Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Virus

Un antivirus collaboratif Made in France à 3€

La société d’édition AxBx annonce la sortie de la version « C.E » de son antivirus VirusKeeper. VirusKeeper C.E (C.E pour Collaborative Edition) est un antivirus complet dont la licence est d’un genre nouveau.

La Collaborative Edition de VirusKeeper propose une licence de la version complète de l’antivirus en échange d’une collaboration des utilisateurs à l’amélioration du produit et d’un coût de licence réduit au minimum. La licence VirusKeeper C.E est en effet proposée au tarif de 3 € soit près de 10 fois moins cher que le coût d’une licence antivirus habituelle.

Ce nouveau type de licence répond aux besoins des utilisateurs qui avaient le choix entre les antivirus commerciaux dont le coût annuel varient de 30 à 60 € et des antivirus gratuits mais limités ou bridés qui s’avèrent décevants et insuffisants. « Nous avions régulièrement des demandes de la part des étudiants et des seniors qui souhaitaient acquérir notre antivirus VirusKeeper mais dont le budget ne le permettait pas. D’autre part, des utilisateurs nous proposent leur aide pour enrichir notre produit. Nous avons donc réfléchi à une nouvelle approche « gagnant/gagnant » où l’utilisateur pourrait disposer d’un antivirus de haut niveau en version complète sans limitation à des conditions accessibles à tous et nous faire part de ses retours pour améliorer encore le produit. » explique à DataSecurityBreach.fr Grégory SNAUWAERT, Dirigeant-fondateur d’AxBx.

Autre nouveauté, l’utilisateur peut régler sa licence par SMS ou d’un simple appel téléphonique ! Les moyens classiques (CB, PayPal) sont également supportés. Rappelons que VirusKeeper est le seul antivirus français. Il repose sur un moteur d’analyse comportementale exclusif qui lui permet de détecter les malwares connus ou non. L’analyse comportementale présente également l’énorme avantage de consommer très peu de ressources contrairement aux technologies de type scanner. Ainsi VirusKeeper consomme très peu de mémoire et ne ralentit pas l’ordinateur.

A noter que l’outil propose un gestionnaire de cookies (possible d’effacer les fichiers, NDR) ou encore le très pratique module Vikee qui analyse les programmes installés sur votre système et contrôle que les mises à jours critiques de sécurité ont bien été installées.

Cybersécurité, DDoS, Entreprise, Fuite de données, Piratage, Propriété Industrielle

DDoS : diversion et intox

Pour des objectifs souvent très différents, de courtes attaques DDoS jouent un rôle de profilers réseau. Observant la stratégie de défense et de sécurité du réseau de leur cible, les DDoS – éclaireurs collectent des renseignements qui permettront à des attaques ciblées complexes et sophistiquées de contourner les outils de cyber-sécurité de l’entreprise visée. DDoS et APT, même combat.

Le paysage des menaces DDoS change. Historiquement, DDoS (distributed denial of service attack) était le nom donné aux attaques qui bloquaient ou ralentissaient l’accès aux sites web ou aux solutions basées sur le web. Bien que ce soit encore vrai dans bien des cas, les entreprises subissent
aujourd’hui un nouveau type d’attaque par DDoS. Celles-ci sont désormais opportunistes (i.e. les attaques qui ont suivi les événements de janvier 2015 en France) et ciblées. Les motivations sous-jacentes sont multiples : cyber-terrorisme, politique et idéologie, fraude, rançon, appât du gain, exfiltration de données et même avantage compétitif… Avec autant d’intérêts en jeu, les attaques sont nombreuses et la menace croît.Par exemple, au dernier trimestre 2014, Corero Network Security a observé que ses clients, hébergeurs, data centers, FAI et entreprises en ligne, tous professionnels expérimentés, ont subi en moyenne près de 4 tentatives journalières d’attaques par DDoS ! En particulier, un seul et même client, dans un environnement de multi-data center, a supporté 12 attaques/jour, en moyenne, pendant trois mois.

