Archives de catégorie : Cyber-attaque

Cyber-attaque, Espionnae, Hacking, Leak

Operation Hangover : La plus grande activité de cyber-espionnage jamais connue originaire d’Inde

Un commentaire

 Norman Shark, fournisseur leadeur mondial de solutions d’analyse malware pour entreprises, fournisseurs de services et gouvernements, a communiqué à Datasecuritybreach.fr un rapport détaillant l’infrastructure d’une vaste cyber-attaque sophistiquée qui serait originaire d’Inde. Les attaques, menées par des pirates privés depuis 3 ans, ne semblent pas avoir l’appui d’un État, mais le but principal du réseau C2 (Commande/Contrôle) mondial aurait été de cibler à la fois la sécurité nationale et les entreprises du secteur privé.

« Les données que nous avons indiquent que ces attaques ont été menées par un groupe d’attaqueurs basés en Inde, avec plusieurs développeurs ayant pour tâche de livrer des malwares spécifiques. » commente à datasecuritybreach.fr Snorre Fagerland, chef des recherches dans les laboratoires de Norman Shark à Oslo en Norvège. « Ce groupe semble avoir les ressources et les relations nécessaires en Inde permettant aux attaques d’être surveillées de n’importe où dans le monde. La grande diversité des secteurs touchés est toutefois très surprenante : il s’agit des secteurs des ressources naturelles, des télécommunications, de la restauration mais aussi des secteurs alimentaire, juridique, et industriel. Il est vraiment peu probable que cette organisation fasse de l’espionnage industriel pour son propre usage uniquement, ce qui est vraiment inquiétant. »

L’enquête a présenté des preuves de pratiques professionnelles au niveau de la gestion de projet, utilisées pour concevoir des systèmes, des modules et des sous-composants. Il semblerait que les auteurs des attaques malware aient assigné certaines tâches et certains composants à des programmeurs freelances. « Il n’y avait encore jamais eu de preuves de ce genre d’attaques » ajoute à data security beach magazine M.Fagerland.

Les autorités nationales et internationales enquêtent toujours sur cette découverte. La découverte de cette affaire a débuté le 17 mars lorsque les journaux norvégiens ont publié des articles sur Telenor, un des plus gros opérateurs téléphoniques au monde, faisant partie du top 500 mondial, et considéré comme l’une des entreprises de télécommunications leader en Norvège. Cette entreprise a porté plainte pour avoir été victime d’une intrusion informatique illégale. La source de cette infection proviendrait d’emails phishing ciblant la haute direction de l’entreprise.

Grâce à la structure et au type de comportement des fichiers malware, les analystes en sécurité de Norman Shark ont pu rechercher des cas similaires dans des bases de données internes et publiques, en utilisant les systèmes d’analyse automatique du Malware Analyzer G2 de Norman. Le nombre de malwares trouvé par les analystes de Norman et de ses partenaires était étonnamment grand. Il était donc évident que l’attaque de Telenor n’était pas isolée : elle fait partie d’un effort continu cherchant à mettre en danger les entreprises et les gouvernements du monde entier.

D’après les analyses des adresses IP collectées sur les banques de données criminelles découvertes pendant l’enquête, les victimes ciblées par ces attaques seraient répertoriées dans plus de 12 pays différents. Les cibles précises de ces attaques sont les gouvernements, les organisations militaires et les entreprises. C’est grâce à une analyse détaillée des adresses IP, des enregistrements de nom de domaine, et des identifiants texte contenus au sein même des codes malveillants que les malwares ont pu être attribués.

Malgré la récente attention médiatique portée sur l’exploitation de failles de type zero day , qui utilisent les toutes dernières méthodes d’attaques, Operation Hangover semble avoir exploité les failles déjà connues et identifiées dans Java, les documents Word et les navigateurs internet. « Ces dernières années, ce type d’activité était avant tout associé à la Chine, mais à notre connaissance, c’est la première fois qu’une activité de cyber-espionnage est originaire d’Inde », conclut à datasecuritybreach.fr M.Fagerland.

Cyber-attaque, Entreprise, Fuite de données, Leak

Piratage de CNN : de faux articles diffusés ?

Un pirate informatique aurait découvert comment diffuser de faux articles sur le site américain CNN. Le pirate informatique Reckz0r, 25 ans, originaire d’Arabie Saoudite, vient d’annoncer le piratage du site CNN et plus précisément de son espace Edition. Quatre faux articles, dont une version très personnelle de Bill Gates, le fondateur de Microsoft, en train d’empoisonner de jeunes africains. Le pirate explique avoir découvert une injection SQL dans le portail américain d’information. Neuf comptes utilisateurs, 5 administrateurs et 4 journalistes ont été diffusés sur la toile. L’un des comptes, celui Kate Gosling, aurait été utilisé pour ces fausses diffusions sur Edition.cnn.com.

Le fichier diffusé par le pirate sur Pastbin en dit peu sur la faille. Un lien vers edition.cnn.com et les comptes interceptés. Une capture écran tente de prouver une fausse diffusion (sur les 4) d’article, celle de Bill Gates. Un article signé Kate Gosling. La même Kate que l’on retrouve dans les 9 administrateurs. Sauf qu’il y a un problème. Kate Gosling n’existe pas chez CNN. Un nettoyage total dans le serveur des américains pour faire disparaitre se compte ou un moyen pour ce pirate saoudien de faire parler de lui et de sa cause ?

Reckz0r explique avoir attaqué CNN pour le punir des fausses informations diffusées dans ses pages et antennes. Le bidouilleur reproche à la chaîne d’information d’être trop proche d’Israël et ne pas suffisamment soutenir les palestiniens. Ce pirate était apparu sur la toile en 2012 avant de disparaitre, voilà un an, quasiment jour pour jour. A-t-il connu une prison du royaume durant cette période ? En 2012, le pirate avait fait un passage remarqué chez Visa et Mastercard. Ancien membre d’UGNazi, il indiquait le 12 juin 2012 devenir un « White Hat ». Voilà qui est raté !

Cyber-attaque, Leak, Piratage

L’université de Moscou piratée

Suffisamment rare pour être noté, des pirates s’attaquent à la Russie et à l’université de Moscou. Voilà une attaque informatique qui intrigue sur plusieurs points. L’université de Moscou (Lomonosov Moscow State University – msu.ru) a été piratée par des hacktivistes turques. Il est très rare de voir un important site Russe finir dans les mains de pirates informatiques. D’abord en raison d’un manque de communication sur le sujet, communication « légèrement » contrôlée par l’état et des sociétés locales spécialisées dans la sécurité informatique qui n’hésitent pas à contacter les defaceurs et autres « fouineurs ». Ensuite, la législation locale ne laisse que peu de chance aux intrus locaux.

Sauf que dans ce cas, se sont des pirates du groupe 1923Turkz, sorte d’Anonymous politique du pays, à s’être énervés sur l’espace universitaire russe. Les « visiteurs » ont diffusé un extrait de la base de données qu’ils ont ponctionné à partir d’une bête SQL.

Une autre attaque turque, cette fois à l’encontre du site officiel du gouvernement d’Istanbul (istanbul.gov.tr) par la RedHack Team. Une défiguration pour commémorer le mort d’un homme, Yusuf Huseyin pendu le 6 mai 1972.

Cyber-attaque, Fuite de données, Leak, Piratage

Le ministére de la défense d’Arabie Saoudite infiltré

Un commentaire

Un compte email du ministère de la défense d’Arabie Saoudite infiltré par des pirates Syriens. Le groupe de pirates Syrian Electronic Army a délaissé, un peu, les attaques à l’encontre des comptes Twitter de grands medias. Le groupe de pirates pro gouvernement Syrien vient d’annoncer, avec preuves, l’infiltration d’un compte mails appartenant au ministère de la défense d’Arabie Saoudite. Le SEA indique bientôt diffuser des informations secrètes trouvées dans l’espace électronique. Le groupe a déclaré que cette fuite « comprend de la correspondance et des informations secrètes du ministère saoudien de la Défense … Elles ont été transmises au gouvernement syrien. » Ce même groupe avait déjà attaqué plusieurs sociétés pétrolières du royaume saoudien.

Argent, Banque, Cyber-attaque, Entreprise, Fuite de données

13 Comptes en banque bloqués après le piratage de RPG

Le compte en banque de l’entreprise de télécommunication RPG piraté. Plus de 32.000 euros transférés. Des pirates informatiques ont réussi, en 3 heures, à pirater l’un des comptes bancaires de l’entreprise de télécommunication indienne RPG et à transférer 32.640 euros. Un compte courant basé dans la ville de Mumbai. L’attaque a été détectée le 11 mai dernier. L’argent détourné a été placé dans 13 comptes bancaires différents à Chennai, Coimbatore, Tirunelveli, Bangalore, Hyderabad, … Les comptes bancaires ouverts par les pirates ont été bloqués, mais les e.voleurs ont déjà mis la main sur l’argent liquide. La police a arrêté trois présumés membres de ce groupe de pirates qui retiraient des billets verts dans des banques de Coimbatore et Hyderabad. Les pirates ont réussi ce piratage via un courriel piégé. Un employé aurait ouvert un fichier joint dans un email. Dans le document numérique piégé, un cheval de Troie. (TI)

Cyber-attaque, Virus

Cyber-attaque orientée vers le Pakistan à travers de faux documents PDF

Datasecuritybreach.fr a appris d’ESET, pionnier en matière de sécurité proactive depuis 25 ans, la découverte d’une cyber-attaque ciblée qui tente de voler des informations sensibles provenant de différentes organisations, notamment au Pakistan (avec une portée limitée dans le monde).

Au cours de cette investigation, plusieurs pistes ont été découvertes qui indiquent que la menace est d’origine indienne et qu’elle sévit depuis au moins deux ans. Cette attaque ciblée a utilisé un certificat de signatures de code délivré par une société apparemment légitime qui aurait produit des signatures binaires malveillantes et favorisé leur potentiel de propagation. La société est basée à New Delhi et le certificat a été délivré en 2011. Le malware se diffuse à travers des pièces jointes aux e-mails.

« Nous avons identifié plusieurs documents différents qui évoquent plusieurs thèmes susceptibles d’être attractifs pour les bénéficiaires. L’un d’eux concerne les forces armées indiennes. Nous n’avons pas d’informations précises quant aux personnes ou organisations qui ont été plus particulièrement touchées par ces fichiers, mais sur la base de nos enquêtes, nous formulons l’hypothèse que des personnes et des institutions au Pakistan ont été ciblées », a déclaré à Datasecuritybreach.fr Jean-Ian Boutin, chercheur en malware chez ESET. Par exemple, l’un des fichiers PDF frauduleux a été diffusé par une archive auto-extractible appelée « pakistandefencetoindiantopmiltrysecreat.exe », et le système de supervision d’ESET montre que le Pakistan est fortement affecté par cette campagne avec 79 % des détections repérées dans ce pays.

Le premier vecteur de l’infection exploite une vulnérabilité largement utilisée et connue sous le nom CVE-2012-0158. Cette vulnérabilité peut être exploitée par des documents Microsoft ® Office spécialement conçus qui permettent l’exécution de code arbitraire. Les documents ont été transmis par email et le code malveillant s’exécute dès que le document est ouvert, sans que l’utilisateur de l’ordinateur attaqué s’en aperçoive. L’autre vecteur d’infection s’effectue via les fichiers exécutables Windows qui apparaissent comme des documents Word ou PDF diffusés par la messagerie. Dans les deux cas, pour échapper à la suspicion de la victime, de faux documents sont présentés à l’utilisateur lors de l’exécution.

Le malware a volé des données sensibles à partir d’ordinateurs infectés et les a envoyées vers les serveurs des attaquants. Il a utilisé différentes techniques de vols de données, parmi elles un keylogger, réalisant des captures d’écran et envoyant des documents de l’ordinateur infecté vers le serveur de l’attaquant. Fait intéressant, les informations volées à partir d’un ordinateur infecté ont été téléchargées vers le serveur de l’attaquant sans cryptage. « La décision de ne pas utiliser de cryptage est étonnante dans la mesure où cette opération est relativement simple  à utiliser et aurait pu masquer davantage l’opération», ajoute Jean-Ian Boutin.

Une analyse technique complète est disponible sur le site WeLiveSecurity.com – la nouvelle  plate-forme d’ESET dédiée à l’analyse des  cyber-menaces et aux conseils de sécurité.

Noms de détection

C’est une menace multi-partie et multi-vectorielle, dont les noms des menaces attribués par ESET sont les suivants :

Win32/Agent.NLD worm

Win32/Spy.Agent.NZD Trojan

Win32/Spy.Agent.OBF Trojan

Win32/Spy.Agent.OBV Trojan

Win32/Spy.KeyLogger.NZL

Trojan Win32/Spy.KeyLogger.NZN

Trojan Win32/Spy.VB.NOF

Trojan Win32/Spy.VB.NRP

Trojan Win32/TrojanDownloader.Agent.RNT

Trojan Win32/TrojanDownloader.Agent.RNV

Trojan Win32/TrojanDownloader.Agent.RNW

Trojan Win32/VB.NTC

Trojan Win32/VB.NVM

Trojan Win32/VB.NWB

Trojan Win32/VB.QPK

Trojan Win32/VB.QTV

Trojan Win32/VB.QTY

Trojan Win32/Spy.Agent.NVL

Trojan Win32/Spy.Agent.OAZ trojan

Argent, Arnaque, Cyber-attaque, escroquerie, Piratage

Augmentation de faux services de paiement en ligne au mois de juin

Les achats en ligne de voitures, motos et produits électroniques sont les plus risqués pour les acheteurs, comme pour les vendeurs !

Bitdefender, éditeur de solutions de sécurité, a indiqué à Datasecuritybreach.fr une étude sur les arnaques de services de paiement en ligne, pour la vente de particulier à particulier, dont le nombre et l’ampleur augmentent avant les vacances. Ces arnaques concernent de faux sites de paiement en ligne, créés par des pirates se présentant comme des tiers de confiance, censés assurer une transaction sécurisée entre vendeur et acquéreur et ainsi leur éviter les déconvenues d’une transaction en direct (non-réception de la marchandise ou non paiement). Bitdefender prévoit une augmentation de ce type d’arnaque au mois de juin, avant le début des vacances d’été, particulièrement pour la vente de voitures, de motos et de produits électroniques.

Après 10 mois de recherche, cette étude révèle que 16.8 % des arnaques de ce type, enregistrées ces 12 derniers mois, ont été créées au mois de juin. Les scammeurs sont, en effet, plutôt actifs dans la création de faux sites de paiement en ligne avant les périodes de vacances. Après une diminution stable de juillet à octobre, le nombre de ces faux sites commence ainsi à augmenter avant les vacances d’hiver, et plus particulièrement en décembre. Une recrudescence est ensuite notée en février, avec un pic à plus de 17% des arnaques détectées.

Cette étude de Bitdefender, réalisée sur plus de 2 000 faux sites Web de paiement en ligne, montre aussi que les voitures, les motos et les produits électroniques sont en tête de liste des articles utilisés par les scammeurs pour escroquer les clients en ligne. Les scammeurs se font généralement passer pour des vendeurs légitimes, sur de vrais sites de vente en ligne, et redirigent ensuite les acheteurs sur le faux site de paiement qu’ils contrôlent. Les scammeurs récupèrent ainsi l’argent et ne livrent bien entendu jamais les marchandises.

Top 5 des articles utilisés dans les arnaques de faux paiements en ligne :    Les voitures ;    Les motos ;    Les produits électroniques  ;   Les articles de valeur ;    Les vélos. Parmi les services également pris en charge par les scammeurs, via de fausses transactions, Bitdefender dénombre : les dépôts bancaires (versements), le transfert de dossiers médicaux ou encore d’échantillons liés à des analyses médicales.

« Les scammeurs peuvent être tout à fait convaincants – c’est précisément comme cela qu’ils gagnent de l’argent » déclare à Datasecuritybreach.fr Catalin Cosoi, Responsable des stratégies de sécurité chez Bitdefender. « Ils se donnent beaucoup de mal pour donner l’impression d’être légitimes, au point même de conseiller à leurs cibles de se protéger contre la fraude à la carte bancaire. Afin de rassurer leurs victimes, l’usage classique est qu’ils ne demandent jamais d’informations bancaires, ce qui au final ne change rien dans le cas de cette arnaque, puisque les escrocs reçoivent directement un transfert d’argent. »

Datasecuritybreach.fr conseille vivement aux utilisateurs de vérifier les informations WHOIS (enregistrement de domaine, hébergement, activité en ligne) avant tout paiement en ligne ou utilisation d’un service de transfert d’argent, censé sécuriser la transaction. En effet, contrairement aux vrais sites, plus de 90% des faux sites de paiement en ligne sont enregistrés seulement pour un an.

De plus, les vrais sites de paiement en ligne utilisent des serveurs de connexions sécurisées (SSL) pour protéger les clients. Ces derniers doivent donc voir apparaître une adresse commençant par « https:// » dans la barre de leur navigateur. Malgré tout, les sites frauduleux peuvent « emprunter » le logo des services de vérification SSL, les utilisateurs sont donc invités à vérifier que le site est bien identifié par la société d’authentification et à effectuer quelques vérifications en ligne concernant ce tiers de confiance. Bien souvent, une simple recherche Web permet d’éventer le piège en tombant par exemple sur des témoignages d’utilisateurs, victimes de ce type d’arnaque.

Android, Cyber-attaque, Sécurité, Smartphone

Une nouvelle donne pour les malware Android ?

Le dernier Rapport sur les Menaces Mobiles de F-Secure que Datasecuritybreach.fr a pu consulter rapporte une série de nouveaux malware Android, qui utilisent par exemple la messagerie en plus des applications pour se propager et infecter les appareils.

Le premier trimestre 2013 a été marqué par des nouveautés du côté des  malware Android, qui se veulent de plus en plus complexes. Le Rapport sur les Menaces Mobiles de F-Secure du premier trimestre 2013 présente la première offensive dont la diffusion s’est faite hors des applications, (via des e-mails de spam), les premières attaques Android ciblées, et la première escroquerie prétextant une avance de frais. En parallèle, les revendeurs de malware Android se multiplient sur le web.

Le nombre de familles et variantes de menaces mobiles est en  augmentation de 49 % par rapport au trimestre dernier, passant de 100 à 149. Parmi celles-ci, 136 (soit 91,3% d’entre elles) visaient Android et 13 (soit 8,7%),, étaient conçues pour Symbian. Pour rappel, 61 familles et variantes de menaces avaient été découvertes au premier trimestre 2012… cette croissance est donc à l’image de celle des parts de marché d’Android : exponentielle.

« Les nouvelles techniques utilisées par les cybercriminels pour attaquer Android sont inquiétantes », déclare à Data Security Breach Sean Sullivan, Security Advisor du Lab F-Secure. « A titre d’exemple : jusqu’à présent, je ne me suis jamais inquiété pour ma mère et son mobile Android, car elle n’utilise pas d’applications. Aujourd’hui, j’ai des raisons de m’inquiéter : avec des menaces comme Stels, des malware Android se propagent dans des spams, et ma mère consulte ses e-mails avec son mobile. ».

Ce cheval de Troie Android, plus connu sous le nom de Stels, a commencé à se répandre via un email falsifié de « l’U.S Internal Revenue Services », transportant un logiciel malveillant vendu sur Internet, conçu pour voler des informations confidentielles présentes dans les appareils Android et faire de l’argent en passant des appels à des numéros surtaxés. D’après Sean Sullivan, cet exemple de banalisation des malware « pourrait changer la donne ».

Le premier trimestre a été le théâtre des premières attaques ciblées utilisant des logiciels malveillants Android. Ainsi, des militants des droits de l’homme Tibétains ont été la cible d’emails contenants des pièces jointes infectées par des malware Android. De même, et un soi-disant «  coupon de réduction » pour une chaine de café très populaire a permis de soutirer des informations à des téléphones localisés en Corée du Sud.

Des mobiles indiens ont été spécifiquement pris pour cible, avec ce qui constitue la première escroquerie Android prétextant une avance de frais. Dans ce cas, une fausse application Android « d’offres d’emploi » en Inde, informe son utilisateur qu’il est retenu pour un poste au sein de TATA Group, une multinationale indienne. Pour organiser l’entretien d’embauche, l’application demande un dépôt de garantie remboursable.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Fuite de données, Leak, Patch, Sauvegarde

Les gens prennent soin de protéger leurs données mais négligent certaines mesures élémentaires

Un commentaire

Une étude que datasecuritybreach.fr a pu consulter, réalisée par Varonis, leader des logiciels complets de gouvernance des données, indique que la grande majorité des gens comptent que les entreprises protègent leurs données, malgré le nombre élevé de brèches de sécurité signalées. L’étude montre que la plupart des personnes interrogées ont généralement de bonnes pratiques de sécurité, mais ont néanmoins des comportements à risque qui pourraient permettre à des pirates d’accéder à leurs données.

La recherche révèle qu’une majorité écrasante de 91 % des personnes interrogées supposent que les entreprises protègent leurs données personnelles et leurs identités en ligne, et cela en dépit du fait que 93 % des grandes entreprises et 87 % des petites entreprises ont connu en 2013 des failles de sécurité des données. D’une façon générale, l’étude montre que la sécurité des données a une grande valeur : 97 % des répondants préfèrent faire affaire avec une entreprise qui protège leurs données et 54 % se déclarent prêts à payer plus cher s’ils pensent qu’une entreprise protège efficacement leurs données.

Les participants à l’enquête ont fait état de plusieurs habitudes de sécurité en ligne qui seraient mises en évidence dans n’importe quel rapport de sécurité. L’étude a établi que 71 % regardent les dispositions en petits caractères des accords de licence d’utilisation et autres conditions générales.

La sécurité mobile est également prioritaire : plus des trois quarts (77 %) protègent leur téléphone par un mot de passe, et près de la moitié (47 %) utilisent une authentification à deux facteurs pour protéger leur email personnel et leurs services en ligne.

Malheureusement, Varonis a aussi découvert quelques mauvaises habitudes troublantes. Si les participants protègent avec soin leur téléphone par un mot de passe, 61 % utilisent toujours ou fréquemment le même mot de passe sur des sites web ou des applications différents, mettant ainsi leurs informations personnelles en danger. Les deux tiers des participants (67 %) reconnaissent ou soupçonnent qu’ils ont envoyé par email des informations personnelles non cryptées à une entreprise.

« Il est encourageant de constater que les gens recherchent les entreprises qui parviennent mieux à sécuriser leurs données », explique David Gibson à Data Security Breach, vice-président de Varonis. « Cependant, le grand nombre de piratages qui se produisent presque tous les jours indique que les entreprises, comme les individus, ont encore du mal à mettre en oeuvre les bases nécessaires à la sécurisation de leurs données. »

Les personnes doivent se concentrer sur l’élimination de mauvaises habitudes numériques et prendre davantage le contrôle de leur sécurité. Les entreprises ont leur part à jouer pour s’assurer que les départements informatiques mettent en œuvre les bonnes pratiques élémentaires de sécurité.

Quelques recommandations de DataSecrityBreach.fr

.    Sachez où se trouvent vos informations, qui peut y accéder, et comprenez ce que les fournisseurs de service peuvent faire de vos données sans votre consentement explicite

.    N’envoyez jamais par email de données personnelles ou autres données sensibles non cryptées, spécialement les numéros de compte, de carte de crédit et de sécurité sociale, ainsi que les informations ayant trait à la santé 3.    Choisissez des mots de passe forts — mélangeant majuscules et minuscules, chiffres et symboles spéciaux — et utilisez un mot de passe unique pour chaque site. Les gestionnaires de mots de passe sont d’un grand secours dans ce but.

·      Authentification : vérifiez que toute personne accédant à un compte soit vraiment qui elle prétend être ; l’utilisation de plusieurs facteurs est préférable

·      Autorisation : assurez-vous que les employés ont exclusivement accès aux données dont ils ont besoin

·      Audit : surveillez tous les accès

·      Alerte : analysez l’activité à la recherche d’abus potentiels

.     Assurez-vous que les employés utilisent des plateformes sécurisées et autorisées

.     Concentrez-vous sur l’équilibre entre productivité et sécurité : les employés ont besoin d’une expérience de travail moderne qui ne fasse pas courir de risques aux données de l’entreprise.

L’occasion pour les particuliers de faire de même. Voici 6 conseils pratiques pour mettre en ordre son ordinateur et faire le grand ménage de printemps.

.            Sauvegarde des fichiers. Les utilisateurs ont tendance à conserver des fichiers importants et en grande quantité sur leur système sans jamais les stocker. Or, si le système « crash », toutes ces données seront perdues.  La solution la plus simple et efficace est alors de stocker les données les plus sensibles sur un disque dur externe.

.            Nettoyage du registre du système. Le système accumule de nombreux fichiers temporaires au cours de sa vie, surtout en surfant sur Internet.

Pour qu’il fonctionne plus rapidement, la suppression de ces fichiers est alors indispensable. Il existe plusieurs outils pour supprimer les anciennes entrées de registre (sur les PC) comme le fait de vider sa corbeille régulièrement, de supprimer les fichiers temporaires Internet et les cookies, ainsi que son historique de navigation. CCleaner est un outil connu gratuit qui peut effectuer ces tâches, néanmoins une plateforme de sécurité complète telle que Kaspersky PURE 3.0 contient des outils pour nettoyer son PC qui pourront réaliser la même opération tout en protégeant également le système.

.            Défragmentation du disque dur. Il s’agit d’une option sur les systèmes Windows qui augmente la vitesse et l’efficacité du système. Sur Windows 8, cette fonctionnalité se trouve dans « Fichiers » en cherchant « défragmenteur », sur une ancienne version de Windows dans « Programme », «Accessoires », et ensuite « Outils système ». L’utilisation du défragmenteur de disque prend un certain temps et oblige de laisser son PC « au repos ». Il est donc préférable de lancer la défragmentation quand l’utilisateur est absent de chez lui ou lorsque qu’il effectue d’autres activités.

.            Suppression des programmes inconnus.  Il y a de grandes chances pour qu’au fil du temps, les programmes inutilisés s’accumulent sur le système. Mais ces programmes occupent de l’espace sur le disque et ralentissent tout le système. Sur Windows, l’opération à suivre est la suivante : cliquer dans le panneau de configuration, puis sélectionner « Ajouter/supprimer des programmes ». Examiner la liste – sélectionner les programmes inutilisés cette année pour les supprimer. Sur Mac, ouvrir le LaunchPad, et déplacer les icônes des applications inutilisées dans la corbeille.

.            Changement des  mots de passe. Il s’agit d’une étape importante à effectuer régulièrement qui peut-être couplée à la mise à jour du système. Le mot de passe idéal doit être long et compliqué : le mélange des lettres et symboles non-alphanumériques permet de complexifier les mots de passe. Le classique « 123456 » est à éviter ! L’accumulation de mots de passe différents et complexes rend difficile leur mémorisation, l’utilisation d’un gestionnaire de mots de passe facilite grandement cette tâche.

.            Installation des mises à jour des programmes. Il est nécessaire de réaliser régulièrement les mises à jour car celles-ci contiennent les derniers patchs de sécurité. Les versions plus anciennes ont plus de risque d’être exploitées par des pirates informatiques qui trouvent des faiblesses dans les programmes dépassés. Sur Windows, cliquer sur le bouton « démarrer » puis se rendre dans le panneau de configuration, cliquer sur « tous les programmes » et ensuite sur « Windows Update ». C’est ici que se trouvent l’ensemble des mises à jour pour l’ordinateur. La dernière étape est de cliquer sur « rechercher des mises à jour » afin de savoir si l’ordinateur est bien à jour.

Cyber-attaque, Virus

Beta Bot : un nouveau robot sur le marché

Le code malveillant pousse l’utilisateur à valider l’UAC pour infecter le système et désinstaller l’antivirus présent. Ce nouveau bot appelé « Beta Bot » est récemment entré sur le marché parallèle. Disponible pour moins de 500 €, Beta Bot est un robot relativement peu cher compte tenu de sa vaste liste de fonctionnalités. Même si la plupart de ces caractéristiques sont assez standards (attaque DDoS, accès à distance, captures de données et autres méthodes de vols d’informations) une capacité particulière a attiré l‘attention du G Data SecurityLabs : « Désactiver l’antivirus » annonce la publicité affichée sur les forums souterrains. Une annonce suivie d’une liste de près de 30 programmes de sécurité censés être désactivables par Beta Bot.

Quelle est la méthode utilisée ?

Lorsqu’il est installé sur un système, Beta Bot cherche une solution de sécurité qu’il connait. S’il la trouve, le robot commence ses attaques en arrêtant les processus, en désactivant des clés de registre ou en désactivant les mises à jour automatiques. Selon le type de produit de sécurité, Beta Bot tente de contourner les pare-feux en injectant certaines routines dans les programmes qui sont habituellement autorisés à passer le pare-feu, comme Internet Explorer.

Contrôle d’accès utilisateur (UAC) – contourner les permissions Sur les systèmes d’exploitation Windows modernes, les autorisations des utilisateurs sont réparties entre standard (faible niveau d‘autorisation) et administrateur (niveau d’autorisation élevé). Contrairement à un administrateur, un utilisateur standard ne peut pas modifier les parties critiques du système. La décision d’élever le niveau de permission d’un processus est proposée à l’utilisateur par une fenêtre de dialogue spécifique. Celui-ci doit alors valider ou non cette permission. Beta Bot utilise cette boite de dialogue pour gagner des droits élevés sur le système. Bien que beaucoup de codes malveillants se contentent de droits utilisateurs limités pour attaquer le système, Beta Bot doit escalader les privilèges utilisateurs pour s’attaquer aux logiciels de sécurité.  Pour réussir dans cette démarche, la validation de l’utilisateur est nécessaire. Deux astuces sont utilisées par Beta Bot pour convaincre l’utilisateur de valider cette élévation de droits.

Dès que le code malveillant est exécuté sur le système, il affiche une première fenêtre dans la langue du système (10 langues, dont le français, sont disponibles) signifiant un problème de disque dur. Ce faux message critique joue sur la peur de perdre des données et invite l’utilisateur à réparer les dossiers endommagés. L’utilisateur doit choisir l’une des deux options proposées (« Restaurer les fichiers » ou  « Restaurer les fichiers et réaliser une vérification de disque »). C’est alors que le contrôle d’accès utilisateur (UAC) est lancé. C’est à l’autre astuce de prendre le relais : Beta Bot n’est pas directement utilisé pour lancer le processus UAC. C’est le programme cmd.exe, autrement dit l’invite de commande Windows, qui est utilisée pour démarrer le code Beta Bot. L’utilisateur est donc invité à élever les autorisations d’un programme Windows, ce qui est habituellement autorisé par la majorité des utilisateurs.

Argent, Banque, Cyber-attaque, Cybersécurité, escroquerie, Leak

L’auteur de SpyEye extradé aux USA

Hamza Bendellaj, surnommé le « hacker souriant » et reconnu sur la toile sous le pseudonyme de BX1, accusé d’être l’auteur/diffuseur du virus informatique SpyEye, a été extradé vers les Etats-Unis. Pour rappel, le jeune homme avait été arrêté en grande pompe par la police Thaïlandaise le 5 janvier 2013. Il était poursuivi par le FBI depuis son inculpation, en décembre 2011. Hamza Bendellaj a été présenté devant une cour fédérale d’Atlanta. Il est accusé de 23 chefs d’inculpation pour avoir participé au développement, à la vente et à la distribution du virus « SpyEye ».

Ce logiciel malveillant a pour mission de recueillir secrètement des informations financières, mots de passe. But final, détourner l’argent des comptes en banques d’internautes ainsi piéger. Le procureur en charge du cas Hamza, Sally Yates, indique que 253 établissements financiers américains ont été touchés par cette intrusion malveillante. Infiltrations qui auraient rapporté plusieurs millions de dollars au(x) pirate(s). L’Oncle Sam s’intéresse à ce présumé pirate car ce dernier avait loué des serveurs, à Atlanta, ayant permis les attaques informatiques.

« L’acte d’accusation fédéral et l’extradition de Bendelladj doivent être  un message très clair aux cybercriminels internationaux qui se sentent en sécurité derrière leurs ordinateurs dans des pays étrangers : ils sont, en fait, à portée de main», a pu lire datasecuritybreach.fr dans le communiqué de presse diffusé par Mark F. Giuliano agent du FBI d’Atlanta en charge de l’affaire.

BX1 risque 30 ans de prison pour fraude bancaire; 5 ans pour fraude informatique; 5 ans par chef d’accusation. Bref, il risque de perdre rapidement le sourire face à 155 ans de prison ferme !

Cyber-attaque, Fuite de données, Leak, Virus

Ministère du Travail piraté par des hackers Chinois

3 commentaires

Le Ministère du Travail américain infiltré. Des traces de hackers Chinois retrouvés. Analyse ! DataSecurityBreach.fr vient d’être alerté par Jaime Blasco, directeur du labs d’AlienVault au sujet de plusieurs infiltrations web d’envergure qui semblent être signés par des hackers Chinois. Dans les « cibles », le site du ministère du Travail américain. Les pirates y ont caché un code malveillant.

L’idée des intrus, installer une redirection sur un programme espion. Au cours des dernières heures, Data Security Breach a pu identifier plusieurs autres sites web, moins importants que cet espace ministériel. Les pirates ont profité du site sem.dol.gov pour, ensuite, piéger dol.gov, dol.ns01.us et statse.webtrendslive.com. Lors de la visite de « SEM », l’internaute se retrouvait à lire, via son navigateur, le fichier textsize.js. Un JavaScript qui contient le code suivant malveillant. Le serveur « malicieux » est exécuté via un fichier baptisé xss.php caché sur NS01.

Le script pirate recueille beaucoup d’informations du système et il télécharge les informations recueillies sur le serveur malveillant. L’attaque est intéressante car dans les commandes de l’outil pirate, un détecteur de Flash fonctionnant sur l’ordinateur du visiteur, ainsi que des tueurs d’antivirus. Le code malveillant élimine l’antivirus Bitdefender. Une fonction détermine si BitDefender est exécuté sur le système et le désactive. Même sanction pour Avast antivirus et AntiVir. Pour ce dernier cas, le code pirate cherche la présence de l’extension fonctionnant sou Chrome. Le JavaScript cherche aussi les antivirus : Avira, BitDefender 2013, McAfee entreprise, avg2012, Eset nod32, Dr.Web, Mse, Sophos, f-secure 2011, Kaspersky 2012/2013 ainsi que les versions de Microsoft Office, Adobe Reader installés.

Une fois que toutes les informations ont été collectées, il communique les données via le fichier js.php (caché sur NS01). Cette attaque ressemble à celle lancée, il y a quelques semaines, à l’encontre de plusieurs ONG. La faille exploitée dans le départ de cette attaque a été fixée en début d’année (CVE-2012-4792). Elle avait fait surface en décembre 2012. La charge utile lancée dans le piratage du Ministère Américain est cachée dans le fichier bookmark.png sur NS01.

Une fois dans le pc du visiteur, le fichier espion se cache dans la machine sous le nom de conime.exe. Il se connecte à un C&C sur microsoftUpdate.ns1.name pointant vers un serveur DNS Google 8.8.8.8. Il pointait, quelques temps auparavant sur 173.254.229.176. L’attaque, du moins le code pirate Deep Panda, est connu pour être exploité par un chinois (Mr. Sun, CardMagic, Edward Sun, …). Les premières traces datent de 2007.

Pour se protéger de ce type d’attaque, data security breach vous conseille de mettre à jour l’ensemble de vos outils web (Flash, PDF, navigateur, antivirus) et bloquer JavaScript.

Cyber-attaque, Cybersécurité, Fuite de données, Leak

Obliger les entreprises à notifier les attaques informatiques qu’elles subissent

Un commentaire

Le livre blanc de la défense rendu public le 29 avril par le gouvernement, prévoit une loi obligeant les entreprises non seulement à se doter d’outils de détection et de protection de leurs données, mais aussi à signaler toute attaque qu’elles subissent. Continuer la lecture de Obliger les entreprises à notifier les attaques informatiques qu’elles subissent

Cyber-attaque, DDoS, Piratage

Le pirate de SpamHaus arrêté dans un bunker informatique

2 commentaires

La police espagnole aurait arrêté l’auteur du piratage informatique de SpamHaus, un informaticien de 35 ans. Jeudi dernier, la police espagnole a arrêté un informaticien Néerlandais de 35 ans,  Sven Olaf Kamphuis, accusé d’être l’auteur du piratage informatique ayant visé SpamHaus. Un DDoS d’une telle ampleur que certains experts expliquaient que l’Internet avait ressenti, un peu, la secousse numérique malveillante.

Arrêté à son domicile de Granollers, banlieue de Barcelone, la police ibérique explique être tombé dans une maison transformée en véritable bunker informatique. L’homme a été présenté au tribunal de Madrid. Placé en prison, il attend son extradition vers les Pays-Bas. Une enquête internationale avait été lancée après ce Déni Distribué de Service ressenti aux USA, aux Pays-Bas et Royaume Uni. Une fiche Europol avait été lancée contre Sven Olaf Kamphuis. L’homme se déplaçait dans une camionnette qu’il utilisait comme un bureau informatique mobile. A première vue, le pirate a cru jouer au plus malin avec une tentative de Social Engineering bancale.

La police espagnole a expliqué qu’il s’était d’abord présenté comme un diplomate, puis comme le ministre des Télécommunications et des Affaires étrangères de la république Cyberbunker. Dans ce « bunker » (sic!), deux ordinateurs portables et des disques durs ont été saisis. Bref, pas de quoi crier à la cyber guerre ! Vous remarquez la photographie du présumé pirate, arborant le tee-shirt du Parti Pirate. Autant dire que l’amalgame est intéressant à visionner.

Chiffrement, Cyber-attaque, Cybersécurité, Fuite de données, Leak

Protéger l’entreprise contre les cyberattaques est insatisfaisante

Un commentaire

En France, les professionnels de la sécurité informatique estiment que leur capacité à protéger leur entreprise contre les cyberattaques est insatisfaisante. Juniper Networks, leader de l’innovation réseaux, annonce à datasecuritybreach.fr les résultats pour la France d’une étude mondiale réalisée par l’Institut Ponemon pour le compte de Juniper Networks. En France, les entreprises interrogées peinent à se protéger contre les attaques menaçant la sécurité de leur réseau en raison du nombre de terminaux grand public et d’applications introduits sur le lieu de travail, ainsi que du manque de visibilité des systèmes. 65 % des entreprises françaises sondées estiment que la migration des systèmes sur site vers des environnements cloud constitue également une menace importante pour la sécurité de leur réseau.

Réalisée auprès de 4 774 informaticiens et responsables de la sécurité informatique dans neuf pays, dont plus de 450 professionnels en France, l’enquête identifie les problématiques auxquelles les entreprises sont confrontées face aux nouvelles menaces et à leurs difficultés à s’en prémunir. L’enquête montre que la sophistication croissante des cyberattaques, l’évolution des menaces et la crainte croissante du vol de propriété intellectuelle et de secrets professionnels stimulent les investissements dans les technologies de sécurité réseau.

De nombreux professionnels de la sécurité informatique interrogés dans le monde estiment que les entreprises sont mal équipées pour détecter, bloquer et prévenir rapidement les attaques. En France, les personnes interrogées considèrent la stratégie mise en place par leur entreprise pour protéger le réseau contre ces attaques comme « insatisfaisante ». 60 % des professionnels français interrogés sont également convaincus que les nouvelles lois européennes relatives à la protection des informations personnelles auront un réel impact sur l’ensemble des opérations de leur entreprise. Cet impact sera notamment vrai quant à l’obligation pour les entreprises de signaler un vol de données sous 24 heures, la plupart des entreprises sondées ayant fait état d’un vol de données une fois par an au cours des deux dernières années.

L’étude identifie plusieurs problématiques de sécurité réseau auxquelles les professionnels de la sécurité informatique sont confrontés aujourd’hui en France :

·         Les entreprises françaises se concentrent sur les menaces internes pour gérer les risques pesant sur la cybersécurité : 43 % des professionnels interrogés en France ont déclaré que leur entreprise utilise une solution de protection de réseau pour faire face aux menaces internes (menaces émanant du réseau) ;

·         Il est important de sensibiliser les employés aux nouvelles menaces et aux risques relatifs au cloud : en France, 72 % des professionnels de la sécurité informatique ont déclaré que la sensibilisation aux nouvelles menaces est une priorité pour promouvoir l’utilisation des nouvelles technologies de sécurité ;

·         Les préoccupations concernant les lois européennes relatives à la protection des informations personnelles : 60 % des professionnels interrogés en France ont déclaré que les nouvelles lois européennes relatives à la protection des informations personnelles auront un impact important sur l’ensemble des opérations des entreprises et leur mise en conformité.

Cyber-attaque, DDoS, Piratage

Cyber-attaques d’entreprises : de plus en plus d’inquiétude

Datasecuritybreach.fr a reçu une étude indépendante, commandée par Corero Network Security, leader mondial des systèmes de défense contre les attaques par déni de service (DoS/DDoS) et les intrusions en première ligne de défense, qui indique que les entreprises redoutent plus que jamais de devenir la cible d’attaques par déni de service distribué (DDoS).

Cette enquête réalisée auprès d’entreprises britanniques révèle que 41% des responsables informatiques sont « très » ou « extrêmement » préoccupés et craignent d’être victimes d’une attaque, contre 29% en 2012. Réalisée par l’Institut de sondages Vanson Bourne, l’enquête compare l’attitude de 100 moyennes et grandes entreprises, au cours des deux dernières années. Ce sondage dévoile également que le nombre d’entreprises ayant eu à faire face à des attaques a atteint 25% en 2013, contre 18% en 2012. Les responsables informatiques du secteur financier sont les plus inquiets. Actuellement, 56% d’entre eux expriment un niveau de préoccupation élevé ou extrême contre 28% l’année dernière.

Une impression de protection trompeuse 31% des personnes interrogées disent avoir déjà mis en place une technologie anti-DDoS spécialisée. 36% déclarent ne compter que sur leur pare-feu pour les protéger des attaques DDoS et ne projettent pas d’accroître leur protection. Par contre, 24% disent avoir l’intention d’acquérir une technologie anti-DDoS spécifique en plus du pare-feu en place.

Les analystes s’accordent à penser que les entreprises estiment être protégées contre les attaques ciblées comme les DDoS, alors qu’en fait, elles se réfèrent à des technologies de sécurité traditionnelles. Il semblerait que beaucoup comprennent l’évolution des menaces actuelles mais surestiment leur propre capacité à les contrer.

Fun, argent et espionnage Une évolution majeure par rapport au sondage de l’année dernière, porte sur les motivations des attaques. En 2012, les motifs politiques ou stratégiques étaient le plus souvent invoqués. C’était la principale motivation pour 33% des personnes interrogées. En 2013, 36% des sondés estiment également que c’est « juste pour rire ». Cependant, les motivations varient radicalement d’un secteur économique à l’autre. Les secteurs de la distribution et des finances considèrent que l’extorsion d’argent est la motivation principale des attaques, le secteur industriel pour sa part invoque unanimement les raisons politiques. Une autre conclusion intéressante de l’enquête est la variété des attaques ciblées et leur sophistication croissante. 33% des attaques ciblées sont des attaques DDoS de la couche applicative, 37% des attaques volumétriques et 30% des attaques d’un autre type ou des attaques zero-day. Emmanuel Le Bohec, Regional Manager de Corero Network Security en France, commente à Data Security Breach : « Il est intéressant de noter qu’en dépit de l’augmentation significative de protection contre les attaques par déni de service au cours de l’année passée, les responsables informatiques redoutent plus que jamais la menace d’une attaque. Il ressort en outre clairement de cette enquête que les responsables IT n’appréhendent toujours pas la variété et la sophistication des attaques DDoS ainsi que les risques pris par leurs entreprises en faisant confiance à leur seul pare-feu pour les protéger. »

Argent, Cyber-attaque, Cybersécurité

Cyber criminels se penchent sur Bitcoin

2 commentaires

Comment les cybercriminels exploitent les monnaies virtuelles comme Bitcoin. D’abord, petit rappel de DataSecurityBreach.fr sur ce qu’est le Bitcoin. Bitcoin est une monnaie virtuelle décentralisée en ligne basée sur une source ouverte, le protocole P2P. Les Bitcoins peuvent être transférés sur un ordinateur sans avoir recours à une institution financière. La création et le transfert Bitcoin est effectué par des ordinateurs appelés «mineurs» qui confirment la création du bitcoin en ajoutant les informations dans une base de données décentralisée. Les Bitcoins deviennent plus difficiles à produire. Il n’y a plus « que » 10 millions de bitcoins en circulation aujourd’hui. La conception Bitcoin permet uniquement de créer 21 millions de pièces virtuelles. Cette limite sera atteinte au cours de l’année 2140. Le portefeuille Bitcoin est ce qui vous donne la propriété d’une ou plusieurs adresses Bitcoin. Vous pouvez utiliser ces adresses pour envoyer et recevoir des pièces provenant d’autres utilisateurs/internautes. Il existe les « piscines ». Espace qui permet à plusieurs internautes de « fabriquer » des Bitcoins. L’idée, travailler ensemble pour faire des bitcoins et partager les bénéfices de manière équitable. Enfin, vous pouvez acheter et vendre des bitcoins en utilisant plusieurs monnaies du monde réel (Euro, Dollar, …) à l’aide de plusieurs espaces d’échanges tels que MtGox, BTC-E ou encore Virtex.

En raison de la popularité croissante du Bitcoin, cette monnaie est devenue une cible intéressante et rentable pour les cybercriminels. Au cours des dernières années, DataSecurityBreach.fr vous a relayé d’une augmentation du nombre d’attaques et de menaces impliquant la monnaie virtuelle. Les « vilains » ont adapté leurs outils afin de voler des bitcoins à leurs victimes, utiliser des systèmes compromis pour exploiter des bitcoins et, bien évidement, traduire la monnaie virtuelle en billets biens réels. D’autre part les échanges virtuels sont également des victimes potentielles : phishing, déni de service. Dans ce dernier cas, la mission est clairement la déstabilisation du taux de change et des profits.

Au cours des dernières années, la capacité de voler le fichier wallet.dat (Le portefeuille Bitcoin, ndlr Data Security Breach) a été ajoutée à plusieurs familles de logiciels malveillants. En outre, de nouvelles familles de logiciels malveillants sont apparus dans le but de voler ce fichier à partir des machines infectées. Par exemple, une version du malware Khelios a été utilisée pour envoyer de faux courriels et inciter le téléchargement du malveillant. Mission finale, voler des données provenant des systèmes infectés. En conséquence, si un utilisateur du Bitcoin est infecté, le keylogger intercepte les frappes claviers dédiés aux Bitcoins. Le fichier porte-monnaie peut être protégé par un mot de passe… sauf que la majorité des logiciels pirates dédiés aux vols de données bancaires ont intégré le moyen de cracker le mot de passe du portefeuille. A noter que des botnets IRC s’exécutent sur la base du « AthenaIRCBot », un code source qui a la capacité de voler le fichier portefeuille (exemple : 928296a933c8eac9282955d47a811aa2759282973b8789bcfd567fb79282908ea).

En plus de voler le porte-monnaie Bitcoin, le nombre de logiciels malveillants qui permettent aux pirates d’utiliser la puissance de l’ordinateur des victimes est grandissante. Il permet aux escrocs numériques de générer des Bitcoins. Des variantes de Zeus/Zbot utilisent des « plugin » qui visent BitCoin.  L’année dernière, zataz.com vous parlait d’attaques de sites web, avec l’installation d’iframe « bizarres » dans les sites infectés. Les iframes dirigés les internautes vers le site anshaa[*]com. L’attaque visait Bitcoin. Au cours des derniers mois, plusieurs variantes de Dorkbot, y compris celui qui visait Skype, était exploité pour ajouter la capacité mining pool dans les ordinateurs infectés. Une fois que le système compromis, une version de la Ufasoft mining pool est lancée. Le pirate produit du Bitcoin sans se fatiguer. Derrière ce botnet, le même groupe. Il exploit(ait)e : cantvenlinea[*]biz, revisiondelpc[*]ru, cantvenlinea[*]ru, hustling4life[*]biz.

Alors que ce premier groupe a fait tourner son arnaque durant près de 6 mois, un autre groupe de pirates exploite, depuis 1 an, Dorkbot. Si le premier gang semble être des pays de l’Est, le second passe par l’Asie pour agir. Ce groupe exploite aussi une autre monnaie virtuelle, Litecoins. Dans ces cas, les pirates exploitent de faux logiciels diffusés via le P2P et les fameux iFrames installés dans des sites compromis via des kits Exploits de type  Blackhole. Comme vous pouvez le voir dans notre capture écran de comptes pirates, plusieurs escrocs utilisent des adresses Bitcoin. Bilan, il est possible de voir  les transactions effectuées par ces comptes. Certains affichent plus de 38.000 dollars de recettes ! Pas mal pour un petit Botnet !

Mtgox est le plus grand lieu d’échange Bitcoin. Il est possible de transformer ses Bitcoins en Euros ou Dollars. Ces dernières semaines, la popularité croissante de Bitcoin et Mtgox a attiré les pirates. Début avril, le site mtgox-chat[*]info ciblait les utilisateurs Mtgox. Mission de ce piège, inciter l’internaute à télécharger une applet Java malveillante. Marrant, le serveur pirate de gestion (C&C) se nommait « tamere123 ». Il faut dire aussi qu’avec 20.000 comptes Mtgox créé par jour (le nombre de comptes pirates n’est pas connu, ndlr DataSecuritybreach.fr), l’intérêt des escrocs ne fait que suivre le mouvement.

Vous commencez à comprendre pourquoi le Bitcoin a plongé de 50% la semaine dernière, passant de 36 euros le 16 mars pour atteindre 200 euros, 1 mois plus tard. Le Bitcoin se stabilise autour de 75 euros. Jusqu’au prochain problème, comme celui vécu début avril, chez Bitcoin central !

Cyber-attaque, Cybersécurité, DDoS, Fuite de données, Leak, Sécurité

Vers une Union européenne de la Sécurité Informatique …

Est-il temps d’inventer une « échelle de Richter » des incidents de sécurité ? Alors qu’un projet de Directive a été présenté par Neelie Kroes, commissaire européenne chargée de la société numérique et au moment où le Conseil et le Parlement européens doivent discuter de ce nouveau texte, François Lavaste, Président de NETASQ, acteur de la sécurité informatique revient pour DataSecurityBreach.fr sur cette nouvelle directive.

L’objectif de cette nouvelle Directive européenne vise à renforcer le niveau de sécurité des systèmes d’information européens et ce, de façon homogène. Au programme, la mise en place, dans chaque état membre, d’une infrastructure complète en matière de cybersécurité et une obligation de notification des violations de la sécurité des données personnelles sur 6 secteurs « cibles » qui sont les services financiers, les services internet clés, l’énergie, la santé, les transports et les administrations publiques.   Alors que l’on pouvait s’attendre, par exemple, à une obligation visant à inciter les éditeurs de logiciels à « patcher» les codes défectueux, ou à des obligations pour les acteurs de la filières de mettre en place des mesures de prévention ou de sensibilisation en matière de sécurité des données et des systèmes, le texte ne prévoit, a priori, rien sur ces sujets pour le moment. « Les États membres veillent à ce que les administrations publiques et les acteurs du marché notifient à l’autorité compétente les incidents qui ont un impact significatif sur la sécurité des services essentiels qu’ils fournissent ».

Que recouvre exactement cette notion d’incidents ayant “un impact significatif” sur la SSI ?

La sécurité informatique est, de manière assez surprenante, un domaine qui n’a pas encore inventé ou imposé son « échelle de Richter ». Il existe des indices de gravité pour les vulnérabilités (faible, modéré, important, critique) mais ceux-ci sont assez basiques. Certaines entreprises de sécurité, inspirées probablement par les niveaux d’alerte du plan VIGIPIRATE en France ou par ceux du NTAS (National Terrorism  Advisory System) aux Etats-Unis, publient leur propre échelle de menace (basse, medium, élevée, extrême par exemple). Ces indicateurs sont souvent subjectifs et précèdent les incidents potentiels. Cependant après un incident, aucune « échelle » de gravité n’est véritablement communément admise et utilisée. On pourrait imaginer qu’une telle échelle « a posteriori » de la gravité d’un incident de sécurité serait utile pour rapidement mettre en place, pour les victimes prévenues, les mesures à prendre et pour que les médias positionnent ces évènements de manière la plus objective possible.

Cyber-attaque

Le site des FEMEN piraté

4 commentaires

Le site des FEMEN, des féministes, se fait pirater, coup sur coup, depuis mercredi soir. Les messages ne sont pas des plus sympathiques pour les adeptes des manifestations « coup de poing » les seins nus. Jeudi soir, des messages très violents  traités les FEMEN de Truie : « Venez en Tunisie ! Nous couperons vos seins et les donnerons à manger à nos chiens ! » ; Ce Vendredi, Le logo d’un Anonymous avec un turban s’affichait sur un fond vert. Une attaque intéressante. Le pirate tente de faire croire qu’il est Tunisien, Arabe, anti femme, …

Le Facebook des FEMEN avait été piraté en milieu de semaine. Autant dire que les pirates ont accès à d’autres éléments (comme les emails, ndlr datasecurityreach.fr) pour agir autant et aussi rapidement. L’affaire aurait débuté après que l’association diffuse, sur son Facebook, deux photos de deux jeunes Tunisiennes aux seins nus dans une opération que FEMEN a baptisé Free Amina.

Cyber-attaque, DDoS, Entreprise

Un DDoS géant perturbe Internet

10 commentaires

Une attaque informatique à l’encontre d’un spécialiste de la lutte contre les spams perturbe l’Internet. Spamhaus, une entité basée en Suisse qui s’est donnée pour mission de publier des « listes noires » de serveurs utilisés dans des diffusions massives de spams, des courriels non sollicités. 80% des blocages des pourriels seraient réussis grace à SpamHaus. Depuis quelques jours, une attaque de type DDoS (Dénis Distribués de Service) perturbe le fonctionnement de SpamHaus… et du réseau des réseaux. Matthew Prince, de chez CloudFlare, indique n’avoir jamais vue une attaque prendre une telle ampleur. Tout a débuté la semaine derniére, les Suisses ont placé dans la liste noire du moment le site internet néerlandais Cyberbunker. Motif, le portail serait un repére de pirates et autres spammeurs. « Spamhaus n’a pas été en mesure de prouver ses allégations » indique CyberBunker.

Le New York Times fait parler un « porte-parole » des pirates assaillants. Sven Olaf Kamphuis indique que l’attaque est en représaille contre Spamhaus, qui « abuse de son influence« . L’attaque DDoS a une telle impacte qu’elle aurait « freinée » le débit web, en Europe. A l’AFP Johannes Ullrich, de l’institut de technologie américain SANS, explique que cette attaque est dix fois plus puissantes que les derniérs DDoS enregistrés. Il est vrai que se manger 300 gigabytes de données par seconde, ca à de quoi bloquer des serveurs ! Data Security Breach trouve que le plus inquiétant n’est pas l’attaque en elle même, mais sa facilité de mise en place. Les pirates ont tout simplement profité des vulnérabilités des serveurs DNS. Bilan, chaque attaque est multipliée par 100. Voir Open Resolver Project pour en savoir plus.

Internet a-t-il failli être coupé par une attaque de grande ampleur ?

A cette question que tout le monde se pose en ce moment, la réponse est oui. Avec les attaques qui ont eu lieu récemment et on encore lieu à certaines échelles, Internet a été, tout au moins, déstabilisé pendant plusieurs heures. Que vous ayez un téléphone portable en 3G, un ordinateur pour surfer sur votre site préféré ou voulu recevoir des mails d’outre atlantique, vous avez peut être tous senti à plus ou moins grande échelle des ralentissements.

L’attaque informatique derrière cette déstabilisation est connue, mais n’avait jamais été menée à cette ampleur. Les DDOS et plus spécifiquement les DrDOS sont des attaques par amplification de trafic, ou pour faire simple, les attaquants utilisent des serveurs et des réseaux mal configurés comme des amplificateurs. Ils transforment une ou plusieurs connexions de tailles honorables (mais que tout le monde peut s’offrir pour quelques dizaines d’euros par mois) en canons à trafic de très grande ampleur. Pour prendre une image plus parlante, cela revient à transformer une balle de pistolet en une pluie de munitions. Avec une telle arme, pour chaque « balle » tirée à l’origine, plusieurs centaines de milliers de projectiles arrivent à destination…

Il est important de comprendre cependant qu’aussi puissantes soient ces attaques, elles sont temporaires par essence. Leurs durées de vie se comptent en heures, en dizaines d’heures au maximum, Internet n’est donc pas en risque d’être définitivement « cassé » mais en risque d’être très embouteillé, pendant un long moment. Une question de fond demeure, ces embouteillages dureront-ils très longtemps et seront-ils fréquents ou bien les autorités vont-elles réagir et forcer la prise de mesures concrètes ?

Le laxisme et l’avidité au cœur du problème

Car ce qui rend possible ces attaques, ce sont deux problèmes fondamentaux, tous deux possibles à régler. En effet, ces attaques sont rendues possibles par des serveurs mal configurés. Cette fois-ci ce sont les serveurs DNS qui sont concernés, l’un des services indispensable au fonctionnement d’Internet, qui convertit les noms (comme www.datasecuritybreach.fr) en adresse numériques (dites IP) compréhensibles par les ordinateurs et serveurs. En l’occurrence, ces DNS « ouverts » étaient parfois laissés accessibles en tant que service à la communauté, souvent laissés ouverts par d’autres administrateurs moins compétents par manque de connaissance ou de temps.  Mais auparavant, c’était les protocoles utilisés par les serveurs de jeux sur Internet et d’autres sources sont également possibles à exploiter par les pirates. Le point commun à tous ces supports d’attaques est que les personnes ayant soit développé soit déployé ces services ont mal configuré leurs serveurs et permis à ces attaques d’avoir lieu.

Le second problème est lui très matériel. Il y a des grands bénéficiaires à ces flux démesurés. Pour commencer par le point important, ces attaques ne devraient pas exister et sont simplissimes à bloquer. Il suffit à chaque entité participant au réseau Internet de n’acheminer que les paquets légitimes, provenant réellement de son réseau. Actuellement ce n’est pas le cas. En effet, de très nombreux opérateurs (dont les plus grands Français, Allemands et US) ne filtrent pas les paquets transitant par leurs réseaux et acheminent des paquets qu’ils savent illégitimes.

Ces attaques reposent sur un mécanisme central clé : le fait que l’adresse source, l’identité numérique de l’attaquant est faussée. Cette méthode, appelée le spoofing, est laissée libre à l’utilisation de chacun alors qu’il n’est que normal et logique que chacun ne transporte que les paquets réellement issus de son réseau. Cela revient exactement au même que de transporter des valises d’inconnus que l’on vous aurait remis à l’aéroport. Pourquoi le font-ils ? Car les opérateurs de niveau 2 se facturent le trafic envoyés entres eux. En résumé, plus ils envoient de trafic, plus ils facturent le voisin qui reçoit ce trafic. DataSecurityBreach.fr le confirme, c’est donc une raison très monétaire qui les motive plus qu’une très théorique impossibilité technique derrière laquelle ils se cachent pour ne pas résoudre le problème.

La guerre des boutons 2.0

Cette attaque est par bien des aspects uniques. Unique car elle a visé les plus gros « tuyaux » d’Internet (les tiers 1), ce qui est atypique et à bien failli couper tout le réseau pendant quelques heures. Elle est aussi unique par la violence et son ampleur. A notre connaissance, aucune attaque n’avait encore atteint une telle ampleur, avec près de 300 Gbps de trafic vu par les grands opérateurs par moment. Les plus gros points d’échange d’Internet n’acceptent que 100 Gbps, là où cette attaque a dépassé les 300 Gbps par endroits dans le réseau mondial…

Cela représente, disons 1 million de voitures circulant sur une route où l’on en attend 100 000 en général au grand maximum. C’est l’équivalent de plusieurs dizaines de milliers de connexions ADSL classiques qu’il faudrait réunir à plein débit à un instant donné pour atteindre un tel volume. Un très gros canon à paquet donc et cela n’est encore qu’une partie du trafic maximal généré par cette attaque. Unique enfin par sa cible et son origine. Pour une cause qui ne nécessite très probablement pas une telle Vendetta, le spam, Internet a été déstabilisé quelques heures. On ne règle pas les bagarres de gamins dans une cours de récré à coup de taser et de flashball, on ne règle pas un différend avec Spamhaus avec une DDOS de cette taille, cela est déraisonnable.

Unique, cette attaque à malheureusement de grande chance de ne pas le rester car rien n’est fait à l’heure actuelle par les autorités pour forcer des configurations plus efficaces des réseaux opérateurs et des services clef d’Internet. Les solutions sont connues, la volonté de les appliquer manque. Elle ne restera pas unique car mener une telle attaque n’est pas extrêmement complexe, les méthodes sont connues et les personnes capables de les mener se comptent en dizaines de milliers dans le monde, à minima. Bien sûr la très grande majorité d’entre elles sont des personnes raisonnables, mais il suffit d’une seule en l’occurrence pour atteindre un tel résultat…

La structure de base d’internet la rend résiliente à beaucoup de dangers différents, mais d’un autre côté,  certains points clés sont toujours très fragiles et les milieux underground le savent …

Moi vouloir tuer Internet L’architecture principale du DNS peut être mise à terre. Ce n’est pas chose aisée mais un DDOS massif peut la faire plier et donc casser le système de résolution de nom et le processus de diffusion, entrainant ainsi un situation très inconfortable. Le second point que je voulais souligner est que la faille dévoilée par Dan Kaminsky durant l’été 2008 est encore présente sur presque un quart des DNS mondiaux et permet une attaque par cache poisoning, aussi simple que redoutablement efficace.

BGP. Cette partie est aussi sensible et fragile. Les membres de la DFZ (Default Free Zone) sont supposés se faire confiance les uns aux autres les yeux fermés. Nous prenons des routes depuis d’autre AS et diffusons notre routage aux autres membres…Mais si des paquets étranges sont envoyés dans le pré-carré, ils peuvent faire chuter l’ensemble, comme par exemple ce fameux mois d’août 2010, durant lequel le Ripe à mener une expérience qui tourna mal, brisant ainsi beaucoup de routes et dérangeant une partie du trafic Internet pour plusieurs minutes. Les Chinois ont aussi commis leur « erreur », générant un des plus spectaculaires détournements de trafic de l’histoire d’Internet. Il est dit que c’était une erreur (par ceux qui l’ont commise 🙂 ) mais il apparait tout de même comme rien de moins que le plus large et important piratage jamais réalisé sur internet, montrant une fois encore que les piliers d’Internet peuvent encore facilement « trembler sur leurs bases.

L’IPV4 est le plus fondamental des protocoles d’Internet. Il est présent depuis des décennies et à été attaqué de tellement de façon différentes que je ne peux imaginer donner un chiffre pertinent à fournir dans cet article. Quelques points sont cependant sûr concernant IPV4, le protocole est utilisé partout (moins de 8% d’internet est prêt pour IPV6), il comporte de nombreuse erreurs de conceptions, il permet de nombreuse attaque par DDOS, spoofing, sniffing et chacun l’implémente « à sa sauce ». Tout cela fait d’IPV4 le plus utilisé des protocoles de niveau 3 du monde et, bien entendu, le plus connu, testé, reversé et attaqué…

Une lutte de pouvoirs ?

CloudFlare après sa méga panne plongeant des centaines de milliers de sites dans le noir le plus total avait bien besoins d’une énorme publicité. En aidant cette fois des « gentils », c’est pour eux l’occasion rêvée pour redorer cette image ternie. Il n’y a pas que les attaques qui peuvent être amplifiées, il y a aussi les paroles. Oui, car contrairement à ce que raconte certains ahuris, le trafic Internet en Europe n’a pas bougé d’un pouce : chiffres à l’appui. Quant aux évènements, il s’agit bien d’un règlement de compte entre Spamhauss et de véritables cybercriminels aguerris qu’il vaut mieux éviter de chicaner, même pour plaisanter.

Spamhauss est sauvé, CloudFlare devient un super-héros auprès des gentils mais laisse une ouverture béante aux whitecollars du CB-31337 qui ne se font pas prier pour récupérer habillement l’histoire en diabolisant à nouveau Spamhauss (ouvertement critiqué pour avoir le cul entre deux chaises et pour ses méthodes de cowboys) et gagnant ainsi de nouveaux clients. Si vous n’avez pas encore compris, Internet va bien, très bien même. Business is business… Cependant ça démontre une nouvelle fois les faiblesses connues qui peuvent (mais ça ce n’est pas nouveau, disons « qu’ils osent ») être utilisées dans d’autres types d’attaques. Avec ces escarmouches, ils ne font que frapper du poing, peut être un avertissement comme tu le soulignes,… ou simplement une évaluation. Ces gens là ont largement la capacité de mener des offensives nettement supérieures (avec dégâts). A mon sens, il faut se souvenir d’une chose très importante : il n’est pas possible d’évaluer les capacités offensives avec certitude de l’ensemble des acteurs en présence car ils sont connectés indirectement avec divers milieux, autres que l’underground traditionnel. Ils peuvent changer de facette l’espace d’un instant et devenir un bras armé. Mettez une dose d’agences de renseignements, une pincée de politiques… et très franchement, je doute que les moyens déployés, même extra-ordinaires, depuis les claques Estoniennes, Géorgiennes,… suffisent à contre-carrer des attaques disons.. hors normes. Quoiqu’ils pourront certainement mener des investigations, compter les morceaux et tenter de recoller ce puzzle bordélique mais ça sera définitivement trop tard. Rassurez-vous, tant qu’il y aura des enjeux financiers, rien de tout cela n’arrivera. (Avec NBS-SYSTEM)

Cyber-attaque, Particuliers

Attaque de masse : des milliers de données de Français piratées

6 commentaires

Un fichier malveillant réussi, en quelques heures, à voler des milliers de logins et mots de passe de Français crédules. Un pirate informatique a diffusé un fichier malveillant, en multi-urls, proposant de télécharger un logiciel de création de code StarPass. Bien évidemment, derrière ce pseudo programme, promu par des vidéos sur Youtube, ce cache un logiciel d’espionnage. Mission du « malveillant », intercepter les logins et mots de passe pouvant trainer sur les ordinateurs des victimes.

Le « fouineur », il utilise un email dixi7z@xxxx.ch a mis la main sur plusieurs milliers d’informations de Français : sites web, logins, emails, mots de passe. Par un tour de magie, la rédaction de Data Security Breach a pu mettre la main sur les données volées.

Zataz.com, via son protocole d’alerte, a  alerté l’ensemble des internautes touchés par cette infiltration malveillante. Plus de 700 personnes sont concernées avec des accès à des boutiques en ligne, des comptes Googles, Facebook, sites Internet, forums, accès wifi (SFR, FREE, …), clés Windows.

Cyber-attaque, Piratage

Piratage en Corée du Sud … même pas peur !

Les organisations sud-coréennes cibles de cyber-attaques ? DataSecurityBreach.fr a appris hier qu’une cyber-attaque aurait paralysé les réseaux informatiques de trois sociétés de radiodiffusion et de deux banques en Corée du Sud. Les réseaux de ces organisations auraient été « partiellement ou totalement bloqués » et certains services bancaires tels que les distributeurs automatiques de billets auraient également été touchés.

La cause de ces problèmes reste inconnue, et les autorités sud-coréennes « essaient actuellement de déterminer la cause de la paralysie du réseau ». Bien qu’aucun réseau informatique lié au gouvernement n’ait été affecté, les autorités ont indiqué que l’implication de la Corée du Nord n’avait pas encore été établie. Cependant, le porte-parole du Ministère de la Défense sud-coréen Kim Min-seok a déclaré : « Nous n’excluons pas la possibilité que la Corée du Nord soit impliquée ».

Jean-Pierre Carlin, Directeur régional pour l’Europe du Sud et Benelux chez LogRhythm, commente cette information à Data Security Breach. : « La Corée du Sud est l’un des pays les plus développés au niveau technologique et il est souvent décrit comme le territoire « le plus branché du monde ». En tant que tel, les organisations doivent absolument avoir une connaissance approfondie de leurs propres systèmes IT, pour s’assurer que leurs réseaux sont non seulement protégés de manière adéquate, mais que s’ils devaient être attaqués (ce qui semble inévitable vu le contexte actuel en matière de cybercriminalité), les éventuels dommages seraient efficacement limités en temps réel et les traces de cette attaque pourraient être clairement démontrées. »

La cause des problèmes de réseau survenus hier est encore floue et les systèmes ont été infiltrés au point d’en être « paralysés », ce qui indique que les organisations cibles ne disposaient pas la visibilité nécessaire pour contrôler efficacement leurs systèmes IT et pour identifier et corriger en temps réel tout comportement anormal sur leur réseau informatique. Les organisations doivent pouvoir surveiller en temps réel toutes les données de registre générées par l’ensemble de leurs appareils informatiques, lesquelles renferment toutes les traces d’activité sur le réseau informatique, afin de détecter et de réagir à tout comportement suspect ou non autorisé à l’instant même où il a lieu. Ces messages d’activité aident non seulement les entreprises à identifier un piratage avant que celui-ci ne puisse causer des dommages durables, mais fournissent également des preuves indiscutables permettant de comprendre comment et pourquoi ces attaques ont pu avoir lieu.

L’autre grave problème est qu’il reste énormément d’incertitudes quant à la provenance de cette attaque. Lorsque la source d’une cyber-attaque n’est pas confirmée, l’imputation peut souvent être erronée, et compte tenu des tensions diplomatiques actuelles entre le Sud et le Nord de la Corée, toute erreur de jugement pourrait avoir des conséquences militaires indésirables. Une analyse plus approfondie de la faille s’avère donc nécessaire, mais celle-ci ne pourra être réalisée à l’aide de solutions de sécurité traditionnelles comme des anti-virus ou des pare-feux. Une stratégie de sécurité IT globale, se concentrant sur la surveillance continue des réseaux informatiques, offrira la visibilité réseau et le discernement de mise pour une telle analyse. Ce niveau élevé de visibilité réseau est primordial pour permettre aux organisations de contrecarrer efficacement les cyber-attaques et de retrouver leurs véritables auteurs.

Les pirates, derrière une attaque somme toute TRES classique se font appeler “Whois Team”. Les barbouilleurs ont affiché de jolies têtes de morts. A première vue, les pirates auraient utilisé un « outil » qui aurait automatisé l’attaque. Nous sommes loin d’une attaque de type Stuxnet ou Wiper. Les pirates semblent avoir cherché la publicité. Bref, ça sent le script-kiddies. Fermé le ban !