Tous les articles par Damien Bancal

Chiffrement, cryptage, Cybersécurité, Facebook, Fuite de données, Patch

Facebook : voler nom, mail et jeton de connexion

Deux chercheurs en sécurité informatique, evil_xorb et Michał Bentkowski, ont découvert une faille qui permettait de mettre la main sur le nom, le mail et le jeton de connexion d’un utilsateur de Facebook. Le bug partait du plugin FriendFeed. Après avoir cliqué sur le bouton « Enregistrer », une requête POST à ​​redirect_uri était délivrée. Cette requête contenait les données de l’utilisateur. Rien n’était chiffré. Nom, mail et le jeton d’accès accessibles. Une vulnérabilité sensible au Clickjacking. Le bug a été signalé à Facebook et a été corrigé assez rapidement. (Bentkowski)

Argent, Banque, Cybersécurité, Identité numérique, Paiement en ligne, Twitter

Faille pour Twitter : effacer les données bancaires

Un commentaire

Plusieurs failles permettent de faire disparaître les données bancaires enregistrées dans Twitter par les annonceurs publicitaires.

Twitter permet d’enregistrer des données bancaires dans la partie ads.twitter.com, le service publicitaire du gazouilleur 2.0. Un internaute, qui se fait appeler Security Geek, a découvert comment faire disparaître les données des cartes bleues sauvegardées dans Twitter Ads par les annonceurs. La vulnérabilité était très critique car il suffisait de posséder l’identifiant de la carte de crédit pour la supprimer. Un identifiant composé uniquement de 6 chiffres tels que « 098289 ». Il aurait suffit qu’un malveillant travaille sur un petit code en python, qui aurait utilisé une simple boucle sur 6 chiffres, pour supprimer les CB qui lui seraient passés sous la souris. Un moyen de calmer le chiffre d’affaire publicitaire de Twitter. « Le plus drôle est que la page de réponse, après la manipulation, affichait une erreur « 403 forbbiden », s’amuse l’inventeur de la faille, Ahmed Aboul-Elamais. La carte de crédit était réellement supprimée du compte« . Une seconde faille permettait de faire croire à Twitter la mauvaise utilisation d’une CB. Bilan, le piaf effacé la vraie CB du compte officiel qui l’employait.

Hacking

Protection contre les périphériques USB piégés

2 commentaires

Les codes malveillants qui ciblent les ordinateurs à la connexion d’une clé USB infectée existent depuis plusieurs années. Lors de la conférence Black Hat de Las Vegas, des chercheurs du Berlin Security Reaserch Labs (SRLabs) ont démontré une nouvelle méthode d’attaque. En modifiant le microprogramme (firmware) d’un périphérique USB, celui-ci peut prétendre être n’importe quel dispositif lors de sa connexion dans le système. Une clé USB en apparence anodine peut ainsi se connecter au système en tant que clavier et saisir des lignes de commande nocives. L’attaquant est alors en mesure de prendre le contrôle du système infecté. Les experts du G DATA SecurityLabs répondent à cette nouvelle menace en proposant gratuitement l’outil G DATA USB KEYBOARD GUARD.

La démonstration, lors de la conférence Black Hat, de cette méthode d’attaque met en lumière un nouveau type sérieux de menaces. « Si le firmware est réécrit, un périphérique USB peut se transformer en une source potentielle de danger. Dans le pire des cas, des virus USB pourraient être créés», explique Ralf Benzmueller, Directeur du G Data SecurityLabs. « Le moyen le plus efficace pour l’exécution d’une attaque consiste à usurper un clavier. Ainsi maquillé, le périphérique USB manipulé peut saisir des instructions dans une interface de commande telle que PowerShell par exemple. L’attaquant peut alors facilement prendre le contrôle de l’ordinateur. Les actions réelles de clavier n’étant pas analysées par les mécanismes de sécurité des solutions antivirus, l’attaque peut passer sous les radars de détection. »

Le contrôle des claviers comme première protection
G DATA a réagi et développé G DATA USB KEYBOARD GUARD. Il offre une protection contre la forme la plus probable de l’attaque en détectant les périphériques USB qui prétendraient être un clavier. La solution détecte l’apparition d’un nouveau clavier dans le système et en avertit l’utilisateur. Si à cet instant il n’est pas en train de connecter un clavier à son ordinateur, mais un autre dispositif USB, il sait alors que ce périphérique a été manipulé et peut alors en bloquer définitivement l’accès à l’aide de la solution G DATA.  « Le système d’exploitation est incapable de distinguer fausse et vraie saisie clavier. Avec G DATA USB KEYBOARD GUARD, nous offrons une protection efficace contre ce type d’attaque » conclut Ralf Benzmueller.

Cet outil gratuit est indépendant d’une solution de sécurité et compatible avec l’ensemble des antivirus.

Cybersécurité, Logiciels, Microsoft, Vie privée

Vidéo surveillance sans fil pour la Xbox de Microsoft

Lors de l’IFA, plus grand salon d’appareils électroniques grand public au monde, la société Smartvue Corporation a présenté un matériel assez étonnant pour la console de salon de Microsoft, la XBOX.

L’objet se nomme Homevue, une solution de vidéo surveillance dans le cloud conçue pour la boite verte du géant américain. Un système de caméra sans fil plug and play. Il enregistre des vidéos HD dans le cloud qui peuvent être visionnées directement à partir de la Xbox, ou à distance depuis n’importe quel ordinateur, smartphone ou tablette sans frais mensuels supplémentaires – même lorsque la Xbox est éteinte. « Les joueurs peuvent effectuer une partie tout en gardant un œil sur leur bébé endormi, ou en vérifiant qui est à la porte d’entrée » indique l’entreprise. Homevue sera disponible à partir du mois de janvier 2015. Il est possible de pré-commander via Kickstarter pour 99 $.

Emploi, Entreprise, Fuite de données, Paiement en ligne

Un escroc volait les CB des clients de l’entreprise qui l’employait

Un employé du service de recouvrement d’une importante société de crédit piratait les cartes de crédits des clients pour la jouer grand seigneur.

Normalement, une société de crédit propose des « aides » financières aux personnes qui ont besoin d’argent. Seulement, un employé d’une entreprise de Merignac, il officiait dans le service de recouvrement des impayés (Sic!) a trouvé malin de voler les coordonnées bancaires des clients qui n’en demandaient pas tant.

L’escroc a été tracé après avoir tenté d’acquérir un iPad sur Internet. C’est la société Secuvad qui a levé le lièvre. Il faut dire aussi que le « pirate » avait tenté d’utiliser plusieurs numéros de cartes bancaires pour le même achat. L’homme, âgé de 40 ans, a été arrêté par la police de la brigade financière de Bordeaux. Il a avoué plusieurs achats, via des CB interceptées à son travail.

Il avait acquis des téléphones et du matériel informatique. Il agissait depuis 2011. Il était déjà connu pour des faits similaires. L’entreprise spécialisée dans les solutions de financement compte 3 millions de clients. Le voleur en aurait volé un peu plus de 700. (Sud Ouest)

 

Arnaque, escroquerie, Facebook, Fuite de données, Identité numérique, Leak, Particuliers, Phishing, Vie privée

Cinq millions de comptes gMail piratés : Seulement ?

La semaine dernière, on nous refaisais le coup de la base de données « super » importante, piratée. Après le pseudo milliard de mots de passe qui n’étaient rien d’autre que l’accumulation de mails interceptés par des « piratins » à grand coups de phishing et attaque de BDD iSQL, voici venir une autre société qui met la main, dans un forum de black Market, sur une base de données de 5 millions de présumés clients gMail.

Google explique que ces comptes proviennent d’attaques de type filoutage. Un grand nombre des identifiants étaient sans danger car vieux, et les mots de passe changés depuis des lustres. N’empêche, cette accumulation rappelle que Google propose, comme Microsoft, Facebook, … la double authentification de son compte et que la protection est loin d’être négligeable. Vous pouvez découvrir le fonctionnement de ce genre de sécurité dans l’article dédié à la double authentification pour votre site web ou pour vos applications Internet.

A noter que la société Know’em propose de savoir si vous êtes victimes de cette « fuite » de 5 millions de comptes gMail en allant sur un espace web dédié : securityalert.knowem.com.

Cyber-attaque, Cybersécurité, Leak, Piratage, Virus

Epic Snake: la campagne de cyber-espionnage Turla se dévoile

L’opération « Epic » sert de phase de démarrage à la campagne d’infection Turla, qui comporte plusieurs étapes.

Turla, également connue sous le nom de Snake ou Uroburos, est l’une des campagnes de cyber-espionnage en cours les plus sophistiquées. Lorsque la première recherche sur Turla / Snake / Uroburos a été publiée, elle ne répondait pas à une question majeure : comment les victimes ont-elles été infectées ? Les dernières recherches de Kaspersky Lab sur cette opération révèlent qu’Epic est l’étape initiale du mécanisme d’infection de Turla.

Turla en quelques points :
Epic Turla / Tavdig : la phase initiale du mécanisme d’infection.
Cobra Carbon system / Pfinet (+ autres) : mises à niveau intermédiaires et plugins de communication.
Serpent / Uroburos : plate-forme de logiciels malveillants de haute qualité qui comprend un rootkit et des systèmes de fichiers virtuels.

Le projet « Epic » est utilisé depuis au moins 2012. Il a enregistré un pic d’activité en Janvier-Février 2014. Les cibles d’ « Epic » appartiennent aux catégories suivantes : entités gouvernementales (Ministères de l’Intérieur, Ministères du Commerce ou de l’industrie, Ministères des affaires étrangères / externes, les services de renseignement), les ambassades, les organisations militaires, les organisations de recherche et d’enseignement et les entreprises pharmaceutiques.

La plupart des victimes sont situées au Moyen-Orient et en Europe. Cependant, des victimes ont été identifiées dans d’autres régions, y compris les Etats-Unis. Au total, plusieurs centaines d’adresses IP de victimes réparties dans plus de 45 pays, la France arrivant en tête de liste.

L’attaque
Les chercheurs ont découvert que les attaquants derrière Epic Turla utilisent des exploits zero-day, de l’ingénierie sociale et des techniques de watering hole pour infecter les victimes. Par le passé, ils ont utilisé au moins deux exploits zero-day : l’un pour l’Elévation des Privilèges (EoP) dans Windows XP et Windows Server 2003 (CVE-2013-5065), qui permet au backdoor Epic d’obtenir les droits administrateurs d’un système et de l’utiliser sans restriction ; et un exploit dans Adobe Reader (CVE-2013-3346) utilisé comme pièce jointe malicieuse.

Chaque fois qu’un utilisateur non averti ouvre un fichier PDF malveillant sur un système vulnérable, la machine sera automatiquement infectée, permettant à l’attaquant de prendre le contrôle immédiat et total du système ciblé. Les hackers utilisent des e-mails de phishing ainsi que des attaques watering hole pour infecter leurs victimes. Les attaques détectées dans le cadre de cette opération sont différentes, en fonction du vecteur de l’infection initiale utilisé pour compromettre la victime :

-E-mails de spear-phishing avec des exploits Adobe PDF (CVE-2013-3346 + CVE-2013-5065)
-Ingénierie sociale pour tromper l’utilisateur et le forcer à lancer un programme d’installation de malware avec une extension « .SCR », parfois compressé en RAR
-Attaques watering hole utilisant des exploits Java (CVE-2012-1723), des exploits Adobe Flash (inconnu) ou des exploits Internet Explorer 6, 7, 8 (inconnu)
-Attaques watering hole reposant sur de l’ingénierie sociale pour forcer les utilisateurs à lancer des malwares de faux programmes d’installation « Flash Player »

Les attaques watering holes sont des sites Web fréquemment visités par les victimes potentielles. Ces sites sont compromis à l’avance par les hackers grâce à l’injection de codes malveillants. Selon l’adresse IP du visiteur (par exemple, les IP d’un organisme gouvernemental), les hackers utilisent des exploits Java ou des exploits de navigateurs, une fausse version signée du logiciel Adobe Flash Player ou une fausse version de Microsoft Security Essentials. Au total, nous avons observé plus de 100 sites injectés. Le choix des sites reflète l’intérêt spécifique des hackers. Par exemple, beaucoup de sites espagnols infectés appartiennent aux collectivités locales.

Une fois l’utilisateur infecté, Epic se connecte immédiatement au serveur de commande et de contrôle (C&C) pour envoyer un pack avec les informations du système de la victime. Epic est également connu sous les noms de « WorldCupSec », « TadjMakhal », « Wipbot » ou « Tadvig ». Une fois qu’un système est compromis, les attaquants reçoivent de brèves informations sur la victime et peuvent ainsi implanter des fichiers pré-configurés contenant une série de commandes pour exécution. En plus de cela, les hackers téléchargent des outils personnalisés de « lateral movement ». Parmi eux, on trouve un keylogger spécifique, un archiveur RAR et des services standards comme un outil de requêtes DNS Microsoft.

Phase initiale de Turla :
Lors de l’analyse, les chercheurs ont noté que les hackers utilisant Epic déployaient un backdoor plus sophistiqué appelé « Cobra / Carbon system »  ou « Pfinet » par certains produits anti-virus. Après un certain temps, les hackeurs sont allés plus loin et ont utilisé Epic afin de mettre à jour le fichier de configuration « Carbon » avec un ensemble différent de serveurs C & C. Le savoir-faire unique requis pour faire fonctionner ces deux backdoors met en évidence un lien clair et direct entre eux. « Les mises à jour de configuration pour le malware « Carbon system » sont intéressantes car c’est un autre projet de la campagne Turla. Cela indique que nous avons affaire à une infection en plusieurs étapes, qui commence par Epic Turla. Epic Turla est utilisé pour toucher les victimes dont le profil est critique. Si la victime est intéressante, il se met à niveau pour devenir le système « Turla Carbon », explique à Data Security Breach Costin Raiu, directeur de l’équipe de recherche et de l’analyse globale de Kaspersky Lab.

Les pirates derrière Turla ne sont clairement pas des anglais natifs. Ils orthographient souvent mal des mots ou des expressions, comme « Password it´s wrong! » ; « File is not exists » ; « File is exists for edit ». D’autres indications peuvent aider à supposer l’origine des criminels. Par exemple, certaines des backdoors ont été compilées sur un système en langage russe. En outre, le nom interne de l’un des backdoors Epic est « Zagruzchik.dll», qui signifie « bootloader » ou « programme de charge » en russe.  Enfin, le panneau de commande du « vaisseau-mère » Epic définit la page de code en 1251, utilisé pour les caractères cyrilliques. Fait intéressant, les connexions possibles avec différentes campagnes de cyber-espionnage ont été observées. En Février 2014, les experts ont constaté que les auteurs de menaces connues comme Miniduke utilisaient les mêmes web-shells pour gérer les serveurs Web infectés, ce qui est également le cas de l’équipe derrière Epic.

Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Leak, Linkedin, Vie privée

Réseaux sociaux : la nouvelle porte d’entrée des cybercriminels dans les entreprises ?

Aujourd’hui, la cybercriminalité est de plus en plus importante et organisée. Nous sommes loin de l’époque du pirate solitaire qui envoyait des malware du fond de sa chambre. Le phishing, par exemple, a prospéré au cours des dernières années.

Les cybercriminels utilisent des méthodes de plus en plus sophistiquées de phishing pour cibler les entr eprises, ce qui entraîne non seulement une perte de crédibilité des entreprises mais aussi et par conséquent une perte de clients et de bénéfices. La priorité première pour entreprise, cible d’une attaque via le phishing devrait être la protection de ses clients. Mais de nos jours, ce n’est pas aussi facile qu’il y paraît. La disponibilité des informations personnelles via les réseaux sociaux a rendu la tâche plus facile pour les cybercriminels. Il est maintenant aisé pour eux de produire des messages de phishing de plus en plus convaincants avec les informations qu’ils arrivent à trouver sur Internet. Des informations mises en ligne par des utilisateurs qui deviennent des proies faciles. Dans le même temps, les entreprises de toutes tailles ne parviennent pas à éduquer leurs utilisateurs sur le fait d’être constamment vigilants, en particulier dans leurs activités personnelles en ligne.