Les fournisseurs de mitigation des DDoS publient aussi des informations à ce sujet, bien sûr axées sur le cloud. Très intéressants en ce qui concerne les attaques DDoS à grande échelle, ces rapports ne parlent cependant que d’une fraction du trafic DDoS auquel chaque entreprise doit faire face
quotidiennement.

Les nouvelles attaques DDoS risquent de passer inaperçues ! Mais le mal est fait

Les attaques DDoS font régulièrement la une des journaux. La majorité des non-spécialistes pensent qu’il n’existe qu’un seul type d’attaque par DDoS. Pour eux, DDoS est synonyme de volume important et de longue durée. C’est malheureusement faux. Certaines attaques dont ont été victimes les hébergeurs, les data centers, les FAI et les entreprises en ligne évoqués dans notre propos, ont duré moins de cinq minutes et 96% d’entre elles ont été inférieures à 30 minutes ! Ce qui remet en cause ce que l’on savait sur le sujet. De toute évidence, cette nouvelle tendance constitue un changement radical. Nous avons désormais affaire à de courtes explosions de trafic et de moins en moins à des attaques prolongées. Une seconde tendance est synonyme de plus grand danger encore. Nous assistons actuellement à des attaques par saturation partielle des liaisons et non plus par inondation totale du réseau. Si l’on se réfère à l’exemple des clients de Corero, 87% des tentatives d’attaques utilisaient moins de 1 Gbps de bande passante. L’attaque est conçue pour laisser suffisamment de bande passante disponible pour d’autres attaques qui sont très sophistiquées et multi-vectorielles avec comme objectif principal l’exfiltration de données. C’est une méthode furtive où l’on vole sous la couverture radar. Si ce type d’attaque DDoS n’est pas atténué ou bloqué au niveau du réseau, il peut ne pas être remarqué par les solutions de sécurité traditionnelles et passer complètement inaperçu. L’attaque DDoS visible est en réalité un subterfuge, une intox qui masque la réalité : une autre attaque, discrète et dangereuse se prépare à partir des renseignements obtenus sur la stratégie de sécurité de la cible grâce à ce déni de service.

Des attaques DDoS multi-vectorielles et adaptables à leur cible

Les DDoS sont historiquement considérés comme des attaques volumétriques. Ce n’est pas surprenant. Les attaques avec une consommation élevée de la bande passante sont plus facilement identifiables par les solutions de défense sur site ou basées dans le cloud ou par la combinaison des deux. Mais les choses changent et les attaques s’affinent. La tendance qui se profile montre que les attaquants mettent en œuvre des méthodes multi-vecteur qui s’adaptent à leur cible afin de profiler la défense du réseau visé. Fort des renseignements obtenus, ils lancent ensuite une seconde voire une troisième attaque qui contournera les couches de protection de l’entreprise. Si les attaques volumétriques demeurent encore le type d’attaque le plus courant, les attaques adaptatives sont de nouvelles menaces dont il faut tenir compte et qui ciblent de plus en plus d’entreprises(1).

Quelle défense adopter ?

Les entreprises ont besoin de moyens de défense supplémentaires pour se prémunir contre un tel risque. A peine de courtes rafales de trafic illégitime sont-elles observées qu’il faut décider de la nécessité d’une intervention. Va-t-on basculer ou non vers le service anti-DDoS basé dans le Cloud ? Le temps de détection du trafic illégitime additionné au temps de lancement des mesures de mitigation peut durer plus d’une heure. Compte tenu, nous l’avons déjà dit, que 96% des attaques DDoS ont une durée de 30 minutes ou moins, le temps que la défense à la demande soit engagée, le mal est fait. De plus, ce n’est pas une surprise, le coût substantiel d’une approche de défense à la demande pour chaque attaque DDoS de courte durée à saturation partielle devient un vrai problème.

Défense anti-DDoS en temps réel

L’exécution précise de la politique de mitigation contre le trafic des attaques DDoS doit s’accomplir avec une efficacité maximum et conserver une haute disponibilité des réseaux. Sur site ou en ligne, la technologie est conçue pour gérer les différents types de DDoS en temps réel. Du fait de leur capacité en bande passante et de leur volume de clients, les attaques DDoS et les cyber-menaces constituent un important challenge pour les fournisseurs de service internet, particulièrement visés.

Les solutions en ligne de protection préventive contre les DDoS et les cyber-menaces permettent aux hébergeurs, aux data centers et aux FAI de répondre au défi des DDoS. Ils protègent non seulement leur infrastructure mais aussi celle de leurs clients des DDoS. Les fournisseurs des services internet peuvent ainsi étendre leur offre en proposant des services de sécurité à valeur ajoutée contre les menaces à leurs clients hébergés. Dans l’entreprise, une solution sur site de protection contre les DDoS devra être déployée en complément des pare-feu traditionnels ou de nouvelle génération, des IPS, des ADC et de tous les dispositifs de sécurité des infrastructures. Il est en effet indispensable d’empêcher que le trafic non désiré des attaques accède au réseau. Les risques sont alors réduits et les interruptions de service du site web à la suite d’une attaque DDoS diminuées. Les attaques par déni de service sont une réelle menace. Elles deviennent de plus en plus sophistiquées depuis quelques années. Les attaques deviennent multi-vectorielles et intelligents ; elles débordent les mécanismes traditionnels de défense et les contre-mesures. Comme l’expérience de certains fournisseurs l’indique, la régularité de la progression et de la virulence de ces attaques souligne simplement le besoin croissant d’une protection adaptée pour les vaincre à la périphérie du réseau. Tout le monde sur ce sujet est d’accord : rien n’est plus important que d’assurer la fluidité de l’accès à l’entreprise connectée à Internet ou aux fournisseurs d’accès Internet eux-mêmes. (Par Adrian Bisaz, Vice President Sales EMEA de Corero Network Security)

Le rapport trimestriel complet Tendances et analyse des DDoS.

Chiffrement, cryptage, cryptolocker, Cybersécurité, Entreprise, Logiciels, Mise à jour, Patch, ransomware

Attaque de masse de Locker, un nouveau ransomware mort né

Voilà qui reste étonnant. Un étudiant ayant mis en place une démonstration qui a mal tourné ? Le code malveillant Locker touche des centaines de machines. Son auteur s’excuse et diffuse de quoi se soigner ?

Il se nomme Poka BrightMinds. Derrière ce pseudonyme, l’auteur du ransomware V Locker. Depuis le 25 mai, ce microbe infecte et chiffre des milliers de données dans le monde. Une démonstration qui aurait mal tourné ? Son auteur vient de s’excuser en diffusant la base de données des clés publiques, privées et bitcoins employés par V Locker.

Dans la foulée, et avec la présence de ces données, un outil a été réalisé afin de déchiffrer les fichiers. Locker Unlocker va déchiffrer les fichiers infectés par « v Locker ». L’ensemble de la base de données des clés a été inclus dans l’outil. Bilan, le programme de Nathan Scott fait tout de même 70 Mo mais permet de sauver les contenus des disques durs piégés. Attention, cette version ne fonctionnera que pour les victimes qui connaissent leur adresse BitCoin. Une adresse donnée lors de l’attaque.

backdoor, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle

Trend Micro partage son expertise sur la cyber-sécurité dans le nucléaire

Trend Micro, leader mondial des solutions et logiciels de sécurité, participe en ce moment à l’International Conference on Computer Security in a Nuclear World: Expert Discussion and Exchange, la conférence Internationale sur la Sécurité Informatique dans le Monde Nucléaire.

L’Agence Internationale de l’Energie Atomique (AIEA), organise cette semaine à Vienne (jusqu’au 5 juin) un rendez-vous dédié à la sécurité des infrastructures nucléaires dans le monde. L’éditeur de solutions de sécurité informatique Trend Micro présente les bénéfices offerts par ses solutions (notamment Portable Security et SafeLock), ainsi que les avancées de ses dernières recherches dans le domaine des attaques ciblant les environnements industriels SCADA/ICS.

« Nous sommes particulièrement honorés d’avoir été conviés à cette conférence », commente Loïc Guézo, Security Evangelist, Director chez Trend Micro, référent AIEA au sein de société. « Trend Micro souhaite contribuer à la mission de l’AIEA et s’engager à ses côtés pour une utilisation sûre, sécurisée et pacifique de l’énergie nucléaire. Les conséquences d’une cyber-attaque contre une infrastructure nucléaire, par exemple, seraient potentiellement dévastatrices. Cet événement joue ainsi un rôle essentiel dans la protection de milliards d’êtres humains à travers le monde. »

Dans ce contexte, l’AIEA organise cette conférence en coopération avec Interpol, l’Union internationale des télécommunications (UIT), l’Institut interrégional de recherche des Nations unies sur la criminalité et la justice (UNICRI) et la Commission électrotechnique internationale (CEI). L’agence a ainsi souhaité rassembler les spécialistes du monde entier qui, à l’image de Trend Micro, apportent une expertise et des solutions concrètes aux questions très spécifiques des constructeurs et opérateurs du nucléaire. L’anticipation de problématiques à venir et la recherche de pistes pour intensifier la coopération internationale dans ce domaine seront également à l’ordre du jour.

Créée en 1957 par l’Assemblée générale des Nations Unies, l’AIEA a pour objectif d’encourager et de faciliter le développement de l’énergie atomique à des fins pacifiques, ainsi que la recherche dans ce domaine à l’échelle mondiale, notamment les problématiques de cyber-sécurité. L’organisation a pour objectif de fournir aux Etats des conseils et des ressources pour les aider à détecter et répondre aux cyber-attaques, criminelles ou intentionnelles, ciblant ou impliquant un matériau nucléaire, tout autre matériau radioactif, une infrastructure ou une activité afférente.

Cybersécurité, Leak, loi, Piratage

Le pirate d’un logiciel de simulation d’hélicoptère Apache plaide coupable

Austin Alcala, un diplômé de Fishers High School, vient de plaider coupable pour le piratage informatique de Microsoft, Epic Games, Valve, Activision ou encore Zombie Studios, des éditeurs de jeux vidéo. Il avait mis la main sur un logiciel de simulation d’hélicoptère Apache.

Nous vous révélions, en octobre 2014 dans l’article « De la XBOX one aux secrets de l’armée US, il n’y a qu’un pas » comment un étudiant américain avait mis la main sur les codes des jeux vidéo comme « Call of Duty: Modern Warfare 3 » ou « Gears of War 3« . Lui et plusieurs de ses amis, membres du groupe Xbox Underground (membre d’un groupe international baptisé Groupe XU), avaient été arrêtés en juin 2014 par le FBI pour le piratage de Microsoft. Il avait mis la main sur des informations sensibles concernant la « Durango », la nouvelle console de Microsoft connue aujourd’hui sous le nom de Xbox One.

Dans la liste des autres victimes du Xbox Underground, des éditeurs de jeux vidéo, dont Epic Games, Valve, Activision ou encore Zombie Studios, des éditeurs de jeux vidéo. Ce dernier a attiré les regards des services secrets américains. Zombie Studios propose un simulateur d’hélicoptère de combat (AH-64D Apache Simulator) pour l’armée de l’Oncle Sam. Austin Alcala, la tête pensante du groupe vient de plaider coupable. Les autres suspects, Nathan Leroux, David Pokora, et Sanadodeh Nesheiwat ont également plaidé coupable. Pokora a été condamné à 18 mois de prison fédérale, suivie de trois ans de liberté surveillée.

Leroux et Nesheiwat connaitront leur avenir le 11 Juin prochain. Alcala est accusé d’avoir occasionné pour 100 millions de dollars de dégâts/réparations/préjudices. Il connaitra la sentence, le 29 juillet prochain.

Cybersécurité, DDoS, Justice, loi, Piratage

Un lycéen risque 5 ans de prison pour DDoS

A 17 ans, un lycéen fait face à des accusations qui pourraient l’entrainer en prison. L’adolescent a payé un service pour lancer une attaque DDoS.

S’il fallait faire simple, le DDoS n’a rien d’un acte de piratage informatique. S’il fallait comparer, un pirate informatique va crocheter la serrure de votre porte de maison et réussir à ouvrir cette dernière en exploitant une faille technique et humaine. Le DDoS n’a rien de technique et ne demande pas le moindre « savoir-faire » de pirate informatique. L’utilisateur de DDoS ne sait pas crocheter la porte, bilan, il va recouvrir la porte de déchets, histoire d’empêcher que quelqu’un puisse sortir/entrée dans la maison.

Un adolescent de 17 ans a cru la jouer grand pirate informatique en employant cette méthode. Il va payer un service dédié pour paralyser le West Ada school district, un établissement de l’Idaho (États-Unis). Le jeune homme a été retrouvé et arrêté. Il risque aujourd’hui jusqu’à 5 ans de prison ferme (dont 180 jours dans un établissement pour adolescents, NDR).

Le blocage par ce Déni Distribué de Service a empêché des élèves d’étudier en ligne, d’accéder aux cours. Le corps professoral et le personnel ont eu des problèmes d’accès aux systèmes administratifs. En outre, la famille du lycéen est responsable des actes de l’adolescent. Autant dire que l’amende s’annonce salée. 50 écoles ont été perturbées par ce DDoS.

Aujourd’hui, acheter des attaques DDoS est aussi simple qu’un clic de souris comme l’a démontré, dernièrement, ZATAZ.COM.

Cybersécurité, Justice, loi

Chaque policier Néo-Zélandais formé à la cybersécurité

Voilà une initiative de la police Néo-Zélandaise qui mériterait de traverser mers et océans. Chaque nouveau policier fraichement sorti de l’école recevra une formation sur la cybersécurité.

Intéressante idée que celle proposée par le Ministère de l’Intérieur de Nouvelle Zélande. Chaque nouveau policier recevra une formation sur la cyber sécurité et la cyber délinquance. Une manière de faire rentrer les forces de l’ordre du pays, du « simple » policier aux forces spéciales, dans le monde 2.0 qui nous entoure.

Cybersécurité, Emploi, Entreprise, Fuite de données, loi, Social engineering, spam

La Banque d’Angleterre nous rappelle pourquoi il est important de vérifier les destinataires avant d’envoyer un courriel

Un courriel envoyé par la Banque d’Angleterre sur les méthodes pour ne pas répondre à la presse sur le désengagement européen du Royaume-Unis termine chez les mauvaises personnes.

La Banque d’Angleterre (The Bank of England) a diffusé un message interne expliquant à ses employés les bonnes méthodes pour communiquer un courrier électronique. « Chaque fois que vous envoyez un e-mail, vous devez vous assurer que vous l’envoyez à la bonne personne. Et ne pas oublier la double vérification juste avant de cliquer sur la touche envoyer« .

Un mode d’emploi rigolo surtout quand il s’agit d’un rappel à la suite d’une bourde interne. La banque a accidentellement envoyé un courriel qui contenait des informations vitales sur un projet qui indiquait les implications financières de la séparation du Royaume-Uni de l’Union européenne. Ce courriel était censé être envoyé à quatre cadres dirigeants de la banque. Raté, il s’est retrouvé dans la boite mails de personnes qui n’en demandaient pas tant ! Dans la missive, des méthodes pour éviter les questions de la presse. (BM)

backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

La Yemen Electronic Army diffuse des milliers de documents sensibles

DSB a pu constater des milliers de données volées.

La Yemeni Electronic Army vient de mettre une sacré pagaille dans l’informatique du Ministère des Affaires étrangères d’Arabie Saoudite. Des milliers de données diffusées, des centaines de machines bloquées.

La Yemeni Electronic Army (Yemen Cyber Army) n’a pas été de main morte, derrière ce groupe de pirates informatiques, de jeunes internautes passionnés d’informatiques et, malheureusement, manipulés dans des actions qui les dépassent. Le YEA a annoncé le pirate du Ministère des Affaires étrangères d’Arabie Saoudite (mofa.gov.sa). Plusieurs milliers d’informations sensibles, allant des visas, aux courriels internes des Ambassades du Royaume ont été mis en ligne sur plusieurs sites de téléchargement gratuits. Ils ne sont pas à leur premier coup. Ils ont piraté, dernièrement, un sous domaine du Ministère de l’Éducation Nationale d’Arabie Saoudite ssb.edu.sa.

Le Yemen Cyber Army  annonce avoir chiffré 3 000 ordinateurs, volé plus de 300Gb de données. Ils promettent autant d’informations pour le Ministère de l’Intérieur et le Ministère de la Défense. A noter que la source de l’information nous provient d’une agence de presse Iranienne qui n’a pas hésité à diffuser le lien de téléchargement des données piratées, volées et mis en ligne.

Ce groupe de pirates dispose d’un outil qu’ils cachent dans les serveurs infiltrés.

Le royaume d’Arabie Saoudite est une ciblé récurrente. Au mois d’août 2012, une des plus importantes compagnie pétrolière du monde, Saudi Arabian Oil Co était obligée de couper ses ordinateurs du web après la découverte d’un code malveillant dans ces derniers.

Cyber-attaque, Piratage, Virus

Forte croissance des programmes malveillants en 2014

Les analystes du G DATA SecurityLabs ont recensé près de 6 millions de nouveaux types de codes malveillants pour l’année 2014. Un record historique lié à une forte croissance des programmes potentiellement indésirables (PUP).

La catégorie spécifique des Trojan bancaires connaît aussi une forte activité : le nombre de détections a augmenté de 44,5% sur l’année. Une banque française fait son entrée dans le top 25 des établissements bancaires les plus ciblés.

 6 millions de nouveaux codes malveillants

Au second semestre 2014, 4,1 millions de programmes malveillants. Pour l’année entière, le total s’élève à 6 millions, soit une augmentation de près de 76 % comparé à l’année 2013 ! Les programmes potentiellement indésirables, notamment les adwares, sont une des principales raisons de cette croissance. Ils représentent 31,4% de l’ensemble des nouveaux types de programmes malveillants détectés au deuxième semestre 2014 alors qu’ils représentaient seulement 14,1 % au premier semestre de la même année.

L’e-banking encore très ciblé

Malgré des mesures techniques toujours plus poussées, les accès bancaires en ligne restent une cible privilégiée des cybercriminels. Le nombre d’attaques perpétrées par des Trojan bancaires a progressé de 44,5% sur l’année 2014. En analysant ces programmes malveillants, le G DATA SecurityLabs a pu établir le top 25 des sociétés les plus ciblées (ces programmes ne s’activant qu’à l’ouverture de la page Internet des instituts visés, il est possible d’en extraire les cibles). Les banques de pays anglophones représentent la grande majorité des cibles : les URL de leur site de banque en ligne sont présentes dans 72 % des fichiers de configuration des codes malveillants. Les utilisateurs francophones ne sont toutefois pas épargnés puisqu’une banque française fait son entrée à la 22e place du classement. (Le rapport)

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile