Backdoor : fichiers Publisher peuvent entrainer des vols de données

Une vague de spams ciblés infecte actuellement les ordinateurs Windows via une backdoor, permettant aux cybercriminels de dérober des informations sensibles d’entreprises.

Backdoor dans vos mails ? Les chercheurs antispam des Bitdefender Labs ont identifié quelques milliers d’e-mails contenant des pièces jointes ayant .pub, comme extension, et se faisant passer pour des commandes ou factures de produits. Les expéditeurs de ces courriers électroniques usurpent l’identité d’employés travaillant le plus souvent dans des petites et moyennes entreprises  au  Royaume-Uni ou en Chine, mais pas seulement, d’autres entreprises plus importantes sont également ciblées.

Les destinataires sont invités à ouvrir les fichiers joints avec Microsoft Publisher, un logiciel de Publication Assistée par Ordinateur (PAO), intégré à Microsoft Office 365. Publisher est communément utilisé pour éditer et mettre en page des textes, ou encore créer des flyers, newsletters, des e-mailings, etc.

« .pub n’est pas une extension de fichier souvent utilisée pour diffuser des logiciels malveillants », déclare Adrian Miron, Chef de la division Antispam des Bitdefender Labs. « Les spammeurs ont choisi ce type de fichiers, car, en général, les gens ne se doutent pas qu’il puisse être un vecteur d’infection ».

Backdoor : porte cachée 2.0

L’extension .pub infectée contient un script (VBScript) qui intègre une URL agissant comme un hôte distant. De là, le malware télécharge un dossier auto-extractible contenant un script AutoIt, outil qui sert à exécuter le script et un fichier chiffré en AES-256. Les chercheurs ont remarqué que ce fichier chiffré peut être déchiffré en utilisant une clé dérivée de l’algorithme MD5 (Message Digest 5), d’un texte écrit à l’intérieur du fichier AutoIt.

Une fois que le fichier est déchiffré et installé, les attaquants ont alors accès au système via une backdoor et peuvent contrôler les ressources sur l’ordinateur compromis. Le malware peut mémoriser des séquences de touches pour enregistrer les mots de passe et noms d’utilisateurs, dérober des informations de connexion à partir des navigateurs Web ou des e-mails, afficher les données du système et  réaliser d’autres actions intrusives.  « Nous avons des raisons de croire que ce type d’attaque provient de l’Arabie Saoudite et de la République tchèque », ajoute Adrian Miron.

Le code malveillant est détecté sous le nom de W97M.Downloader.EGF, ainsi que la charge utile de la backdoor comme Generic.Malware.SFLl.545292C0. [MD5 : 8bcaf480f97eb43d3bed8fcc7bc129a4]. Pour rester protégé contre ce type de menaces, il est conseillé aux entreprises d’installer un filtre antispam fiable. Les utilisateurs doivent éviter d’ouvrir et de télécharger des pièces jointes suspectes provenant de sources inconnues.

Réseaux sociaux : la police utilise une vieille loi obsolète pour arrêter des internautes

Un rapport publié récemment par le Bureau National Crime Records indien indique suggère que la police des différents états se moque ouvertement de la modification d’une loi. Bilan, Plus de 3.000 personnes arrêtées illégalement.

Le problème avec les lois c’est qu’elles changent souvent. Modifications, amendements… Bilan, se mettre à jour n’est pas chose aisée. Si en plus vous rajoutez de la mauvaise foi, vous voilà avec une constatation inquiétante du Bureau National Crime Records.

Cette entité Indienne explique ouvertement que les policiers en charge de L’internet et du Cybercrime font fi de la modification d’une loi « Section 66A of the Information Technology Act » qui permettait d’arrêter des internautes donnant un avis « contraire » que celui prôné, par exemple, par le gouvernement ou des politiques, sur les réseaux sociaux. Bref, râleurs, dissidents politiques… ne doivent plus être inquiétés.

Sauf que les autorités des différents états indiens ont du mal avec cette mise à jour. 3 133 personnes ont été arrêtées arbitrairement par la police pensant que la Section 66A of the Information Technology Act était toujours en activité. Un tribunal avait confirmé, en 2015, le droit de la liberté de parole et d’expression des citoyens indiquant même que « l’article 66A s’attaque de manière arbitraire, excessive et disproportionnée le droit de la liberté d’expression« . En 2015, sur les 3 133 personnes arrêtées, 64 avant moins de 18 ans. 2 avait plus de 60 ans. (BS)

Trois logiciels destinés aux dentistes vulnérables aux pirates informatiques

Base de données vulnérables et manipulation possible pour 3 logiciels destinés aux dentistes.

Outils professionnels vulnérables ! Le CERT de l’Université américaine Carnegie Mellon vient d’annoncer la découverte de problèmes informatiques dans trois logiciels destinés aux dentistes souffraient de failles informatiques qui donneraient un accès aux données sauvegardées via ces outils professionnels. Des fuites qui concernent aussi les patients.

Parmi les failles, des injections SQL qui ouvrent les portes aux informations gardées par les bases de données. Sont concernés deux logiciels de gestion de dossiers dentaires : Dentsply Sirona et Open Dental. Ce dernier est très mignon, j’ai pu tester la chose chez un dentiste ami Belge, il n’y a pas de mot de passe pour accéder à l’outil de gestion MySQL (sic!).

Le troisième logiciel montré par la roulette du CERT, le Dexis Imaging Suite 10. L’éditeur vient de conseiller à ses utilisateurs de mettre à jour les informations d’identification de la base de données. Bref, lisez le mode d’emploi et changez les accès, les urls, …

L’ampleur du problème semble énorme. Des milliers de dentistes utiliseraient l’outil en question, dont des clients gouvernementaux américains comme des cliniques de la marine ou encore de l’US Air Force.

Open Dental, en tant que logiciel libre et open-source, est disponible pour quiconque souhaite le télécharger. 4000 cabinets dentaires l’utiliseraient.

Justin Shafer, l’auteur des trois découvertes, est un spécialiste de l’informatique « dentaire ». Ce Texan avait fait les manchettes de la presse US, l’année dernière, après que le FBI se soit invité chez lui, pour l’arrêter, après avoir divulgué une faille dans le logiciel Dentrix.

Saisies de serveurs VPN chez Perfect Privacy

La police néerlandaise a saisi deux serveurs appartenant à la société suisse Perfect Privacy dans le cadre d’une enquête. Les logs VPN concernés.

Récemment, la France et l’Allemagne ont déclaré la guerre au chiffrement avec un objectif de forcer les grandes sociétés de technologie à proposer des « outils » permettant de passer outre le chiffrement et l’anonymat des communications passant par les Internet. Bref, l’installation de backdoors [portes cachées]  dans les services de messageries sécurisés serait grandement appréciée. Et si cela ne fonctionne pas, la saisi du matériel reste la solution usitée par les autorités.

Le fournisseur de VPN [Virtual Private Network] Suisse, Perfect Privacy, informé, fin août, ses clients que deux de ses serveurs, basés chez I3D à Rotterdam au Pays-Bas, avaient été saisis par la police locale dans le cadre d’une enquête. La police n’a pas contacté directement la société Suisse, elle a été se servir directement chez son hébergeur néerlandais. Les fournisseurs de services VPN sont très souvent sollicités par la justice lors d’enquêtes en cours. Dans la majorité des cas, les sociétés, du moins celles basées dans des régions ou les législations sont peu regardantes sur le sujet, ne répondent pas. Il est fort probable que ce soit le cas pour Perfect Privacy.

En Avril 2016, la police néerlandaise avait déjà saisi du matériel, cette fois chez le fournisseur Ennetcom VPN, une société basée aux Pays-Bas et au Canada. Dans ce cas, la police avait  accusé Ennetcom d’aider les pirates informatiques et autres escrocs du numériques à se cacher.

A noter qu’un VPN reste un outil INDISPENSABLE si vous surfez hors de vos murs (Voyage, Gare, Hôtel, Aéroport…). Il permet de chiffrer vos communications entrantes et sortantes de votre ordinateur. Vos surfs sont, aussi, anonymes au regard du site, serveur, forum que vous visitez.

La FAA continue de mener la guerre aux utilisateurs de drones

La FAA met en place 107 obligations concernant les drones. Un test payant imposé aux pilotes.

