Cyber-attaque, Piratage

Une multiplication des cyber-attaques pour les fêtes de fin d’année ?

Des experts révèlent une vague soutenue de sites de phishing utilisant la marque Apple et une recrudescence des malware ciblant les services de banque en ligne. Alors que les fêtes de fin d’année approchent à grands pas, le rapport de sécurité de Trend Micro pour le troisième trimestre 2013 révèle une prolifération inquiétante de sites de phishing visant iOS, ainsi qu’une forte augmentation du nombre de malware ciblant les services de banque en ligne. Des découvertes qui appellent les consommateurs à davantage de prudence au cours de cette période de fêtes souvent synonyme de shopping intensif, afin de protéger leurs données personnelles et financières contre d’éventuels piratages.

« Les consommateurs étant de plus en plus attirés par l’aspect pratique des banques en ligne, les cybercriminels conçoivent de nouveaux outils à un rythme effréné afin de tirer profit du manque de vigilance ambiant », explique JD Sherry à DataSecurityBreach.fr, Vice-President of Technology and Solutions chez Trend Micro. « Par ailleurs, si Apple a toujours été perçu comme un gage de sécurité face aux menaces, nos dernières découvertes montrent que les campagnes de phishing ciblant iOS continuent de se multiplier, mettant en péril les données personnelles des utilisateurs. Ces deux tendances augurent une potentielle explosion du nombre d‘attaques pour cette fin d’année, notamment parce que le mobile sera un élément clé des achats de Noël, tant pour les commerçants que pour les consommateurs. »

Après le pic constaté au second trimestre (5 800 en mai), le nombre de sites de phishing utilisant la marque Apple est resté stable sur le troisième trimestre, avec 4 100 sites identifiés en juillet, 1 900 en août et 2 500 en septembre. L’inquiétude est cependant d’actualité pour le quatrième trimestre, les analystes tablant sur la vente de 31 millions d’iPhones et de 15 millions d’iPads sur cette période.

Les chercheurs de Trend Micro ont également identifié plus de 200 000 infections par des malware ciblant les services de banque en ligne sur le troisième trimestre. Trois pays ont été pris plus particulièrement pour cible : les Etats-Unis qui représentent près du quart (23%) de l’ensemble des infections dans le monde, suivis par le Brésil (16 %) et le Japon (12 %). L’Allemagne et la France, les pays les plus touchés en Europe, ne représentent chacun que 3 % des infections. Ce chiffre bas est sans doute le résultat des hauts niveaux d’exigence en termes d’authentification à facteurs multiples pour les transactions bancaires dans la région. A noter également que les cybercriminels font appel à des techniques d’obfuscation* de plus en plus sophistiquées. Les chercheurs ont ainsi identifié des routines visant à bloquer les debuggueurs et à empêcher toute analyse dans le cheval de Troie KINS.

Cyber-attaque, Cybersécurité, Mise à jour, Patch

Une étude révèle l’augmentation fulgurante des attaques via Java sur les 12 derniers mois

Le nombre d’attaques exploitant des failles Java entre septembre 2012 et août 2013 a atteint 14,1 millions, un chiffre supérieur d’un tiers à celui observé au cours de la même période en 2011-2012, selon l’étude Kaspersky Lab Java under attack – the evolution of exploits in 2012-2013. 1 210 000 sources d’attaques distinctes ont été identifiées dans 95 pays.

Les « Exploits » sont des programmes malveillants conçus pour tirer parti des vulnérabilités des logiciels légitimes et pénétrer dans les ordinateurs des utilisateurs. Leur nature furtive les rend d’autant plus dangereuses. Lorsqu’un ordinateur utilise des versions vulnérables de logiciels, il suffit de visite une page Web infectée ou d’ouvrir un fichier contenant du code malveillant pour déclencher l’infection. Les cibles les plus fréquemment attaquées sont Oracle Java, Adobe Flash Player et Adobe Reader. L’étude de Kaspersky Lab indique, l’an passé, Java est devenu la cible privilégiée des cybercriminels.

L’étude s’appuie sur des données recueillies auprès d’utilisateurs de produits Kaspersky à travers le monde ayant accepté de fournir des informations au réseau Kaspersky Security Network. Parmi les 14,1 millions d’attaques détectées qui exploitent des failles Java, la plupart d’entre elles l’ont été au cours des six derniers mois de la période étudiée, soit plus de 8,54 millions d’attaques entre mars et août 2013, un chiffre en hausse de 52,7% par rapport au semestre précédent.

Pour les particuliers, l’installation des dernières mises à jour des logiciels constitue rarement une priorité, ce qui fait le jeu des cybercriminels. Selon l’étude, la majorité des utilisateurs continuent de travailler avec une version vulnérable de Java pendant six semaines après la diffusion d’une mise à jour. Environ 50% de l’ensemble des attaques ont exploité au maximum six familles de vulnérabilités Java.

Environ 80% des utilisateurs attaqués se trouvent dans 10 pays, au premier rang desquels arrivent les Etats-Unis, la Russie et l’Allemagne. En l’espace de 12 mois, les produits de Kaspersky Lab ont protégé plus de 3,75 millions d’utilisateurs dans le monde contre des attaques Java. Le Canada, les Etats-Unis, l’Allemagne et le Brésil ont connu les plus fortes progressions du nombre d’attaques. En un an, chaque utilisateur a été confronté en moyenne à 3,72 attaques. Cette moyenne est passée de 3,29, entre septembre 2012 et février 2013, à 4,15 entre mars et août 2013, soit une augmentation de 26,1%.

Le nombre élevé d’attaques exploitant des failles Java n’est guère surprenant : au cours des 12 mois sur lesquels a porté l’étude de Kaspersky Lab, 161 vulnérabilités de ce type ont été identifiées. En comparaison, de septembre 2011 à août 2012, ce sont 51 d’entre elles qui avaient été rendues publiques. Six des nouvelles failles repérées ont été qualifiées de critiques, c’est-à-dire très dangereuses. Or ces six vulnérabilités ont été les plus activement utilisées dans les attaques lancées par des cybercriminels.

« Java est victime de son succès », commente à DataSecurityBreach.fr Vyacheslav Zakorzhevsky, chef du groupe d’étude des vulnérabilités chez Kaspersky Lab. « Les cybercriminels savent qu’ils ont tout intérêt à concentrer leurs efforts sur la recherche d’une faille dans Java afin de pouvoir s’attaquer à des millions d’ordinateurs simultanément, plutôt que d’exploiter des vulnérabilités dans des logiciels moins répandus, ne leur permettant d’infecter qu’un nombre restreint de machines. »

Nous vous indiquions, il y a peu, comment de fausses alertes java étaient diffusées, sur Internet. Une méthode radicale pour piéger les internautes.

Justice, Logiciels

Technologie Google anti pédophile

Pour éviter de voir apparaitre des sites et photos à caractère pédopornographiques, Google vient d’annoncer la mise en ligne d’une nouvelle technologie permettant de bloquer certaines demandes des internautes par le biais de son moteur de recherche. 200 informaticiens maisons se sont penchés sur le projet. Le géant américain indique qu’il sera plus compliqué, pour les pays anglophones, de retrouver des documents illicites sur son internet. Eric Schmidt, le CEO de Google, indique dans le journal britannique Daily Mail que son groupe a déjà pu « épurer les résultats de plus de 100.000 commandes de recherche liées à l’abus sexuel d’enfants. » L’algorithme sera étendu, dans les mois à venir à l’ensemble du globe.

Pendant ce temps en Espagne, des chercheurs de l’université de Deusto Bilbao, dirigés par le Docteur Pablo García Bringas ont annoncé la création d’un nouveau bot, un robot, dédié aux discussions sur les forums et autres chats IRC. Si l’outil n’a rien de nouveau, il en existe des centaines sur la toile, Negobot (son nom, Ndr zataz.com) est capable de tenir une discussion sur la longueur. L’idée, permettre de traquer les pédophiles sur la toile. C’est en collaboration avec une association locale que les chercheurs ont réalisé l’outil en ligne. L’ONG « Protége les » a offert des milliers de pages de discussions d’internautes diffuseurs, revendeurs ou acheteurs de documents à caractères pédophiles. Bilan, la lolita virtuelle, qui peut aussi se faire passer pour un garçon, répond aux questions, participe aux propos, faits des fautes, et serait capable de feindre l’embarras au moment d’échange intime. Negobot dispose de 7 phases d’actions. L’algorithme exploité est capable d’identifier le niveau d’“obscénité” de la discussion.

Les outils se multiplient, il y a quelques semaines, une autre association présentait son avatar 3D baptisé Sweeties. Robot représentant une petite fille de 10 ans, capable de piéger 20.000 internautes pédophiles et permis d’en tracer un millier.

Chiffrement, cryptage, Entreprise, Espionnae, Fuite de données

Les services secrets britanniques font dans le phishing

2 commentaires

Quoi de plus sympathique qu’un bon gros phishing pour mettre la main sur les données privées et sensibles d’une cible. Les services secrets de sa gracieuse majesté britannique, le British Intelligence Agency GCHQ (Government Communications Headquarters) aurait utilisé de fausses pages du portail professionnel communautaire Linkedin pour mettre la main sur des données ciblées.

Une information que le magazine allemand Der Spiegel a révélé après l’analyse de documents secrets du GCHQ que l’ancien « analyste » Edward Snowden aurait volé. La première attaque connue visait le gouvernement belge et Belgacom, l’opérateur de télécommunication. Une fois le visiteur piégé par la fausse page Linkedin, un logiciel espion s’installait dans l’ordinateur des cibles de la GCHQ. L’objectif aurait été d’accéder au système de routeur GRX exploité par BICS pour intercepter le trafic téléphonique.

C’est quand même dingue de voir comment ces services secrets peuvent être bavards, dans leurs bureaux ; Ca n’étonne personne de savoir qu’un simple analyse « du privé » puisse accèder à autant d’informations variées !

En attendant, pour répondre aux écoutes probables de la NSA du trafic data de Yahoo! et Google, les deux géants de l’Internet viennent d’annoncer qu’ils allaient protéger leurs données internes. La CEO de Yahoo!, Marissa Mayer, a indiqué que les connexions de son groupe seraient désormais chiffrées.

Cyber-attaque, escroquerie, Espionnae, Virus

Propagation d’un trojan bancaire via Skype

3 commentaires

Le pic de ces envois a été enregistré dans la première moitié de novembre 2013. BackDoor.Caphaw est capable de voler les identifiants d’accès aux comptes en ligne et d’autres données sensibles stockées sur la machine infectée. Il exploite les vulnérabilités des navigateurs (par exemple les packages d’exploits BlackHole), et se copie sur les supports amovibles et réseau.

Depuis la deuxième quinzaine d’octobre 2013, les attaquants utilisent Skype pour distribuer le Trojan BackDoor.Caphaw. Le pic de la propagation, selon DrWeb, a été enregistré entre le 5 et 14 novembre 2013. Les attaquants envoient des messages via Skype en utilisant les comptes des utilisateurs déjà infectés. Les messages incluent un lien vers une archive portant le nom invoice_XXXXX.pdf.exe.zip (où XXXXX est un ensemble aléatoire de chiffres). L’archive contient le fichier exécutable du Trojan BackDoor.Caphaw.

Après son lancement, le Trojan sauvegarde sa copie dans un dossier d’application comme un fichier, avec un nom aléatoire, et modifie la clé du Registre chargée du lancement automatique des applications. Afin de faire face aux tentatives d’être étudié, ce Trojan possède un mécanisme de détection de lancement sur une machine virtuelle.

Suite à son installation, le Trojan BackDoor.Caphaw essaie de s’intégrer dans les processus en cours et de se connecter à un serveur des attaquants. Ce Trojan surveille l’activité de l’utilisateur et détecte les connexions aux banques en ligne. Dans ce cas, BackDoor.Caphaw peut injecter du contenu malveillant et intercepter les données entrées dans différents formulaires.

Une autre de ses fonctions est l’utilisation de la caméra et l’enregistrement, sur la machine infectée, de vidéos en streaming, afin de le transmettre au serveur des attaquants sous la forme d’une archive RAR. En outre le BackDoor.Caphaw peut télécharger depuis le serveur distant des composants additionnels et les lancer. Par exemple, des modules pour rechercher et transmettre aux attaquants les mots de passe des clients FTP ou créer un serveur VNC. Il existe également un module MBR bootkit, capable d’infecter des secteurs d’amorçage etc. Enfin, il existe un module pour l’envoi automatique de liens malveillants via Skype. Les utilisateurs doivent rester prudents et éviter de cliquer sur les liens reçus dans les messages via Skype, même si ces messages proviennent de leurs connaissances, car leurs ordinateurs peuvent être déjà infectés par le BackDoor.Caphaw.

 

Argent, Arnaque, Cyber-attaque, Entreprise, pourriel, spam

Débandade numérique : du viagra dans le site de La Poste

« Fitness, netteté de l’objectif, une considération attentive de con de la question de l’échelle ainsi que la beauté et de l’art et de l’unité coupons » c’est par ces quelques mots que la page 10386, mais aussi des centaines d’autres, de l’espace « Courrier International » du site officiel de La Poste (laposte.fr) s’ouvre aux regards des internautes étonnés par ce charabia bien loin de l’univers de la société Française.

Derrière le lien « Suivre vos envois« , un pirate informatique spécialisé dans la diffusion de publicités illicites vantant, la plupart du temps, les médicaments contrefaits. Dans le cas de Laposte.fr, du viagra, la petite pilule bleue qui fait rougir maman et durcir papa… ou le contraire ! La rédaction de Data Security Breach a recensé plusieurs centaines de fausses pages. Ici, une injection d’un texte n’ayant ni queue, ni tête, sauf quelques lignes exploitant des mots clés que les moteurs de recherche, Google en tête, reprendront sans sourciller. Aucun blocage des moteurs de recherche, d’autant plus que les phrases sont diffusées par un site très sérieux. Google and Co n’y voient que du feu. Les pages ranks des sites pirates, et donc leur visibilité, sera plus forte encore grâce à des alliés ainsi manipulés.

Bref, si les mots « viagra acheter » ; « viagra au meilleur prix » ou encore « achat viagra le moins cher online viagra prescription » apparaissent dans vos sites, inquiétez-vous. Vous servez de rebond à des vendeurs de contrefaçons de médicaments.

Un piratage qui pourrait faire sourire, sauf que l’injection n’installe pas qu’une seule page. Chaque phrase dirige l’internaute vers d’autres pages « La Poste », avec autant de nouvelles phrases et des villes comme Lyon, Montpellier, … Finalité pour le pirate, plus le site comportera ses « liens » malveillants, plus il sera aperçu, ensuite, par les moteurs de recherche, donc les internautes potentiels acheteurs. Il suffit de taper « Viagra » et « Laposte » pour comprendre l’épineux problème. Les liens proposés par les moteurs de recherche dirigent, dans un premier temps vers le site de Laposte.fr, pour être ensuite redirigé dans la foulée, sur les pharmacies illicites.

D’après les informations de zataz.com, l’injection a pu être possible via une vulnérabilité dans un CMS. En attendant, Google a intercepté, au moment de l’écriture de notre article, une dizaine de page… par mots clés. DataSecurityBreach est passé par le protocole d’alerte de son grand frêre pour alerter le CERT La Poste [HaideD 2668]. (Merci à @Stoff33)

Mise à jour : La Poste aura été totalement transparente au sujet de cette attaque informatique. Le CERT La Poste revient sur les actions menées et comment le pirate a pu agir : « Le site piraté est l’ancien site du courrier international (www.laposte.fr/courrierinternational ) que nous allions désactiver la semaine prochaine, explique le CERT La Poste à DataSecurityBreach.fr. Nous avons migré et réorganisé ses contenus sur le portail laposte.fr. Les contenus du courrier international sont aujourd’hui consultables sur http://www.laposte.fr/Entreprise/Courrier-international/. Nous réintégrons sur laposte.fr les contenus qui étaient disponibles sur d’autres sites. Cet exemple s’inscrit dans cette démarche. Les pirates ont apparemment réussi à rentrer par une faille du CMS Typo3 de l’ancien site web. Actuellement, l’ancien site est désactivé (pages incriminées inaccessibles) et tous ses fichiers sont archivés pour analyse dès demain matin.Nous activons notre réseau de correspondants chez Google pour demander un retrait des résultats de recherche (et du cache Google associé) le plus rapidement possible. » Un exemple qui démontre que les anciens CMS, qui ne sont plus exploités, ne doivent pas rester sur un serveur ; et que les mises à jour sont indispensables dans le cas contraire.

 

 

 

Chiffrement, Cyber-attaque, Entreprise, Fuite de données, Leak, Paiement en ligne

Loyalty build piraté : 1,2 million d’internautes concernés

3 commentaires

Les bases de données, le nouveau jouet pour les pirates informatiques. Après ADOBE [lire], après MacRumors (860.000 comptes, ndr), voici le tour du site Loyalty build a se retrouver confronté à un vol de données numériques. Ce portail est spécialisé dans la fidélisation de clients pour de grandes enseignes comme AXA Irlande.

Loyalty build vient d’annoncer le passage d’un pirate dans ses entrailles numériques. Bilan, 1,2 millions d’inscrits se retrouvent avec leur vie privée dans les mains d’un inconnu. Emails, adresses physiques, numéros de téléphone. Pour 376.000 personnes, des suisses ou belges, les données bancaires sont à rajouter à la liste des données volées. Des informations financières… non chiffrées, ce qui est illégal en Europe.

Loyalbuild propose un système de fidélisation de clienteles. Voilà qui risque de lui faire mal ! Les entreprises affiliées viennent de fermer leur espace « Loyalbuild » afin de protéger leurs propres clients.

Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch

Faille critique corrigée pour OpenSSH

Un commentaire

L’excellent outil OpenSSH permet de chiffrer les communications sur Internet. Une faille critique vient d’être corrigée. Sortez la rustine, la colle et votre plus beau sourire. OpenSSH, un outil qui offre la possibilité de chiffrer vos communications sur Internet, via le protocole SSH, vient de corriger une vulnérabilité considérée comme critique. « Une corruption de mémoire existe dans le processus de sshd post-authentification lors d’un chiffrement AES-GCM (AES128-GCM @ openssh.com ou aes256-gcm@openssh.com) » indique OpenSSH.

Si elle est exploitée, cette vulnérabilité pourrait permettre l’exécution de code avec les privilèges de l’utilisateur authentifié. La vulnérabilité a été identifiée par un développeur d’OpenSSH, Mark Friedl, le 7 Novembre.

Le correctif a immédiatement été mis en ligne. L’erreur est fixé dans OpenSSH version 6.4. Pour ceux qui veulent rester sous OpenSSH 6.2 et 6.3, des rustines sont disponibles.

Android, Sécurité, Smartphone

Android KitKat a des progrès à faire en matière de sécurité

Cinq spécifications qui permettraient à la version Android 4.4 de mieux protéger ses utilisateurs contre les malwares. Face à un nombre toujours croissant de menaces spécifiquement conçues pour les appareils mobiles, les laboratoires Bitdefender ont étudié la dernière version du système d’exploitation Android (4.4) afin d’identifier les spécifications manquantes en matière de sécurité et de protection des utilisateurs.

Bitdefender a ainsi listé 5 spécifications dont devrait disposer Android 4.4 pour assurer une meilleure protection des utilisateurs et permettre également aux éditeurs d’antivirus de lutter plus efficacement contre les malwares.

Android est aujourd’hui le 1er OS mobile avec plus de 900 millions d’appareils dans le monde, et donc une cible privilégiée des cybercriminels. Malgré les importantes modifications apportées à sa version Jelly Bean 4.3, le prochain système baptisé KitKat a cependant des progrès à faire en matière de sécurité :

1- Une API d’analyse antivirus
Par défaut, Android n’autorise pas les applications à interagir les unes avec les autres, sauf si l’application partage un identifiant utilisateur et est signée numériquement par le même développeur. Cela pose un problème aux développeurs antivirus qui ne peuvent pas analyser correctement les autres applications installées, à moins que le téléphone ne soit rooté.
Une API d’analyse antivirus permettrait aux éditeurs de mieux intégrer leur solution de sécurité au système d’exploitation et garantirait ainsi à l’utilisateur que toutes les applications soient analysées convenablement.

2- Un contrôle individuel des permissions des applications
Celui-ci permettrait à un utilisateur d’accepter ou de refuser des autorisations spécifiques à une application. Il semble que Google travaille dans ce sens puisque la version Android 4.3 dispose d’un menu caché qui permet de gérer de façon précise certaines autorisations avant d’installer l’APK.

3- Des applications de sécurité intégrées
La possibilité de disposer d’applications clés de sécurité et de protection des données, telles qu’un outil antivol, directement intégrées dans son appareil permettrait de parer à la suppression des données et à la restauration des paramètres d’usine.
En effet, lorsqu’un appareil est perdu ou dérobé par un tiers, il est d’usage que le voleur efface complètement les données utilisateur à l’aide du mode de restauration intégré, ce qui supprime entre autres les applications de sécurité et les outils antivol et par conséquent ne permet plus au propriétaire de contrôler son appareil à distance et d’activer la géolocalisation de l’appareil.

4- Une sandbox intégrée pour isoler les applications suspectes
Lorsque l’utilisateur installe une application à partir d’une source non fiable, comme des ‘market-places’ alternatives ou directement de développeurs, il faudrait qu’il ait la possibilité de l’exécuter dans une sandbox (bac-à-sable) et ainsi surveiller les éventuelles fuites d’informations ou les activités coûteuses (telles que l’envoi ou la réception de SMS premium).

5- Des profils selon les usages : Professionnel / Loisirs
La configuration de 2 profils pour un utilisateur sur un appareil unique : d’une part un profil Professionnel pour consulter les données liées à son entreprise, et d’autre part un profil Loisirs avec les applications personnelles, répondrait parfaitement au manque de politique de sécurité encadrant le BYOD qui permet aux salariés d’accéder aux données confidentielles de l’entreprise via leurs appareils personnels.

Selon le dernier rapport sur l’évolution des malwares Android publié par Bitdefender, les techniques utilisées par les menaces sur mobiles se rapprochent de plus en plus de celles utilisées sur PC, à l’exemple du malware bancaire Zeus qui s’est répandu sous l’appellation ZitMo dans sa version mobile. La sécurité mobile sur Android n’est plus facultative mais obligatoire. Plusieurs initiatives, plus ou moins pertinentes, vont dans le sens d’apporter plus de sécurité aux utilisateurs d’appareils mobiles à l’instar de Firefox OS de Mozilla, Knox de Samsung, Ubuntu for Touch de Canonical ou encore le projet DAVFI.

Chiffrement, Cyber-attaque, Entreprise, Fuite de données, ID, Leak, Vie privée

Près de 2 millions de mots de passe 123456 pour des clients ADOBE

3 commentaires

Après le piratage de 38 millions de clients de l’éditeur ADOBE, une étude montre que les mots de passe des piratés sont aussi ridicules qu’inutiles. A se demander si le piratage de 38 millions de clients ADOBE n’est pas un moyen de communiquer auprès des clients et entreprises utilisatrices des produits de l’éditeur de Photoshop, Adobe Acrobat, ColdFusion. Des chercheurs, qui ont été mettre la main sur les données diffusées sur un forum russe, ont analysé les mots de passe volés à ADOBE. Des précieux appartenant donc à ses clients.

Jeremi Gosney, chercheur chez Stricture Consulting Group révèle une liste des 100 mots de passe les plus utilisés. Autant dire qu’il y a des claques qui se perdent : 1,9 million de comptes utilisaient comme sésame : 123456 ; plus de 400 000 : 123456789. On vous passe les mots de passe « password« , « 12345678 » ou encore « adobe123« . Bref, avec de telle sécurité pas besoin de voler une base de données ! (Developpez)

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile