Archives de catégorie : Smartphone

backdoor, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Sécurité, Smartphone, Social engineering

Il y a bien eu des tentatives de piratage de Gemalto

Gemalto a présenté ce mercredi 25 février les conclusions de ses investigations sur le possible piratage de clés d’encryptage de cartes SIM diffusé par un journal américain. Pour la firme, l‘analyse de la méthode décrite dans les documents et les tentatives d’intrusion sophistiquées détectées par Gemalto en 2010 et 2011 rendent cette opération probable. Les attaques (Phishing et tentative d’installation du cheval de Troie) n’auraient touché que des réseaux bureautiques, elles n’ont pas pu résulter en un vol massif de clés d’encryptage de cartes SIM. La technique utilisée étant d’intercepter les clés lors de l’échange entre l’opérateur télécom et ses fournisseurs, et Gemalto indique avoir largement déployé un système d’échange sécurisé avec ses clients, avant 2010. Les données éventuellement volées par cette méthode ne sont exploitables que dans les réseaux de deuxième génération (2G). Les réseaux 3G et 4G ne sont pas vulnérables à ce type d’attaque.

Suite à la publication de documents le 19 février 2015 dernier, Gemalto a mené une investigation approfondie sur la base de deux éléments : les documents censés émaner de la NSA et du GCHQ rendus publics par ce site, et les outils de surveillance interne, avec leurs registres de tentatives d’intrusion.

L’article de The Intercept suppose que les documents publiés sont réels et qu’ils décrivent précisément des événements qui se sont produits en 2010 et 2011. Notre publication ci-dessous n’a pas pour but de confirmer partiellement ou entièrement ni de fournir des éléments permettant de réfuter partiellement ou entièrement le contenu des documents publiés par ce site web. En tant qu’acteur de la sécurité numérique, Gemalto est régulièrement la cible d’attaques. Ces tentatives d’attaques sont plus ou moins sophistiquées et nous sommes habitués à y faire face. La plupart échouent mais quelques-unes parviennent parfois  à pénétrer la partie externe de notre réseau qui est architecturé pour être très sécurisé.

 

Si nous regardons en arrière, sur la période couverte par les documents de la NSA et le GCHQ, nous confirmons avoir fait face à plusieurs attaques. En 2010 et 2011 précisément, nous avons détecté deux attaques particulièrement sophistiquées qui pourraient être reliées à cette opération.

 

En juin 2010, nous avons remarqué une activité suspecte sur l’un de nos sites français où un tiers a essayé d’espionner le réseau que nous appelons « office », c’est-à-dire le réseau de communication des employés entre eux et avec le monde extérieur. Des mesures ont été prises immédiatement pour éradiquer la menace.
En juillet 2010, notre équipe de sécurité a détecté un second incident. Il s’agissait de faux courriels envoyés à l’un de nos clients opérateur mobile en usurpant des adresses mail authentiques de Gemalto. Ces faux emails contenaient un fichier attaché qui permettaient le téléchargement de code malveillant. Nous avons immédiatement informé le client concerné et signalé l’incident aux autorités compétentes, en leur communiquant l’incident lui-même et le type de programme malveillant identifié.

 

Au cours de la même période, nous avons également détecté plusieurs tentatives d’accès aux ordinateurs de collaborateurs de Gemalto ayant des contacts réguliers avec des clients. A l’époque, nous n’avons pas pu identifier les auteurs de ces attaques mais maintenant nous pensons qu’elles pourraient être liées à l’opération du GCHQ et de la NSA.

 

Les intrusions n’ont affecté que des parties externes des réseaux de Gemalto, c’est-à-dire les réseaux bureautiques qui sont en contact avec le monde extérieur. Les clés de cryptage et plus généralement les données client ne sont pas stockées sur ces réseaux. Il faut imaginer l’architecture de notre réseau un peu comme le croisement entre un oignon et une orange. Il est composé de couches multiples et de nombreux quartiers qui permettent de cloisonner et d’isoler les données.

 

Android, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Sécurité, Smartphone, Téléphonie

Le téléphone sécurisé BlackPhone… pas si secure que ça

Une faille sérieuse découverte dans le téléphone portable ultra sécurisé BlackPhone. Le smartphone qui protège des écoutes peut être infiltré !

Un hacker australien a découvert comment piéger la sécurité, pourtant très poussée, du téléphone BlackPhone. L’appareil permet de chiffrer les appels et les contenus qu’il diffuse. Du moins, ça c’était avant. Avant qu’un bidouilleur découvre qu’avec un simple SMS envoyé à l’application « Silent » il était possible d’exécuter un code malveillant et de prendre la main sur le téléphone. Une injection découverte en une semaine par Mark Dowd. Le fabricant du BlackPhone annonce une rustine pour son matériel. Un téléphone qui coûte 550€. (Register)

Android, backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle, Sécurité, Smartphone, Téléphonie

Des portes dérobées découvertes dans des terminaux Android

Un commentaire

DeathRing et CoolReaper, des portes cachées installées dans des téléphones Android. Ils ont pu toucher des millions d’utilisateurs.

Palo Alto Networks a révélé des informations sur une porte dérobée présente sur des millions de terminaux mobiles Android vendus par Coolpad, l’un des plus gros fabricants de Smartphones basé en Chine. Baptisée « CoolReaper », cette porte dérobée expose les utilisateurs à d’éventuels actes de malveillance et semblerait avoir été installée et conservée par Coolpad malgré les objections des clients.

Il arrive fréquemment que les fabricants d’équipements installent des logiciels sur le système d’exploitation mobile Android de Google pour doter les appareils Android de fonctionnalités et de possibilités de personnalisation supplémentaires. Certains opérateurs de téléphonie mobile installent même des applications permettant de recueillir des données sur les performances des appareils. Mais d’après l’analyse détaillée de l’Unité 42 – l’équipe d’analyse des menaces de Palo Alto Networks – CoolReaper ne se contenterait pas de collecter simplement des données d’utilisation de base. Son fonctionnement s’apparenterait davantage à celui d’une véritable porte dérobée permettant d’accéder aux appareils Coolpad. Coolpad semblerait également avoir modifié une version du système d’exploitation Android pour rendre cette porte dérobée quasi invisible pour les programmes d’antivirus.

Découvert par le chercheur Claud Xiao de Palo Alto Networks, CoolReaper a été identifié sur 24 modèles de téléphones vendus par Coolpad et pourrait, si l’on en croit les données commerciales de Coolpad accessibles au public, impacter plus de 10 millions d’utilisateurs.

« Il est naturel que les fabricants d’équipements sous Android préinstallent des logiciels qui offrent des fonctionnalités et permettent de maintenir leurs applications à jour. Mais la porte dérobée évoquée dans ce rapport dépasse le cadre que connaissent les utilisateurs : elle permet à Coolpad de prendre le contrôle complet des équipements affectés, de rendre le logiciel invisible pour les antivirus et expose les utilisateurs à la merci d’actes de malveillance. Nous encourageons vivement les millions d’utilisateurs Coolpad susceptibles d’être concernés par CoolReaper d’inspecter leurs appareils pour y rechercher l’éventuelle porte dérobée et prendre les mesures appropriées pour protéger leurs données. » – Ryan Olson, directeur de la recherche au sein de l’Unité  42 chez Palo Alto Networks

Contexte et effets de CoolReaper
L’intégralité des résultats de l’analyse de CoolReaper figure dans le rapport de l’Unité 42, « CoolReaper : The Coolpad Backdoor » préparé par Claud Xiao et Ryan Olson qui paraît aujourd’hui. Dans ce rapport, Palo Alto Networks publie également la liste des fichiers à vérifier sur les terminaux Coolpad susceptibles d’indiquer la présence de la porte dérobée CoolReaper. Comme l’ont observé les chercheurs, CoolReaper est capable d’effectuer chacune des tâches suivantes, avec un potentiel de dangerosité pour les données sensibles des utilisateurs ou des entreprises. Un pirate malintentionné pourrait par ailleurs exploiter une vulnérabilité découverte sur le système de contrôle (back-end) de CoolReaper.

CoolReaper est capable de télécharger, installer ou activer n’importe quelle application Android sans autorisation ou notification de l’utilisateur ; effacer des donnés utilisateur, désinstaller des applications existantes ou désactiver des applications système ; informer les utilisateurs d’une fausse mise à jour OTA (Over-The-Air) qui, au lieu de mettre à jour le terminal, installe des applications indésirables ; envoyer ou insérer des messages SMS ou MMS arbitraires sur le téléphone ; transmettre à un serveur Coolpad des informations concernant le terminal, sa localisation, l’utilisation des applications, l’historique des appels et des SMS.

Prise en compte par Coolpad
L’Unité 42 a commencé à observer ce que l’on a baptisé CoolReaper suite aux nombreuses réclamations publiées sur les forums Internet par des clients de Coolpad en Chine. Au mois de novembre, un chercheur qui travaillait avec le site Wooyun.org a identifié une vulnérabilité sur le système de contrôle back-end de CoolReaper. Cette découverte a permis de comprendre que Coolpad contrôlait lui-même le backdoor présent dans le logiciel. Un site d’information chinois, Aqniu.com, a par ailleurs signalé l’existence de la porte dérobée et ses pratiques abusives dans un article paru le 20 novembre 2014. Au 17 décembre 2014, Coolpad n’a toujours pas répondu aux nombreuses demandes d’assistance de Palo Alto Networks. Les informations de ce rapport ont également été transmises à l’équipe de sécurité Android de Google.

De son côté Lookout découvre un logiciel malveillant pré-chargé dans des smartphones. DeathRing est un cheval de Troie chinois, préinstallé sur toute une série de smartphones parmi les plus populaires en Asie et en Afrique. Bien que sa détection ne soit pas plus fréquente qu’un autre logiciel malveillant, nous le considérons menaçant, notamment de par sa présence sur les smartphones dès leur sortie d’usine, et car il a été détecté aux quatre coins de la planète.

Autre particularité de ce malware, sa méthode de distribution. Pour la seconde fois en 2014, c’est en pré-chargeant le malware directement dans la chaîne d’approvisionnement que DeathRing atteint sa cible. Nous n’arrivons pour le moment pas à déterminer à quelle étape de la chaîne d’approvisionnement DeathRing est installé sur les smartphones. Nous savons toutefois que, pour de nombreux portables, il est installé dans le répertoire système le rendant extrêmement difficile à éradiquer. Il n’est malheureusement pas possible aux prestataires de services de sécurité de supprimer ce logiciel malveillant car il est installé dans le répertoire système des portables.

Recommandations

·         Vérifiez la provenance du téléphone que vous achetez.
·         Téléchargez une application de sécurité comme celle de Lookout, qui sert de première ligne de défense pour votre portable. Si vous découvrez qu’un tel logiciel malveillant est pré-chargé sur votre portable, demandez à vous faire rembourser.
·         Consultez régulièrement votre facture téléphonique afin de détecter les frais suspects.

Android, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, Identité numérique, ios, Particuliers, Sécurité, Smartphone, Vie privée

Énorme faille de confidentialité découverte dans les réseaux de téléphonie mobile

Un commentaire

Deux chercheurs allemands, spécialisés dans la sécurité informatique, ont découvert ce qui semble être un cas grave de fuite concernant les téléphones portables.

D’après Tobias Engel et Karsten Nohl, la faille pourrait permettre à des criminels et des agences de renseignement d’espionner les appels téléphoniques privés et les messages texte transmis via les réseaux cellulaires.

Le problème apparaît dans le système de signal 7 (SS7), un réseau mondial de télécommunications dont vous n’avez très certainement jamais entendu parlé. Sept permet aux opérateurs de téléphonie de faire transiter les messages et les SMS à travers le monde. Le Washington Post a rapporté que les chercheurs ont découvert des trous de sécurité dans certaines des fonctions SS7 normalement utilisées. SS7 a été conçu dans les années 1980. Il est évident que ce dernier soit criblé de vulnérabilités qui portent atteinte à la vie privée des milliards d’utilisateurs de cellulaires de part le monde.

Les failles peuvent permettre de localiser les appelants, n’importe où dans le monde, écouter les appels, les enregistrer. Il serait également possible de frauder les utilisateurs, ainsi que les opérateurs de téléphonie mobile en utilisant certaines fonctions SS7. Deux commandes semblent être particulièrement intéressantes.

La première pourrait permettre de détourner un téléphone portable en interceptant les appels qu’il reçoit. Une sorte de Man-in-middle. Avec un tel système en place, les appels peuvent être enregistrés secrètement. Deuxième commande, un pirate situé à proximité de sa cible pourrait utiliser des antennes radio pour intercepter les appels et les SMS traversant la zone « d’écoute ». Il faut une clé temporaire SS7 pour déchiffrer les communications enregistrées.

La semaine dernière, Nohl a mis ses découvertes en pratique en démontrant le danger à un sénateur allemand en déchiffrant ses SMS.

Pour se protéger, il est fortement conseillé d’utiliser des outils tels que FaceTime (Apple), Signal (Whisper System) ou RedPhone qui permettent d’avoir une communication sécurisée sur un canal non sécurisé.

Android, backdoor, Cybersécurité, Espionnae, Fuite de données, Mise à jour, Particuliers, Patch, Sécurité, Smartphone, Vie privée

Logiciels espions dans la derniere mise à jour Galaxy Note de Samsung

Un commentaire

Mais que viennent donc faire là Cookie Jam, Drippler et RetailMeNot dans la nouvelle mise à jour de T-Mobile concernant les Galaxy Note 4 de chez Samsung. Les applications sont avides d’informations… sans que les propriétaires des smartphones soient alertés.

Voilà qui commence à faire beaucoup. Après la disparation de musique non acquise sur iTunes dans des iPod, Apple ayant décidé de faire le ménage sans que les utilisateurs ne puissent rien dire, voici le débarquement de logiciels « sniffeurs » d’informations dans les Galaxy Note 4 Samsung commercialisés par T-Mobile.

Une mise à jour, imposée par l’opérateur, en a profité pour installer sans que personne ne puisse dire « non », trois applications avec des autorisations incroyables… sans que le propriétaire du téléphone ne le sache. Cookie Jam, Drippler et RetailMeNot se sont retrouvés dans les smartphones. Les utilisateurs peuvent pas les effacer, ils se réinstallent dans la foulée.

Les logiciels malveillants ont été installés automatiquement après la mise à jour de T-Mobile. Parmi les autorisations autorisées, mais non validées par les clients : lire l’état du téléphone, l’identité, modifier, lire et supprimer le contenu de votre périphérique de stockage USB, modifier les paramètres de sécurité du système, télécharger des fichiers sans notification, voir toutes sortes de connexions et avoir accès complet au réseau… (Rick Farrow)

Android, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, Identité numérique, Leak, Logiciels, Microsoft, Particuliers, Piratage, Propriété Industrielle, Smartphone, Virus

Detekt, le logiciel anti espion

3 commentaires

Amnesty International a diffusé, ce 20 novembre, un outil permettant aux victimes d’espionnage de détecter les manœuvres de surveillance gouvernementales. L’utilisation et le commerce de technologies de surveillance des télécommunications se sont développés de manière exponentielle ces dernières années.

La Coalition contre l’exportation illégale de technologies de surveillance, dont Amnesty International est membre, estime que le commerce mondial des technologies de surveillance représente 4 milliards d’euros par an, et qu’il est en expansion. Detekt propose donc de voir si votre ordinateur, votre smartphone ou votre tablette sont surveillés. Le fonctionnement est assez simple. Plusieurs versions sont téléchargeables sur le site officiel de l’opération resistsurveillance.org. La version PC, par exemple, demande d’être exécutée en mode Administrateur, connexion web coupée. Attention, nous avons remarqué que les PC sous Windows 8.1 se retrouvaient avec un message d’alerte leur indiquant l’impossibilité d’utiliser Detekt.

1 – Télécharger Detekt
2 – Exécuter le logiciel en mode « Administrateur ».
3 – Choisissez la langue (le Français n’est pas présent).
4 – Cliquez sur le bouton « Scan ».
5 – Attendre entre 30 et 45 minutes.
6 – Découvrez si vous avez un espion dans votre machine.

Si un espion est découvert dans votre PC, dites vous qu’il est malheureusement trop tard. Nous ne pouvons que vous conseiller de changer d’ordinateur très rapidement. Ensuite, réfléchissez à comment le piège s’est installé dans votre machine (mail, liens, Facebook, Twitter clé USB, smartphone, baladeur mp3, …). Ne reconnectez plus cette machine au web. Bloquez son wifi/Bluetooth. Analysez les documents contenus dans la machine en question. Qu’est ce que le pirate/espion a pu intercepter, lire, copier, modifier. Alertez vos contacts. Il est préférable à ce niveau de crier au feu que d’attendre que tout le monde soit bruler pour s’inquiéter. N’hésitez surtout jamais à déposer plainte et alerter les autorités compétentes, surtout si vous êtes dans une entreprise.

Android, Chiffrement, cryptage, Cybersécurité, Facebook, Identité numérique, Logiciels, Particuliers, Smartphone, Vie privée

Facebook sécurise WhatsApp à coup de chiffrement

Un commentaire

L’outil de conversation WhatsApp chiffre dorénavant les messages diffusés par ses utilisateurs. Voilà une nouvelle qui a de quoi étonner. Non pas que Facebook soit considéré comme un pirate, mais plutôt comme un aspirateur de données.

WhatsApp, la messagerie rachetée par Facebook se lance dans la grande aventure du chiffrement qui transitent par ses bits. Facebook vient d’annoncer un chiffrement de bout-en-bout, comprenez que même Facebook ne possède pas les clés de lecture. Whisper Systems, développeur de TextSecure, considéré comme étant l’application de messagerie la plus sécurisée du moment, a aidé à la mise en place de cette protection qui doit permettre aux internautes de chiffrer leurs messages. Bilan, la derniére mise à jour de WhatsApp pour Android transporte cette sécurité. Les 600 millions d’utilisateurs de WhatsApp vont donc apprécier cette attention. Attention, elle ne chiffre que les messages textes.

TextSecure est une application de messagerie qui vous permet de vous réapproprier votre vie privée tout en communiquant facilement avec vos amis. Avec TextSecure, vous pouvez communiquer instantanément tout en évitant les frais de SMS, créer des groupes pour discuter en temps réel avec tous vos amis à la fois, et partager des pièces jointes, photos ou autres en toute confidentialité. Le serveur n’a jamais accès à vos communications et n’enregistre aucune donnée vous concernant. (The Verge)

 

Cybersécurité, Microsoft, Mise à jour, Patch, Smartphone, Téléphonie, Windows phone

Faille Windows Phone 8.1

Une faille considérée comme sérieuse découverte dans le plus jeune des OS de Microsoft, Windows Phone 8.1. Bilan, les données d’un téléphone portable sous cet OS pourraient finir entre de mauvaises mains.

Un internaute, du nom de DJAmol, vient d’annoncer sur le forum XSA Developers la découverte d’une faille dans le plus récent des OS de Microsoft. D’après ce chercheur, une vulnérabilité sérieuse a été mise à jour dans Windows Phone 8.1. Bilan, le système d’exploitation de la firme de Redmond serait très facile à pirater. La vulnérabilité pourrait permettre à un malveillant d’exécuter l’application avec les privilèges d’un autre utilisateur et modifier à souhait le registre de l’appareil.

DJAmol s’est rendu compte qu’en changeant simplement le contenu d’une application OEM, application de confiance transférée vers la carte SD du téléphone, l’application hérite des privilèges de l’application d’origine. Une fois la copie effectuée, un pirate pourrait alors supprimer le répertoire existant et créer un nouveau répertoire avec le même nom original de l’App de base. La vulnérabilité a été annoncée à Microsoft. (XDAD)

Cybersécurité, Drupal, Entreprise, Fuite de données, Joomla, Logiciels, Mise à jour, Patch, Propriété Industrielle, Sécurité, Wordpress, Wordpress

Les attaques visant les applications Web se multiplient

Applications de vente en ligne, sites hébergeant des données de consommateurs ainsi que WordPress sont aujourd’hui les principales cibles de ce type d’attaque.

Imperva, spécialiste en solutions de sécurité informatique, a publié les résultats de sa cinquième enquête annuelle consacrée aux attaques visant les applications Web (Webannuel Report Application Attack : WAAR). Réalisé par l’Application Defense Center(ADC), la cellule de recherche d’Imperva, ce rapport analyse un échantillon de 99 applications protégées par le pare-feu applicatif Web d’Imperva(WAF) sur une période de neuf mois (du 1er Août 2013 au 30 Avril 2014). Les principaux enseignements de cette édition font état d’une augmentation significative du trafic malveillant (dont on notait déjà l’explosion dans le précédent rapport), ils révèlent que les applications de vente en ligne sont les plus sensibles pour ce type d’attaque et que WordPress est l’application la plus attaquée. Enfin, les États-Unis se distinguent comme le pays d’origine de la majorité du trafic des attaques d’applications Web dans le monde.

Ce cinquième rapport témoigne d’une augmentation de 10% des attaques par SQL injection (SQLI), ainsi que d’une hausse de 24% des attaques par inclusion de fichier à distance (RFI). L’équipe de recherche de l’ADC a de plus constaté que la durée des attaques s’est considérablement prolongée ; Leur durée s’est en effet allongée de 44% par rapport au précédent rapport WAAR.

48,1% des campagnes d’attaque visent les applications de vente en ligne, suivie par les institutions financières qui représentent 10% des attaques.     Les sites conçus sous WordPress ont subit 24,1% d’attaques en plus que les sites Web qui utilisent d’autres systèmes de gestion de contenu (CMS), on observe également que WordPress souffre davantage (60% de plus) d’incidents de Cross Site Scripting (XSS) que les autres sites. Les applications PHP subissent trois fois plus d’attaques XSS que les applications .NET. Les sites Web qui ont une fonctionnalité « log-in », et qui contiennent par conséquent des données spécifiques aux consommateurs, représentent 59% de toutes les attaques, et 63% des injections SQL.

« Après des années à analyser les attaques de données ainsi que leurs origines, le rapport de cette année indique que les hackers quelque soient leur pays d’origine hébergent leurs attaques aux Etats-Unis afin d’être géographiquement plus proche de leurs cibles. Cela explique pourquoi les États-Unis génèrent la majorité du trafic mondial des attaques d’applications web », indique Amichai Shulman, Directeur de la technologie chez Imperva à Datasecuritybreach.fr. « En regardant de plus près d’autres sources d’attaques, nous nous sommes aperçus que les infrastructures-as-a-Service (IaaS) étaient de plus en plus utilisées par les hackers. Pour exemple, 20% des tentatives d’exploitation de vulnérabilités connues proviennent d’ Amazon Web Services. Mais ce n’est pas le seul; car le phénomène se développe et les autres fournisseurs de ce type d’infrastructures (IaaS) doivent être particulièrement vigilants quant à la compromission de leurs serveurs. Les hackers ne sont pas sélectifs quand il s’agit d’atteindre un Data Center ».

backdoor, Cybersécurité, Espionnae, Fuite de données, Identité numérique, Logiciels, Microsoft, Propriété Industrielle, Sécurité, Vie privée

La version Bêta de Windows 10 communique vos frappes clavier à Microsoft

Alors que vous testez la nouvelle version de Windows, sous forme de bêta, Microsoft intercepte vos frappes clavier… pour votre bien.

Les internautes qui ont téléchargé la version bêta de Windows 10, la technical preview, n’ont pas intérêt à taper trop d’informations personnelles et sensibles au risque d’avoir une mauvaise surprise. Comme l’explique le « Privacy Statements for Windows Technical Preview » de WIN10, bref la notice d’utilisation du nouveau bébé de Microsoft, la voix, mais aussi les frappes claviers sont communiqués à Microsoft.

Microsoft collects information about you, your devices, applications and networks, and your use of those devices, applications and networks. Examples of data we collect include your name, email address, preferences and interests; browsing, search and file history; phone call and SMS data; device configuration and sensor data; and application usage.

Un espionnage qui a pour mission d’enrichir le fonctionnement des futures options de Win10. Microsoft indique à WinBeta que cette « absorption » d’information ne sera activée que dans cette version de « démonstration », Windows 10 définitif n’aura pas cette big brother attitude.

Il ne faut cependant pas se voiler la face. Une commande clavier ou manipulation extérieure pourrait réactiver la « fonction » magique dans la condition ou cette dernière est implantée d’origine dans Windows 10. A moins que Microsoft le retire du code source, mais ça, personne ne pourra le vérifier.