La semaine dernière, les nouvelles règles fédérales pour les opérateurs de drones commerciaux ont pris effet. Pour la première fois, la Federal Aviation Administration ne demande pas d’examiner et d’approuver chaque utilisation commerciale unique dans le pays. Ce processus d’approbation par la renonciation a pris des mois, et a inutilement retardé le développement commercial et le déploiement de la technologie de ces petits engins volants. Cependant, 107 règles de la FAA fixent des limites strictes sur le type d’opérateurs.

Les pilotes de drones doivent, par exemple, passer un test de connaissance de la FAA, test qui coûte 150 $, et qui doit être renouvelé tous les deux ans.  Une fois le test validé, les pilotes ne peuvent pas voler avec des drones de plus de 55 livres (25 kilos), et ne pas voler à plus de 400 pieds d’altitude, soit 121m. Interdit aussi de voler de nuit ou dans des zones peuplées , ou voler directement au-dessus de personnes non impliquées dans le vol lui même. (DS)

Terrorist Travel Prevention : vos identifiants aux réseaux sociaux pour vous rendre aux USA

Terrorist Travel Prevention – Le gouvernement Américain est en train de peaufiner des nouveautés pour se rendre sur son territoire comme la fourniture de ses identifiants aux réseaux sociaux.

Terrorist Travel Prevention – Ambiance sympathique à venir, au passage de la frontière américaine. Pour ceux qui ont la chance, comme votre serviteur, de se rendre souvent sur le sol de l’Oncle Sam, le passage devant les « souriants » et très pointilleux policiers des frontières américaines (Customs and Border Protection) peut en refroidir plus d’un. Questions à la tonne via le formulaire I-94 : « Quelqu’un dans votre famille était nazi durant la guerre ? » et les CBP : « Placez vos dix doigts sur le capteur » ; « Ne souriez pas à la caméra » …

Prochainement, du moins si le gouvernement fédéral d’Obama fait voter ce renforcement de la loi de 2015 « Terrorist Travel Prevention« , les voyageurs seront invités à fournir leurs identifiants aux réseaux sociaux. On ne parle pas, évidement, des mots de passe, mais au moins l’adresse de votre Twitter, Facebook, Google+, … Pour traduire, il sera demandé vos logins, userID, Username. Une invitation qui pourrait devenir rapidement une obligation si les « gardiens » décident de trouver bizarre que vous n’en possédiez pas. Seront concernés, les ressortissants de pays n’ayant pas obligation à posséder un Visa, soit 38 pays, dont la France. Bref, ça va être sympa si, comme moi, vous utilisez une quarantaine de comptes et réseaux sociaux.

Il faudra m’expliquer à quoi servira cette fourniture aux autorités fédérales. Déjà que pour avoir son ESTA, les informations demandées sont légions. Rien n’empêche de garder certains de ses comptes sociaux secrets. A moins que les sbires d’Obama souhaitent comparer les IP des comptes proposés avec les IP de comptes surveillés, mais non identifiés. Seulement 800 personnes ont répondu à la consultation lancée par la Maison Blanche. La grande majorité indique que cette nouveauté ESTA est « ridicule« , « inutile« , « Une proposition de Donald Trump ?« .

Filtre anti espion sur les prochains Hewlett-Packard

Le géant de l’informatique Hewlett-Packard s’associe avec 3M pour préinstaller sur ses prochains ordinateurs portables professionnels un filtre anti espion.

Filtre anti espion – Quoi de plus courant que de croiser à la terrasse d’un café, dans le train ou dans un aéroport ces fiers commerciaux pressés de travailler, même dans un lieu non sécurisé. Autant dire que collecter des données privées, sensibles, en regardant juste l’écran de ces professionnels du « c’est quoi la sécurité informatique ? » est un jeu d’enfant.

Hewlett-Packard (HP), en partenariat avec 3M, se prépare à commercialiser des ordinateurs portables (Elitebook 1040 et Elitebook 840) dont les écrans seront équipés d’un filtre anti voyeur. Un filtre intégré directement dans la machine. Plus besoin d’utiliser une protection extérieure.

Une sécurité supplémentaire pour les utilisateurs, et un argument de vente loin d’être négligeable pour le constructeur. Selon Mike Nash, ancien chef de la division de sécurité de Microsoft et actuellement vice-président de Hewlett-Packard, il est possible de croiser, partout, des utilisateurs d’ordinateurs portables sans aucune protection écran. Bilan, les informations affichés à l’écran peuvent être lues, filmées, photographiées.

Le filtre pourra être activé et désactivé à loisir.

Les nouvelles technologies placent la sécurité au cœur du FIC 2017

Le FIC 2017, qui réunira l’ensemble des acteurs publics et privés, les 24 et 25 janvier prochains à Lille, permettra d’échanger autour des défis d’un monde toujours plus connecté et de participer à la construction d’un espace numérique sécurisé.

FIC 2017 – Organisé conjointement par la Gendarmerie Nationale, CEIS et EuraTechnologies, et co-financé par la Région Hauts-de-France, la 9è édition du Forum International de la Cybersécurité sera consacrée à la sécurité de demain et aux nouveaux usages.

« Les usages pour le meilleur sont parfois au service du pire. Les prédateurs l’ont bien compris. Ils viennent dans l’espace numérique qui leur offre le meilleur rapport gain/risque pénal. La cybercriminalité est la criminalité du XXIe siècle, comme nous l’écrivions lors de la fondation du FIC, en 2007. Il est désormais urgent de mobiliser tous les acteurs publics et privés, car l’enjeu est bien la nature de la « nouvelle société » qui sera la nôtre dans une quinzaine d’année » explique le Général Marc Watin-Augouard, fondateur du FIC.

Dans un contexte de loi pour une République numérique sur le plan national, et d’une Europe de la cybersécurité plus que jamais en marche, l’événement européen de référence réunissant tous les acteurs de la confiance numérique rassemblera représentants de la société civile, offreurs de services et de solutions de sécurité de confiance, utilisateurs finaux, monde public et sphère académique.

Des interrogations stratégiques à l’échelle européenne

La directive NIS met déjà en place un groupe de coordination, ainsi qu’un réseau réunissant les CERT. Mais la Commission souhaite aller plus loin et proposera début 2017 un schéma directeur prévoyant un plan de coordination en cas de cyber attaque de grande ampleur avec la participation de l’ENISA, des CERTs et d’EC3 (Europol).

Placé au cœur de l’actualité, le FIC 2017 sera l’occasion d’avancer des pistes de réflexion dans la gestion des crises cyber à l’échelle européenne et, après l’adoption du « Privacy Shield », d’échanger sur les ambitions numériques de l’Europe.

Le partage d’expérience : une piste d’amélioration pour la filière cybersécurité
Les 3 premiers arrêtés pris à la suite de la Loi de programmation militaire (LPM) ont été publiés récemment (produits de santé, gestion de l’eau, alimentation). Le FIC 2017 permettra d’assister à des retours d’expérience d’infrastructures critiques de nos voisins européens.

FIC 2017 – L’humain, clé de la réussite d’une stratégie de cybersécurité

La formation, la sensibilisation, la mobilisation des métiers autour des enjeux de cybersécurité, la recomposition du paysage des fonctions IT… Ces sujets, traités lors de la prochaine édition du Forum International de la Cybersécurité, place l’homme au cœur des débats. Quels sont les nouveaux outils de la sensibilisation ?  Comment associer les métiers aux démarches de sécurité ? Quelle place donner à la sécurité dans l’entreprise ? Autant de questions auxquelles tenteront de répondre les experts en cybersécurité et les directeurs métiers, des secteurs publics et privés.

Répartis sous 7 thèmes : Enjeux internationaux – La filière cybersécurité – La sécurité en entreprise – Lutte anti-cybercriminalité – Nouvelles technologies – Questions de société – et Technologies de sécurité, les plénières, conférences et ateliers du FIC permettront de couvrir les sujets selon un enjeu stratégique, juridique, industriel ou technologique.

Parmi les  sujets phares de cette 9è édition du Forum International de la Cybersécurité figurent également :
– Bug bounty, mode d’emploi
– Le développement du Shadow-IT : risque ou opportunité ?
– Le ransomware : quelles solutions pour ces nouvelles menaces multiformes ?
– Droit et cybercriminalité : quelles évolutions pour une législation plus efficace ?
– Le véhicule autonome : comment sécuriser la conduite en toute sécurité
–  La blockchain : quelles applications concrètes pour une technologie prometteuse ?
– Smart City : big mother en puissance ?
–   La santé peut-elle être connectée en toute sécurité ?
– La maitrise de la sphère numérique individuelle, un nouveau défi pour les utilisateurs connectés
– Monde virtuel, monde réel, liaisons dangereuses ?
– Cyberdéfense : l’automatisation est-elle synonyme d’intelligence ?

FIC 2017 – Ouverture des inscriptions pour le prix de la PME innovante

En janvier dernier, 40 PME avaient concourues au Prix de la PME innovante qui vise à la fois à encourager la recherche et l’innovation dans le secteur de la cybersécurité et à valoriser les PME. Lors du FIC 2016, le Prix de la PME innovante avait été attribué à Cyber Test Systems et le Prix spécial du jury à TrustinSoft. Les inscriptions pour le Prix de la PME 2017, parrainé par Airbus Defence and Space sont ouvertes.

La Fondation Linux annonce le lancement d’une nouvelle formation online axée sur la sécurité à l’occasion des 25 ans de Linux

La Fondation Linux poursuit sa mission dans le domaine de la sécurité avec une nouvelle formation orientée vers le développement des logiciels open source.

La Fondation Linux, l’organisation à but non lucrative fomentant la gestion professionnelle de l’open source destinée à la collaboration de masse, a annoncé la disponibilité d’un nouveau cours de formation en ligne, Linux Security Fundamentals (LFS216). Ce cours en autoformation est une nouvelle preuve du dévouement de la Fondation Linux au renfort de la sécurisation d’Internet, des autres logiciels Linux et open source ainsi que des infrastructures informatiques.

« Le logiciel Open Source est présent presque partout sur Internet et il génère des milliards de dollars d’affaires, mais de nombreux projets manquent encore d’un processus de sécurité rigoureux, » affirme Nicko van Someren, directeur des techniques informatiques à la Fondation Linux. « Dès le premier jour, la formation professionnelle et universitaire joue un rôle clé dans la garantie d’un niveau élevé en matière de sécurité, de qualité et de fiabilité des projets open source. Qu’ils soient de type libre ou propriétaire, la sécurité des logiciels doit débuter le plus tôt possible si l’on tient à minimiser les risques. »

En plus de soutenir le développement de Linux et d’autres logiciels open source fondamentaux, la Fondation Linux a pris des mesures pour s’assurer que le logiciel dont elle contribue à la production est sécurisé et que les utilisateurs disposent de toutes les ressources dont ils ont besoin pour réussir. Ces efforts regroupent le Badges Program de la Core Infrastructure Initiative, dans le cadre duquel des projets open source tels qu’OpenStack peuvent mettre en avant un développement centré sur la sécurité. Avec Let’s Encrypt, la Fondation Linux et ses partenaires ont contribué à sécuriser plus de 5 millions de sites Internet et elle espère finalement atteindre un degré de sécurisation de 100% pour Internet à l’aide du HTTPS. Cette formation axée sur les compétences qui est chargée d’enseigner aux utilisateurs la manière dont ils peuvent maximiser la sécurité des systèmes s’inscrit comme un complément essentiel de ces initiatives.

Le cours d’Introduction à la sécurité sur Linux couvre les bases que tout professionnel de l’informatique travaillant avec Linux doit connaître. Il commence par un aperçu sur la sécurité informatique, puis évoque la manière dont la sécurité concerne l’ensemble des membres des chaînes de développement, d’implémentation, d’administration et d’utilisation finale.

Les sujets spécifiques couverts incluent notamment :
?     Évaluation des menaces et des risques
?     Audits et détection
?     Sécurité des applications
?     Vulnérabilités du noyau
?     Sécurité des systèmes locaux
?     Sécurité des réseaux
?     Déni de service (DoS)
?     Pare-feu et filtrage de paquets

LFS216 est conçu pour les personnes participant à des tâches liées à la sécurité à tous les niveaux. Les classes pratiques utilisent des applications virtuelles pour démontrer « ce qui se passe », plutôt que de se reposer sur des exercices de rédaction dans le but de configurer des serveurs complexes. À la fin du cours, les étudiants seront en mesure d’évaluer les besoins actuels en matière de sécurité, d’évaluer la préparation actuelle en matière de sécurité et de mettre en place les options de sécurité demandées. Ce cours est la deuxième offre de la Fondation Linux en matière de sécurité, la première étant le cours Linux Security (LFS416), dispensé par un formateur depuis 2013.

« Nous savons que la sécurité est une préoccupation pour toutes les organisations du domaine de l’informatique, c’est pourquoi la Fondation Linux organise des initiatives telles que la Core Infrastructure Initiative et Let’s Encrypt, visant à simplifier la protection des données et des systèmes sensibles, » affirme Clyde Seepersad, directeur général de la formation de la Fondation Linux. « Ces efforts importants ne peuvent cependant aller plus loin ; c’est pourquoi faciliter la formation professionnelle aux meilleures pratiques de sécurité du personnel à tous les niveaux demeure essentiel pour s’assurer que tous les systèmes restent stables et sécurisés. »

L’inscription à LFS216 est à présent disponible au tarif de 199 $. Dans le cadre du 25e anniversaire, les particuliers pourront acquérir jusqu’au 28 août une offre regroupant le nouveau cours Introduction à la sécurité sur Linux ainsi que LFS201 – Principes de base de l’administration système, LFS211 – Réseaux et administration de Linux et LFS265 – Introduction aux réseaux basés sur les logiciels pour seulement 250 $, soit une économie de 75 %. Cette offre apportera aux futurs administrateurs systèmes Linux toutes les connaissances dont ils ont besoin pour se lancer sur le terrain et elle les préparera à l’examen Sysadmin, certifié par la Fondation Linux.

Lutte anti-terrorisme et chiffrement : le Conseil national du numérique lance une réflexion à la rentrée 2016

Mardi 23 août, le ministre de l’Intérieur Bernard Cazeneuve a rencontré son homologue allemand pour soutenir une initiative européenne de lutte contre le terrorisme visant à limiter le chiffrement. En réaction, le Conseil national du numérique (CNNum) souhaite instruire les implications politiques, sociales et économiques d’une limitation du chiffrement. Le Conseil se saisira de cette question à la rentrée pour apporter sa contribution au débat.

A l’initiative du Président du CNNum Mounir MAHJOUBI, plusieurs membres du Conseil et experts extérieurs (dont Isabelle FALQUE-PIERROTIN – Présidente de la CNIL, Gilles BABINET – Digital Champion de la France auprès de l’Union européenne et Tristan NITOT – Fondateur de Mozilla Europe et Chief Product Officer de Cozy Cloud) se sont exprimés en faveur du chiffrement dans une tribune publiée dans “Le Monde” le 22 août. Ils alertent le gouvernement français sur les conséquences graves et non anticipées d’une limitation du chiffrement ou d’une généralisation des portes dérobées (backdoors). De telles mesures auraient pour conséquence d’affaiblir la sécurité des systèmes d’information dans leur ensemble” en ouvrant des failles de sécurité utilisables par tous, à des fins légitimes ou mal-intentionnées. De plus, elles auraient “une efficacité toute relative sur l’infime minorité d’utilisateurs ciblés”.

Accusé de faciliter la propagande et la préparation d’actes terroristes, le chiffrement est avant tout utilisé par les citoyens, entreprises et pouvoirs publics pour protéger des communications ou transactions. Il consiste à protéger des données en les rendant illisibles de l’extérieur et déverrouillables par une clé.

Mounir MAHJOUBI, Président du CNNum, résume ainsi les enjeux : “Il n’est pas question de nier les enjeux de sécurité et l’urgence d’agir. Le chiffrement peut être utilisé par des terroristes mais il constitue surtout un élément essentiel de notre sécurité en ligne et, partant, de celle de notre pays.

Afin d’apporter à ce débat un éclairage à la hauteur des enjeux liés au chiffrement, le Conseil national du numérique prévoit donc de lancer dès la rentrée des travaux dédiés à ce sujet, notamment sur les règles de coopération judiciaire internationale et la généralisation d’une culture du chiffrement.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile