Archives de catégorie : Espionnae

Accéder à votre compte Facebook sans mot de passe, facile !

Voilà qui va être apprécié chez les amateurs du réseau communautaire. Les employés de Facebook peuvent accéder à votre compte, sans utiliser votre mot de passe. Facebook explique que cela reste cependant très contrôlé !

On ne rigole pas, et on se dit que Facebook croit vraiment ce qu’il tente de raconter aux internautes. Accéder à votre compte Facebook est très simple pour un employé, il lui suffit de cliquer sur le logiciel local et le voilà dans votre espace, sans avoir à utiliser, ni même connaitre votre mot de passe. Facebook explique que cela reste cependant très contrôlé !

La découverte a été faite par un Paavo Olavi Siljamäki, un DJ producteur, en visite dans les locaux de Facebook. Il explique, sur son compte FB, avoir vu de ses petits yeux un employé de Facebook accéder à son compte, sans utiliser le moindre sésame. « Des gens sympas là-bas nous ont donné de bons conseils sur la façon d’utiliser au mieux Facebook. Puis on m’a demandé si j’étais d’accord pour regarder mon profil (…) Un ingénieur de Facebook peut alors se connecter directement sur mon compte, regarder tout mon contenu privé sans me demander mon mot de passe« .

Le plus fou est que Paavo a ensuite regardé, chez lui, son compte Facebook. Sa page ne lui a pas indiquer cette visite particulière.  « Nous avons des contrôles administratifs, techniques et physiques très rigoureux quant à l’accès aux informations de nos utilisateurs » indique Facebook à Venture Beat. Bref, Paavo a donné son accord, et l’employé est rentré !

 

Connaître vos ami(e)s sur Facebook, un jeu d’enfant

Facebook permet de protéger son compte des regards non autorisés. Lorsqu’une personne configure correctement son profile, la protection des informations et des ami(e)s semble correcte… ou pas.

Voici un bug qui affiche vos ami(e)s alors normalement invisbles. Mario Gosparini, analyste et développeur R&D, explique ce problème qui permet de retrouver l’identité de vos ami(e)s. Plutôt génant quand on sait la vivacité des escrocs à intervenir sur Facebook.

Etonnant, le « truc » jongle avec les personnes inscrites sur votre compte et une url qu’il suffit de manipuler : facebook.com/{ pseudo de la personne cible}/friends?and={ pseudo de l’ami de la personne cible }&sk=friends.

Grace à ce lien « modifié », les visages des ami(e)s des ami(e)s permet de faire ressortir les ami(e)s en commun. « Du coup de fil en aiguille en prenant chaque amis et en utilisant un lien spéciale, je peux comparer les amis des 2 personnes, et récupérer progressivement la liste des amis intégralement« . C’est long, mais c’est efficace. (Dyrk)

Les pirates d’Anunak s’attaquent aux banques russes

Des pirates informatiques baptisés Anunak se sont spécialisés dans les attaques numériques à destination des banques russes. 20 millions d’euros auraient été volées.

La société néerlandais Fox-IT, spécialisée dans la sécurité informatique, a annoncé avoir terminé une enquête sur un groupe de pirates qu’elle a baptisé Anunak. Ces « visiteurs » ne visent que les banques russes. Méthode employée, courriels piégés et infiltration/installation d’outils malveillants comme des keylogger [logiciel d’espionnage, NDR] qui ont pour mission d’intercepter la moindre frappe sur un clavier.

En 2013, les voleurs 2.0 se seraient invités dans une cinquantaine de banques. D’après la société FOX It, les pirates auraient ainsi pu manipuler des distributeurs de billets. Deux entreprises bancaires piratées ont perdu leur licence bancaire suite aux méfaits d’Anunak.

PictureBook affiche les photos Facebook que vous cachez

Voilà une extension qui risque de faire un tabac, avant que Facebook face disparaitre cette option involontaire… ou pas !

PictureBook est une application dédiée au navigateur Chrome de Google. Sa mission, permettre de faire ressortir les photos que vous ne souhaitez pas afficher sur votre compte communautaire. L’outil fait ressortir les documents ou vous êtes tagués, même si vous n’avait pas validé les documents en question.

L’outil exploite les photos publiques, via les comptes de vos amis. Pour éviter ce petit espionnage entre « potes », mais pas seulement, vos « non » ami(e)s peuvent aussi vous « regarder », il suffit de dé-taguer vous même les clichés vous affichant.

PictureBook rappelle que la gestion de sa confidentialité sur la toile n’est pas un vain mot. A bon entendeur !

Énorme faille de confidentialité découverte dans les réseaux de téléphonie mobile

Deux chercheurs allemands, spécialisés dans la sécurité informatique, ont découvert ce qui semble être un cas grave de fuite concernant les téléphones portables.

D’après Tobias Engel et Karsten Nohl, la faille pourrait permettre à des criminels et des agences de renseignement d’espionner les appels téléphoniques privés et les messages texte transmis via les réseaux cellulaires.

Le problème apparaît dans le système de signal 7 (SS7), un réseau mondial de télécommunications dont vous n’avez très certainement jamais entendu parlé. Sept permet aux opérateurs de téléphonie de faire transiter les messages et les SMS à travers le monde. Le Washington Post a rapporté que les chercheurs ont découvert des trous de sécurité dans certaines des fonctions SS7 normalement utilisées. SS7 a été conçu dans les années 1980. Il est évident que ce dernier soit criblé de vulnérabilités qui portent atteinte à la vie privée des milliards d’utilisateurs de cellulaires de part le monde.

Les failles peuvent permettre de localiser les appelants, n’importe où dans le monde, écouter les appels, les enregistrer. Il serait également possible de frauder les utilisateurs, ainsi que les opérateurs de téléphonie mobile en utilisant certaines fonctions SS7. Deux commandes semblent être particulièrement intéressantes.

La première pourrait permettre de détourner un téléphone portable en interceptant les appels qu’il reçoit. Une sorte de Man-in-middle. Avec un tel système en place, les appels peuvent être enregistrés secrètement. Deuxième commande, un pirate situé à proximité de sa cible pourrait utiliser des antennes radio pour intercepter les appels et les SMS traversant la zone « d’écoute ». Il faut une clé temporaire SS7 pour déchiffrer les communications enregistrées.

La semaine dernière, Nohl a mis ses découvertes en pratique en démontrant le danger à un sénateur allemand en déchiffrant ses SMS.

Pour se protéger, il est fortement conseillé d’utiliser des outils tels que FaceTime (Apple), Signal (Whisper System) ou RedPhone qui permettent d’avoir une communication sécurisée sur un canal non sécurisé.

Logiciels espions dans la derniere mise à jour Galaxy Note de Samsung

Mais que viennent donc faire là Cookie Jam, Drippler et RetailMeNot dans la nouvelle mise à jour de T-Mobile concernant les Galaxy Note 4 de chez Samsung. Les applications sont avides d’informations… sans que les propriétaires des smartphones soient alertés.

Voilà qui commence à faire beaucoup. Après la disparation de musique non acquise sur iTunes dans des iPod, Apple ayant décidé de faire le ménage sans que les utilisateurs ne puissent rien dire, voici le débarquement de logiciels « sniffeurs » d’informations dans les Galaxy Note 4 Samsung commercialisés par T-Mobile.

Une mise à jour, imposée par l’opérateur, en a profité pour installer sans que personne ne puisse dire « non », trois applications avec des autorisations incroyables… sans que le propriétaire du téléphone ne le sache. Cookie Jam, Drippler et RetailMeNot se sont retrouvés dans les smartphones. Les utilisateurs peuvent pas les effacer, ils se réinstallent dans la foulée.

Les logiciels malveillants ont été installés automatiquement après la mise à jour de T-Mobile. Parmi les autorisations autorisées, mais non validées par les clients : lire l’état du téléphone, l’identité, modifier, lire et supprimer le contenu de votre périphérique de stockage USB, modifier les paramètres de sécurité du système, télécharger des fichiers sans notification, voir toutes sortes de connexions et avoir accès complet au réseau… (Rick Farrow)

007 espionne deux cables sous-marins de Vodafone

L’agence britannique GCHQ aurait espionné deux câbles sous marins de Reliance Communication pour accéder aux données de millions de personnes.

L’Inde, comme des millions d’Internautes sont en colères après le GCHQ (General Communications Headquarters), les grandes oreilles britanniques, sœurs jumelles de la Nationale Security Agency de l’Oncle Sam. Dans ce qui peut être qualifié comme une autre révélation majeure des dossiers volés d’Edward Snowden, ancien analyste privé employé par la NSA, il vient d’être révélé par la presse britannique, allemande et indienne (Channel4, Süddeutsche Zeitung), que l’agence britannique « d’intelligence » a piraté deux grands câbles sous-marins de Reliance Communications. L’intimité numérique de millions d’utilisateurs aurait été compromise, sans parler de plusieurs gouvernements, dont l’Inde, l’Égypte, la péninsule arabique, la Malaisie, la Thaïlande, Hong Kong, la Chine continentale, Taïwan et le Japon.

Le piratage aurait été réalisé avec l’aide d’une société privée achetée dernièrement par le géant des télécommunication Vodafone. Ce « copain » aurait permis de pirater les câbles de Reliance Communication, ainsi que 27 autres « tuyaux » passant par le Royaume. Une action planifiée baptisée « Pfenning Alpha« , en partenariat avec la NSA américaine. Une ponction qui aurait durée de 2009 à 2011 à partir de Skewjack Farm, dans le sud de l’Angleterre.

Les câbles Reliance acheminent le trafic de données Internet entre l’Asie, l’Europe  (Flag) et le continent américain (Flag Atlantic 1).

Il y a un an, Le Monde rappelait que la France n’était pas en reste avec ce genre de « partenariat » avec la mise sur écoute d’un câble sous-marin. « Ce flux d’informations étranger-France, cette « matière première » comme la qualifie la NSA dans une note révélée par M. Snowden, fait l’objet d’une large interception par la DGSE« . Bref, la NSA a des pinces crocodiles un peu partout !

En février 2013, la NSA confirmait sa main mise sur les données transitant par le câble SEA-ME-WE 4 « Nous avons réussi à collecter les informations de gestion des systèmes du câble sous-marin SEA-ME-WE » confirmait alors la grande muette. (HindusTimes)

Regin: Un outil d’espionnage de pointe pour une surveillance furtive

Un malware complexe, connu sous le nom de Regin, a été utilisé dans le cadre de campagnes d’espionnage systématique envers des cibles internationales depuis au moins 2008. Trojan de type backdoor, Regin est un malware complexe dont la structure suppose des compétences techniques rarement vues.

Avec un grand nombre de fonctionnalités qui s’adaptent selon la cible, il permet à ses commanditaires d’opérer une surveillance massive et a été utilisé dans des opérations contre des organisations gouvernementales, des opérateurs d’infrastructures, des entreprises, des scientifiques et des individus. Il est probable que son développement ait pris plusieurs mois, voire plusieurs années, et ses auteurs ont tout fait pour assurer sa discrétion. Ses capacités ainsi que le niveau de ressources derrière Regin indiquent qu’il s’agit de l’un des principaux outils de cyber espionnage utilisé par un état.

Comme décrit dans le livre blanc publié par Symantec, Backdoor.Regin est une menace en différentes phases, chacune d’entre elles étant dissimulée et chiffrée, à l’exception de la première. L’exécution de la première étape génère un effet domino de déchiffrement et de chargement de la phase suivante. Chaque étape individuelle fournit peu d’informations sur l’ensemble de la menace. Seule la réalisation de l’ensemble permet l’analyse et la compréhension de la menace.

Les cinq étapes de Regin

Regin utilise également une approche modulaire, lui permettant de charger des fonctionnalités adaptées selon la cible. Cette approche modulaire a déjà été vue dans des familles de malwares sophistiqués tels que Flamer et Weevil (TheMask), alors que l’architecture en plusieurs étapes est similaire à celle observé dans Duqu/Stuxnet.

Déroulé et profil des cibles
Les infections par Regin ont été observées dans différents types d’organisations entre 2008 et 2011, date à laquelle il a été brutalement retiré. Une nouvelle version du malware a refait surface à partir de 2013. Les cibles incluent des entreprises privées, des organisations gouvernementales et des instituts de recherche. Alors que près de la moitié des infections concerne des adresses appartenant à des fournisseurs de services Internet, les cibles de ces infections étaient les clients de ces sociétés plutôt que les sociétés elles-mêmes. De la même manière, les attaques contre des entreprises de télécommunications visaient l’accès aux appels passant par leurs infrastructures.

La géographie des infections est également diverse, et concerne principalement dix pays.

Vecteur d’infection et charges utiles
Le vecteur d’infection varie selon les cibles et aucun vecteur reproductible n’a été identifié à l’heure où ce rapport a été rédigé. Symantec estime que certaines cibles ont été leurrées vers la visite de fausses versions de site Internet bien connus, et que la menace s’est installée via un navigateur web ou lors de l’exploit d’une application. Sur un ordinateur, les fichiers log montraient que Regin venait de Yahoo ! Instant Messenger via une faille non confirmée.

Regin utilise une approche modulaire, donnant ainsi une certaine flexibilité à ses commanditaires et opérateurs qui peuvent ainsi adapter ses fonctionnalités selon les cibles individuelles et les besoins. Certaines charges utiles sont particulièrement avancées et laissent supposer un haut degré d’expertise dans des secteurs bien précis: une preuve supplémentaire du niveau de ressources dont ont bénéficié les auteurs de Regin.
Regin comporte des douzaines de charges utiles. Ses capacités de base incluent plusieurs fonctionnalités de Remote Access Trojan (RAT), telles que la capture d’écrans, la prise de contrôle de la souris, le vol de mots de passe, la surveillance du trafic réseau et  la restauration de fichiers supprimés.
Des modules de charge utile plus spécifiques et avancés ont également été découverts, tels que le monitoring de trafic de serveur web Microsoft IIS et l’aspiration du trafic des contrôleurs des stations de téléphonie mobile.
Furtivité.

Les développeurs de Regin ont fourni des efforts considérables pour le rendre indétectable. Son caractère discret semble indiquer une utilisation lors de campagnes d’espionnage qui ont duré plusieurs années. Même lorsque sa présence est détectée, il est très difficile de déterminer précisément ses actions. Symantec n’a été en mesure d’analyser les charges utiles qu’après déchiffrement des échantillons de fichiers.

Regin présente plusieurs fonctionnalités de furtivité, notamment des capacités anti-forensics, un système de fichiers virtuel chiffré unique, un chiffrement alternatif sous la forme d’une variante de RC5, qui n’est pas communément utilisé. Regin utilise de multiples moyens sophistiqués pour communiquer avec l’attaquant, notamment via ICMP/ping qui intègre des commandes dans les cookies http, via des protocoles TCP et UDP sur mesure.

Regin est une menace hautement complexe qui a été utilisée dans la collecte systématique de données ou lors de campagnes de renseignements. Le développement et l’opération de ce malware ont certainement demandé des investissements financiers et en temps importants, laissant supposer qu’un état en est le commanditaire. Sa conception en fait un outil hautement adapté pour des opérations de surveillance persistantes et à long terme contre ses cibles.

La découverte de Regin met en lumière l’importance des investissements pour le développement d’outils informatiques à des fins de renseignement. Symantec estime que de nombreuses composantes de Regin restent à découvrir et que des fonctionnalités et des versions supplémentaires existent. Symantec continue son travail d’analyse et publiera les mises à jour de ses recherches. (Par Symantec Security Response)

Detekt, le logiciel anti espion

Amnesty International a diffusé, ce 20 novembre, un outil permettant aux victimes d’espionnage de détecter les manœuvres de surveillance gouvernementales. L’utilisation et le commerce de technologies de surveillance des télécommunications se sont développés de manière exponentielle ces dernières années.

La Coalition contre l’exportation illégale de technologies de surveillance, dont Amnesty International est membre, estime que le commerce mondial des technologies de surveillance représente 4 milliards d’euros par an, et qu’il est en expansion. Detekt propose donc de voir si votre ordinateur, votre smartphone ou votre tablette sont surveillés. Le fonctionnement est assez simple. Plusieurs versions sont téléchargeables sur le site officiel de l’opération resistsurveillance.org. La version PC, par exemple, demande d’être exécutée en mode Administrateur, connexion web coupée. Attention, nous avons remarqué que les PC sous Windows 8.1 se retrouvaient avec un message d’alerte leur indiquant l’impossibilité d’utiliser Detekt.

1 – Télécharger Detekt
2 – Exécuter le logiciel en mode « Administrateur ».
3 – Choisissez la langue (le Français n’est pas présent).
4 – Cliquez sur le bouton « Scan ».
5 – Attendre entre 30 et 45 minutes.
6 – Découvrez si vous avez un espion dans votre machine.

Si un espion est découvert dans votre PC, dites vous qu’il est malheureusement trop tard. Nous ne pouvons que vous conseiller de changer d’ordinateur très rapidement. Ensuite, réfléchissez à comment le piège s’est installé dans votre machine (mail, liens, Facebook, Twitter clé USB, smartphone, baladeur mp3, …). Ne reconnectez plus cette machine au web. Bloquez son wifi/Bluetooth. Analysez les documents contenus dans la machine en question. Qu’est ce que le pirate/espion a pu intercepter, lire, copier, modifier. Alertez vos contacts. Il est préférable à ce niveau de crier au feu que d’attendre que tout le monde soit bruler pour s’inquiéter. N’hésitez surtout jamais à déposer plainte et alerter les autorités compétentes, surtout si vous êtes dans une entreprise.

Le paradoxe de la sécurité

Les salariés adoptent des pratiques à risques, alors qu’ils s’estiment sensibilisés sur la sécurisation des données.

Près de 3/4 des actifs interrogés se considèrent bien sensibilisés à la protection des données professionnelles, pourtant une majorité d’entre eux ont toujours des pratiques risquées. Les techniques de protection sophistiquées (changement de mot de passe régulier, système de cryptage des données) ne concernent qu’une moitié des actifs interrogés équipés d’un appareil mobile et seulement 30% disposent de ce type de protection sur l’ensemble de ces appareils fournis par leur entreprise. Le partage de fichiers en ligne via un service de cloud n’est pas jugé dangereux par la majorité des répondants (54%). Bien que les mots de passe soient imposés dans la majorité des entreprises (9/10), on observe de grandes disparités quant à leur élaboration et leur mise à jour, 63% laissent leur ordinateur allumé lorsqu’ils quittent le bureau en fin de journée ou ne le verrouillent pas en quittant leur poste.

De nombreuses études confirment l’influence des appareils mobiles sur le rétrécissement des frontières entre les sphères professionnelles et personnelles. Mais qu’en est-il de leur impact sur la sécurité des données des entreprises ? Les salariés sont-ils suffisamment sensibilisés sur les risques inhérents à ces nouveaux usages et mettent-ils en pratique les règles de sécurité ? Hiscox, en collaboration avec l’institut IFOP, s’est penché sur le sujet et les résultats de cette étude illustrent un important décalage entre le sentiment de connaître les consignes de sécurité et des pratiques à risques largement répandues dans les entreprises.

Des pratiques jugées sans risque par les salariés, mais qui exposent la sécurité de l’entreprise
72% des actifs interrogés se considèrent bien sensibilisés quant à la nécessité de protéger les données professionnelles. Ces actifs sont pourtant les mêmes à adopter des pratiques qui peuvent s’avérer dangereuses pour les données de l’entreprise. Les salariés équipés d’au moins un appareil mobile professionnel sont les plus concernés par ces pratiques risquées puisqu’ils sont 77% à déclarer transporter des fichiers professionnels sur une clé USB ou un disque dur externe (contre 63% pour l’ensemble du panel) et la moitié (53%) partage des fichiers en ligne via un service de cloud (contre 39% pour l’ensemble du panel).

Ces usages ne sont pourtant pas jugés risqués par les répondants : en effet, 54% estiment que le partage de fichiers via le cloud n’a pas d’incidence sur la sécurité et 57% ne voient aucun danger à transporter des données professionnelles sur une clé USB. De même, 63% des actifs laissent leur ordinateur allumé lorsqu’ils quittent le bureau ou ne le verrouillent pas en quittant leur poste. Moins de la moitié seulement perçoit cette pratique comme potentiellement imprudente.

Les petites entreprises plus vulnérables… Et friandes de solutions mobiles
Les salariés des petites entreprises (0 à 49 employés) font partie des publics qui identifient le moins ces pratiques comme pouvant mettre en péril la sécurité des données des entreprises. Des attitudes pourtant risquées quand on sait que les travailleurs « mobiles » et les salariés des très petites entreprises (moins de 10 salariés) sont également ceux disposant de la plus grande latitude en termes d’achats et d’opérations bancaires impliquant l’entreprise. 65% des employés travaillant dans des structures de moins de 10 salariés sont en effet amenés à effectuer des achats en ligne à titre professionnel contre 46% pour l’ensemble des actifs interrogés.

L’utilisation des appareils professionnels dans la sphère personnelle est un autre vecteur de menace pour la sécurité des données des entreprises. Les salariés des petites structures (moins de 10 employés) sont les mieux équipés en appareils mobiles. Ils font aussi partie de ceux  qui utilisent le plus leur matériel professionnel à titre personnel. 82% des salariés de ces entreprises se connectent à Internet au moins une fois par semaine pour des raisons personnelles à partir de leur appareil professionnel (contre 72% de l’ensemble des actifs).

Des usages qui pèsent d’autant plus sur la sécurité de ces entreprises qu’elles ne disposent pas de services informatiques ou de services généraux pour assurer le contrôle et la gestion des appareils mobiles.

Des disparités dans la mise en place des techniques de sécurisation
Pour se prémunir des risques auxquels elles sont exposées et assurer la protection de leurs ordinateurs fixes, 9 entreprises sur 10 s’appuient sur la mise en place d’un mot de passe. Cependant, la fréquence de mise à jour exigée n’est pas la même partout. Seuls 18% des actifs doivent changer leur mot de passe tous les mois quand 34% déclarent devoir le changer moins de 2 fois par an. Une disparité également observée dans son élaboration : 62% des entreprises imposent un nombre minimum de caractères, 56% demandent à leurs salariés de choisir un mot de passe incluant des chiffres et des caractères spéciaux et 57% interdisent de réutiliser un ancien mot de passe. De manière globale, 70% des entreprises imposent au moins une règle à leurs salariés pour le choix du mot de passe mais cette proportion chute à 51% dans les structures de moins de 10 salariés.

Parmi les autres techniques, 35% des actifs interrogés déclarent disposer d’outils de cryptage des données mais 22% ne savent pas s’ils peuvent bénéficier de cette technique dans leur entreprise. De même, si les accès au réseau sont contrôlés dans 61% des entreprises, 16% des actifs ne connaissent pas la politique utilisée par leur entreprise dans ce domaine.

Sur les appareils mobiles, le mot de passe est également le mode de protection le plus répandu. Il concerne en effet 81% des actifs disposant d’appareils mobiles. Les techniques plus sophistiquées (changement de mot de passe tous les 3 mois, système de contrôle d’accès renforcé de type Token, données cryptées non accessibles) ne concernent qu’une moitié des actifs interrogés équipés d’un appareil mobile et seulement 30% disposent de ce type de protection sur l’ensemble des appareils que leur fournit leur entreprise.

Au delà de revoir leur méthode de sensibilisation des salariés aux risques informatiques, les entreprises doivent également faire évoluer leurs dispositifs techniques de sécurité pour les adapter aux nouveaux usages.

« L’explosion des appareils et solutions mobiles dans les entreprises soulève plus que jamais des problématiques de sécurité importantes. La mesure préventive la moins onéreuse consiste à sensibiliser le personnel à l’importance de la sécurité des données. Les connaissances en la matière sont souvent limitées, surtout dans les petites entreprises, et le recours à un expert pour en expliquer les bases peut représenter l’un des meilleurs investissements d’une entreprise » conseille François Brisson, Responsable marché Technologie-Média-Télécom chez Hiscox. « Néanmoins en cas de problème, les sociétés doivent disposer d’un plan de réaction rapide afin de limiter les dommages et de prouver qu’elles prennent toutes les mesures nécessaires. Dans ce cadre, elles sontparfois amenées à faire appel à des spécialistes en gestion de crise, voire à des conseillers en relations publiques. Notre assurance Data Risks permet de couvrir ces coûts et de réduire les conséquences d’une violation de données ».