Archives de catégorie : Espionnae

backdoor, Cybersécurité, Espionnae, Espionnage Spy, ID, Identité numérique, Securite informatique, Smartphone, Social engineering, Téléphonie

GhostPairing, l’arnaque qui contourne votre vigilance

Sans casser le chiffrement, sans voler de mot de passe, sans SIM swapping, des cybercriminels peuvent désormais accéder à WhatsApp. Une attaque qui pousse l’utilisateur à autoriser lui-même l’intrusion.

Des chercheurs en cybersécurité de Gen alertent sur une nouvelle méthode, baptisée GhostPairing, permettant de prendre le contrôle d’un compte WhatsApp sans dérober de mot de passe, sans attaquer le chiffrement et sans détourner la carte SIM. Le scénario repose sur la confiance : un message d’un contact proche, du type « Salut, j’ai trouvé ta photo« , entraîne la victime vers une fausse page imitant Facebook. Sous couvert de vérification d’identité, l’utilisateur saisit un code d’appairage WhatsApp authentique, ce qui ajoute, à son insu, le navigateur de l’attaquant comme appareil connecté. Le téléphone reste normal, l’espionnage devient discret et durable.

Le piège : une fausse photo, un vrai appairage

L’attaque ne commence pas par une faille technique spectaculaire. Elle démarre par un réflexe humain, la curiosité, et par un ressort social, la confiance. Un message arrive d’un contact connu :  » Salut, j’ai trouvé ta photo » ; « Hello, c’est toi sur la vidéo ?« . Ce type de phrase fonctionne précisément parce qu’elle semble banale, presque intime. Elle abaisse la méfiance, surtout quand elle vient d’une personne proche, et elle donne envie de cliquer sans trop réfléchir. Une approche qui n’est pas nouvelle, mais prend une nouvelle tournure.

Le lien conduit ensuite vers une page frauduleuse qui copie l’apparence de Facebook. Là encore, l’attaquant joue sur un automatisme. Les internautes ont intégré l’idée qu’un site peut demander une « vérification » avant d’afficher un contenu. Cette étape est le cœur du piège. Ce qui ressemble à un contrôle d’identité n’est pas un écran de sécurité, c’est le processus de connexion d’un appareil WhatsApp.

La victime se retrouve à saisir un code d’appairage parfaitement légitime. Le détail est crucial : il ne s’agit pas d’un code inventé ou d’un contournement du chiffrement. C’est un mécanisme normal de la plateforme, prévu pour relier un nouvel appareil à un compte existant. En entrant ce code, l’utilisateur ajoute involontairement le navigateur du cybercriminel dans la liste des appareils connectés. L’accès s’installe sans bruit, sans alerte évidente, et surtout sans que le compte principal ne soit « déconnecté ».

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

Pourquoi c’est inquiétant : l’accès est invisible, la confiance devient vecteur

Plusieurs raisons de s’inquiéter, et elles ont un point commun : GhostPairing s’appuie sur le fonctionnement prévu de WhatsApp. Aucun mot de passe n’est nécessaire, ce qui réduit les signaux classiques d’attaque. Il n’y a pas non plus de SIM swapping, donc pas de coupure de ligne ou de perte de réseau qui pourrait alerter la victime. Et le chiffrement n’est pas « cassé », la manœuvre se déroule avant tout au niveau de l’autorisation d’accès.

La conséquence opérationnelle est claire : le téléphone continue de fonctionner normalement. L’utilisateur envoie et reçoit ses messages comme d’habitude, pendant qu’un second appareil lit, copie et observe. Dans une logique de renseignement, c’est précisément le scénario recherché : accès continu, discret, et à fort contenu informationnel. Les messages, les photos, les contacts, mais aussi les échanges privés qui révèlent des habitudes, des relations, des trajets, des fragilités, deviennent accessibles.

Le risque de propagation est aussi central. L’arnaque se diffuse via des comptes déjà compromis, qui écrivent ensuite à des proches, à des groupes familiaux ou à des cercles professionnels. L’effet boule de neige est alors mécanique : la confiance circule plus vite que les mises en garde. Une fois à l’intérieur d’un réseau social de proximité, l’attaquant gagne un avantage psychologique sur chaque nouvelle cible.

Insistons sur l’escalade possible. Avec un accès aux conversations, l’attaquant peut préparer des fraudes plus lourdes : usurpation d’identité, escroqueries ciblées, chantage. Les contenus vocaux, les photos et les échanges privés servent de matière première. Ce n’est pas seulement une atteinte à la vie privée, c’est un levier d’action contre la victime et son entourage.

Ce qui change : l’attaque ne casse rien, elle fait accepter

GhostPairing illustre une évolution majeure : au lieu de forcer la porte, l’attaquant obtient les clés en demandant poliment. Il ne s’agit pas d’un exploit complexe, mais d’une mise en scène qui amène l’utilisateur à valider lui-même l’accès. Les mécanismes de connexion rapides, QR codes, appairage, confirmations “en un geste”, sont conçus pour faciliter la vie. Ils deviennent aussi des surfaces d’abus, car ils réduisent la visibilité de ce qui est réellement accordé.

Le signal dépasse WhatsApp. DataSecuritybreach.fr y voit un avertissement pour toutes les plateformes où les connexions entre appareils se font vite, avec peu de friction et peu d’explications. Dans un monde où l’authentification se fluidifie, l’attaquant investit la persuasion. Il ne cherche pas seulement une faille, il cherche un réflexe.

Face à ce type d’attaque, la première défense consiste à regarder ce qui est déjà autorisé. Data Security Breach recommande de contrôler la liste des appareils liés au compte WhatsApp via les paramètres puis la section des appareils connectés, et de retirer tout appareil inconnu. Ensuite, il faut traiter comme suspect tout site qui demande de scanner un QR code WhatsApp ou d’entrer un code d’appairage pour accéder à une photo ou à un contenu. Cette demande est un signal d’alarme, car elle mélange deux univers, un prétexte « photo » et une action « connexion ».

Enfin, l’activation de la vérification en deux étapes est présentée comme une mesure utile, mais l’élément décisif reste la sensibilisation de l’entourage. Comme l’arnaque exploite les relations, prévenir famille, collègues et groupes devient une mesure de protection collective. La sécurité se joue alors autant dans la technique que dans la culture du doute.

Avec GhostPairing, voici une prise de contrôle qui ne ressemble pas à un piratage classique : elle s’installe par consentement trompé, sans bruit, et transforme un mécanisme d’appairage en porte d’entrée. Dans un écosystème où les connexions « sans friction » se multiplient, la question cyber et renseignement est directe : comment rendre visibles, compréhensibles et contestables ces autorisations, avant qu’elles ne deviennent l’arme favorite des escrocs ?

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à notre NewsLetter

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Cybersécurité, Espionnae, Espionnage Spy, IA, Securite informatique, Vie privée

Des extensions espionnent vos chats avec des IA

Des extensions censées protéger la vie privée ont siphonné des conversations avec des chatbots. Selon des chercheurs, plus de 8 millions d’utilisateurs ont été exposés, via une collecte activée par défaut.

D’après une enquête rapportée par The Register et une analyse de Koi Security, quatre extensions diffusées sur Chrome Web Store et Microsoft Edge Add-ons, Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard et Urban Ad Blocker, auraient capturé le texte de conversations menées sur des plateformes d’IA. Les services visés incluent notamment ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok et Meta AI. La collecte serait activée par un paramètre codé en dur, sans option visible pour la désactiver, l’arrêt passant par la désinstallation. Les données interceptées seraient ensuite envoyées vers des domaines liés à Urban VPN.

Quatre extensions populaires, une collecte invisible

L’histoire commence par un paradoxe : des outils présentés comme des remparts, bloqueurs de publicité, « browser guard » et VPN, se comportent comme des micros. Koi Security affirme que quatre extensions ont été conçues pour capter et transmettre le texte des interactions avec des chatbots, et que plus de 8 millions de personnes les auraient installées. Les extensions citées sont Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard et Urban Ad Blocker. Elles sont distribuées via les boutiques d’extensions de Chrome et d’Edge, donc dans un espace censé filtrer les comportements abusifs.

Selon Idan Dardikman, cofondateur et directeur technique de Koi, Urban VPN Proxy cible des conversations sur dix plateformes d’IA. La liste mentionnée couvre un éventail large : ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok et Meta AI figurent parmi les services nommés. L’enjeu dépasse la simple confidentialité d’un historique : une conversation avec un chatbot peut contenir des données personnelles, des questions de santé, des éléments professionnels, des secrets d’entreprise, ou des fragments d’identité. Ici, la collecte est décrite comme activée par défaut, via un paramètre de configuration intégré au code. Dardikman affirme qu’aucun réglage côté utilisateur ne permet de l’arrêter, la seule façon de stopper la collecte étant de désinstaller l’extension.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à notre NewsLetter

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres

Comment l’extension intercepte vos requêtes et réponses

Le mécanisme décrit est agressif et s’appuie sur la position privilégiée d’une extension dans le navigateur. Dardikman explique qu’Urban VPN Proxy surveille les onglets et, lorsqu’un utilisateur visite une plateforme ciblée, par exemple un site de chatbot, l’extension injecte un script dédié, qualifié d’“executor”. Ce script ne se contente pas d’observer : il s’interpose sur les fonctions réseau du navigateur. Concrètement, il remplace ou enveloppe fetch() et XMLHttpRequest, les deux APIs fondamentales par lesquelles transitent les requêtes et réponses web. Résultat, chaque échange réseau sur la page passe d’abord par le code de l’extension.

Le script analyse ensuite les réponses d’API interceptées, isole le contenu conversationnel, puis prépare l’exfiltration. Le transfert interne s’effectue via window.postMessage avec un identifiant, PANELOS_MESSAGE, vers le “content script” de l’extension. Ce composant relaie ensuite les données à un service worker en arrière-plan, chargé de les envoyer sur le réseau. Les domaines cités pour la sortie sont analytics.urban-vpn.com et stats.urban-vpn.com. Dans ce schéma, l’utilisateur ne voit rien : aucune fenêtre, aucune notification, aucun indice visuel. L’extension exploite une logique simple, capter au niveau où tout transite, avant même que la page ou le service d’IA ne puisse “protéger” la conversation.

The Register précise avoir contacté Urban VPN, une société affiliée nommée BiScience, ainsi que 1ClickVPN via leurs adresses mail dédiées à la confidentialité. Les demandes auraient échoué, les messages étant revenus en erreur. Ce dossier est relié à des travaux antérieurs attribués au chercheur Wladimir Palant et à John Tuckner de Secure Annex, évoquant une collecte de données de navigation par BiScience. Selon Dardikman, l’enjeu serait désormais l’extension de cette collecte aux conversations avec des IA.

Consentement, « protection » affichée et zone grise des boutiques

Le débat se déplace alors sur le terrain de la conformité et de la gouvernance. Dardikman affirme qu’Urban VPN mentionne la collecte de données d’IA lors d’un écran de configuration et dans sa politique de confidentialité. Mais il souligne un décalage : la fiche de l’extension sur le Chrome Web Store indiquerait que les données ne sont pas vendues à des tiers en dehors de cas d’usage approuvés, et les conversations avec des IA ne seraient pas nommées explicitement. Il ajoute que le texte de consentement présenterait la surveillance comme une mesure de protection, tandis que la politique de confidentialité indiquerait une vente des données à des fins marketing.

Un point de chronologie compte, car il conditionne le consentement. Dardikman dit que les utilisateurs ayant installé Urban VPN avant juillet 2025 n’auraient jamais vu l’écran de consentement, ajouté plus tard via une mise à jour silencieuse en version 5.5.0. Il estime aussi que l’extension ne signalerait pas que la collecte se poursuit même quand le VPN n’est pas actif, ce qui change la perception de risque : l’utilisateur pense activer un service ponctuel, alors qu’une surveillance persistante serait en place.

Autre élément sensible : Urban VPN aurait obtenu un badge “Featured” sur le Chrome Web Store, ce qui implique, selon Dardikman, une revue humaine. Il en déduit un dilemme : soit la revue n’a pas vu le code collectant des conversations, y compris sur un produit d’IA de Google comme Gemini, soit elle l’a vu sans y voir de problème. Palant pointe, dans l’analyse citée, une possible faille d’interprétation de la règle « Limited Use », qui autorise des transferts de données vers des tiers dans des scénarios limités ne couvrant pas, selon cette lecture, les courtiers en données. Il avance que des acteurs malveillants peuvent invoquer des exceptions, « nécessaire au fonctionnement », ou « sécurité », en ajoutant des fonctions comme le blocage de publicités ou la navigation sécurisée. Google, selon The Register, n’a pas répondu immédiatement à une demande de commentaire.

Ce dossier rappelle que la menace ne vient pas seulement d’un site web ou d’un malware classique, mais d’un composant de confiance installé dans le navigateur, capable de regarder avant tout le monde et d’envoyer ailleurs ce qu’il voit. Côté recommandation, DataSecurityBreach.fr conseille fortement : désinstaller ces extensions et considérer que les conversations avec des IA depuis juillet 2025 ont pu être collectées.

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

backdoor, Cybersécurité, Espionnae

APPLE AVERTIT LES ARMÉNIENS DE TENTATIVES DE PIRATAGE SOUTENUES PAR L’ÉTAT

Récemment, Apple a envoyé des alertes à ses clients en Arménie, les informant que leurs téléphones sont ciblés par des pirates informatiques soutenus par un État.

Le logiciel d’espionnage Pegasus est-il caché derrière l’alerte lancée par Apple, au début du mois de novembre, à l’encontre de plusieurs personnalités Arméniennes ? CyberHUB, une organisation arménienne de droits numériques qui enquête sur ces incidents, a observé une augmentation constante des infections par logiciels espions dans le pays au cours des deux dernières années. De nombreuses infections seraient liées au gouvernement azerbaïdjanais, connu pour son histoire conflictuelle avec l’Arménie, en particulier concernant la région contestée du Haut-Karabakh.

« Dans le cas de l’Arménie, ces avertissements signifient que le téléphone a été infecté par le logiciel espion Pegasus« , a déclaré Samvel Martirosyan, co-fondateur de CyberHUB, faisant référence à l’outil de surveillance développé par la firme israélienne NSO Group et vendu à des gouvernements du monde entier. NSO Group qui a demandé, il y a quelques jours, une demande de réunion avec la Maison Blanche pour expliquer l’importance de son outil lors du conflit entre Israël et le Hamas. Une entrevue, demandée par l’avocat de l’entreprise, qui indique d’ailleurs un élément important : le gouvernement israélien semble cautionner et utiliser Pegasus.

Bien qu’Apple n’ait pas précisé le logiciel espion utilisé ni identifié les responsables du piratage, il existe certaines preuves que la dernière vague d’infections a utilisé Pegasus, selon Natalia Krapiva, conseillère juridique et technologique chez Access Now, une organisation à but non lucratif pour les droits numériques. Cependant, elle souligne qu’il est difficile de le savoir avec certitude tant que l’enquête est en cours. Martirosyan a indiqué que le logiciel espion a probablement été installé sur ordre du gouvernement azerbaïdjanais. Pendant la guerre entre l’Arménie et l’Azerbaïdjan en 2020, le logiciel espion Pegasus a été utilisé pour cibler des journalistes, des militants, des fonctionnaires gouvernementaux et des civils arméniens. Bien que l’identité des pirates derrière ces attaques reste floue, des chercheurs suggèrent que l’Azerbaïdjan est l’un des suspects potentiels.

Le Citizen Lab de l’Université de Toronto a identifié au moins deux opérateurs présumés de Pegasus en Azerbaïdjan qui ont ciblé des individus à l’intérieur comme à l’extérieur du pays. Krapiva est également d’avis que « le suspect probable est l’Azerbaïdjan », en raison de son histoire avec Pegasus et de ses liens étroits avec Israël. Les tensions entre l’Arménie et l’Azerbaïdjan sont élevées et ont atteint un point critique en septembre lorsque l’Azerbaïdjan a lancé une offensive militaire à grande échelle au Haut-Karabakh, violant ainsi un accord de cessez-le-feu de 2020.

CyberHUB, qui enquête sur les infections par Pegasus depuis deux ans, a signalé que le nombre de piratages augmente en Arménie. Cependant, l’étendue réelle de ces piratages est difficile à déterminer, car de nombreuses victimes préfèrent ne pas rendre leurs cas publics, selon Krapiva. Elle ajoute que les utilisateurs d’Android ne reçoivent pas du tout de telles notifications. La plupart des infections surviennent lors d’escalades entre l’Arménie et l’Azerbaïdjan. Les cibles en Arménie ont inclus des politiciens de haut rang, des représentants de la société civile, des militants, des journalistes et des rédacteurs.

En septembre, l’Assemblée parlementaire du Conseil de l’Europe a qualifié l’utilisation du logiciel espion Pegasus par plusieurs pays de la région de potentiellement illégale.

Précision : Une version précédente de cet article indiquait que Pegasus avait été utilisé pour cibler des militants en Russie — il a en fait été spécifiquement utilisé contre une journaliste russe lors de son voyage en Allemagne, et elle a reçu la notification en Lettonie.

Cybersécurité, Espionnae

Faille dans Google Chrome utilisée par un logiciel espion pour smartphone

Une vulnérabilité de type « zero-day » dans Google Chrome (CVE-2022-2294) découverte lorsqu’elle a été exploitée à l’encontre de journaliste basé au Moyen-Orient.

Le logiciel espion Candiru, provenant d’une entreprise Israélienne, aurait été diffusé à partir d’une faille exploitant le navigateur de Google, Chrome. C’est l’équipe Cyber d’Avast Threat Intelligence qui a découvert la cyber attaque au Liban. Des journalistes figuraient parmi les parties visées, et que d’autres cibles en Turquie, au Yémen et en Palestine.

Google a corrigée la faille le 4 juillet 2022.

Selon le fonctionnement du malware et des tactiques utilisées pour mener l’attaque, les chercheurs l’ont attribué au fournisseur de logiciels espions Candiru, basé à Tel Aviv et connu pour vendre des logiciels d’espionnage à des clients gouvernementaux. Lors de cette attaque, un profil du navigateur de la victime, composé d’environ 50 points de données, est collecté et envoyé aux attaquants. Les informations recueillies comprennent la langue de la victime, le fuseau horaire, les informations inscrites sur l’écran, le type d’appareil, les plugins de navigateur, le référent, la mémoire de l’appareil, la fonctionnalité des cookies, etc.

Si les données collectées correspondent à ce que les attaquants recherchent, l’opération de type « zero-day » est transmise à l’appareil de la victime via un canal crypté. Une fois que les attaquants sont entrés sur la machine, une charge malveillante connue sous le nom de DevilsTongue est envoyée pour tenter d’augmenter la portée du malware afin d’obtenir un accès complet à l’appareil de la victime.

DevilsTongue est un logiciel espion avancé, capable d’enregistrer la webcam et le microphone de la victime, d’enregistrer les touches, d’exfiltrer la messagerie de la victime, son historique de navigation, ses mots de passe, sa géolocalisation, et bien plus encore.

Au Liban, les attaquants semblent avoir compromis un site web utilisé par les employés d’une agence de presse. Nous ne pouvons pas dire avec certitude ce que les attaquants ont pu chercher, mais souvent, la raison pour laquelle les attaquants s’en prennent aux journalistes est de les espionner eux ainsi que les dossiers sur lesquels ils travaillent directement, ou d’atteindre leurs sources et de recueillir des informations compromettantes et des données sensibles qu’ils ont partagées avec la presse. Une attaque comme celle-ci pourrait constituer une menace pour la liberté de la presse.

Google ayant rapidement corrigé la vulnérabilité le 4 juillet, les utilisateurs de Chrome doivent simplement cliquer sur le bouton lorsque le navigateur les invite à « redémarrer pour terminer l’application de la mise à jour. La même procédure doit être suivie par les utilisateurs de la plupart des autres navigateurs basés sur Chromium, y compris Avast Secure Browser. Les utilisateurs de Safari doivent passer à la version 15.6.

Espionnae, Particuliers, Téléphonie

Le stalking, la malveillance amoureuse du 21e siècle ?

Une étude révèle que 61 % des adultes Français, âgés de 18 à 39 qui ont déjà été en couple, ont déjà stalké en ligne leur partenaire actuel ou leur ex.

Les résultats d’étude relative aux comportements d’harcèlement en ligne des consommateurs affiche des chiffres étonnant et inquiétant. Cette nouvelle étude met en lumière des différences générationnelles frappantes dans les tendances de cyberharcèlement des Français dans les relations amoureuses modernes. Plus de la moitié des Français de la génération Z et millienials (61 % des 18-39 ans) admettent avoir « stalké » en ligne leur ancien ou leur partenaire actuel, à leur insu, soit trois fois plus que les personnes de 40 ans et plus (18 %).

Traqueur né !

Près d’un tiers des Français (33 %) ayant déjà été en couple admet avoir « traquer » un ex ou un partenaire actuel en ligne en prenant de ses nouvelles à son insu et sans son consentement. Le plus alarmant ? 31 % des jeunes Français (18-39 ans) actuellement en couple estiment que leur partenaire est susceptible d’installer une application de stalking – autrement appelée « creepware » ou « stalkerware » – sur leur(s) appareil(s) pour surveiller ses activités numériques et passer en revue les textos, l’historique des appels téléphoniques, les messages directs, les e-mails et les photos. Ce chiffre est largement supérieur au pourcentage de Français âgés de 40 ans ou plus qui pensent la même chose (8 %). Parmi ceux qui ont admis avoir harcelé en ligne un partenaire actuel ou un ex , les principaux facteurs qui les auraient poussés à le faire, la curiosité (43 %) et le manque de confiance (30 %) se hissent en tête. 24% d’entre eux voulaient savoir avec qui ils étaient et 23% savoir ce qu’ils faisaient.

Les moins de 40, adepte du stalking ?

D’après Catherine Lejalle, chercheuse et sociologue sur les comportements des consommateurs en ligne « L’étude pointe des différences selon les âges et les genres. La pratique du stalking est plus forte chez les moins de quarante ans et chez les hommes. Or, elle s’inscrit dans un contexte sociétal où les valeurs phares sont la transparence et l’absence d’engagement. L’étude montre que les pratiques sont en dissonance avec les discours. Prôner la transparence et mettre en scène sa vie sur les réseaux sociaux permettent-ils de garder une part cachée en coulisses qui donne à l’autre le sentiment qu’on lui échappe ? Chanter la liberté et l’ouverture dans le couple est-il compatible avec le besoin ontologique de réassurance qui sommeille en chacun de nous ? L’étude suggère des réponses tranchées à ces deux interrogations. »

Ces nouvelles conclusions sont publiées dans le 2021 Norton Cyber Safety Insights Report (NCSIR). Réalisé en partenariat avec The Harris Poll, ce rapport a interrogé plus de 10 000 personnes dans 10 pays , dont 1 000 adultes Français, afin d’évaluer les habitudes en ligne des consommateurs et les domaines dans lesquels elles peuvent dévier vers le cyberharcèlement.

« Nous émettons des avertissements à l’intention de nos clients pour les prévenir de la présence d’applications de stalkerware potentielles sur leurs appareils. Notre dernière étude des menaces montre que l’utilisation de cette technologie invasive ne cesse de croître. Entre septembre 2020 et mai 2021, notre équipe de recherche a constaté́ une hausse de 63 % du nombre d’appareils infectés par des stalkerwares, soit l’équivalent de plus de 250 000 appareils compromis« , explique Kevin Roundy, directeur technique et spécialiste des stalkerwares au sein de la division de recherche de NortonLifeLock, Norton Labs.

Le stalkerware est une technologie disponible dans le commerce, qui peut être installée sur un appareil afin de surveiller l’activité à l’insu de l’utilisateur. Il faut généralement qu’une personne ait un accès physique à un appareil pour l’installer. Le stalkerware consomme la plupart du temps beaucoup d’énergie et de données et peut donc se faire remarquer en ralentissant les performances de l’appareil, en épuisant la batterie ou en augmentant la consommation de données. Si vous suspectez un stalkerware, il est indispensable de vérifier les paramètres et les autorisations de l’appareil pour vérifier si des applications inconnues ont accès à des éléments personnels tels que la localisation et le microphone, ou si des applications inconnues sont présentes sur l’appareil.

Inoffensif de stalker son partenaire ?

Les résultats du rapport démontrent qu’environ un tiers des Français âgés de 18 à 39 ans (31 %) estiment qu’il est inoffensif de stalker son partenaire actuel ou un ancien partenaire, soit deux fois plus que les Français de plus de 40 ans et plus qui sont de cet avis (15 %). Plus de la moitié des jeunes Français (52 %) cautionnent le stalking en ligne si l’un des partenaires ou les deux ont été infidèles ou sont soupçonnés de l’être et admettent qu’ils seraient plus susceptibles de stalker à leur tour un amant ou un ex s’ils savaient qu’ils ne se feraient pas prendre.(36 %). Il convient de noter que près de deux Français sur dix âgés de 18 à 39 ans et ayant déjà eu une relation amoureuse (17 %) admettent avoir utilisé les appareils ou les applications de santé de leur partenaire pour surveiller secrètement leur activité physique. On estime que 2,6 millions de personnes en France (5 % des adultes) ont utilisé un logiciel de harcèlement ou un logiciel de repérage, ce qui illustre l’ampleur du problème.

La familiarité avec le « stalkerware » ou « creepware » est faible. En France, 8 % en sont familiers, 23% en ont seulement entendu le nom et 68 % n’en ont jamais entendu parler, mais les jeunes adultes sont beaucoup plus susceptibles que leurs homologues plus âgés d’en être familiers (19 % chez les moins de 40 ans contre 3 % chez les 40 ans et plus). Consulter le téléphone de son partenaire (17%) et leur navigateur de recherche (15%) sont les formes les plus courantes de stalking en ligne chez les Français qui ont été en couple.

En France, les hommes sont presque deux fois plus susceptibles que les femmes d’utiliser des applications invasives pour espionner leur partenaire. 8 % des hommes qui ont été en couple ont utilisé un creepware ou un stalkerware pour surveiller le téléphone de leur ex ou de leur partenaire actuel, contre seulement 4 % des femmes. • À travers le monde2, le stalking en ligne est une pratique courante. 34 % des consommateurs ayant déjà vécus une relation amoureuse admettent avoir stalké leur ex ou leur partenaire actuel, et plus d’un tiers des Français (33 %) ont admis avoir adopté ce comportement.

Cybersécurité, Espionnae, Facebook, ID, Identité numérique, IOT, Logiciels, Particuliers, Securite informatique, Téléphonie

Facebook a payé 20 euros par mois pour espionner des utilisateurs

Afin d’obtenir des données personnelles, Facebook a admis avoir payé secrètement des utilisateurs pour l’installation d’un VPN « Facebook Research » dans les appareils de volontaires. FR permet à la société de collecter et d’analyser l’ensemble des activités téléphoniques et en ligne d’un internaute.

Le plus surprenant dans cette histoire, c’est le prix payé pour les données les plus privées d’une personne. En effet, si un étranger vous abordait dans la rue et vous proposait de vous payer un montant symbolique chaque mois, en échange d’un accès inconditionnel à votre téléphone, et pour toujours, accepteriez-vous ?

Dans le cas de Facebook, les personnes se sont inscrites de leur plein gré pour fournir toutes leurs informations personnelles – données et activités – de manière extrêmement envahissante et pour seulement 20$ par mois. Il est assez remarquable de constater ce que les entreprises sont prêtes à faire pour accéder à des données personnelles, et en même temps, de réaliser la facilité avec laquelle les citoyens vont l’accepter.

4 internautes sur 10 estiment la vie privée comme un droit humain !

« Nos propres recherches montrent que moins de la moitié des personnes interrogées (47 %) considèrent la vie privée comme un droit humain. » explique Brad Poole, consumer privacy advocate chez HMA! Il existe donc une incompréhension des conséquences d’une vie privée non protégée, peut-être à cause d’une confiance non justifiée en la protection de leurs données.

Ce type « d’initiative » soulève également des questions plus alarmantes, quant à savoir si ce niveau d’accès n’est pas vendu ensuite à des tiers. Les utilisateurs doivent donc prendre conscience qu’en ligne, les choses ne sont peut-être pas toujours ce qu’elles semblent être.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, RGPD, Sauvegarde, Sécurité, Securite informatique, Smartphone, Téléphonie

Des millions de SMS retrouvés dans un cloud de la société Voxox

Un chercheur en sécurité révèle que la société Voxox a exposé des dizaines de millions de SMS en le stockant sur un serveur cloud non protégé.

Voxox est une société de communication VoIP. Une sorte de Skype allemand. Voxox a oublié les bases de la sécurité du cloud. Bilan, ce fournisseur de services vocaux et SMS a exposé des données sensibles telles que les codes 2FA, les mots de passe en texte clair, les numéros de téléphone, les codes de réinitialisation de mot de passe, les notifications d’expédition et les codes de vérification à un accès public. C’est un chercheur en sécurité basé à Berlin, Sébastien Kaul, qui a découvert la faille via le moteur de recherche spécialisé dans la sécurité informatique, Shodan. La base de données de messages SMS identifiée par Kaul est facilement accessible. Elle offre une vue presque en temps réel des informations transitant par la passerelle SMS de Voxox. Comment est-ce possible ? La société américaine n’a pas protégé son serveur … avec un mot de passe. No comment !

Avant sa fermeture, plus de 26 millions de messages texte stockés dans la base de données. Cependant, il semble tout à fait probable que le chiffre soit plus important. Le volume de messages étant énorme, chaque minute. Il est à noter que chaque enregistrement a été étiqueté et détaillé avec précision. Il incluait le numéro de contact du destinataire, le client Voxox qui avait envoyé le message et le contenu du message. (TechCrunch)

Android, backdoor, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, Espionnae, ID, Identité numérique, Logiciels, Mise à jour, Particuliers, Patch, Phishing, Piratage, Securite informatique, Smartphone, Téléphonie, Vie privée

Les cyberattaques ciblant Android en hausse

Les analystes de G DATA ont comptabilisé plus de 3,2 millions de nouvelles applications malveillantes à la fin du troisième trimestre 2018. Cela représente une augmentation de plus de 40 % par rapport à la même période en 2017. Les cybercriminels se concentrent sur les appareils mobiles, en particulier sous le système d’exploitation Android. La raison : huit personnes sur dix dans le monde utilisent un appareil Android.

À la fin du troisième trimestre, les analystes de G DATA ont recensé près de 3,2 millions de nouvelles applications malveillantes Android sur l’année, soit en moyenne 11 700 nouveaux dangers par jour. Il s’agit d’une augmentation de plus de 40 % par rapport à la même période de l’année précédente. En termes de sécurité, Android doit également lutter contre les équipements obsolètes. Dès 2017, Google a réagi avec le Project Treble, une fonctionnalité sous Android 8 qui permet une distribution plus rapide des mises à jour. Mais Android 8 est pour le moment dans un peu moins d’un appareil sur cinq – plus d’un an après son lancement en août 2017. Quant à la version actuelle 9, sa diffusion est inférieure à 0,1 % du parc.

Distribuer plus rapidement les mises à jour de sécurité

L’une des clés d’une meilleure protection réside dans la distribution rapide de mises à jour de sécurité. Selon « The Verge », depuis cet été Google oblige contractuellement les fabricants de smartphones sous Android à fournir des mises à jour de sécurité pour au moins deux ans. En détail, les appareils doivent recevoir au moins quatre mises à jour de sécurité Google au cours de la première année. Au cours de la deuxième année, les fabricants doivent assurer une fréquence de mise à jour qui permet de protéger les appareils des vulnérabilités datant de plus de 90 jours.

Un contrat qui comporte toutefois certaines limites. Seuls les smartphones de 100 000 utilisateurs concernés. En outre, l’accord ne s’applique qu’aux équipements mis sur le marché à partir de février 2018, avec une certaine tolérance admise jusqu’au 31 janvier 2019.

Le risque des logiciels espions

Les fonctionnalités étendues des logiciels espions ciblant le système Android sont une source d’incertitude. Ces codes malveillants rivalisent de techniques pour accéder au contenu des appareils. Dernièrement, les analystes de G DATA détaillaient le fonctionnement d’un trojan capable de lire les conversations WhatsApp. Les Smartphones contenant un nombre croissant d’informations sensibles, les attaquants ont bien compris l’intérêt de ces types de codes malveillants.

Virus Bulletin : Google parle d’Android

Lors de la conférence Virus Bulletin qui s’est tenue à Montréal en octobre, des chercheurs de Google ont fait deux présentations qui montrent que la sécurisation de la plateforme Android est un défi quotidien. L’analyste Maddie Stone a par exemple présenté une application malveillante qui déploie un niveau inhabituellement élevé de techniques pour ne pas être détecté par les systèmes automatisés de Google.

L’expert en sécurité Łukasz Siewierski a quant à lui présenté une campagne de logiciels malveillants préinstallés sur les smartphones Android. Selon son analyse, le malware était déjà installé pendant la phase de développement. G DATA a traité d’un sujet similaire lors du Virus Bulletin 2015 et pour la première fois en 2014.

Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch, Propriété Industrielle, Securite informatique

Espionnage des conducteurs de voiture via leur autoradio

Les habitudes d’écoute de milliers de conducteurs de voitures surveillées, sans consentement, durant 3 mois. But final, diffuser des publicités ciblées !

Environ 90 000 conducteurs de véhicules General Motors ont été surveillés par le constructeur de voitures. Les propriétaires et leurs passagers ont été surveillés durant 3 mois alors qu’ils voyageaient sur les routes de Chicago et de Los Angeles. C’est l’équipe Detroit Free Press qui a révélé cet espionnage qui s’est déroulé en 2017. General Motors a confirmé cette « écoute » qui aurait été mis en place dans le cadre de son programme de suivi de radio. La société a reconnu collecter des données afin de les utiliser manière intelligente. Bref, traduisez par la diffusion de publicités ciblées. Vous comprenez maintenant pourquoi le fait de savoir que Renault a choisi Google comme moteur de recherche peut inquiéter les utilisateurs. Google connaîtra l’ensemble des comportements des conducteurs de voiture de la marque française. Qwant aurait été parfait pour éviter ce ciblage.

Via le Wi-Fi des voitures

Pour général Motors, lors de son test de trois mois, l’espionnage a utilisé le Wi-Fi proposé dans les voitures pour suivre les habitudes de certains de ses conducteurs dans l’espoir de voir s’il existait un lien entre ce que les conducteurs écoutent et ce qu’ils achètent. GM, avec 10 millions de voitures en circulation, est l’un des premiers constructeurs à entreprendre une telle étude. A noter que les 90 000 conducteurs de Los Angeles et de Chicago impactés avaient accepté de participer à une « proof of concept » sans connaitre la finalité de cette preuve de concept. « Les données sont ensuite agrégées et anonymisées. Les résultats obtenus sur un très grand échantillon et n’incluent aucune information personnellement identifiable » indique General Motors.

Espionnage dans nos voitures

L’espionnage, via les automobiles, n’est pas une nouveauté. Je vous passe les contenus que sont capables de stocker les « clés » sans fil des voitures. En 2015, Chevrolet proposait aux parents un logiciel d’espionnage, Teen Driver, intégré dans ses voitures. Raison invoquée, permettre aux parents de suivre leurs enfants conducteur ! Mais aussi être averti si la vitesse est dépassée (vitesse choisie par les parents). Recevoir des rapports sur les véhicules. Limiter le volume audio de l’auto radio.

Android, backdoor, Cyber-attaque, Cybersécurité, Espionnae, ID, Identité numérique, Leak, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Téléphonie, Vie privée

Triout, un espion dans votre smartphone

3 commentaires

Triout, un nouveau logiciel espion s’attaque aux appareils sous Android.

Triout, l’espion 2.0 ! Aucun système d’exploitation n’est à l’abri des logiciels malveillants. Les cybercriminels voudront toujours voler, espionner ou manipuler vos données. La prolifération des appareils Android – des smartphones aux tablettes et aux téléviseurs intelligents – ouvrent des nouvelles « voix » aux développeurs de logiciels malveillants. Ces appareils contiennent des micros, des caméras et un gps.

Premièrement, les chercheurs de Bitdefender identifient un nouveau logiciel espion Android, baptisé Triout. Trouvé avec une application reconditionnée, les capacités de surveillance de ce logiciel espion consiste à masquer sa présence sur l’appareil. Il va ensuite enregistrer des appels téléphoniques. Copier les SMS. Recoder les vidéos. Prendre des photos. Recueillir des coordonnées GPS.

Ensuite, il est intéressant de noter que Triout apparaît pour la première fois en Russie. La plupart des analyses/rapports proviennent d’Israël. La première apparition de l’échantillon date du 15 mai 2018, sur VirusTotal.

Enfin, l’analyse du logiciel espion indique que Triout a la capacité d’enregistrer chaque appel téléphonique. La conversation se retrouve sous la forme de fichier multimédia. L’information est communiquée au C&C avec l’identifiant de l’appareil. L’espion enregistre chaque SMS entrant (corps SMS et expéditeur SMS). Il a la possibilité d’envoyer tous les journaux d’appels. Chaque photo prise par l’appareil piégé, caméra avant ou arrière, est envoyée au C&C.