AESNI.A.) avaient déjà été publiées sur un forum d’aide aux victimes de ransomware, les auteurs ayant revendiqué être les développeurs du malware. Pour la variante B (Win32 / Filecoder.AESNI.B), les pirates l’ont diffusé sur Twitter. Quant à la variante C (Win32 / Filecoder.AESNI.C) connue sous le nom d’XData, un invité anonyme a posté la clé sur un forum quelques jours plus tard.

Comme le souligne BleepingComputer, le groupe de cybercriminels responsable de la propagation du ransomware AES-NI affirme que son code source a été volé et utilisé par le ransomware XData (détecté par ESET le 8 décembre 2016 sous Win32 / Filecoder.AESNI.C).

Piratage informatique dans le monde du ransomware ! À l’origine, le ransomware possède des restrictions empêchant les infections en Russie et dans la Communauté des États Indépendants (CEI). Cette technique est souvent utilisée par les cybercriminels russes qui évitent ainsi les poursuites intentées par leur gouvernement.

Après avoir volé le code source plus tôt cette année, les restrictions semblent avoir été levées pour cibler l’Ukraine et ses pays voisins :  entre le 17 et le 22 mai 2017, ce ransomware a été détecté à 96% en Ukraine.

Les victimes ayant des fichiers chiffrés peuvent télécharger l’outil de déchiffrement ESET en cliquant ici.

Comment se protéger

Pour ce cas précis, la séparation des comptes d’administration et d’utilisateur évite en grande partie les préjudices, car le ransomware XData se sert des mots de passe d’administration pour se propager. Sans les privilèges administrateurs, XData ne peut infecter qu’un seul ordinateur au lieu du réseau.

De manière générale, voici ce que vous pouvez faire pour vous protéger contre la plupart des ransomwares :

• utilisez une solution de sécurité fiable et multicouche ;

• mettez régulièrement à jour vos logiciels et patchez votre système d’exploitation ;

• sauvegardez vos fichiers sur un disque dur ou un emplacement distant non connecté au réseau ;

• ne cliquez jamais sur les pièces jointes et les liens des emails suspects ou dont vous ignorez la source.

 

Les sous-titres de films dangereux sur le web ?

Des chercheurs ont étudié un nouveau vecteur d’attaque, les sous-titres, menaçant des centaines de millions d’utilisateurs de lecteurs multimédias populaires, dont notamment VLC, Kodi (XBMC), Popcorn Time et Stremio.

En créant des sous-titres malveillants, qui sont ensuite téléchargés par les téléspectateurs, des agresseurs peuvent potentiellement prendre le contrôle total de tout appareil utilisant les plates-formes vulnérables.

« La chaîne d’approvisionnement des sous-titres est complexe. Il existe plus de 25 formats de sous-titres différents, tous dotés de fonctionnalités uniques. Un tel écosystème fragmenté, avec une sécurité limitée, signifie qu’il existe de multiples vulnérabilités qui pourraient être exploitées, ce qui en fait une cible extrêmement attrayante pour les agresseurs, » déclare Omri Herscovici, vulnerability research team leader chez Check Point. « Nous avons actuellement découvert que des sous-titres malveillants peuvent être créés et automatiquement diffusés à des millions d’appareils, en contournant les logiciels de sécurité et en donnant aux agresseurs un contrôle total sur les appareils infectés et les données qu’ils détiennent. »

L’équipe de recherche a découvert des vulnérabilités dans quatre des lecteurs multimédias les plus populaires, VLC, Kodi, Popcorn Time et Stremio, et a suivi les bonnes pratiques de communication responsable pour signaler les vulnérabilités. En exploitant les vulnérabilités de ces plates-formes, des pirates étaient en mesure d’utiliser des fichiers malveillants pour prendre le contrôle des appareils équipés de lecteurs de médias vulnérables.

Les sous-titres des films ou des émissions de télévision sont créés par une grande variété d’auteurs de sous-titres, et sont téléchargés sur des sites de partage tels que OpenSubtitles.org pour indexation et classement. Les chercheurs de Check Point ont également démontré qu’en manipulant l’algorithme de classement de ces sites, les sous-titres malveillants peuvent être automatiquement téléchargés par le lecteur multimédia, ce qui permet aux pirates d’exercer un contrôle total sur toute la chaîne d’approvisionnement des sous-titres sans nécessiter d’interaction de la part des utilisateurs.

Depuis que ces vulnérabilités ont été signalées, les quatre entreprises les ont corrigées. Stremio et VLC ont également publié de nouvelles versions de leurs logiciels intégrant cette correction. « Pour se protéger et minimiser le risque d’attaque, les utilisateurs doivent mettre à jour leurs lecteurs en streaming, » conclut M. Herscovici.

La dernière version de VLC publiée le 5 juin 2016 a été téléchargée plus de 170 millions de fois. Kodi (XBMC) compte plus de 10 millions d’utilisateurs uniques par jour et près de 40 millions d’utilisateurs uniques par mois. Aucune estimation actuelle n’existe quant aux utilisateurs de Popcorn Time, qui sont cependant estimés à des dizaines de millions. Check Point a des raisons de croire que des vulnérabilités similaires existent dans d’autres lecteurs multimédias.

Vulnérabilités : Microsoft corrige son moteur de protection anti-Malware

Quelques heures avant la diffusion de son Patch Tuesday, Microsoft a publié une mise à jour urgente qui corrige une vulnérabilité au sein de son moteur de protection anti-Malware (Malware Protection Engine). Cette vulnérabilité critique permet à un attaquant de prendre le plein contrôle de la machine ciblée en envoyant tout simplement un courrier avec une pièce jointe malveillante. Lorsque le moteur de protection anti-malware analyse la pièce jointe, le code malveillant présent dans le fichier s’exécute et donne à l’attaquant un accès complet et total à l’ordinateur ciblé. L’attaque peut également être menée en envoyant le fichier par l’intermédiaire d’un message instantané ou en persuadant la victime de télécharger le fichier depuis un site Web. Il est absolument essentiel que les entreprises qui utilisent Microsoft Malware Protection Engine vérifient qu’elles disposent bien de la version 1.1.10701.0 ou supérieure. En outre, elles doivent vérifier si elles ont bien déployé le correctif pour la vulnérabilité CVE-2017-0290 qui vient d’être publié pour résoudre même problème.

Dans ce Patch Tuesday de mai, Microsoft publie des correctifs pour un total de 57 vulnérabilités. La priorité absolue va à la correction des vulnérabilités 0-Day activement exploitées. Au top de notre liste, le patch pour Office destiné à corriger la vulnérabilité CVE-2017-0261 qui est déclenchée lorsqu’un utilisateur ciblé ouvre un fichier Office contenant une image graphique déformée. Le fichier peut être envoyé par email ou tout autre moyen. Comme cette vulnérabilité est activement exploitée en aveugle et que les attaquants peuvent prendre le plein contrôle du système visé, elle doit être traitée de manière prioritaire.

La vulnérabilité CVE-2017-0222 se trouve également en haut de notre liste car elle affecte Internet Explorer dont les utilisateurs peuvent être compromis s’ils se rendent sur un site Web malveillant hébergé par des attaquants. Ce correctif est prioritaire car la vulnérabilité est actuellement exploitée en aveugle et les attaquants peuvent prendre le plein contrôle du système ciblé.

La priorité suivante revient à CVE-2017-0229, la vulnérabilité qui touche le navigateur Edge et qui a été divulguée publiquement avant la publication de ce Patch Tuesday. Grâce à cette faille, un attaquant peut prendre le contrôle total de la machine ciblée lorsqu’un utilisateur navigue sur des sites malveillants à l’aide d’Edge.

Ensuite, la priorité va à trois vulnérabilités critiques au sein du protocole SMB avec exécution de code à distance (CVE-2017-0277, CVE-2017-0278 et CVE-2017-0279) qui affectent les serveurs Windows ainsi que les postes de travail clients. Ce problème est lié à la manière dont le serveur Microsoft Server Message Block 1.0 (SMBv1) traite certaines requêtes. En effet, un attaquant parvenant à exploiter cette vulnérabilité pourrait exécuter du code sur la machine ciblée. Dans la plupart des cas, pour exploiter cette vulnérabilité, un attaquant non authentifié enverra un paquet malveillant au serveur SMBv1.

Microsoft a profité de ce Patch Tuesday pour publier des mises à jour pour Microsoft Edge et Internet Explorer 11 pour empêcher le chargement de sites protégés par l’algorithme SHA-1 et afficher un avertissement de certificat non valide. Ce changement impactera uniquement les certificats SHA-1 chaînés à un certificat racine faisant partie du programme de certificats racines de confiance Microsoft où le certificat de l’entité finale ou de l’autorité de certification intermédiaire s’appuie sur l’algorithme SHA-1. Les certificats SHA-1 installés manuellement dans les entreprises ou auto-signés ne seront pas concernés par cette mesure.

En résumé, la publication d’aujourd’hui permet de corriger 3 vulnérabilités activement exploitées ainsi que 4 vulnérabilités divulguées publiquement dont celles affectant le moteur de protection anti-logiciels malveillants Microsoft, Office, IE, Edge et le protocole SMB. Gardez également en mémoire que Microsoft a déprécié les certificats SHA-1 pour IE et Edge. (Publié par amolsarwate dans The Laws of Vulnerabilities)

Ménage de printemps : Effacer les virus

Effacer les virus ? Les ordinateurs, tablettes et portables ont aussi le droit à leur nettoyage de printemps. Pour optimiser les performances de vos appareils, voici 6 points à ne pas négliger.

Effacer les virus ! D’abord, nettoyer physiquement ses appareils. Ceci vaut surtout pour les unités centrales qui s’encrassent rapidement : les ventilateurs qui permettent de refroidir la machine aspirent de l’air extérieur. L’accumulation de poussières perturbe le refroidissement et peut entraîner une surchauffe, voire le plantage de la machine. Pour cela, il est recommandé de dépoussiérer l’appareil 1 à 2 fois par an avec un petit compresseur à air. Il est conseillé de faire de même avec l’ordinateur portable et de nettoyer également clavier, souris, écran (notamment ceux des téléphones et des tablettes). Les téléphones portables contiendraient 500 fois plus de bactéries que la cuvette des toilettes.

Ensuite, comme le rappelle ESET, mettre à jour les logiciels. La mise à jour des logiciels, quels qu’ils soient, est très importante pour la sécurité des appareils. Elle permet de réparer les éventuelles failles ou vulnérabilités découvertes par l’éditeur. Activer les mises à jour automatiques est un bon moyen de ne plus les oublier.

Faire une copie de ses fichiers sur un autre appareil. Il est important de sauvegarder ses données sur un support amovible (tel un disque dur). Les appareils ne sont pas infaillibles et personne n’est à l’abri d’une fuite de données. Cette étape est nécessaire avant de passer à la suivante, qui consiste à nettoyer entièrement le disque dur de l’ordinateur.

Nettoyer le disque dur

Le disque dur est soumis à rude épreuve : la navigation sur Internet, autant que les logiciels dont on se sert régulièrement (traitement de textes, jeux…) réduisent la place disponible sur le disque dur. Ceci entraîne un ralentissement de la machine. La première étape consiste à vider la corbeille puis à stocker ses données sur un support amovible, comme une clé USB ou un disque dur externe par exemple. Il faudra ensuite compresser les données et vider le cache Internet. Enfin, l’utilisateur devra lancer le nettoyage de disque, une fonctionnalité disponible chez Microsoft® par exemple, et qui permet de gagner de l’espace sur le disque dur en supprimant les fichiers inutiles (cookies, fichiers temporaires…). Une deuxième opération est également nécessaire : il s’agit de la défragmentation. Elle permet de ranger les fichiers les uns à la suite des autres afin d’optimiser l’espace disponible sur le disque dur.

Désinstaller les logiciels inutiles et effacer les virus

Supprimer les logiciels inutiles, voire néfastes, permet de libérer de l’espace sur le disque dur et d’améliorer la sécurité de son appareil. Pour ce faire, il est possible d’utiliser un logiciel spécialisé ou de chercher dans les paramètres de l’ordinateur l’outil de désinstallation d’un programme ou d’une fonctionnalité. C’est le moment d’en profiter pour supprimer les logiciels inutiles dont on ne se sert plus.

Et pour finir, protéger son appareil avec une suite de sécurité efficace afin de ne plus être obligé d’effacer les virus qui auraient pu s’installer dans votre ordinateur, tablette ou smartphone.

Cyber-espionnage et ransomware en hausse

Le cyber-espionnage et les ransomwares sont en augmentation constante d’après le Data Breach Investigations Report 2017.

Le cyber-espionnage est désormais le type d’attaque le plus courant dont font l’objet l’industrie, le secteur public et même l’éducation, signale Verizon dans l’édition 2017 de son rapport Data Breach Investigations Report.  Ceci s’explique surtout par la prolifération des recherches de propriété intellectuelle, des prototypes et des données personnelles confidentielles, qui attirent tout particulièrement les cybercriminels. Sur près de 2 000 compromissions analysées cette année, le rapport compte 300 cas de cyber-espionnage (21%), dont beaucoup n’étaient à l’origine que des e-mails de phishing.

De plus, les organisations criminelles intensifient leur utilisation des ransomwares pour extorquer l’argent des victimes : le rapport fait état d’une augmentation de 50% des attaques de ransomwares par rapport à l’année précédente.  Malgré cette augmentation et la médiatisation autour de l’utilisation des ransomwares, de nombreuses entreprises utilisent toujours des solutions de sécurité qui ne sont plus au goût du jour et elles n’investissent pas suffisamment dans des précautions supplémentaires.  Elles honorent les demandes de rançon plutôt que d’investir dans des services de sécurité qui pourraient les protéger d’une cyberattaque.

« Les éclairages qu’apporte le rapport DBIR uniformisent les règles du jeu de la cybersécurité », déclare George Fischer, président de Verizon Enterprise Solutions. « Nous apportons aux états et aux entreprises l’information dont ils ont besoin pour se protéger contre les cyberattaques et mieux gérer le cyber-risque. En analysant les données de notre propre équipe dédiée à la sécurité et celles d’autres grands professionnels de la sécurité et institutionnels du monde entier, nous mettons à disposition de précieuses informations de veille pour aider à transformer le profil de risque d’une organisation. »

Le rapport DBIR de cette année, qui en est à sa 10ème édition, propose une analyse des actuelles problématiques de cybersécurité et des informations sectorielles afin de sensibiliser les entreprises et administrations pour qu’elles fassent de la sécurité leur priorité. Voici quelques-unes des conclusions du rapport :

•    L’importance croissante des malwares : 51% des cas de compromission de données analysés impliquaient des malwares. Le ransomware progresse à la cinquième place des malwares spécifiques les plus courants. Cette technologie d’extorsion de fonds aux victimes affiche une progression de 50% par rapport à l’édition précédente, et fait un énorme bond par rapport au rapport DBIR de 2014 où elle se classait à la 22ème place des types de malwares en circulation.

•    Le phishing a toujours du succès : Dans l’édition 2016 du rapport DBIR, Verizon signalait l’utilisation croissante des techniques de phishing liées à l’installation d’un logiciel sur le terminal d’un utilisateur. Cette année, le processus se retrouve dans 95% des attaques de phishing. Une technique de phishing est présente dans 43% des cas de compromission de données et la méthode sert autant pour le cyber-espionnage que pour les attaques à but lucratif.

•    Essor des tactiques de faux semblant (pretexting) : L’édition 2017 du rapport DBIR montre que la tactique en plein essor de pretexting cible de façon prédominante les salariés des services financiers, ceux qui détiennent les clés des procédures de transfert d’argent. L’e-mail est le premier vecteur de communication, utilisé dans 88% des cas de pretexting ayant un but lucratif, suivi en seconde position par les communications téléphoniques dans moins de 10% des cas.

•    Les petites entreprises sont aussi visées : 61% des victimes analysées étaient des entreprises de moins de 1 000 salariés.

Cyber-espionnage

« Les cyber-attaques ciblant le facteur humain sont toujours un gros problème », déclare Bryan Sartin, directeur exécutif de la branche Global Security Services de Verizon Enterprise Solutions. « Les cybercriminels se concentrent sur quatre éléments moteurs du comportement humain pour encourager les individus à révéler des informations : l’empressement, la distraction, la curiosité et l’incertitude. Et ça marche, puisque notre rapport fait étatd’une forte augmentation des cas de phishing et de pretexting cette année. »

Le rapport de cette année apporte des éclairages concernant certains secteurs spécifiques, et révèle les problématiques spécifiques de différents secteurs verticaux, en plus de répondre systématiquement aux questions « qui ? quoi ? pourquoi ? et comment ? ».
Voici quelques-unes des conclusions sectorielles :

•    Les trois secteurs d’industrie visés par les compromissions de données sont les services financiers (24%) ; la santé (15%) et le secteur public (12%).

•    Les entreprises du secteur de l’industrie sont les cibles les plus fréquentes des malwares adressés par e-mail.

•    68% des menaces visant le secteur de la santé sont perpétrées depuis l’intérieur de l’organisation.

« Les données du cybercrime varient beaucoup d’un secteur à un autre », commente Bryan Sartin. « Ce n’est qu’en comprenant les mécanismes fondamentaux de chaque secteur vertical que l’on peut apprécier les défis de cybersécurité de chacun et recommander des mesures appropriées. »

Sachant que dans 81% des cas de compromission, on retrouve des mots de passe volés et/ou peu sécurisés ou faciles à deviner, il demeure très important de poser des bases solides. Voici quelques recommandations à l’attention des entreprises et des individus :
1.    Restez vigilants : les fichiers journaux et les systèmes de gestion du changement peuvent être des indicateurs d’alerte précoce d’une compromission.
2.    Utilisez vos salariés comme première ligne de défense : formez-les pour qu’ils sachent détecter les signes d’alerte.
3.    Appliquez le principe de la nécessité absolue : seuls les salariés ayant besoin d’avoir accès aux systèmes pour travailler sont effectivement autorisés.
4.    Installez les correctifs dans les meilleurs délais : c’est le meilleur moyen de se protéger de très nombreuses attaques.
5.    Chiffrez les données sensibles : rendez vos données inexploitables en cas de vol.
6.    Utilisez la double authentification : vous limiterez l’ampleur des dégâts en cas d’identifiants perdus ou volés.
7.    Ne négligez pas la sécurité physique : tous les vols de données ne se produisent pas en ligne.

La faille de Microsoft Office CVE-2017-0199 utilisée pour diffuser l’espion LatentBot

Une faille dans Microsoft Office utilisée depuis des semaines par des pirates pour diffuser le logiciel espion LatentBot.

L’espion LatentBot aimait Office ! Microsoft vient de corriger une vulnérabilité dans Office. Une faille qui permet de cacher des instructions malveillantes dans un document sauvegardé au format .RTF. Dès le 4 mars 2017, des documents malicieux exploitant CVE-2017-0199 ont été utilisés pour délivrer le malware LATENTBOT. Le malware, qui possède une capacité de vol d’identités, n’a depuis lors été observé que via des pirates aux motivations financières. LATENTBOT est un type de malware modulaire et extrêmement bien caché qui a été découvert pour la première fois par FireEye iSIGHT Intelligence en décembre 2015. Il possède une variété de capacités, dont le vol d’identités, l’effacement de disque dur et de données, la désactivation de logiciel de sécurité, et l’accès à distance du poste de travail. Récemment, nous avons identifié des campagnes LATENTBOT utilisant Microsoft Word Intruder (MWI). Les documents leurre distribuant le malware LATENTBOT utilisent des méthodes de manipulation génériques, de type document.doc ou hire_form.doc.

Des échantillons de FINSPY et de LATENTBOT partagent la même origine

Cette faille a permis à d’autres pirates de diffuser un autre outil d’espionnage, FINSPY. Un logiciel légalement commercialisé par la société Gamma group. Des artefacts partagés dans les échantillons de FINSPY et de LATENTBOT suggèrent que le même assembleur a été utilisé pour créer les deux, ce qui indique que l’exploit 0day a été fourni à la fois pour des opérations criminelles et de cyber espionnage en provenance de la même source.

Des campagnes de spam DRIDEX juste après la divulgation de CVE-2017-0199

A la suite de la divulgation des caractéristiques de la faille zero day le 7 avril 2017, celle-ci a été utilisée dans des campagnes de spam DRIDEX, qui continuent encore à ce jour. Nous ne pouvons confirmer le mécanisme par lequel les acteurs ont obtenu l’exploit. Ces acteurs peuvent avoir exploité les connaissances sur la faille obtenues dans les termes de la divulgation, ou y avoir eu accès lorsqu’il est devenu clair que la diffusion d’un patch était imminent. Une campagne de spams a été diffusée le 10 avril 2017, exploitant un leurre « Scan Data. » Le document en attachement exploitait CVE-2017-0199 pour installer DRIDEX sur l’ordinateur de la victime.

Perspectives et implications

Même si un seul utilisateur de FINSPY a été observé exploitant cet exploit zero day, la portée historique de ce malware, dont les capacités ont été utilisées par plusieurs états nations, suggère que d’autres clients y ont eu accès. De plus, cet incident confirme la nature globale des cyber menaces et l’intérêt de disposer d’une perspective mondiale – un incident de cyber espionnage ciblant des russes peut fournir l’occasion d’en savoir plus et d’interdire des activités criminelles visant des individus parlant une autre langue ailleurs.

Lookout et Apple renforcent les mobiles sous iOS

Lookout renforce sa solution Mobile Endpoint Security pour améliorer la productivité des flottes entreprises mobiles IOS.

Lookout, spécialiste de la sécurisation de la mobilité, a étendu sa solution de sécurité d’entreprise, Mobile Endpoint Security, pour répondre aux besoins des organisations qui ont fait le choix de la plateforme iOS et accélérer l’adoption de la mobilité sécurisée en entreprise.

Lookout et Apple reconnaissent l’impact que peut avoir le mobile sur le monde du travail et ont identifié qu’avec l’augmentation de la productivité mobile, les entreprises développent de plus en plus leurs propres applications. En tant que nouveau partenaire mobilité d’Apple, Lookout lance fonction d’analyse des applications internes/métiers des entreprises pour permettre aux entreprises qui développent leurs propres applications iOS de pouvoir analyser rapidement la conformité en termes d’accès et d’utilisation données et identifier les risques de sécurité. En utilisant l’option d’analyse des applications incluse dans la solution Mobile Endpoint Security de Lookout, les applications d’entreprises iOS personnalisées sont uploadées dans l’infrastructure de sécurité Lookout pour être vérifiées par rapport à base de données existante de plus de 40 millions d’applications et permettre d’identifier les anomalies avant leur distribution par le biais des magasins d’applications internes.

De nombreuses entreprises ont des politiques de conformité uniques qui précisent comment les données doivent être stockées et sont transmises, y compris pendant leur utilisation sur des appareils mobiles et des applications. Certaines applications mobiles ou réseaux wi-fi peuvent compromettre ces politiques. Par exemple, les applications d’entreprises développées par des tiers et distribuées par les magasins d’applications internes peuvent ne pas avoir de chiffrement suffisant pour protéger les données clients ou patients.

« Les entreprises doivent avoir l’assurance que leurs données sont sécurisées tandis que leurs employés travaillent partout à travers le monde. », explique Santosh Krishnan, chef de produit chez Lookout. « La nouvelle fonctionnalité d’analyse des applications permet de vérifier le niveau de conformité des applications mobiles dans le cadre de notre mission collective de permettre aux organisations d’adopter de nouveaux modes de productivité mobile de la façon la plus transparente possible. »

En plus d’examiner des applications personnalisées, la solution Mobile Endpoint Security de Lookout peut également examiner les applications téléchargées depuis l’App Store. Bien que déjà examinées et approuvée par le strict processus de validation existant des applications de l’App Store d’Apple, certaines applications peuvent quand même envoyer automatiquement les contacts ou des informations de géolocalisation vers un serveur externe et être ainsi en contradiction directe avec les politiques établies de l’entreprise. De plus, avec la progression de la mobilité, les employés se connectent souvent à des réseaux Wi-Fi publics qui peuvent exposer les données de l’entreprise en transit.

La solution Mobile Endpoint Security de Lookout étend la sécurité intégrée de la plateforme iOS en exploitant son infrastructure de sécurité propriétaire pour fournir aux entreprises la visibilité et la possibilité de protéger leurs applications, distribuées via MDM pour iOS, des menaces réseaux et des comportements suspects. Grâce à la solution Mobile Endpoint Security, les clients de Lookout peuvent :

  • Identifier les risques qui peuvent menacer les applications construites en interne : Alors que les entreprises développent des applications propriétaires pour faciliter des flux de travail mobiles et améliorer la productivité de leurs employés et clients, les développeurs seront en mesure de présenter rapidement des applications pour analyse. Cet avis peut fournir des données immédiates sur les comportements non conformes, les logiciels malveillants et les vulnérabilités de code, tout en offrant la possibilité de détecter une application qui fait appel à des APIs non autorisées ou privées.
  • Permettre aux employés mobiles de travailler en toute sécurité : Lookout sécurise les appareils mobiles et les données par le biais d’une analyse automatique de l’appareil à chaque connexion réseau pour le protéger contre les attaques et permettre aux informations d’être transmises en toute sécurité.
  • Prendre les mesures nécessaires pour rester conforme, même sur mobile : Avec la solution Mobile Endpoint Security de Lookout, les entreprises ont maintenant la visibilité requise sur les applications installées sur les appareils mobiles de leurs employés qui peuvent ne pas être en conformité avec les politiques de sécurité établies de l’entreprise et / ou des règlements de l’industrie. Exclusivement pour iOS, les entreprises peuvent voir quelles applications se connectent aux services cloud et celles qui pourraient enfreindre la politique des données de l’entreprise, telles que celle du partage des contacts et celle des informations de localisation. Lookout fournira également aux entreprises de la visibilité sur la bonne utilisation par les applications iOS des nouvelles fonctionnalités en matière de sécurité dans iOS.

Lookout Mobile Endpoint Security est vendu grâce au programme de partenaires de Lookout. Pour les employés d’entreprises utilisatrices d’iOS, l’application de Lookout peut être téléchargée à partir de l’App Store. Pour en savoir plus sur Mobile Endpoint Security de Lookout, connectez-vous sur www.lookout.com.