Archives de catégorie : Espionnae

backdoor, Cybersécurité, Espionnae

APPLE AVERTIT LES ARMÉNIENS DE TENTATIVES DE PIRATAGE SOUTENUES PAR L’ÉTAT

Récemment, Apple a envoyé des alertes à ses clients en Arménie, les informant que leurs téléphones sont ciblés par des pirates informatiques soutenus par un État.

Le logiciel d’espionnage Pegasus est-il caché derrière l’alerte lancée par Apple, au début du mois de novembre, à l’encontre de plusieurs personnalités Arméniennes ? CyberHUB, une organisation arménienne de droits numériques qui enquête sur ces incidents, a observé une augmentation constante des infections par logiciels espions dans le pays au cours des deux dernières années. De nombreuses infections seraient liées au gouvernement azerbaïdjanais, connu pour son histoire conflictuelle avec l’Arménie, en particulier concernant la région contestée du Haut-Karabakh.

« Dans le cas de l’Arménie, ces avertissements signifient que le téléphone a été infecté par le logiciel espion Pegasus« , a déclaré Samvel Martirosyan, co-fondateur de CyberHUB, faisant référence à l’outil de surveillance développé par la firme israélienne NSO Group et vendu à des gouvernements du monde entier. NSO Group qui a demandé, il y a quelques jours, une demande de réunion avec la Maison Blanche pour expliquer l’importance de son outil lors du conflit entre Israël et le Hamas. Une entrevue, demandée par l’avocat de l’entreprise, qui indique d’ailleurs un élément important : le gouvernement israélien semble cautionner et utiliser Pegasus.

Bien qu’Apple n’ait pas précisé le logiciel espion utilisé ni identifié les responsables du piratage, il existe certaines preuves que la dernière vague d’infections a utilisé Pegasus, selon Natalia Krapiva, conseillère juridique et technologique chez Access Now, une organisation à but non lucratif pour les droits numériques. Cependant, elle souligne qu’il est difficile de le savoir avec certitude tant que l’enquête est en cours. Martirosyan a indiqué que le logiciel espion a probablement été installé sur ordre du gouvernement azerbaïdjanais. Pendant la guerre entre l’Arménie et l’Azerbaïdjan en 2020, le logiciel espion Pegasus a été utilisé pour cibler des journalistes, des militants, des fonctionnaires gouvernementaux et des civils arméniens. Bien que l’identité des pirates derrière ces attaques reste floue, des chercheurs suggèrent que l’Azerbaïdjan est l’un des suspects potentiels.

Le Citizen Lab de l’Université de Toronto a identifié au moins deux opérateurs présumés de Pegasus en Azerbaïdjan qui ont ciblé des individus à l’intérieur comme à l’extérieur du pays. Krapiva est également d’avis que « le suspect probable est l’Azerbaïdjan », en raison de son histoire avec Pegasus et de ses liens étroits avec Israël. Les tensions entre l’Arménie et l’Azerbaïdjan sont élevées et ont atteint un point critique en septembre lorsque l’Azerbaïdjan a lancé une offensive militaire à grande échelle au Haut-Karabakh, violant ainsi un accord de cessez-le-feu de 2020.

CyberHUB, qui enquête sur les infections par Pegasus depuis deux ans, a signalé que le nombre de piratages augmente en Arménie. Cependant, l’étendue réelle de ces piratages est difficile à déterminer, car de nombreuses victimes préfèrent ne pas rendre leurs cas publics, selon Krapiva. Elle ajoute que les utilisateurs d’Android ne reçoivent pas du tout de telles notifications. La plupart des infections surviennent lors d’escalades entre l’Arménie et l’Azerbaïdjan. Les cibles en Arménie ont inclus des politiciens de haut rang, des représentants de la société civile, des militants, des journalistes et des rédacteurs.

En septembre, l’Assemblée parlementaire du Conseil de l’Europe a qualifié l’utilisation du logiciel espion Pegasus par plusieurs pays de la région de potentiellement illégale.

Précision : Une version précédente de cet article indiquait que Pegasus avait été utilisé pour cibler des militants en Russie — il a en fait été spécifiquement utilisé contre une journaliste russe lors de son voyage en Allemagne, et elle a reçu la notification en Lettonie.

Cybersécurité, Espionnae

Faille dans Google Chrome utilisée par un logiciel espion pour smartphone

Une vulnérabilité de type « zero-day » dans Google Chrome (CVE-2022-2294) découverte lorsqu’elle a été exploitée à l’encontre de journaliste basé au Moyen-Orient.

Le logiciel espion Candiru, provenant d’une entreprise Israélienne, aurait été diffusé à partir d’une faille exploitant le navigateur de Google, Chrome. C’est l’équipe Cyber d’Avast Threat Intelligence qui a découvert la cyber attaque au Liban. Des journalistes figuraient parmi les parties visées, et que d’autres cibles en Turquie, au Yémen et en Palestine.

Google a corrigée la faille le 4 juillet 2022.

Selon le fonctionnement du malware et des tactiques utilisées pour mener l’attaque, les chercheurs l’ont attribué au fournisseur de logiciels espions Candiru, basé à Tel Aviv et connu pour vendre des logiciels d’espionnage à des clients gouvernementaux. Lors de cette attaque, un profil du navigateur de la victime, composé d’environ 50 points de données, est collecté et envoyé aux attaquants. Les informations recueillies comprennent la langue de la victime, le fuseau horaire, les informations inscrites sur l’écran, le type d’appareil, les plugins de navigateur, le référent, la mémoire de l’appareil, la fonctionnalité des cookies, etc.

Si les données collectées correspondent à ce que les attaquants recherchent, l’opération de type « zero-day » est transmise à l’appareil de la victime via un canal crypté. Une fois que les attaquants sont entrés sur la machine, une charge malveillante connue sous le nom de DevilsTongue est envoyée pour tenter d’augmenter la portée du malware afin d’obtenir un accès complet à l’appareil de la victime.

DevilsTongue est un logiciel espion avancé, capable d’enregistrer la webcam et le microphone de la victime, d’enregistrer les touches, d’exfiltrer la messagerie de la victime, son historique de navigation, ses mots de passe, sa géolocalisation, et bien plus encore.

Au Liban, les attaquants semblent avoir compromis un site web utilisé par les employés d’une agence de presse. Nous ne pouvons pas dire avec certitude ce que les attaquants ont pu chercher, mais souvent, la raison pour laquelle les attaquants s’en prennent aux journalistes est de les espionner eux ainsi que les dossiers sur lesquels ils travaillent directement, ou d’atteindre leurs sources et de recueillir des informations compromettantes et des données sensibles qu’ils ont partagées avec la presse. Une attaque comme celle-ci pourrait constituer une menace pour la liberté de la presse.

Google ayant rapidement corrigé la vulnérabilité le 4 juillet, les utilisateurs de Chrome doivent simplement cliquer sur le bouton lorsque le navigateur les invite à « redémarrer pour terminer l’application de la mise à jour. La même procédure doit être suivie par les utilisateurs de la plupart des autres navigateurs basés sur Chromium, y compris Avast Secure Browser. Les utilisateurs de Safari doivent passer à la version 15.6.

Espionnae, Particuliers, Téléphonie

Le stalking, la malveillance amoureuse du 21e siècle ?

Une étude révèle que 61 % des adultes Français, âgés de 18 à 39 qui ont déjà été en couple, ont déjà stalké en ligne leur partenaire actuel ou leur ex.

Les résultats d’étude relative aux comportements d’harcèlement en ligne des consommateurs affiche des chiffres étonnant et inquiétant. Cette nouvelle étude met en lumière des différences générationnelles frappantes dans les tendances de cyberharcèlement des Français dans les relations amoureuses modernes. Plus de la moitié des Français de la génération Z et millienials (61 % des 18-39 ans) admettent avoir « stalké » en ligne leur ancien ou leur partenaire actuel, à leur insu, soit trois fois plus que les personnes de 40 ans et plus (18 %).

Traqueur né !

Près d’un tiers des Français (33 %) ayant déjà été en couple admet avoir « traquer » un ex ou un partenaire actuel en ligne en prenant de ses nouvelles à son insu et sans son consentement. Le plus alarmant ? 31 % des jeunes Français (18-39 ans) actuellement en couple estiment que leur partenaire est susceptible d’installer une application de stalking – autrement appelée « creepware » ou « stalkerware » – sur leur(s) appareil(s) pour surveiller ses activités numériques et passer en revue les textos, l’historique des appels téléphoniques, les messages directs, les e-mails et les photos. Ce chiffre est largement supérieur au pourcentage de Français âgés de 40 ans ou plus qui pensent la même chose (8 %). Parmi ceux qui ont admis avoir harcelé en ligne un partenaire actuel ou un ex , les principaux facteurs qui les auraient poussés à le faire, la curiosité (43 %) et le manque de confiance (30 %) se hissent en tête. 24% d’entre eux voulaient savoir avec qui ils étaient et 23% savoir ce qu’ils faisaient.

Les moins de 40, adepte du stalking ?

D’après Catherine Lejalle, chercheuse et sociologue sur les comportements des consommateurs en ligne « L’étude pointe des différences selon les âges et les genres. La pratique du stalking est plus forte chez les moins de quarante ans et chez les hommes. Or, elle s’inscrit dans un contexte sociétal où les valeurs phares sont la transparence et l’absence d’engagement. L’étude montre que les pratiques sont en dissonance avec les discours. Prôner la transparence et mettre en scène sa vie sur les réseaux sociaux permettent-ils de garder une part cachée en coulisses qui donne à l’autre le sentiment qu’on lui échappe ? Chanter la liberté et l’ouverture dans le couple est-il compatible avec le besoin ontologique de réassurance qui sommeille en chacun de nous ? L’étude suggère des réponses tranchées à ces deux interrogations. »

Ces nouvelles conclusions sont publiées dans le 2021 Norton Cyber Safety Insights Report (NCSIR). Réalisé en partenariat avec The Harris Poll, ce rapport a interrogé plus de 10 000 personnes dans 10 pays , dont 1 000 adultes Français, afin d’évaluer les habitudes en ligne des consommateurs et les domaines dans lesquels elles peuvent dévier vers le cyberharcèlement.

« Nous émettons des avertissements à l’intention de nos clients pour les prévenir de la présence d’applications de stalkerware potentielles sur leurs appareils. Notre dernière étude des menaces montre que l’utilisation de cette technologie invasive ne cesse de croître. Entre septembre 2020 et mai 2021, notre équipe de recherche a constaté́ une hausse de 63 % du nombre d’appareils infectés par des stalkerwares, soit l’équivalent de plus de 250 000 appareils compromis« , explique Kevin Roundy, directeur technique et spécialiste des stalkerwares au sein de la division de recherche de NortonLifeLock, Norton Labs.

Le stalkerware est une technologie disponible dans le commerce, qui peut être installée sur un appareil afin de surveiller l’activité à l’insu de l’utilisateur. Il faut généralement qu’une personne ait un accès physique à un appareil pour l’installer. Le stalkerware consomme la plupart du temps beaucoup d’énergie et de données et peut donc se faire remarquer en ralentissant les performances de l’appareil, en épuisant la batterie ou en augmentant la consommation de données. Si vous suspectez un stalkerware, il est indispensable de vérifier les paramètres et les autorisations de l’appareil pour vérifier si des applications inconnues ont accès à des éléments personnels tels que la localisation et le microphone, ou si des applications inconnues sont présentes sur l’appareil.

Inoffensif de stalker son partenaire ?

Les résultats du rapport démontrent qu’environ un tiers des Français âgés de 18 à 39 ans (31 %) estiment qu’il est inoffensif de stalker son partenaire actuel ou un ancien partenaire, soit deux fois plus que les Français de plus de 40 ans et plus qui sont de cet avis (15 %). Plus de la moitié des jeunes Français (52 %) cautionnent le stalking en ligne si l’un des partenaires ou les deux ont été infidèles ou sont soupçonnés de l’être et admettent qu’ils seraient plus susceptibles de stalker à leur tour un amant ou un ex s’ils savaient qu’ils ne se feraient pas prendre.(36 %). Il convient de noter que près de deux Français sur dix âgés de 18 à 39 ans et ayant déjà eu une relation amoureuse (17 %) admettent avoir utilisé les appareils ou les applications de santé de leur partenaire pour surveiller secrètement leur activité physique. On estime que 2,6 millions de personnes en France (5 % des adultes) ont utilisé un logiciel de harcèlement ou un logiciel de repérage, ce qui illustre l’ampleur du problème.

La familiarité avec le « stalkerware » ou « creepware » est faible. En France, 8 % en sont familiers, 23% en ont seulement entendu le nom et 68 % n’en ont jamais entendu parler, mais les jeunes adultes sont beaucoup plus susceptibles que leurs homologues plus âgés d’en être familiers (19 % chez les moins de 40 ans contre 3 % chez les 40 ans et plus). Consulter le téléphone de son partenaire (17%) et leur navigateur de recherche (15%) sont les formes les plus courantes de stalking en ligne chez les Français qui ont été en couple.

En France, les hommes sont presque deux fois plus susceptibles que les femmes d’utiliser des applications invasives pour espionner leur partenaire. 8 % des hommes qui ont été en couple ont utilisé un creepware ou un stalkerware pour surveiller le téléphone de leur ex ou de leur partenaire actuel, contre seulement 4 % des femmes. • À travers le monde2, le stalking en ligne est une pratique courante. 34 % des consommateurs ayant déjà vécus une relation amoureuse admettent avoir stalké leur ex ou leur partenaire actuel, et plus d’un tiers des Français (33 %) ont admis avoir adopté ce comportement.

Cybersécurité, Espionnae, Facebook, ID, Identité numérique, IOT, Logiciels, Particuliers, Securite informatique, Téléphonie

Facebook a payé 20 euros par mois pour espionner des utilisateurs

Afin d’obtenir des données personnelles, Facebook a admis avoir payé secrètement des utilisateurs pour l’installation d’un VPN « Facebook Research » dans les appareils de volontaires. FR permet à la société de collecter et d’analyser l’ensemble des activités téléphoniques et en ligne d’un internaute.

Le plus surprenant dans cette histoire, c’est le prix payé pour les données les plus privées d’une personne. En effet, si un étranger vous abordait dans la rue et vous proposait de vous payer un montant symbolique chaque mois, en échange d’un accès inconditionnel à votre téléphone, et pour toujours, accepteriez-vous ?

Dans le cas de Facebook, les personnes se sont inscrites de leur plein gré pour fournir toutes leurs informations personnelles – données et activités – de manière extrêmement envahissante et pour seulement 20$ par mois. Il est assez remarquable de constater ce que les entreprises sont prêtes à faire pour accéder à des données personnelles, et en même temps, de réaliser la facilité avec laquelle les citoyens vont l’accepter.

4 internautes sur 10 estiment la vie privée comme un droit humain !

« Nos propres recherches montrent que moins de la moitié des personnes interrogées (47 %) considèrent la vie privée comme un droit humain. » explique Brad Poole, consumer privacy advocate chez HMA! Il existe donc une incompréhension des conséquences d’une vie privée non protégée, peut-être à cause d’une confiance non justifiée en la protection de leurs données.

Ce type « d’initiative » soulève également des questions plus alarmantes, quant à savoir si ce niveau d’accès n’est pas vendu ensuite à des tiers. Les utilisateurs doivent donc prendre conscience qu’en ligne, les choses ne sont peut-être pas toujours ce qu’elles semblent être.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, RGPD, Sauvegarde, Sécurité, Securite informatique, Smartphone, Téléphonie

Des millions de SMS retrouvés dans un cloud de la société Voxox

Un chercheur en sécurité révèle que la société Voxox a exposé des dizaines de millions de SMS en le stockant sur un serveur cloud non protégé.

Voxox est une société de communication VoIP. Une sorte de Skype allemand. Voxox a oublié les bases de la sécurité du cloud. Bilan, ce fournisseur de services vocaux et SMS a exposé des données sensibles telles que les codes 2FA, les mots de passe en texte clair, les numéros de téléphone, les codes de réinitialisation de mot de passe, les notifications d’expédition et les codes de vérification à un accès public. C’est un chercheur en sécurité basé à Berlin, Sébastien Kaul, qui a découvert la faille via le moteur de recherche spécialisé dans la sécurité informatique, Shodan. La base de données de messages SMS identifiée par Kaul est facilement accessible. Elle offre une vue presque en temps réel des informations transitant par la passerelle SMS de Voxox. Comment est-ce possible ? La société américaine n’a pas protégé son serveur … avec un mot de passe. No comment !

Avant sa fermeture, plus de 26 millions de messages texte stockés dans la base de données. Cependant, il semble tout à fait probable que le chiffre soit plus important. Le volume de messages étant énorme, chaque minute. Il est à noter que chaque enregistrement a été étiqueté et détaillé avec précision. Il incluait le numéro de contact du destinataire, le client Voxox qui avait envoyé le message et le contenu du message. (TechCrunch)

Android, backdoor, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, Espionnae, ID, Identité numérique, Logiciels, Mise à jour, Particuliers, Patch, Phishing, Piratage, Securite informatique, Smartphone, Téléphonie, Vie privée

Les cyberattaques ciblant Android en hausse

Les analystes de G DATA ont comptabilisé plus de 3,2 millions de nouvelles applications malveillantes à la fin du troisième trimestre 2018. Cela représente une augmentation de plus de 40 % par rapport à la même période en 2017. Les cybercriminels se concentrent sur les appareils mobiles, en particulier sous le système d’exploitation Android. La raison : huit personnes sur dix dans le monde utilisent un appareil Android.

À la fin du troisième trimestre, les analystes de G DATA ont recensé près de 3,2 millions de nouvelles applications malveillantes Android sur l’année, soit en moyenne 11 700 nouveaux dangers par jour. Il s’agit d’une augmentation de plus de 40 % par rapport à la même période de l’année précédente. En termes de sécurité, Android doit également lutter contre les équipements obsolètes. Dès 2017, Google a réagi avec le Project Treble, une fonctionnalité sous Android 8 qui permet une distribution plus rapide des mises à jour. Mais Android 8 est pour le moment dans un peu moins d’un appareil sur cinq – plus d’un an après son lancement en août 2017. Quant à la version actuelle 9, sa diffusion est inférieure à 0,1 % du parc.

Distribuer plus rapidement les mises à jour de sécurité

L’une des clés d’une meilleure protection réside dans la distribution rapide de mises à jour de sécurité. Selon « The Verge », depuis cet été Google oblige contractuellement les fabricants de smartphones sous Android à fournir des mises à jour de sécurité pour au moins deux ans. En détail, les appareils doivent recevoir au moins quatre mises à jour de sécurité Google au cours de la première année. Au cours de la deuxième année, les fabricants doivent assurer une fréquence de mise à jour qui permet de protéger les appareils des vulnérabilités datant de plus de 90 jours.

Un contrat qui comporte toutefois certaines limites. Seuls les smartphones de 100 000 utilisateurs concernés. En outre, l’accord ne s’applique qu’aux équipements mis sur le marché à partir de février 2018, avec une certaine tolérance admise jusqu’au 31 janvier 2019.

Le risque des logiciels espions

Les fonctionnalités étendues des logiciels espions ciblant le système Android sont une source d’incertitude. Ces codes malveillants rivalisent de techniques pour accéder au contenu des appareils. Dernièrement, les analystes de G DATA détaillaient le fonctionnement d’un trojan capable de lire les conversations WhatsApp. Les Smartphones contenant un nombre croissant d’informations sensibles, les attaquants ont bien compris l’intérêt de ces types de codes malveillants.

Virus Bulletin : Google parle d’Android

Lors de la conférence Virus Bulletin qui s’est tenue à Montréal en octobre, des chercheurs de Google ont fait deux présentations qui montrent que la sécurisation de la plateforme Android est un défi quotidien. L’analyste Maddie Stone a par exemple présenté une application malveillante qui déploie un niveau inhabituellement élevé de techniques pour ne pas être détecté par les systèmes automatisés de Google.

L’expert en sécurité Łukasz Siewierski a quant à lui présenté une campagne de logiciels malveillants préinstallés sur les smartphones Android. Selon son analyse, le malware était déjà installé pendant la phase de développement. G DATA a traité d’un sujet similaire lors du Virus Bulletin 2015 et pour la première fois en 2014.

Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch, Propriété Industrielle, Securite informatique

Espionnage des conducteurs de voiture via leur autoradio

Les habitudes d’écoute de milliers de conducteurs de voitures surveillées, sans consentement, durant 3 mois. But final, diffuser des publicités ciblées !

Environ 90 000 conducteurs de véhicules General Motors ont été surveillés par le constructeur de voitures. Les propriétaires et leurs passagers ont été surveillés durant 3 mois alors qu’ils voyageaient sur les routes de Chicago et de Los Angeles. C’est l’équipe Detroit Free Press qui a révélé cet espionnage qui s’est déroulé en 2017. General Motors a confirmé cette « écoute » qui aurait été mis en place dans le cadre de son programme de suivi de radio. La société a reconnu collecter des données afin de les utiliser manière intelligente. Bref, traduisez par la diffusion de publicités ciblées. Vous comprenez maintenant pourquoi le fait de savoir que Renault a choisi Google comme moteur de recherche peut inquiéter les utilisateurs. Google connaîtra l’ensemble des comportements des conducteurs de voiture de la marque française. Qwant aurait été parfait pour éviter ce ciblage.

Via le Wi-Fi des voitures

Pour général Motors, lors de son test de trois mois, l’espionnage a utilisé le Wi-Fi proposé dans les voitures pour suivre les habitudes de certains de ses conducteurs dans l’espoir de voir s’il existait un lien entre ce que les conducteurs écoutent et ce qu’ils achètent. GM, avec 10 millions de voitures en circulation, est l’un des premiers constructeurs à entreprendre une telle étude. A noter que les 90 000 conducteurs de Los Angeles et de Chicago impactés avaient accepté de participer à une « proof of concept » sans connaitre la finalité de cette preuve de concept. « Les données sont ensuite agrégées et anonymisées. Les résultats obtenus sur un très grand échantillon et n’incluent aucune information personnellement identifiable » indique General Motors.

Espionnage dans nos voitures

L’espionnage, via les automobiles, n’est pas une nouveauté. Je vous passe les contenus que sont capables de stocker les « clés » sans fil des voitures. En 2015, Chevrolet proposait aux parents un logiciel d’espionnage, Teen Driver, intégré dans ses voitures. Raison invoquée, permettre aux parents de suivre leurs enfants conducteur ! Mais aussi être averti si la vitesse est dépassée (vitesse choisie par les parents). Recevoir des rapports sur les véhicules. Limiter le volume audio de l’auto radio.

Android, backdoor, Cyber-attaque, Cybersécurité, Espionnae, ID, Identité numérique, Leak, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Téléphonie, Vie privée

Triout, un espion dans votre smartphone

3 commentaires

Triout, un nouveau logiciel espion s’attaque aux appareils sous Android.

Triout, l’espion 2.0 ! Aucun système d’exploitation n’est à l’abri des logiciels malveillants. Les cybercriminels voudront toujours voler, espionner ou manipuler vos données. La prolifération des appareils Android – des smartphones aux tablettes et aux téléviseurs intelligents – ouvrent des nouvelles « voix » aux développeurs de logiciels malveillants. Ces appareils contiennent des micros, des caméras et un gps.

Premièrement, les chercheurs de Bitdefender identifient un nouveau logiciel espion Android, baptisé Triout. Trouvé avec une application reconditionnée, les capacités de surveillance de ce logiciel espion consiste à masquer sa présence sur l’appareil. Il va ensuite enregistrer des appels téléphoniques. Copier les SMS. Recoder les vidéos. Prendre des photos. Recueillir des coordonnées GPS.

Ensuite, il est intéressant de noter que Triout apparaît pour la première fois en Russie. La plupart des analyses/rapports proviennent d’Israël. La première apparition de l’échantillon date du 15 mai 2018, sur VirusTotal.

Enfin, l’analyse du logiciel espion indique que Triout a la capacité d’enregistrer chaque appel téléphonique. La conversation se retrouve sous la forme de fichier multimédia. L’information est communiquée au C&C avec l’identifiant de l’appareil. L’espion enregistre chaque SMS entrant (corps SMS et expéditeur SMS). Il a la possibilité d’envoyer tous les journaux d’appels. Chaque photo prise par l’appareil piégé, caméra avant ou arrière, est envoyée au C&C.

Argent, Arnaque, Bitcoin, Cybersécurité, Entreprise, Espionnae, ID, Paiement en ligne, Particuliers, Securite informatique

Les stratagèmes d’ingénierie sociale liés aux cryptomonnaies ont rapporté aux cybercriminels près de 10 millions en 2017

2 commentaires

Des experts ont mis à jour un type de fraude relativement nouveau : le développement des cryptomonnaies n’attire pas seulement les investisseurs mais aussi des cybercriminels poussés par l’appât du gain. Au cours du premier semestre 2018, les produits de la société ont bloqué plus de 100 000 événements déclencheurs liés à des cryptomonnaies, sur de faux sites et d’autres plateformes. Chacune de ces tentatives visait à leurrer un nombre croissant d’utilisateurs crédules par des stratagèmes frauduleux.

Le phénomène des cryptomonnaies et l’engouement qu’elles suscitent ne sont pas passés inaperçus des cybercriminels. Pour réaliser leurs noirs desseins, ceux-ci emploient généralement des techniques classiques de phishing mais vont souvent au-delà des scénarios « ordinaires » que nous connaissons. En s’inspirant des investissements ICO (Initial Coin Offering) et de la distribution gratuite de cryptomonnaies, les cybercriminels ont pu abuser aussi bien de l’avidité des détenteurs de monnaie virtuelle que de la naïveté des néophytes.

Certaines des cibles plus prisées sont les investisseurs ICO, qui cherchent à placer leur argent dans des start-ups dans l’espoir d’en tirer profit à l’avenir. A leur intention, des cybercriminels créent de fausses pages web imitant les sites de projets ICO officiels ou bien tentent d’accéder à leurs contacts de façon à pouvoir diffuser un message de phishing contenant le numéro d’un e-portefeuille et incitant les investisseurs à y envoyer leurs cryptomonnaies. Les attaques les plus fructueuses se servent de projets ICO bien connus. Par exemple, en exploitant l’ICO Switcheo au moyen d’une proposition de distribution gratuite de cryptomonnaies, des malfaiteurs ont dérobé l’équivalent de plus de 25 000 dollars après avoir propagé un lien via un faux compte Twitter.

Autre exemple, la création de sites de phishing pour le projet ICO OmaseGo a permis à des escrocs d’empocher plus de 1,1 million de dollars dans cette cryptomonnaie. Les cybercriminels ont été tout aussi intéressés par les rumeurs entourant l’ICO Telegram, ce qui a eu pour effet l’apparition de centaines de sites factices destinés à recueillir de prétendus « investissements ».

Une autre tendance répandue porte sur des escroqueries aux faux dons de cryptomonnaie. La méthode la plus courante consiste à demander aux victimes de faire cadeau d’une petite somme en monnaie virtuelle, en leur faisant miroiter un gain bien plus élevé dans cette même monnaie à l’avenir. Les malfrats vont même jusqu’à utiliser les comptes de personnalités réputées sur les réseaux sociaux, telles que l’homme d’affaires Elon Musk ou le fondateur de la messagerie Telegram, Pavel Durov. En créant de faux comptes et en s’en servant pour répondre aux tweets d’utilisateurs de bonne foi, les escrocs réussissent à tromper des internautes.

Selon les estimations approximatives de Kaspersky Lab, des cybercriminels seraient parvenus l’an dernier à engranger plus de 21 000 ETH (la cryptomonnaie Ether, qui utilise la blockchain générée par la plate-forme Ethereum), soit plus de 10 millions de dollars au cours actuel, grâce aux stratagèmes que nous venons de décrire. Cette somme ne tient même pas compte des attaques de phishing classiques ou des cas de génération d’une adresse individuelle pour chaque victime.

« Notre étude révèle que les cybercriminels sont passés maîtres dans l’art d’actualiser et de développer leurs ressources afin d’obtenir un maximum de résultats de leurs attaques de phishing liées aux cryptomonnaies. Ces nouveaux stratagèmes de fraude reposent sur des méthodes élémentaires d’ingénierie sociale mais se distinguent des attaques de phishing habituelles car ils peuvent rapporter des millions de dollars à leurs auteurs. Les succès obtenus par ces escrocs donnent à penser qu’ils savent comment exploiter le facteur humain, l’un des éternels maillons faibles de la cybersécurité, pour profiter du comportement des utilisateurs », commente Nadezhda Demidova, analyste en contenus web chez Kaspersky Lab.

Les chercheurs conseillent aux utilisateurs d’observer quelques règles élémentaires afin de protéger leurs avoirs en cryptomonnaie :
· Rappelez-vous que rien n’est jamais gratuit et que les offres qui paraissent trop belles pour être vraies doivent être traitées avec scepticisme.
· Vérifiez auprès de sources officielles les informations concernant la distribution gratuite de cryptomonnaies. Par exemple, si vous remarquez une distribution pour le compte de l’écosystème de blockchain Binance, piraté récemment, rendez-vous sur le site officiel pour y obtenir des éclaircissements.
· Vérifiez si des tiers sont liés au portefeuille vers lequel vous envisagez de transférer vos économies. L’une des solutions consiste à faire appel à des navigateurs de blockchain, tels que etherscan.io ou blockchain.info, qui permettent aux utilisateurs de visualiser des informations détaillées sur toute transaction en cryptomonnaie et de déterminer si le portefeuille risque d’être dangereux.
· Vérifiez toujours les liens et données affichés dans la barre d’adresse du navigateur, par exemple que vous y lisez bien « blockchain.info », et non « blackchaen.info ».
· Conservez l’adresse de votre e-portefeuille dans un onglet et accédez-y depuis ce dernier, ce qui évitera une erreur de saisie dans la barre d’adresse, susceptible de vous faire aboutir accidentellement à un site de phishing.

Android, Base de données, Chiffrement, Communiqué de presse, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, IOT, Particuliers, RGPD, santé, Sécurité, Securite informatique, Smartphone, Social engineering, Vie privée

Domotique : objets connectés sont-ils dangereux ? Test !

Les objets connectés et la domotique sont devenus omniprésents dans notre quotidien, au travail comme à la maison : téléphones, ampoules, enceintes, montres, caméras, voitures, etc. Pourtant, nous devrions nous préoccuper des informations que nous transmettons (mode de vie, habitudes, localisation, photos et vidéos, etc.) et les risques d’un tel partage. À cet effet, ESET reconstitue une maison connectée lors du Mobile World Congress, où différents appareils sont testés afin de mettre en évidence les vulnérabilités liées à ces objets qui nous entourent. Partage de données, virus, informations collectées… Que risque-t-on vraiment en partageant avec ces objets des informations nous concernant ? Nos experts ont testé 12 produits que nous retrouvons habituellement dans une maison connectée.

L’un de ces objets de domotique qui n’a pas été listé ici présentait de nombreuses vulnérabilités importantes. Nous avons averti le fabricant pour qu’il puisse y remédier. Cet appareil est une centrale de commande domotique qui peut gérer les détecteurs de mouvement, les commandes de chauffage, les moteurs de volets roulants, les capteurs d’environnements et les prises intelligentes.

Voici les principales vulnérabilités de cet appareil :

  • Le processus de connexion au réseau local n’est pas entièrement protégé par un système d’authentification. L’option par défaut autorise la connexion automatique, qui contourne le renseignement d’informations d’identification standard telles que l’identifiant et le mot de passe. Le fabricant mentionne ce problème dans une alerte de sécurité et recommande de désactiver cette option par défaut.
  • Comme avec presque tous les systèmes de maison connectée, un service Cloud permet de gérer les appareils connectés depuis un endroit X. Les communications vers le service cloud ne sont pas chiffrées.
  • Le service Cloud des fournisseurs a la possibilité d’établir une connexion VPN (Virtual Private Network – à distance) avec les périphériques distants. Une fois ce tunnel établi, il pourrait être possible de modifier la configuration du réseau distant. Cela pourrait entraîner l’accès au réseau local des utilisateurs sans leur consentement.
  • L’accès au service Cloud nécessite un enregistrement. Si les détails concernant l’utilisateur sont compromis, l’accès VPN au réseau distant peut présenter un risque considérable.

Les autres appareils que nous avons testés et détaillés dans ce rapport permettent de mettre en évidence certaines vulnérabilités qui doivent être prises en compte au moment de l’achat de l’appareil. Par exemple, les caméras D-Link et la connexion TP-Link présentent des problèmes de sécurité. La principale préoccupation de ces caméras est l’absence de chiffrement du flux vidéo, accessible depuis un système d’authentification faible.

La confidentialité de la domotique, un sujet qui nous concerne tous

La radio Internet Soundmaster, qui ne dispose pas entre autres de politique de confidentialité, a alerté nos chercheurs. Les préoccupations les plus importantes concernent les assistants intelligents à commande vocale – en l’occurrence Alexa. Il s’agit d’un service qui sert de conduit à tous les autres appareils et qui stocke ensuite les interactions avec eux. Ni la réputation de l’appareil ni les services d’Amazon ne sont en cause, mais un pirate intelligent qui tente de recueillir des données personnelles pour le vol d’identité pourrait créer une attaque par spear-phishing pour accéder au compte Amazon des victimes.

AMAZON ECHO

Les interactions que vous aurez avec cet appareil permettront d’informer Amazon des produits que vous souhaitez acheter, de ce que vous écoutez, des autres produits connectés que vous avez et ainsi de suite. Cette collecte de données permet de créer un profil qui contient potentiellement des détails très précis sur votre style de vie – le rêve d’un marketeur, et aussi celui d’un cybercriminel. Avec les violations de données fréquentes, tout assistant numérique activé par la voix doit nous préoccuper. Si, par exemple, quelqu’un accède à votre identifiant et votre mot de passe Amazon, il a la possibilité d’écouter vos interactions avec Alexa. Le stockage d’informations stockées constitue un problème de confidentialité.

D-LINK

Les mises à jour de micrologiciels sont au format http et non https (le -s- indique que le protocole est sécurisé), ce qui signifie qu’un pirate pourrait injecter des virus lors d’une mise à jour, car le flux de données n’est pas chiffré. Les caméras incluses dans notre test de maison connectée présentent des faiblesses. La caméra est contrôlée depuis l’application mydlink, qui est chiffrée. Mais si le flux vidéo lui-même est mal protégé, les problèmes de sécurité et de confidentialité se concentrent autour du contenu « capturé ».

NETAMTO

Si vous décidez de partager les données de votre appareil, sachez que votre emplacement est identifié. Jetez un œil ici. Vous comprendrez comment, en sélectionnant l’un des appareils. L’adresse de rue d’un propriétaire de NetAMTO est indiquée.

NOKIA HEALTH

Nous avons tenté d’accéder aux données qui circulent entre l’application Health Mate et le service Cloud affilié. Il était possible de lancer une attaque de type « MitM » entre l’application Android et le Cloud. Ceci signifie que les communications sont interceptées sans que l’utilisateur soit au courant.

Ici, l’attaque à distance n’est pas possible. Cependant, en cas de compromission, les données transmises deviennent lisibles. Ceci dit, pour NOKIA HEALTH, il est peu probable de trouver un scénario où un pirate peut accéder au téléphone, rooter l’appareil, intercepter le téléchargement du firmware, le réécrire, puis appuyer sur un bouton de configuration magique sur les balances réelles et installer le nouveau firmware.

Cependant, lorsque vous associez Nokia Scales à Amazon Echo, vous pouvez poser des questions à Alexa sur les données stockées dans votre compte Health Mate. Sur la page Internet d’Amazon qui détaille l’habileté et l’offre des compétences Nokia, il y a la déclaration suivante : Alexa et Amazon, Inc. ne stockent ni ne conservent vos données Nokia Health, mais les interactions vocales associées à votre compte Amazon peuvent contenir vos données Nokia Health Mate.

Lorsque vous liez Alexa et accordez à Amazon la permission d’accéder à votre compte Nokia Health Mate, vous accordez en réalité à Amazon Alexa l’accès aux données personnelles, y compris le poids, la distance parcourue, le sommeil et les objectifs. Ces informations sont stockées sous forme d’interactions vocales associées à votre compte Amazon.

SONOS

Si, par exemple, vous avez des enceintes dans les chambres de vos enfants, nommer les enceintes en utilisant leurs noms réels peut, par inadvertance, mener à partager des données avec Sonos au sujet des personnes de votre famille.

WOERLEIN

En l’absence de politique de confidentialité, nous devons nous fier à notre enquête pour comprendre la communication entre l’appareil et Internet. Tout d’abord, lors de la configuration de l’appareil pour se connecter au réseau Wi-Fi, le mot de passe n’est pas masqué. Si l’appareil est accessible, par exemple dans un lieu public tel qu’un bureau ou un établissement de vente au détail, les informations d’identification Wi-Fi seront accessibles en cliquant sur les paramètres.

Lors de la sélection d’une station de radio, une instruction est envoyée en clair à mediayou.net, qui semble être un portail d’accès au contenu radio en ligne. Mediayou connaîtra l’adresse IP de la radio qui s’y connecte, la station de radio demandée, ainsi que l’heure et la durée d’écoute.

Aucune politique de confidentialité n’est répertoriée sur le site Internet mediayou.net. Même lors de la création d’un compte sur le site, il n’y avait aucune offre de politique de confidentialité ou de conditions d’utilisation. Faire des recherches sur le domaine mediayou.net pour déterminer qui en est le propriétaire est futile, car les détails du domaine sont cachés derrière un bouclier de confidentialité, ce qui est ironique…

Si vous ne comprenez pas quelles données, le cas échéant, peuvent être collectées et conservées, vous devez envisager le pire : une entreprise pourrait collecter tout ce qu’elle peut et vendre ces données à qui elle veut et quel que soit son choix. À l’heure où les données personnelles ont une valeur et où le vol d’identité est un problème croissant, cette situation est inacceptable.

TP-LINK

Cet appareil présente des vulnérabilités qui incluent un chiffrement facilement réversible entre l’appareil et l’application TP-Link Kasa utilisée pour le contrôler, des problèmes de validation de certificat et des attaques potentielles de type man-in-the-middle.

CONCLUSION

Aucun appareil ou logiciel n’est garanti « totalement sécurisé » ou « sans vulnérabilités potentielles ». Chaque personne qui lit ce rapport aura une vision différente des informations personnelles qu’elle estime pouvoir partager avec une entreprise ou un fournisseur. Il est nécessaire de se renseigner sur le niveau de protection des appareils. Par exemple, est-ce que le fabricant envoie des notifications pour la mise à jour du firmware ? Les assistants personnels vocaux intelligents sont très pratiques. Ils sont également omniscients. Évaluez avec prudence les informations que vous souhaitez partager avec eux.

Les données collectées sur la maison, le style de vie, la santé et même les données de navigation Internet d’une personne ne devraient être autorisées qu’une fois les conséquences prises en compte. Alors que les entreprises découvrent de nouvelles façons de faire du profit avec les données collectées via les objets connectés, soit l’industrie doit s’autoréguler, soit les gouvernements devront renforcer la législation relative à la protection de la vie privée (de la même manière que l’UE a mis en place le RGPD).