Archives de catégorie : Particuliers

Actualités liées à la sécurité informatique des particuliers et à la vie privée.

Particuliers

Piratage du site d’Action Contre la faim : un buzz pour soutenir l’association

2 commentaires

Pas d’inquiétude, vous avez très certainement du lire ce message sur le site Internet d’Action Contre la Faim :

« Vivants, vivantes,

 Toutes les 3 minutes, Action contre la Faim sauve une vie, et nuit à mon travail, à ma crédibilité.

Vous êtes de plus en plus nombreux à travers le monde à vous rallier à leur cause. Leurs équipes se déploient, font reculer la faim sur le terrain, pas à pas. Ils me défient, et ce alors qu’à mes côtés, les jeunes faucheurs se détournent de l’essentiel.

Si je pirate aujourd’hui le site d’Action contre la Faim, c’est que je n’ai pas d’autre choix pour me faire entendre.

Vivants, vivantes, vous qui soutenez Action contre la Faim, vous vous trompez de voie. Changez de camp ! La mort vous tend les bras. Ensemble, fauchons !

Je suis Prof Lamort et je ne lâcherai pas mon combat ! Préparez-vous au pire !« 

Un faux piratage pour communiquer sur l’association et les actions des bénévoles d’Actions contre la faim. Une  nouvelle campagne de communication auquel ZATAZ.COM, ZATAZWEB.TV et DataSeurityBreach.fr se sont alliés afin de mettre en scène le personnage du Prof Lamort.

Chaque année, on dénombre de moins en moins de morts en raison de la faim dans le monde, des morts jusque-là faciles à capter pour Prof Lamort, un faux personnages écœuré par le travail mené par ACF sur le terrain. Une idée originale que cette campagne qui permet de rappeler qu’Action contre la Faim sauve toutes les 3 minutes une vie. Cela fait plus de 35 ans que l’ONG s’active et s’organise sur le terrain. N’hésitez pas à soutenir leurs actions.

 

 

 

 

Chiffrement, cryptage, Cybersécurité, Espionnae, Fuite de données, Vie privée

Inquiétude pour des clients de LaPoste.net

15 commentaires

Le site Internet de LaPoste.net propose un service webmail efficace. Sauf que les identifiants de connexions ne sont pas sécurisés. Plusieurs lecteurs de Data Security Breach nous ont annoncé être inquiets du système d’identification du site LaPoste.net. Les connexions « chiffrées » au webmail Laposte.net n’existent pas. Sur la page d’accueil du site http://www.laposte.net, il est possible de se connecter à « Ma boîte aux lettres » LaPoste.net. « Je suis extrêmement surpris que l’on puisse saisir son identifiant et son mot de passe alors que la connexion n’est pas chiffrée et sécurisée en https avec un certificat SSL » indique à la rédaction Vincent. Effectivement, cela signifie tout simplement que les identifiants et les mots de passe transitent en clair sur le réseau Internet entre l’ordinateur de l’utilisateur et les serveurs de La Poste. Une personne mal intentionnée pourrait aisément, et avec quelques outils spécialisés, comme en sniffant les trames Ethernet avec Wireshark, récupérer les informations privées au moment de la connexion. Autant dire qu’un utilisateur passant par une connexion wifi gratuite dans un aéroport, un restaurant (MacDo…), un café (Starbucks…) met tout simplement son webmail en danger. Plusieurs lecteurs ont envoyé un courriel à La Poste. Des services tels que Google ou encore Outlook (live.com) proposent des connexions en https et un certificat SSL.

Alors sécurisé ou pas ?

Ce qui compte est la sécurisation https de l’url qui se trouve dans le formulaire de login. Si celle ci est en https, aucun souci, même si la page qui héberge ce formulaire n’est pas https. Donc, pas d’inquiétude le login de la poste est sécurisé, et les identifiants ne sont pas transmis en clair. « Une fois de plus le petit logo vert partout n’est pas un garant de la sécurité d’un site » rajoute Seb, un lecteur. Il faut admettre, cependant, qu’un peu plus de visibilité ne nuirait pas à la bonne compréhension, et à rassurer les utilisateurs. La dynamique équipe sécurité de La Poste nous a répondu à ce sujet. Il faut tout d’abord différencier le portail laposte.net sur lequel est disponible le webmail et l’authentification au webmail qui ne fonctionnent pas avec les mêmes restrictions d’accès et de sécurité. « Pour accéder à leurs mails XXXX@laposte.net,  nos clients doivent impérativement passer par une phase d’authentification (échange des login/mot de passe) qui est biensur  cryptée en Https » confirme à Data Security Breach l’équipe sécurité de La Poste. Voilà qui devrait définitivement rassurer les utilisateurs.

Arnaque, Cybersécurité, Fuite de données, Identité numérique, Social engineering, Vie privée

Méfiez-vous de l’ingénierie sociale, l’outil préféré des escrocs

L’ingénierie sociale est sournoise car elle exploite notre tendance naturelle à vouloir nous rendre utile. Les escrocs peuvent également jouer sur les émotions humaines, telles que la peur et la compassion. Voici quelques astuces employées par les escrocs pour soutirer des informations confidentielles, et comment vous en protéger. Vous êtes au bureau et un électricien vient résoudre un problème, ou votre téléphone sonne et c’est votre FAI qui vous informe d’un problème avec votre compte.

C’est dans la nature humaine de coopérer, non ? Vous laissez l’électricien entrer et le laissez faire ce qu’il doit faire. Vous répondez aux questions posées par le représentant du service clientèle afin de vérifier votre identité. Malheureusement, au lieu de vous rendre utile, vous êtes désormais victime de l’ingénierie sociale. L’électricien a installé un routeur pirate ou des caméras de surveillance dans votre bureau. Le faux représentant du service clientèle connaît vos données personnelles, les informations de votre compte ou encore votre numéro de carte bancaire.

L’ingénierie sociale désigne les techniques utilisées par des individus pour conduire d’autres individus à effectuer certaines tâches ou révéler certains types d’information. Les cybercriminels et les voleurs profitent du désir humain naturel de se rendre utile et de croire ce que les gens disent. Ces escrocs n’ont pas besoin d’employer de techniques de piratage sophistiquées ni de logiciels malveillants exploitant une vulnérabilité logicielle, quand il leur suffit simplement d’envoyer une pièce jointe malveillante par email et demander au destinataire d’ouvrir le fichier.

L’ingénierie sociale n’est pas quelque chose de nouveau ; les escrocs et leurs escroqueries élaborées ont existé de tout temps. Ce qui est nouveau, c’est la quantité d’information que les escrocs peuvent recueillir sur leurs victimes ciblées avant même d’attaquer. Grâce aux réseaux sociaux, ils peuvent trouver toutes sortes d’information, par exemple le lieu de travail de leurs victimes ciblées, les noms de leurs collègues, l’école où elles ont étudié, et même le dernier endroit où elles sont parties en vacances. Ils peuvent déterminer l’organigramme de l’entreprise ou les types de logiciels qu’elle utilise. Ils peuvent exploiter toutes ces informations pour convaincre une victime qu’ils disent la vérité.

Il est dans la nature humaine d’aider
Defcon, la plus grande conférence de pirates, organise tous les ans une compétition de type « capture du drapeau » en s’aidant de l’ingénierie sociale. Les participants ont quelques semaines pour étudier une société ciblée. De grandes entreprises telles qu’Apple, Johnson & Johnson et d’autres, ont été ciblées les années précédentes. Le jour de la compétition, les concurrents entrent dans une cabine, appellent une personne de la société, et tentent de lui faire révéler des « drapeaux », tels que la version du navigateur utilisé dans l’entreprise ou le type de logiciel installé sur son ordinateur. Les candidats prétendent généralement être des collègues d’un autre bureau essayant de recueillir des informations pour le PDG, et avoir vraiment besoin d’aide parce qu’ils sont complètement dépassés. La plupart du temps, les gens veulent aider et proposent librement des informations.

La peur est lucrative
Les escrocs sont passés maîtres de l’alarmisme. Une escroquerie courante consiste à appeler de la part d’un service d’assistance technique ou similaire en raison d’un problème sur l’ordinateur de l’utilisateur. L’appelant demande à l’utilisateur de taper quelques commandes standard sur l’ordinateur et explique que le résultat obtenu témoigne de la présence de programmes malveillants ou d’autres problèmes graves. À ce stade, l’utilisateur est convaincu que quelque chose ne va pas bien et communique son numéro de carte bancaire au « représentant » pour résoudre le problème.

Vérifiez vérifiez, et vérifiez encore
Si quelqu’un appelle en prétendant être d’une qualité officielle, demandez des preuves. Demandez un numéro de poste afin de pouvoir rappeler cette personne. Si la personne prétend être un employé d’un autre bureau ou d’un fournisseur, demandez une information vous permettant de confirmer son identité. S’il s’agit d’un policier, demandez son numéro de badge. Si ces personnes sont légitimes, elles vous fourniront les informations demandées sans hésitation. Ne cédez pas à la pression « vous avez quelques minutes pour agir ». Vous avez toujours le temps de réfléchir et de vérifier.

Méfiez-vous toujours des situations dans laquelle vous êtes activement contacté au sujet d’un problème. Aucune entreprise légitime ne vous demandera votre mot de passe, et le gouvernement enverra toujours une lettre pour les communications officielles. Et si vous recevez soudainement un appel d’un ami ou d’un parent prétendant être bloqué dans un pays étranger et ayant besoin que vous leur envoyez de l’argent au plus vite, ne leur faite pas simplement confiance parce qu’il ou elle connaît le nom de vos frères et sœurs ou le nom de votre chien.

Soyez conscient de ce que vous communiquez en ligne, et réglez les paramètres de contrôle de votre confidentialité. Il existe certaines informations que vous ne devriez jamais communiquer en ligne, telles que votre mot de passe, les réponses aux questions de sécurité (comme le nom de jeune fille de votre mère) ou votre numéro de sécurité sociale. Vous pouvez toujours vous rendre utile, mais prenez le temps de douter et de tout évaluer. Une petite dose de scepticisme n’a jamais fait de mal, et peut faire une énorme différence lorsqu’il s’agit de cybercriminalité. (Par Thierry Karsenti, Directeur Technique Europe – Check Point Software Technologies)

 

Fuite de données, Identité numérique, Particuliers, Vie privée

IP-tracking: Le Parlement européen demande une enquête à la Commission européenne

Une semaine après le rapport de la CNIL et de la DGCCRF, les eurodéputés demandent à la Commission européenne d’agir. Le Parlement européen a adopté aujourd’hui à une large majorité une résolution sur l’application de la directive 2005/29/CE sur les pratiques commerciales déloyales. Dans cette résolution, les eurodéputés « s’inquiètent du nombre croissant de plaintes concernant des usagers de sites d’achat de billets en ligne qui ont été victimes d’IP tracking »[1] ;

Les parlementaires demandent à la Commission européenne d’enquêter sur la fréquence de cette pratique « qui génère une concurrence déloyale et qui constitue un détournement des données personnelles des utilisateurs, et, le cas échéant, de proposer une législation adéquate pour protéger les consommateurs[2]« ;

Françoise Castex, qui avait reproché à l’enquête de la CNIL et de la DGCCRF, rendue publique le 27 janvier dernier, de ne pas lever pas le doute sur les tarifs obscurs pratiqués par les grands opérateurs de transports sur la toile, s’est félicitée de ce vote: « C’est la preuve que les usagers ne sont pas paranoïaques et que l’IP-tracking n’est pas qu’une préoccupation franco-française« .

« Nous demandons à la Commission européenne de protéger comme il se doit les millions de consommateurs victimes d’espionnage, notamment via l’utilisation de leur historique de navigation, » poursuit l’eurodéputée du Gers. « Le consentement explicite de l’utilisateur doit être la règle, et non l’exception!« , conclut Françoise Castex, qui presse le Conseil d’adopter le nouveau règlement européen sur les données personnelles.

[1] Pratique qui vise à retenir le nombre de connections d’un internaute via la même adresse IP puis à faire monter artificiellement les prix d’un bien en fonction de l’intérêt démontré par plusieurs recherches similaires

[2] Article 18

backdoor, Cybersécurité, Espionnae, Fuite de données, Leak, Propriété Industrielle

Le Groupement des Industries Françaises Aéronautiques et Spatiales attaqué

Depuis plus de trois semaines, des pirates informatiques louchent sur des données militaires appartenant à des sociétés américaines et Françaises. D’après la société WebSense, dans la liste des sites visés, celui du Groupement des Industries Françaises Aéronautiques et Spatiales (GIFAS). Les pirates, une nouvelle fois des Chinois sont montrés du doigt, auraient exploité un 0Day [CVE-2014-0322  – faille non publique, ndr] visant Internet Explorer 9 et 10.

Les pirates auraient diffusé des courriels ciblés à l’encontre d’employés membre de le GIFAS. Missives électroniques qui incitaient à visiter un site malveillant. Page web, comme le montre notre capture écran, qui  déclenche le téléchargement d’un outil d’espionnage à partir d’une « pixel » flash pirate.

L’url proposé dans le courriel usurpait l’adresse web de l’association : https://www.gifas.asso.fr. Les pirates ayant enregistré gifas.assso.net [assso.net, avec trois S, ndr datasecuritybreach.fr]. La page se fait passer, elle est toujours active, pour l’espace presse du GIFAS.

Finalité de l’attaque, intercepter mots de passe et permettre des accès à des documents sensibles. Les pirates (qui utilisent la même technique que les groupes Deputy Dog et Ephemeral Hydra) ont-ils cherché à connaitre les « contrats »/ »accords » signés entre les USA et le FRANCE lors de la visite du Président de la République Française sur le sol de l’Oncle Sam ? Il faut dire que de nombreux patrons de l’aéronautique française/US (Jean-Paul Herteman, PDG de Safran, David Joyce, PDG de GE Aviation, Jean-Paul Ebanga, PDG de CFM International, …) se sont retrouvés ces derniers jours à Washington.

A noter que Microsoft conseille de passer à Internet Explorer 11 pour éviter d’être piéger par de vieille faille. Voilà une bonne idée… comme celle de penser à stopper l’utilisation de Windows XP !

Cyber-attaque, Fuite de données, Identité numérique, Leak, Piratage, Vie privée

Piratage de KickStarter

2 commentaires

Nouvelle attaque, nouvelle fuite et nouveau vol de données appartenant à des internautes. Cette fois, c’est le portail de financement participatif KickStarter (Un MajorCompagny américain, ndr) qui vient de subir le passage d’un pirate dans sa base de données.

Une injection SQL plus tard et le malveillant est reparti avec les données clients : noms, adresses … Les mots de passe compris. Ces derniers sont chiffrés en MD5, détail technique qui ne devrait pas durer bien longtemps face à un logiciel de reverse de mot de passe.

KickStarter ne s’est jamais rendu compte de rien. C’est la police qui a contacté l’entreprise, mercredi 12 février, pour l’avertir de l’attaque. Depuis, la faille SQL a été corrigée. Pas être rassurant, KickStarter indique que les données bancaires de ses clients n’ont été impactés. Il n’avait aucune preuve de l’utilisation des données volées. Déjà qu’ils n’ont pas vu l’attaque, alors dire qu’il n’y a pas eu d’utilisation est légèrement prématurée. « Par mesure de précaution, nous vous recommandons fortement de créer un nouveau mot de passe pour votre compte Kickstarter, et autres comptes où vous utilisez ce même mot de passe« .

 

Entreprise, Fuite de données, Identité numérique, Vie privée

La commission « Libertés civiles » du Parlement européen ouvre la voie à une réelle protection de la neutralité du Net

Le 12 février, la commission « Libertés civiles » (LIBE) du Parlement européen a adopté son rapport pour avis [1] sur la proposition de règlement relatif au marché unique européen pour les communications électroniques. Des amendements clés ont été adoptés, qui, s’ils étaient inclus dans la version finale du texte, garantiraient l’application de la neutralité du Net au sein de l’Union européenne. La Quadrature du Net met en garde la commission « Industrie » (ITRE), en charge du dossier, contre les tentatives d’adoption d’amendements édulcorés qui permettraient aux opérateurs de télécommunication de distribuer des services spécialisés d’une manière qui limiterait radicalement la liberté de communication et l’innovation sur Internet.

Grâce aux amendements déposés par les groupes Verts, S&D et ALDE, des versions solides des articles clés 2(15) [2] et 23 [3], et de leurs considérants, ainsi que des dispositions sur les services spécialisés et des dispositions assurant l’application effective de la neutralité du Net, sont maintenant incluses dans le rapport de la commission « Libertés civiles ». Le rapporteur PPE Salvador Sedó i Alabart (ES – PPE) a lui-même soutenu des dispositions positives. La Quadrature du Net remercie tous les eurodéputés qui ont contribué à ce vote.

Le texte adopté doit maintenant être considéré comme une référence pour le reste de la procédure législative, particulièrement pour la commission ITRE, qui prépare la version finale des recommandations adressées à l’ensemble du Parlement européen sur ce dossier. Néanmoins, des inquiétudes importantes subsistent concernant l’issue du vote de la commission ITRE. Les amendements de compromis [4] proposés par la rapporteure Pilar del Castillo Vera (ES – EPP) ouvrent la porte aux abus des opérateurs de télécommunications de manière scandaleuse. Pire encore, ces amendements ignorent entièrement la substance des meilleures propositions déposées par les autres députés de la commission – y compris par les membres de son propre groupe politique [5]. Enfin, ils entrent fortement en contradiction avec les principaux amendements votés en commission LIBE aujourd’hui, qui assureraient que le futur règlement protège les droits fondamentaux.

À ce stade de la procédure, il est inquiétant que même les rapporteurs fictifs des groupes politiques favorables aux amendements positifs ne s’opposent que extrêmement timidement à la rapporteure. Soutenir les amendements de compromis de del Castillo équivaut à ignorer les intérêts et droits des citoyens européens, et à laisser carte blanche aux opérateurs télécom pour mettre en place une discrimination illégitime des communications sur Internet. Tous les rapporteurs fictifs de la commission ITRE – Jens Rohde (DK – ALDE), Catherine Trautmann (FR – S&D), Amelia Andersdotter (SE – Verts/ALE), Giles Chichester (UK – ECR) – doivent rendre leur position publique, et permettre à tous de juger leurs responsabilités dans la version définitive du rapport ITRE, adoptée durant le vote prévu pour le 24 février. Si ces députés, ou d’autres membres de leur groupe, refusent de tenir compte des recommandations émanant de leur propre groupe politique au sein de la commission LIBE, et adoptent des amendements de compromis faibles, ou même mettant en danger la neutralité du Net, les citoyens européens les tiendront pour responsables, particulièrement lors des élections européennes [6] à venir.

« Les citoyens européens doivent faire entendre aux membres de la commission « Industrie » qu’il n’existe qu’un seul vote acceptable : le rejet des soi-disant « amendements de compromis » de Mme Pilar del Castillo Vera et l’adoption d’amendements aux articles 2(15) et 23 similaires à ceux de la commission LIBE. Pour qu’Internet puisse continuer à bénéficier de l’innovation et de la liberté de communication, le droit européen doit clairement interdire aux opérateurs télécom de commercialiser des services spécialisés techniquement identiques aux services en ligne déjà disponibles sur Internet » déclare Philippe Aigrain, cofondateur de La Quadrature du Net.

« Chaque voix comptera le 24 février, lors de l’adoption de la version finale du rapport de la commission « Industrie » sur la proposition de règlement. Nous appelons chacun de ses membres à s’opposer à la position de la rapporteure Pilar Del Castillo Vera et à voter en faveur des amendements clés adoptés en commission « Libertés civiles », qui seuls peuvent assurer la protection des droits fondamentaux, de la libre concurrence et de l’innovation sur l’Internet ouvert », conclut Miriam Artino, analyste politique et juridique pour La Quadrature du Net.

* Références *
1. http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2f%2fEP%2f%2fNONSGML%2bCOMPARL%2bPE-523.069%2b01%2bDOC%2bPDF%2bV0%2f%2fFR
2. Article 2(15) : « « service spécialisé », un service de communications électroniques ou un service de la société de l’information qui fournit une capacité d’accès à des contenus, des applications ou des services spécifiques, ou à une combinaison de ces derniers, ou bien la capacité d’envoyer ou de recevoir des données à destination ou en provenance d’un nombre déterminé de parties ou points terminaux et qui n’est pas commercialisé ou largement utilisé comme produit de substitution à un service d’accès à l’internet; »
3. Article 23, sur la « liberté de fournir et de se prévaloir des offres d’accès à un internet ouvert, et gestion raisonnable du trafic »
4. https://www.laquadrature.net/files/NN-Castillo-ITRE-CA.pdf
5. Voir : http://edri.org/bad-leadership-kill-open-internet-europe/ [en]
6. http://www.wepromise.eu/

Argent, Arnaque, Cyber-attaque, escroquerie, Piratage, Social engineering, Twitter, Vie privée

Piratage d’une compte Twitter estimé à 50.000 euros

Un internaute, propriétaire du compte Twitter N piraté via un social engineering bien préparé. Nous vous en parlons très souvent, le social engineering est la base du piratage informatique. Connaitre sa cible, son environnement, avant de s’attaquer à son informatique. C’est ce que vient de vivre l’ancien propriétaire du compte Twitter @N, Naoki Hiroshima. Son espace de micro blogging a été, d’après ses dires, très souvent sollicités pour être racheté. Des marketeurs lui auraient même proposé 50.000 dollars. Bref, une cible pour les pirates. L’un d’eux a pris la main sur la vie numérique de cet ancien de chez Google. L’idée, lui voler son compte @N. La méthode d’attaque : compromettre le Paypal, Facebook et GoDaddy du créateur de l’application Cocoyon et développeur d’Echofon. Le pirate a expliqué s’être fait passer pour un employé de Paypal pour récupérer les données bancaires de Naoki et récupérer quatre chiffres qui auraient donné l’occasion, ensuite, de valider son identité chez GoDaddy. « C’est difficile de dire ce qui est le plus choquant, le fait que PayPal donne les quatre derniers chiffres du numéro de ma carte de crédit par téléphone au pirate ou que GoDaddy l’accepte comme moyen de vérification ». Naoki a du fournir son compte Twitter @N au pirate afin de récupérer son compte, et ses sites web, gérés par GoDaddy. Depuis, Naoki a ouvert un nouveau Twitter baptisé @N_is_stolen, qui se traduit par N a été volé. (The Verge)

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Espionnae, Leak

Angry Bird, un aide involontaire de la NSA

Comme le montre l’émission de zatazweb.tv du mois de janvier [S3E5], espionner un smartphone est simple comme bonjour. Prendre des photos, filmer, écouter, lire les sms à l’insu de son propriétaire, à distance, peut se pratique en deux clics de souris. A première vue, espionner un smartphone peut aussi se pratiquer via les applications offertes.

D’après de nouveaux documents volés par l’ancien analyste du renseignement Snowden, les service de renseignements électroniques américain NSA et britannique, le GCHQ, s’amusent depuis 2007 a surveiller certaines cibles via les jeux et applications embarquées. AngryBird, Google Map, mais aussi Twitter ou encore Facebook sont indiqués dans les documents diffusés par le New York Times.

007 n’infiltre pas directement la machine, il exploite les informations sauvegardées par les logiciels. A la base, cela permet aux développeurs de cibler les publicités qu’ils veulent communiquer à leurs clients de joueurs. La NSA y a trouvé une autre possibilité. Connaitre les goûts de ses cibles, son emplacement géographique, ses amis, … Le journal américain explique que les services secrets anglais utilisent des outils baptisés « Smurf« , « Tracker Smurf« , « Nosey Smurf » ou encore « Dreamy Smurf« .

Des espions informatiques qui ressemblent comme deux goutes d’eau à celui présenté dans zataz tv de janvier 2014. The Guardian indique que la NSA aurait déjà dépensé plus d’un milliard de dollars pour suivre des smartphones.  Il n’est pas surprenant d’apprendre que des organisations tentent de tirer profit d’applications à priori anodines pour récolter des informations. Les données que fournissent des jeux comme Angry Birds sont utiles pour les développeurs tout autant que pour les publicitaires, alors pourquoi pas les agences de renseignement ?

De nombreuses applications permettent à un individu de jouer avec ses amis et ses contacts, créant un véritable réseau. Si nous analysons plus en détail le cas d’Angry Birds, sa dernière version requiert l’accès aux données de géolocalisation, à l’état du téléphone, ou encore aux SMS, de façon à pouvoir cibler les publicités qui sont diffusées pendant une partie de jeu. Cependant, une tierce personne qui aurait accès à ces informations aurait alors plus d’information sur vous que vous ne souhaiteriez sûrement en communiquer.

À l’échelle d’une application, le problème n’est pas bien grave, mais il s’agit là d’un simple exemple. Il faut s’imaginer que nous acceptons de partager nos données privées avec pratiquement toutes les applications que nous téléchargeons sur notre smartphone, et qu’elles communiquent toutes des informations sur nous qui pourraient éventuellement être agrégées et utilisées à des fins que nous ne connaissons pas. À l’heure actuelle, les utilisateurs sont pris au piège de ce système car refuser de partager ses informations privées avec une application revient le plus souvent à refuser de télécharger l’application. Faut-il pour autant arrêter de télécharger ce type d’application sur son smartphone ? Non bien sûr, car cela n’empêcherait pas les utilisateurs d’être espionnés. Nous n’avons pas de visibilité sur le nombre d’applications surveillées et l’étendue des programmes de renseignement, et le problème va donc bien au-delà d’Angry Birds.

A noter qu’un pirate, qui a signé son acte ANTI NSA, a piraté quelques minutes le site officiel du jeu Angry Bird en rebaptisant l’espace web Spying Bird. Piratage confirmé par Zone H.

Android, Cyber-attaque, Espionnae, Fuite de données, Sécurité, Virus

Le Premier Virus sur Téléphones Mobiles a fêté ses 10 ans

2014 marque le 10ème anniversaire de Cabir, le premier virus infectant les téléphones mobiles. Voici une rétrospective de l’évolution et l’importance des menaces sur les téléphones mobiles au cours des 10 dernières années. Elle est proposée à DataSecurityBreach.fr par Axelle Apvrille, chercheur sénior anti-virus sur mobile chez Fortinet.

De Cabir à FakeDefend, la dernière décennie a vu le nombre de virus mobiles exploser. En 2013, plus de 1.300 nouvelles applications malicieuses par jour ont été détectées. Plus de 300 familles de logiciels malveillants sur Android et plus de 400 000 applications Android malicieuses. Outre la croissance en nombre constatée, l’autre tendance importante à souligner est que les virus mobiles ont suivi la même évolution que les virus sur PC, mais de manière beaucoup plus rapide. La généralisation des smartphones et le fait qu’ils intègrent un système de paiement (numéros surtaxés) en font des cibles facilement monétisables. En outre, ils embarquent des systèmes type logiciel de géolocalisation, micro, GPS et caméras (Voir ZATAZWeb.tv émission de janvier), qui permettent d’espionner leur propriétaire de façon particulièrement intrusive. Tout comme les virus sur PC, les virus mobiles ont très vite, évolués dans le seul but de gagner de l’argent via des modèles économiques plus ou moins complexes.

Les virus mobiles les plus importants de ces 10 dernières années

2004 : Le coup d’essai !
Cabir est le premier ver mobile au monde. Conçu pour infecter les téléphones portables Nokia de la Série 60 en utilisant la technologie Bluetooth, son attaque résultait dans l’affichage du mot « Caribe » sur l’écran d’accueil des téléphones infectés. Le ver se propageait ensuite en recherchant d’autres appareils (téléphones, imprimantes, consoles de jeux…) à proximité de lui à l’aide des fréquences Bluetooth. Les experts pensent que ce ver a été développé par le groupe de hackers 29A en tant que « concept théorique » étant donné son caractère inoffensif.

2005 : La propagation par MMS
CommWarrior ajoute à Cabir l’infection par MMS. En effet, le ver se propage d’une part par Bluetooth, et d’autre part, par MMS à tous les contacts du téléphone infecté. Les MMS n’étant généralement pas gratuits, cela a engendré des coûts pour les victimes. Certains opérateurs ont eu jusqu’à 3.5 % de leur trafic infecté et, devant l’ampleur des faits, ont accepté de rembourser les victimes. Ce virus, ciblant les plateformes Symbian, a été signalé dans plus de 18 pays à travers l’Europe, l’Asie et l’Amérique du Nord. 115 000 appareils mobiles ont été infectés et plus de 450 000 MMS ont été envoyés à l’insu des victimes. Pour la première fois, on constate qu’un ver mobile peut se propager aussi rapidement qu’un virus sur PC. A cette époque, Symbian était la plateforme la plus populaire pour les smartphones avec un nombre d’utilisateurs dans le monde se chiffrant en dizaines de millions. L’objectif derrière CommWarrior était la propagation maximale du ver. Bien que cela ait engendré des dégâts financiers pour les utilisateurs, les attaquants, à cette époque,  ne se préoccupaient pas  de monétiser leurs attaques.

2006 : L’appât du gain !
Pour la première fois, en 2006, un Cheval de Troie connu sous le nom de RedBrowser a été conçu pour infecter un grand nombre de téléphones via la plateforme Java 2 Micro Edition (J2ME). A cette époque, la majorité des téléphones étaient compatibles avec Java et permettaient l’exécution d’applications Java téléchargées depuis Internet. Plutôt que de développer un logiciel malveillant spécifique à un OS, les auteurs de virus ont donc porté leurs efforts sur J2ME afin de pouvoir cibler non seulement les utilisateurs de Symbian mais également ceux utilisant d’autres plateformes. RedBrowser a été le premier cheval de Troie à explicitement dérober de l’argent aux utilisateurs de téléphones portables. Pour ce faire, il se faisait passer pour un utilitaire d’accès à Internet, alors qu’en réalité, il envoyait des SMS à différents numéros surtaxés. Le possesseur du téléphone se voyait ainsi facturé 5$ par SMS envoyé. L’utilisation de logiciels malveillants mobiles devient donc un moyen de générer de l’argent. Jusqu’à l’apparition de RedBrowser, l’infection par logiciels malveillants de tout type de téléphone mobile semblait impossible. L’apparition de chevaux de Troie pour J2ME est un événement aussi important que l’apparition du premier ver pour smartphones en 2004. Les SMS représentaient à cette époque pratiquement le seul vecteur de monétisation pour les auteurs de virus mobiles.

2007-2008 :  La période transitoire…
En 2007 et 2008, on constate une quasi stagnation dans l’évolution des menaces mobiles mais une augmentation en volume des virus envoyant des SMS à des numéros surtaxés à l’insu des utilisateurs de téléphones.

2009 : Les prémices des botnets sur  mobiles
Au début de l’année 2009, Fortinet découvre Yxes (anagramme de « Sexy »), un logiciel malveillant qui se cache derrière l’application « Sexy View » d’apparence légitime et certifiée Symbian. Une fois infecté, le téléphone portable de la victime communique son répertoire téléphonique à un serveur central, qui à son tour commande l’envoi aux contacts du répertoire de l’utilisateur de SMS incluant un lien URL. En cliquant sur ce lien, les destinataires téléchargent depuis Internet une copie du ver sur leurs propres téléphones, participant ainsi à sa propagation. Yxes s’est essentiellement attaqué à l’Asie où il a infecté au moins 100 000 appareils en 2009. Yxes est marquant dans l’évolution des virus mobiles à plusieurs titres. D’abord, il est considéré comme le premier logiciel malveillant visant la version 9 du système d’exploitation Symbian. Ensuite, c’est également le premier logiciel malveillant permettant d’envoyer des SMS et d’accéder à Internet à l’insu de l’utilisateur mobile, ce qui représente une innovation technologique dans les programmes malveillants. Enfin, son modèle de propagation hybride – SMS avec lien et conversation avec un serveur distant – fait redouter aux analystes anti-virus qu’il soit l’annonciateur d’une nouvelle gamme de virus : les botnets sur mobiles. L’avenir validera cette crainte.

2010 : L’ère de l’industrialisation des virus mobiles
2010 marque un tournant dans l’histoire des virus mobiles. L’utilisation des virus mobiles passent des mains de développeurs peu scrupuleux localisés à de véritables réseaux cybercriminels organisés. C’est en sorte le début de l’ère de « l’industrialisation des virus mobiles » où les attaquants se rendent compte que les virus mobiles peuvent facilement leur rapporter beaucoup d’argent et décident de les exploiter plus intensivement. C’est à cette époque d’ailleurs que l’on rencontre Zitmo. Ce virus est la première extension mobile connue de ZeuS, un cheval de Troie bancaire pour PC très virulent. Zitmo intercepte les SMS expédiés par les banques aux clients pour détourner les opérations bancaires en ligne. Cette année là, d’autres virus font également couler beaucoup d’encre, comme Geinimi, le premier logiciel malveillant à s’attaquer à la plateforme Android et également la première véritable instance de botnet mobile. Geinimi communique avec un serveur distant qui lui envoie des commandes comme l’installation ou la suppression de certains logiciels sur le smartphone. Outre les menaces visant le système d’exploitation Android, l’autre fait plus inquiétant est la monétisation des attaques qui marque l’entrée dans l’ère de la cybercriminalité sur mobiles.

2011 : Android en ligne de mire !
Alors que les attaques sur Android s’intensifient, 2011 voit l’apparition de virus beaucoup plus évolués. Notamment, DroidKungFu, qui, aujourd’hui encore, est reconnu comme l’un des virus mobiles les plus avancés d’un point de vue technologique. Il cherche à mettre le téléphone portable sous contrôle et pour cela, « roote » le téléphone à l’aide d’exploits connus (exploid uDev, Rage Against The Cage…). Résultat, l’attaquant peut ouvrir une page web de son choix sur le téléphone, installer ou enlever des applications… DroidKungFu met également en place des mesures pour passer inaperçu aux yeux des analystes anti-virus. Le combat cybercriminels/antivirus sur mobiles est lancé. Comme la plupart des virus jusqu’à présent, DroidKungFu était généralement disponible depuis des boutiques en ligne non officielles et forums en Chine. Plankton est un autre logiciel malveillant qui apparaît en 2011. C’est probablement le plus répandu de tous, et encore aujourd’hui il sévit de manière importante. Présent sur Google Play, la boutique en ligne officielle d’applications Android, et parfois simplement considéré comme un kit de publicité trop agressif, il modifie la page d’accueil du navigateur mobile ou ajoute de nouveaux raccourcis et marque-pages sur le téléphone portable… « Avec Plankton, explique à DataSecurityBreach.fr Axelle Apvrille, on joue dans la cour des grands ! Ce logiciel malveillant se retrouve dans les 10 virus les plus prévalents, toutes catégories confondues, c’est à dire qu’il est aussi fréquent que les virus PC les plus virulents. L’époque où les virus mobiles restaient en retrait des virus PC est terminée. En l’occurrence pour Plankton, on compte 5 millions d’appareils infectés à ce jour« .

2013 : Vers de nouveaux modes d’attaques
2013 marque l’arrivée de FakeDefend, le premier ransomware sur Android visant les téléphones mobiles. Caché derrière un faux anti-virus, ce logiciel malveillant suit le même mode opératoire que les faux antivirus sur ordinateurs. Il bloque le téléphone et exige de la victime qu’elle paie une rançon (sous forme d’une souscription AV extrêmement élevée dans ce cas) pour récupérer le contenu de son appareil. Toutefois, le paiement de la rançon n’aide en rien car le téléphone doit être réinitialisé par défaut pour rétablir la fonctionnalité. C’est également en 2013 qu’apparaît Chuli, la première attaque ciblée contenant un logiciel malveillant Android. Le compte mail d’un activiste de la Conférence Mondiale Uyghur, qui se tenait les 11-13 Mars 2013 à Genève, a été utilisé pour viser des comptes de militants et défenseurs Tibétains des Droits de l’Homme. Ce logiciel malveillant visait à récolter des données telles que les SMS reçus, les contacts de la carte SIM et du téléphone, les informations de géolocalisation, et enregistrait les appels du téléphone de la victime. Toutes ces informations étaient ensuite envoyées à un serveur distant. 2013 peut être considérée comme l’année de la professionnalisation des attaques mobiles. Plus ciblés, plus sophistiqués, FakeDefend ou encore Chuli sont des exemples d’attaques pouvant être comparés à ceux que nous connaissons aujourd’hui sur les ordinateurs. De plus, avec une attaque comme Chuli, on peut se demander si nous ne sommes pas en train d’entrer dans l’ère de la cyber-guerre mobile et de ce fait, le début de l’implication potentielle de gouvernements et autres organisations nationales dans l’origine de ces attaques…

Et demain ?
En matière de cybercriminalité, il est toujours difficile de prédire ce qui arrivera l’année prochaine et encore moins durant les 10 prochaines années. Le paysage des menaces mobiles a considérablement changé au cours de ces dix dernières années, et, les cybercriminels se sont efforcés à trouver de nouvelles techniques, toujours plus ingénieuses pour gagner de l’argent. Face à l’explosion du marché des smartphones et autres technologies mobiles, on peut cependant prédire dans les années à venir la convergence des virus mobiles et des virus PC. « Tous les virus seront alors « mobiles », indique Axelle Apvrille à Data Security Breach, car tout sera devenu « mobile ». » Au-delà des appareils mobiles, la prochaine cible des cybercriminels pourrait être l’Internet des Objets (Internet of Things en anglais ou IoT). Difficile d’évaluer le nombre d’objets connectés sur le marché dans 5 ans, mais à en croire les estimations de Gartner, 30 milliards d’objets seront connectés en 2020 alors qu’IDC estime ce même marché à 212 milliards. Alors que de plus en plus de fabricants et de fournisseurs de services misent sur l’opportunité commerciale que représentent ces objets, la sécurité n’a pas encore été prise en compte dans le processus de développement de ces nouveaux produits. Une nouvelle aubaine pour les cybercriminels ?