L’exemple de LinkedIn
Au cours de ces derniers mois, plusieurs articles ont mentionné un nouveau mode d’attaque phishing via LinkedIn. En fait, l’une des meilleures méthodes pour toucher une entreprise avec une attaque ciblée consiste à envoyer un simple email LinkedIn. Une enquête récemment réalisée a révélé que les attaques dissimulées dans les invitations LinkedIn avaient un taux de clics deux fois plus élevé. Il y a un nombre toujours croissant de faux profils sur LinkedIn, et c’est l’un des plus gros problèmes de ce réseau social. Ces comptes peuvent être utilisés pour espionner les entreprises, phénomène que nous appelons le « Social Klepto ». D’après une enquête menée récemment : par rapport à des sites tels que Facebook ou Twitter, LinkedIn est le réseau social le moins bloqué (20%); et c’est aussi le réseau social qui comprend le moins d’utilisateurs se sentant en danger sur le site (14%). Ces chiffres nous montrent que la population a plus confiance en LinkedIn qu’en d’autres medias sociaux.  Il n’est donc pas surprenant que les invitations LinkedIn aient un taux de clics plus important que les demandes d’ajout en ami de Facebook ou les invitations aux cercles de Google+. Afin de vous assurer que vous utilisez LinkedIn de la manière la plus sûre possible, lisez bien les points suivants.

Vérifiez vos paramètres de confidentialité LinkedIn
Tout comme la plupart des services gratuits, le site LinkedIn peut utiliser les informations de votre profil pour des recherches ou à des fins marketing à savoir pour de la publicité ciblée (comme Gmail et Facebook). Plusieurs paramètres par défaut et concernant la confidentialité du compte ont été choisis de sorte à ce que les utilisateurs reçoivent des emails marketing de la part de LinkedIn. La plupart des utilisateurs ne pensent pas à vérifier ces paramètres. Cependant, c’est en ne contrôlant pas ces paramètres qu’ils peuvent recevoir des courriers indésirables (spam). Il est donc essentiel pour les utilisateurs de vérifier leur profil, leurs paramètres de confidentialité et d’envoi d’emails sur leur compte LinkedIn afin de s’assurer que leurs données ne soient pas partagées avec des tierces personnes ou que leurs informations ne soient pas trop publiques. Globalement, décocher toutes les cases de la page ‘Préférences & Confidentialité’ est la meilleure des solutions, à moins de vouloir recevoir les emails de certains groupes LinkedIn spécifiques.

Prenez garde aux emails suspicieux d’invitation LinkedIn
Étant donné la nature de l’utilisation des réseaux sociaux dans un contexte professionnel et le fait que la population ait pris confiance en des noms tels que LinkedIn, cette méthode d’attaque est de plus en plus utilisée ces derniers temps. Comme toujours donc, évitez de cliquer sur les liens à l’intérieur de vos emails. Si vous recevez un email envoyé par LinkedIn, le mieux est d’aller visiter le site directement pour confirmer ces demandes plutôt que de cliquer sur le lien de l’email, et ce, même si vous connaissez la personne émettrice de la prétendue invitation. En suivant ces instructions, il y a de grandes chances pour que vous ne deveniez pas la dernière victime d’une fausse invitation LinkedIn. (Wieland Alge, vice-président et directeur général EMEA chez Barracuda Networks pour DataSecurityBreach.fr)

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

Google va mettre en avant les pages web chiffrées

Un commentaire

Google l’a confirmé : son algorithme de ranking attribue désormais des “points bonus” de référencement aux pages web chiffrées.

Cette initiative vise à encourager les développeurs de sites web à adopter des technologies de chiffrement (via l’utilisation du protocole HTTPS), qui empêchent les hackers de pirater leurs sites web et voler des informations clients. C’est très bien de voir une initiative de la part de Google pour augmenter l’utilisation du chiffrement. C’est une démarche intelligente et susceptible d’avoir un impact significatif sur la façon dont les organisations sécurisent leurs sites web. Toutes les entreprises veulent un bon Google PageRank, il est donc dans leur meilleur intérêt de s’assurer que leurs pages web sont chiffrées.

A la suite d’HeartBleed nous préconisons aussi de conserver les clés racines en dur dans des modules cryptographiques. Il faut dire aussi que les données texte en clair sont faciles à lire. Donc tout site web qui stocke ou transmet des logins, mots de passe ou toutes autres données de clients en clair met ces données clients et la réputation de son entreprise en danger.

Par le passé les entreprises ont pu ignorer le chiffrement pour des contraintes de coûts ou la peur de ralentir le temps de réponse de leur site web. « Mais des technologies de chiffrement à haute vitesse sont désormais disponibles qui éliminent ces problèmes de coût et de vitesse. Ceux qui transmettent ou stockent des données texte en clair n’ont donc vraiment plus d’excuse. » confirme à Data Security Breach Julien Champagne, Directeur Commercial France et Maghreb de SafeNet.

Argent, Arnaque, Cyber-attaque, Cybersécurité, DDoS, escroquerie, Fuite de données, Leak, Paiement en ligne, Vie privée, Virus

Un 2nd trimestre marqué par la découverte de menaces de plus en plus sophistiquées

Ce trimestre a été marqué par la découverte d’un « crypteur » mobile en libre circulation, vendu 5 000 dollars sur le marché noir, qui a déjà infecté 2 000 terminaux dans 13 pays en moins d’un mois.

Les autres faits marquants à retenir sont l’apparition d’un trojan prenant le contrôle à distance des mobiles Android et iOS via un outil d’espionnage « légal », et la découverte de la campagne MiniDuke APT, réplique de celle du début 2013, qui cible les entités gouvernementales, le secteur de l’énergie, les organisations militaires et les télécoms, et même les trafiquants de stéroïdes et d’hormones illicites.

Attaques sur le Web
·        354,5 millions d’attaques ont été lancées depuis des ressources en ligne disséminées dans le monde entier, soit 1,3 million de plus qu’au premier trimestre. Des chiffres à relativiser, ils ne concernent que les sondes de l’éditeur. Des changements ont eu lieu dans le classement des cinq premières sources d’attaques Web, puisque l’Allemagne est passée de la quatrième à la première place – ses parts augmentant de 12 points. Les États-Unis (22 %) ne sont plus premiers mais seconds après une chute de 6 points. 44 % des attaques Web neutralisées ont été perpétrées à l’aide de ressources Web malveillantes basées dans ces deux pays. Ils sont suivis par les Pays-Bas (+ 3 points au 2ème trimestre) qui se maintient à la troisième place, la Fédération de Russie (- 2,5 points) et le Canada (+ 6,3 points).

Menace mobile
·        À la fin du 1er trimestre 2014, la base de malwares mobiles comptait près de 300.000 échantillons. Au deuxième trimestre, cette base en compte 65 000 de plus. Android n’est plus désormais la seule cible des développeurs de malwares mobiles. En effet, les cybercriminels ont exploité les fonctions d’iOS, avec l’attaque sur Apple ID, qui bloque complètement le terminal. Les pirates demandent ensuite une « rançon » pour le déblocage de l’appareil. Ces nouveaux faits ont révélé les activités de HackingTeam, une société italienne qui vend un logiciel « légal » nommé Remote Control System (RCS). La dernière recherche montre qu’un certain nombre de modules malveillants ciblant les terminaux Android, iOS, Windows Mobile et BlackBerry proviennent de HackingTeam. Le module iOS permet à un assaillant d’accéder aux données stockées sur l’appareil, d’activer secrètement le microphone et de prendre des photos.

En mai, le premier « crypteur » mobile en circulation était mis à jour publiquement. Nommé Pletor, il bloque le téléphone sur la « visualisation de contenus pornographiques interdits », chiffre la carte mémoire du smartphone et affiche une demande de rançon. Le ransomware évolue. Au début du mois de juin, une nouvelle modification de Svpeng visait principalement les utilisateurs des États-Unis. Le trojan bloque le téléphone et demande 200 dollars pour le débloquer.

Menaces financières sur le Web
·        Les malwares ayant pour but de dérober de l’argent ont attaqué 927 568 ordinateurs au 2ème trimestre. Le chiffre de mai indique une hausse de 36,6 % par rapport au mois d’avril.
·        La plupart des attaques ont été enregistrées au Brésil, en Russie, en Italie, en Allemagne et aux États-Unis.
·        2 033 trojans bancaires mobiles ont été détectés au cours des trois derniers mois. Leur nombre a quadruplé depuis le début de 2014, et sur un an (depuis juillet 2013), ce chiffre a augmenté de 1450%.
·        Neuf familles de malwares financiers sur dix agissent en injectant un code HTML aléatoire dans la page Web affichée par le navigateur et en interceptant ensuite chaque donnée de paiement saisie par l’utilisateur dans les formulaires Web originaux ou insérés.

Contenus malveillants
·        60 millions de contenus malveillants uniques (scripts, pages web, exploits, fichiers exécutables, etc.) ont été détectés, soit le double du chiffre du 1er trimestre 2014.
·        Deux nouveaux programmes SWF à la mi-avril, confirmés ensuite par Adobe en tant que nouveaux Zero-day.
·        145,3 millions d’URL uniques ont été reconnues comme malveillants par les antivirus, soit 63,5 millions de plus qu’au trimestre précédent.

« Les six premiers mois de l’année ont montré, comme on le pressentait, une évolution du chiffrement des données des utilisateurs sur les smartphones. Les criminels font des profits en utilisant des méthodes qui se sont avérées efficaces sur les utilisateurs de PC. Il est évident que les individus derrière ces attaques sont motivés par l’appart du gain – comme le montre une forte hausse (14,5 fois) du nombre de trojans financiers au cours de l’année écoulée. Outre le profit, la course à la technologie de surveillance se poursuit sans relâche. Les modules mobiles d’HackingTeam ont montré qu’un terminal mobile pouvait être utilisé pour exercer un contrôle total sur tout l’environnement de l’appareil d’une victime, interne et externe » explique à DataSecurityBreach.fr Alexander Gostev, Chief Security Expert, Global Research and Analysis Team chez Kaspersky Lab.

Logiciels

Forensic Analysis Threat Prevention Platform certifiée « SECRET OTAN »

L’analyse et l’exécution des malwares avancés sont désormais autorisées pour les opérations de l’OTAN en Europe et en Amérique du Nord.

FireEye, spécialiste de la lutte contre les cyber-attaques de nouvelle génération, vient de recevoir la certification OTAN pour sa plateforme « Forensic Analysis Threat Prevention Platform™” (série AX) et son intégration dans le portefeuille de produits d’assurance de l’information (NIAPC). L’intégration de  cette solution FireEye délivre aux pays de l’OTAN ainsi qu’aux organismes civils et militaires un outil d’évaluation pour lutter contre les menaces de nouvelle génération, qui répond à la directive INFOSEC.

« Les attaques persistantes avancées deviennent une menace réelle pour les gouvernements ainsi que les organisations privées, qui collaborent à la sauvegarde des libertés, aux cotés de l’OTAN», déclare Paul Davis, Vice-Président, Europe de FireEye. « Les pays membres sont des cibles de choix pour les auteurs des menaces de pointe, qui sont financés pour voler des données de haute valeur telles que des plans ou des communicationsde l’OTAN. C’est pour nous un honneur de voir nos plateformes d’analyse conçues pour détecter ces menaces,certifiées par l’OTAN ».

Le NIAPC fournit aux Centres des Systèmes d’Opération de l’OTAN, une diversité de produits d’assurances pour l’information, différents profils de protection ainsi que des packages qui permettent de sécuriser la manipulation des informations classées ou non par l’OTAN. Ces produits ont subi trois niveaux d’évaluation afin de déterminer le plus haut niveau de protection pour les informations de l’OTAN. A la suite d’une évaluation complète par l’OTAN, FireEye Forensic Analysis (série AX) a été certifié pour traiter les informations classées « SECRET OTAN ».

« La protection des informations de l’OTAN, de ses membres et de ses organisations contre les menaces visant la cybersécurité est de la plus haute importance », a déclaré John Tatman, directeur de l’Assurance de l’Information de l’OTAN.« Nous sommes convaincu que le paysage des menaces de pointe représente une part croissante des activités de cybersécurité, c’est pourquoi nous évaluons des fournisseurs tels que FireEye, spécialiste de ce type d’attaques ».

Contrefaçon, Cybersécurité, Fuite de données, Microsoft, Mise à jour, Propriété Industrielle, Smartphone, Windows phone

Microsoft a décidé de faire la guerre aux applications malveillantes

Pour faire face à la concurrence d’iTunes et PlayStore, qui proposent des centaines de milliers d’applications, Microsoft a décidé de proposer du qualitatif dans sa propre boutique d’APP (400.000 logiciels) en contrôlant toutes les applications proposées à utilisateurs d’un Windows Phone/Tablette.

Parmi les obligations mises en place par le géant américain, imposer une explication claire et précise des actions du logiciel proposé dans le store de Microsoft. Les catégories utilisées devront être celles dédiées et l’icône ne devra plus reprendre une marque ou un logo d’une entreprise connue (Twitter, Facebook, …). La société de Redmond a déjà banni 1.500 applis. A noter que seule Microsoft propose une application Facebook pour ses téléphones, autant dire que les petits malins se sont empressés de viser le portail communautaire.

Cyber-attaque, Cybersécurité, Piratage, Virus

L’aéroport de Charleroi touché par un code malveillant

Voici venir le virus dans l’avion, du moins aux portes de ce dernier. L’agence Belga indique qu’un logiciel malveillant a contaminé plusieurs ordinateurs du réseau informatique de l’aéroport de Charleroi. Heureusement, on voit mal le gouvernement Belge dire le contraire, le trafic aérien n’a pas été perturbé par cette intrusion. Les machines ont été utilisées comme zombies pour lancer d’autres attaques. Heureusement que les pirates n’analysent pas tant que ça les machines malmenées. Bref, pas rassurant ! Les ordinateurs en question n’étaient pas mis à jour.

DDoS, Entreprise, Piratage

Le PSN de Sony de nouveau attaqué par des pirates

Le 24 août dernier, un groupe de pirate informatique du nom de Lizard Squad a décidé de lancer une attaque de type DDoS à l’encontre du PSN de Sony, le système online du géant japonais. Les pirates, dans un Twitter explique « Sony, yet another large company, but they aren’t spending the waves of cash they obtain on their customers’ PSN service. End the greed. » Bref, pour les garnements, SONY ne mettrait pas assez d’argent dans sa sécurité informatique. D’un autre côté, une attaque DDoS n’a pas grand chose à voir avec la sécurité informatique des comptes membres. Sony s’est excusé de ce petit problème.

En 2011, une attaque de ce type avait bloqué les joueurs durant un mois. Cette fois, l’attaque n’aura durée que quelques heures. A noter que ces pirates ont annoncé lancer cette attaque pour soutenir les djihadistes agissant en Irak. Une mauvaise blague pour un/des môme(s) qui semble(nt) s’ennuyer. Il(s) s’est/sont même amusé(s) à diffuser une alerte à la bombe, via Twitter.

Il(s) risque(nt) surtout de finir entre 4 murs comme Cody Kretsinger, auteur de l’intrusion dans le serveur de Sony Pictures en juin 2011. Le FBI a lancé une enquête à l’encontre de Lizard Squad après l’alerte à la bombe et la diffusion de données privées et confidentielles de John Charles Smedley, président de Sony.

Hacking, Leak, Piratage

Des Anonymous Russes diffusent des données piratées à l’Ukraine

La guerre entre la Russie et l’Ukraine fait aussi rage sur Internet. Cette dernière, cependant, ne tue personne. Les Anonymous du groupe Cyber Berkut ont annoncé le piratage de plusieurs ordinateurs et téléphones portables d’autorités ukrainiennes. Parmi les informations volées, des données sur les véhicules blindés de l’armée ukrainienne saisis par les miliciens dans le Sud-est du pays. Selon ces Anonymous, et lors de la deuxième semaine d’août, la milice s’est emparée d’un total de 80 pièces d’équipement et plus de 40 voitures.

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Virus

One-Day Wonders : les risques que représentent les sites Web d’un jour pour la sécurité

Une étude montre que 470 millions de sites Web ont une durée de vie inférieure à 24 heures, et que 22 % de ces sites sont utilisés pour faciliter des attaques.

Blue Coat Systems, Inc., leader sur le marché de la Business Assurance Technology, révèle que 71 % des noms de serveurs sur Internet ont une durée de vie inférieure à 24 heures. Bien que la majorité de ces merveilles éphémères  « One-Day Wonders » soit essentielles au partage et à la diffusion de contenu sur Internet, leur quantité phénoménale sert également de couverture aux activités malveillantes, y compris à des communications vers des systèmes infectés. Le nouveau rapport « Merveilles éphémères : comment du code malveillant se dissimule derrière des sites Internet temporaires » détaille la nature et les activités de ces adresses apparaissant et disparaissant rapidement du Web, permettant ainsi de mieux comprendre les problématiques de sécurité qu’ils représentent pour les entreprises.

Parmi les plus grands générateurs de « merveilles éphémères » figurent des organisations ayant une forte présence sur Internet, comme Google, Amazon et Yahoo, ainsi que des sociétés d’optimisation Web aidant à accélérer la diffusion de contenu. Blue Coat a également découvert que l’un des dix créateurs de ces sites web éphémères le plus prolifiques se trouve être le site de pornographie le plus fréquenté sur Internet.

Enfin, 22 % des 50 domaines utilisant le plus fréquemment des sites temporaires hébergent du code malveillant. Ces domaines utilisent ce type de sites afin de faciliter leurs attaques et de gérer des botnets (réseaux de machines zombies), en s’appuyant sur le statut « nouveau et inconnu » du site pour échapper aux radars des solutions de sécurité. Ainsi, ces sites éphémères peuvent être utilisés pour créer des architectures dynamiques de commande et de contrôle évolutives, difficiles à tracer et simples à mettre en place. Ils peuvent également servir à créer un sous-domaine unique pour chaque e-mail de spam afin d’éviter d’être détecté par les filtres anti-spam et les filtres Web.

« Bien que la plupart de ces sites éphémères soient inoffensifs et indispensables à des activités légitimes sur Internet, leur quantité faramineuse crée un environnement parfait pour des activités malveillantes, » explique à DataSecurityBreach.fr Tim van der Horst, chercheur en chef spécialisé dans les menaces chez Blue Coat Systems. « La création et la suppression rapides de nouveaux sites inconnus déstabilise beaucoup de systèmes de sécurité actuels. Il est essentiel de comprendre ce que sont ces sites et comment ils sont utilisés afin de mieux assurer la sécurité des systèmes d’information. »

Les cybercriminels apprécient particulièrement les sites éphémères car : ils créent un état de perplexité : en effet, les domaines dynamiques sont plus difficiles à bloquer pour les solutions de sécurité que les domaines statiques. Ils submergent les solutions de sécurité : en générant un volume de domaines important, les cybercriminels augmentent leurs chances d’en voir un pourcentage conséquent passer au travers des systèmes de sécurité. Ils passent sous les radars : en associant les sites éphémères au chiffrement et à l’exécution de code malveillant entrant, et/ou au vol de données sortantes sécurisées à l’aide du protocole SSL, les cybercriminels peuvent rendre leurs attaques invisibles des solutions de sécurité des organisations, incapables d’empêcher, de détecter et de réagir face à ces menaces.

Sans cesse confrontées aux cyber-attaques, les organisations peuvent tirer des enseignements importants des résultats de cette étude afin d’être mieux informé et de renforcer leur sécurité : les systèmes de sécurité doivent être informés en temps réel de la part de systèmes automatisés capables d’identifier et d’attribuer des niveaux de risques à ces sites éphémères ; les systèmes de défense statiques ou non réactifs ne suffisent pas à protéger les utilisateurs et les données d’une entreprise ; les systèmes de sécurité s’appuyant sur des politiques de sécurité doivent pouvoir agir à partir d’informations en temps réel afin de bloquer les attaques menées à l’aide de codes malveillants.

Les chercheurs de Blue Coat ont analysé plus de 660 millions noms de serveurs uniques ayant fait l’objet de requêtes de la part de 75 millions d’utilisateurs dans le monde sur une période de 90 jours. Ils ont découvert que 71 % de ces serveurs, soit 470 millions, étaient en réalité des « merveilles éphémères », des sites n’existant que pour un jour.

Banque, BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données, Paiement en ligne, Propriété Industrielle

Un livre blanc sur les risques associés aux certificats numériques

À chaque fois que des transactions ou accès au réseau sécurisés sont requis, la personne demandant l’accès doit d’abord prouver son identité. L’une des méthodes d’identification de l’utilisateur est l’emploi de certificats numériques qui sont semblables à des cartes d’identité numériques. Cette procédure fait l’objet d’un examen dans un nouveau livre blanc publié par les spécialistes de la sécurité informatique de SecurEnvoy, intitulé « Les Risques de l’authentification à l’aide des certificats numériques ». Vous pouvez le télécharger gratuitement sur le site Web de la société [Lien ci-dessous, ndlr DataSecurityBreach.fr].

Un certificat numérique est en réalité une clé privée stockée sur une carte à puce ou un dispositif mobile, que l’utilisateur porte toujours sur lui. Toutefois, dans ce cas le problème des identités distribuées représente un désavantage important. Étant donné que pour chaque dispositif (final) qu’un utilisateur veut utiliser pour son travail, qu’il s’agisse d’un PC, d’un smartphone ou d’une tablette, un certificat séparé est requis. Ceci entraîne un travail d’installation pénible, ainsi qu’une véritable « jungle de certificats » en fonction du nombre de périphériques impliqués.

En outre, les certificats demeurent sur les appareils finaux et peuvent tomber aux mains de criminels s’ils sont perdus ou vendus, ce qui pose un problème pour les données sensibles. Une alternative plus simple, mais doublement sécurisée est l’authentification forte sans jeton, qui est également décrite dans le livre blanc [En Anglais].

Logiciels, Virus

Protections dédiées aux appareils Android Wear

Le nouveau Bitdefender Mobile Security & Antivirus sécurise les montres connectées et propose une protection supplémentaire contre le vol et la perte d’appareils mobiles.

L’éditeur d’antivirus Bitdefender présente WearON, une nouvelle fonctionnalité antivol intégrée à la solution Bitdefender Mobile Security & Antivirus, compatible avec les montres connectées équipées d’Android Wear. Avec WearON, Bitdefender étend sa protection de pointe aux technologies ‘Wearable’ intelligentes.

La fonction WearON fournit à l’utilisateur de Bitdefender Mobile Security & Antivirus, une localisation de ses appareils mobiles grâce à sa montre connectée Android Wear. En effet, en cas de perte ou de vol d’appareils Android, l’utilisateur peut utiliser sa montre connectée Android Wear pour les retrouver en faisant sonner une alarme sur ses smartphones et/ou tablettes, même si ces derniers sont en mode silencieux. WearON avertit aussi instantanément le propriétaire en cas d’oubli de son appareil, grâce à une vibration spécifique lorsque le smartphone et/ou la tablette se trouvent à l’extérieur d’un périmètre de sécurité.

Ces fonctionnalités fournissent ainsi aux propriétaires de montres connectées Android Wear une protection supplémentaire contre le vol et la perte de leurs appareils Android. Pour bénéficier de la fonctionnalité WearON, il suffit simplement de télécharger le nouveau Bitdefender Mobile Security & Antivirus sur Google Play ou, pour les utilisateurs de la solution, de mettre à jour leur application.

« Bitdefender considère la sécurité de l’utilisateur sous tous les angles possibles afin d’assurer une protection totale, en permanence », déclare Catalin Cosoi, Responsable des stratégies de sécurité chez Bitdefender. « Intégrer la technologie ‘Wearable’ à l’offre de Bitdefender Mobile Security & Antivirus apporte une nouvelle facette à la sécurité : un niveau de protection extrêmement mobile, toujours disponible afin de sécuriser au maximum les appareils mobiles en cas de  vol et de perte. »

Le nouveau Bitdefender Mobile Security & Antivirus protège également la vie privée des utilisateurs avec App Lock, une fonctionnalité introduite récemment qui permet aux utilisateurs de bloquer l’accès aux données sensibles en protégeant certaines applications avec un code personnel. App Lock affiche la liste des applications installées et permet aux utilisateurs de prendre des mesures de protection supplémentaires en restreignant l’accès aux applications qui peuvent être utilisées pour dépenser de l’argent, porter atteinte à leur vie privée ou effectuer d’autres actions indésirables.

Ces nouvelles fonctionnalités supplémentaires viennent compléter divers outils dont l’analyse à l’installation, la protection de la navigation Web et l’Antivol qui permet aux utilisateurs de reprendre le contrôle d’un téléphone perdu ou volé via des commandes SMS et divers outils (localisation et verrouillage de l’appareil, suppression des données à distance, etc.). Privacy Advisor, quant à lui, garde un œil sur les applications installées afin d’assurer une protection contre l’intrusion dans la vie privée.

Pendant ce temps, Symantec conseille de se méfier des objets dédiés à la santé connectée. La mesure de soi est une activité en pleine expansion. On ne compte plus les objets connectés et applications qui comptent le nombre de pas, le temps de sommeil ou les calories ingérées. Une étude de ABI Research estime que d’ici 2018, le nombre de terminaux connectés et destinés à cette activité atteindra 485 millions, dont la plupart auront une activité de suivi de l’individu et de ses actions ; et ce chiffre n’inclut pas le nombre de smartphones qui intègrent de telles applis et dont le volume dépasse les milliards d’unités.

Qu’advient-il cependant des données personnelles ? Symantec a publié un article de blog et un livre blanc sur le sujet, qui examinent les risques potentiels de sécurité et de non-respect de la vie privée de ces objets et applis de suivi, ce que les entreprises et les consommateurs doivent prendre en considération ainsi que les principales tendances de développement de la mesure de soi.

Les principaux éléments de cette recherche sont les suivants :
·         Tous les terminaux examinés sont traçables à 100% ;
·         Une appli sur cinq transmets des données générées par leurs utilisateurs (noms, adresses email et mots de passe) sans aucun chiffrement ;
·         Les applis de suivi transmettent des données relatives à 5 domaines différents en moyenne, et certaines en répertorient jusqu’à 14, dont la collecte et l’analyse permettent une utilisation à des fins marketing ;
·         Les données collectées sur les terminaux de suivi pourraient avoir des implications massives en matière de sécurité et de violation de la vie privée, notamment le vol d’identité, le profilage, le harcèlement, l’extorsion et l’utilisation ou l’abus par des entreprises tiers ;
·         Les terminaux qui stockent des données dans le cloud mettent la vie privée des utilisateurs en danger. Par ailleurs, 52% des applis de tracking ne présentaient pas leur politique de respect de la vie privée à leurs utilisateurs.

Cyber-attaque, DDoS, Entreprise, Fuite de données, IBM, Leak, Microsoft, Oracle, Piratage, Wordpress

Cybercriminalité : 3 clés pour contrer les pirates

La cybercriminalité est souvent médiatisée lorsque d’énormes failles de sécurité sont révélées et que les dommages sont significatifs pour les entreprises touchées.

L’attaque massive organisée par des pirates informatiques russes il y a quelques semaines à une échelle mondiale en est un très bel et marquant exemple, avec plus d’ 1,2 milliards de mots de passe volés. Mais les pirates ne se limitent pas aux attaques massives, et des petites brèches de sécurité d’apparence anodines peuvent pourtant s’avérer avoir de lourdes conséquences, tant pour les grandes entreprises que pour les plus petites organisations possédant des données sensibles ou à forte valeur ajoutée.

Ne perdez pas votre temps à anticiper,  sachez surtout détecter les failles et limiter les dégâts.
La meilleure chose qu’un directeur informatique ou un responsable de la sécurité puisse faire pour protéger son entreprise est de comprendre et d’accepter l’impossibilité de maintenir les attaquants à l’écart. Tout le monde est tôt ou tard victime d’une faille de sécurité. Le plus important est de savoir dans quel délai vous la détecterez et dans quelle mesure vous pourrez limiter les dommages. Il convient de mettre l’accent sur la réduction du risque dans les domaines clés et la surveillance des événements au niveau du pare-feu pour détecter le plus rapidement possible l’intrusion d’un attaquant et la tentative de vol de données. Toute autre action ne reviendra qu’à reproduire des stratégies qui ont déjà montré leurs limites dans le passé, pour un coût encore plus élevé.

Axez votre stratégie de sécurité sur l’identité et les données, et non plus l’infrastructure
Le mode de pensée centré sur le réseau et les appareils est de plus en plus délaissé en faveur d’une sécurité axée sur l’identité et les données. Désormais, tenter de protéger l’infrastructure de l’entreprise n’apparaît plus comme une solution gagnante. Avec l’usage croissant de l’informatique mobile et du Cloud computing, cette tâche s’avère souvent trop complexe et n’est plus entièrement maîtrisée par le personnel informatique et de sécurité.

En revanche, le personnel chargé de la sécurité réfléchit de plus en plus à la protection des données transférées d’un endroit à un autre, y compris dans le cloud, et à l’acquisition d’une meilleure connaissance de l’identité des individus qui ont accès à ces données. Néanmoins, suis-je certain de savoir qui accède actuellement à notre base de données de patients ? Est-il normal que ce salarié ouvre ce fichier de données clients ? Ces décisions sont de plus en plus complétées par l’introduction d’un contexte du type : dois-je permettre à ce salarié d’accéder à ces données sensibles alors qu’il est en vacances dans le Sud et qu’il se connecte depuis sa tablette dans un cybercafé ? Il s’agit là d’une façon plus intelligente (et efficace) d’appréhender les risques du comportement surveillé, en répondant aux problèmes de sécurité fondamentaux liés aux utilisateurs privilégiés, aux attaques internes et aux menaces persistantes avancées.

Ne misez pas tout sur la technologie, sensibilisez vos collaborateurs car ils sont les véhicules de vos données !
Il est toujours possible d’améliorer l’éducation – bien que je sois convaincu qu’il faille en changer le ton pour passer du « ne faites pas ceci » au « comme vous le ferez de toute façon, voici comment procéder pour éviter de prendre des risques ». Le pouvoir dans le monde de l’informatique professionnelle a changé de mains : il n’est plus dévolu au service IT autoritaire et centralisé, avec le personnel qui lui est associé, mais relève désormais des dirigeants de l’entreprise et des responsables métiers. Aujourd’hui plus que jamais, l’utilisateur de l’entreprise décide lui-même de la technologie à employer et de la façon de procéder. Dans ce contexte, l’éducation doit être recentrée sur les conseils et le choix de solutions sûres pour cesser de s’apparenter à une liste d’actions à éviter, qui sera de toute façon rarement respectée. (Jean-Philippe Sanchez, Consultant Sécurité, NetIQ France)

Banque, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Piratage

La lutte contre la cybercriminalité est-elle perdue ?

Les gros titres du dernier Verizon Data Breach Investigation Report semblent sous-entendre que la lutte contre la cybercriminalité pourrait être perdue.

Verizon a précisé, après avoir analysé les données de plus de 100 000 incidents de sécurité sur 10 ans, que 92 % des attaques peuvent être réparties en 9 types de menaces* – ce qui signifie que les entreprises font toujours face aux mêmes risques et aux mêmes attaques, depuis tout ce temps, et à plusieurs reprises. Pour certains, les « méchants sont en train de gagner » et les entreprises doivent en prendre conscience et savoir qu’aucune d’entre elles n’est à l’abri d’une attaque.

Effectivement, aucune entreprise ne sera surprise par ces résultats et en particulier les infrastructures critiques, qui ont pleinement conscience d’être sous la menace quotidienne d’une attaque. Mais cela ne signifie pas que l’industrie est en train de perdre pied face aux cybercriminels. La prise de conscience de la menace signifie que la plupart des équipes de sécurité adoptent une approche plus réaliste de leur sécurité.

De nombreux RSSI, et leurs équipes reconnaissent qu’ils sont sous la menace régulière d’une attaque et, qui plus est, savent malheureusement que le plus souvent la sécurité est compromise par une personne dans l’entreprise qui a fait ce qu’elle n’aurait pas dû faire, comme cliquer sur un lien dans un email. Les menaces les plus courantes auxquelles les RSSI sont confrontés au quotidien ne font plus les gros titres des journaux mais ces anciennes techniques demeurent et représentent de sérieux enjeux pour les équipes de sécurité, et non des moindres.

Le RSSI d’une banque majeure a par exemple, récemment confié, être encore confronté à des ordinateurs de son réseau infectés par Conficker – alors qu’il s’agit d’une menace vieille de plusieurs années. Il a également précisé que son plus grand risque pour la sécurité sont les employés eux-mêmes, qui font des choses alors qu’ils savent qu’ils ne devraient pas les faire, et compromettent ainsi leur PC et par conséquence le réseau.

* Les attaques de malwares, la perte ou le vol d’appareils, les attaques DDoS, les arnaques à la carte bancaire, les attaques d’applications web, le cyber-espionnage, les intrusions, le vol interne et les erreurs humaines, telles que l’envoi d’emails avec des données sensibles à la mauvaise personne.

Il est donc impératif que les RSSI et leurs équipes soient en mesure d’identifier et de traiter une menace rapidement et de voir quelle est son interaction dans leurs réseaux par les machines compromises.

Aujourd’hui, les RSSI reconnaissent qu’il est impossible d’assurer une cybersécurité à 100%, c’est-à-dire que le risque d’attaque et de compromission doit être accepté par l’entreprise. Par contre, lorsqu’on les interroge sur la suite à donner en cas d’attaque en cours : est-ce qu’ils doivent bloquer immédiatement l’attaque au risque d’être repéré par le hacker, ou est-ce qu’ils doivent laisser l’attaque se poursuivre pour apprendre comment les hackers s’y prennent et quel est leur objectif ? La réponse varie : les fonctions orientées « métier » veulent bloquer l’attaque afin que l’entreprise puisse poursuivre son activité, les fonctions orientées « sécurité », préfèrent surveiller l’attaque et en tirer des leçons afin de mettre en œuvre des défenses solides.

Le rapport Verizon indique également que cela prend encore plus de temps d’identifier les compromissions dans une entreprise – souvent des semaines ou des mois – alors que pénétrer une entreprise ne prend que quelques minutes ou quelques heures.

Cependant, il n’y a vraiment aucune excuse qui justifie l’augmentation de la cybercriminalité car à ce jour, les entreprises peuvent utiliser une protection contre les malwares avancés qui peut identifier, contenir et remédier aux malwares identifiés en quelques clics de souris. Plus nous utiliserons ces solutions, plus nous pouvons espérer voir une diminution des violations de sécurité dans le rapport 2015.

Bien qu’une sécurité à 100 % n’existe pas, si vous abordez le problème de la cybermenace avec une approche globale – avant, pendant et après une attaque – vous serez dans une meilleure position pour identifier et faire face à la menace rapidement puis limiter les dommages causés dans la mesure du possible.

Ignorer le risque n’est tout simplement pas une option envisageable. Mettre la tête dans le sable et refuser de reconnaître le défi conduira les entreprises au désastre. Mieux vaut se préparer à l’inévitable et être sûr quand cela arrive – vous le savez alors le plus tôt possible et vous pouvez prendre les mesures appropriées pour minimiser l’impact.

Ainsi, plutôt que de déclarer que la lutte contre la cybercriminalité est perdue – il existe une prise de conscience croissante des risques et un sentiment croissant de réalisme quant à la nature du paysage de la menace cyber. Il y a aussi aujourd’hui, de meilleurs outils disponibles pour identifier et faire face aux menaces. L’industrie de la cybersécurité est dans la meilleure position possible pour vaincre les cybercriminels. Il incombe cependant aux entreprises d’acquérir les meilleures pratiques cyber et de déployer des outils de protection contre les malwares avancés. (Cyrille Badeau, Directeur Europe du Sud Cyber Security Group de Cisco Systems.)

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Paiement en ligne

Traitement des paiements conformes à PCI

Les sociétés de service en particulier détiennent de grandes quantités de données clients qui nécessitent un niveau élevé de protection. Lors du tri des informations pour le traitement des paiements, les sociétés doivent également satisfaire aux exigences de conformité PCI DSS (normes de sécurité des données des cartes de paiement).

Ces exigences stipulent, entre autre, que la connexion au système interne d’une société ne peut pas être simplement protégée par un mot de passe. Dans cette situation, l’authentification forte sans jeton de SecurEnvoy offre la solution idéale. Les employés reçoivent un code numérique par SMS sur leur téléphone mobile, qu’ils peuvent saisir en plus de leur mot de passe.

Lors du traitement des paiements, les sociétés sont soumises à plusieurs règlements de conformité. Par exemple, les règlements PCI DSS stipulent la nécessité d’un accès hautement sécurisé aux réseaux contenant des informations sensibles à propos des paiements par carte de crédit. Les employés accédant à distance à ces réseaux sont particulièrement affectés par ces exigences spécifiques : conformément à PCI DSS, se connecter en utilisant uniquement un mot de passe n’est pas autorisée.

Sécurité supplémentaire au moment de la connexion
Les sociétés doivent répondre à cette exigence et établir une sécurité supplémentaire pour la connexion au réseau. L’authentification forte est idéale pour cette situation. De nombreuses sociétés ne sont pas satisfaites de devoir acquérir des cartes à puce coûteuses ou d’autres jetons pour l’authentification du personnel. Mais il existe une alternative moins onéreuse et sécurisée : l’authentification forte sans jeton telle que SecurAccess.Avec cette solution, les téléphones mobiles sont utilisés à la place des jetons physiques traditionnels. Lorsqu’un utilisateur souhaite se connecter au réseau, un code numérique à six chiffres est envoyé par SMS ou e-mail. Des applications à jeton virtuel sont également proposées pour toutes les plateformes mobiles principales sans frais supplémentaires. Le mot de passe est saisi avec les identifiants de connexion personnels de l’utilisateur, afin d’assurer une identification sans ambigüité. Le numéro d’identification n’est valide qu’une fois et expire immédiatement après avoir été saisi. Pour la connexion au réseau suivante, SecurAccess envoie une nouvelle combinaison de chiffres à l’utilisateur.

« SecurAccess utilise les téléphones mobiles en tant que jetons pour plusieurs bonnes raisons, » explique Steve Watts, directeur des ventes et du marketing à SecurEnvoy. « Tout d’abord, presque tout le monde possède un téléphone mobile ou un smartphone et deuxièmement, tout le monde porte son téléphone sur soi. Les jetons physiques sont souvent perdus ou les employés les oublient accidentellement chez eux. Ceci entraîne non seulement des coûts de remplacement, mais cela ralentit le travail car pendant une certaine période de temps, les employés ne peuvent pas s’authentifier et ne peuvent donc pas accéder au réseau. Par conséquent, pour les sociétés de service, la transmission d’un numéro d’identification par SMS est le moyen le plus efficace et le moins coûteux d’assurer la conformité PCI DSS ».

Cybersécurité, Entreprise, Fuite de données, Virus

Icoscript, le code malveillant qui communique par webmail

2 commentaires

Voici une nouveauté intéressante dans le petit monde des codes malveillants. L’éditeur d’antivirus G Data vient de mettre la main sur Icoscript, un code pirate qui passe par webmail pour lancer ses actions malfaisantes.

Ce nouvel espion utilise n’importe quel webmail (Yahoo!, gMail, …) pour recevoir des commandes de son serveur de contrôle (C&C). Pourquoi une telle idée ? G Data explique que les accès aux services de webmail sont rarement bloqués dans les entreprises, le cheval de Troie peut recevoir et exécuter des commandes sans être remarqué. CQFD !

L’analyse détaillée de Icoscript a été publiée dans le Magazine Virus Bulletin, on y découvre que lLe code étant modulaire, il peut aussi à tout moment changer de moyen de communication et passer, par exemple,  par LinkedIn, Facebook tout autre réseau social dans un futur proche !

Bitcoin, BYOD, Chiffrement, Cloud, cryptage, Entreprise, Sauvegarde

Attaque à l’encontre de NAS de la marque Synology

2 commentaires

Depuis quelques semaines, des utilisateurs de NAS de la marque Synology, des boitiers de stockages, ont été visés par un logiciel malveillant qui chiffre le contenu des disques durs du produit de la société américaine.

Baptisé Synolocker, le code malveillant est injecté de différente manière, dont une technique toute simple, retrouver l’ip du boitier et de s’y connecter pour bloquer la lecture des contenus.

Une technique qui vise de vieux NAS, du moins dont les mises à jour n’ont pas été effectuées.  Le pirate réclame entre 250 et 300 euros, en bitcoin (0.6 bitcoin). L’entreprise a mis à jour son firmware pour contrer plusieurs failles qui ont pu être exploitées par le malveillant. Une technique, pour bloquer l’attaque, du moins la freiner, fermer le NAS. Cela provoquera un arrêt du chiffrement en cours.

Preuve, aussi, qu’une sauvegarde parallèle et hors connexion est loin d’être négligeable.

Message d’alerte du NAS

Dear user,
The IP address [211.228.238.239] experienced 5 failed attempts when attempting to log into DSM running on SYN1 within 5 minutes, and was blocked at Thu Jul 31 22:41:50 2014.

Sincerely,
Synology DiskStation

Cyber-attaque, Entreprise, Fuite de données, Leak, Piratage, Propriété Industrielle

La vulnérabilité 0-day exploitée par Stuxnet continue de menacer les utilisateurs

La vulnérabilité CVE-2010-2568 a été découverte en 2010, à la même période que le ver Stuxnet. Encore aujourd’hui, des programmes de malware exploitant cette vulnérabilité continuent de se propager et menacent les utilisateurs.

Ils sont 19 000 000 à l’avoir croisée sur une période de 8 mois, entre novembre 2013 et juin 2014. Ces informations sont issues du rapport « Usages & Vulnérabilités Windows » réalisée durant l’été 2014. CVE-2010-2568 est une erreur de manipulation sur un raccourci dans Windows, permettant aux attaquants de charger un fichier DLL de façon arbitraire sans que l’utilisateur en soit informé. Cette vulnérabilité affecte Windows XP, Vista et Windows 7 ainsi que Windows Server 2003 et 2008. Cette faille a notamment été exploitée par Stuxnet – le ver découvert en 2010 et connu pour avoir apparemment conduit à la destruction physique d’équipements d’enrichissement d’uranium dans des centrales nucléaires iraniennes.

Dès l’automne 2010, Microsoft a publié une mise à jour de sécurité pour résoudre le problème. Malgré cela, les systèmes de détection de Kaspersky Lab continuent d’identifier des millions de malwares utilisant cette vulnérabilité. Les malwares profitant de cette vulnérabilité ont été détectés le plus souvent sur des ordinateurs situés au Vietnam (42,45%), en Inde (11,7%), en Indonésie (9,43%), au Brésil (5,52%) et en Algérie (3,74%).

Il est important de noter que les recherches menées par Kaspersky Lab indiquent que le Vietnam, l’Inde et l’Algérie sont sur la liste des pays enregistrant le plus de détections de CVE-2010-2568 mais font également partie des pays comptant le plus d’utilisateurs de Windows XP. Ce système d’exploitation occupe la première place des détections de CVE-2010-2568 (64,19% des détections sont issues d’ordinateurs utilisant Windows XP). Windows 7, qui est pour le moment l’OS le plus utilisé au monde, arrive en seconde position avec 27,99% des détections. Viennent ensuite Windows Server 2008 et 2003 avec respectivement 3,99% et 1,58% des détections.

Les experts précisent que dans ce cas spécifique, le grand nombre de détections ne signifie pas un grand nombre d’attaques. En raison des techniques spécifiques utilisées pour exploiter la faille, il est impossible de déterminer avec précision dans quels cas la solution Kaspersky Lab a protégé l’utilisateur d’une attaque réelle de malware exploitant CVE-2010-2568, et dans quels cas elle a seulement détecté des raccourcis vulnérables générés automatiquement par un ver spécifique.

Le volume important de détections de CVE-2010-2568 témoigne du fait qu’il existe encore dans le monde un grand nombre d’ordinateurs vulnérables à cette menace. Cela pourrait provenir de serveurs mal entretenus qui ne sont pas mis à jour ou ne sont pas sécurisés. Dans ce cas, ils peuvent être infectés par des vers qui utilisent des malwares exploitant cette vulnérabilité. Dans la même logique, de tels programmes de malwares créent régulièrement des raccourcis malicieux dans un dossier d’accès général. Ainsi, à chaque fois qu’un utilisateur Kaspersky Lab qui a accès à ce dossier clique sur un raccourci, cela entraine une détection.

« Ce type de situation représente évidemment un risque continu d’infection de malware dans les entreprises où des serveurs vulnérables sont encore opérationnels. C’est pourquoi il est essentiel que les responsables informatiques mettent à jour les logiciels installés sur les ordinateurs de leur entreprise et utilisent des solutions de protection adaptées ». explique Vyacheslav Zakorzhevsky, directeur de l’équipe de recherche de vulnérabilités de Kaspersky Lab.

Arnaque, Facebook, Particuliers

TOP 10 des arnaques sur Facebook dans le monde

Un commentaire

Selon l’éditeur de solutions antivirus Bitdefender, la chanteuse et actrice américaine Taylor Swift n’a plus le « mojo » puisque sa sextape ne fait plus partie du Top 10 des arnaques les plus fructueuses pour les cybercriminels sur Facebook.

Une étude des analystes antivirus Bitdefender révèle, en effet, que la star n’est plus aussi populaire que l’année dernière, lorsqu’une fausse vidéo à son sujet avait permis de répandre massivement un malware sur le réseau social. Chaque année, des millions d’utilisateurs tombent dans les pièges des arnaques diffusées sur Facebook. Voici le classement des 10 arnaques les plus répandues dans le monde, depuis le début de l’année 2014 !

TOP 10 des arnaques sur Facebook dans le monde
1.     Qui a visité mon profil – 30.20% (anglais – international)
2.     Changez la couleur de votre Facebook – 7.38% (anglais – international)
3.     La sextape de Rihanna avec « son » petit-ami – 4.76% (anglais – international)
4.     Consultez mon nouveau statut pour recevoir gratuitement un T-shirt officiel Facebook – 4.21% (anglais – international)
5.     Dites au revoir au Facebook bleu – 2.76% (français)
6.     Produits défilmés. Distribution gratuite – 2.41% (anglais – international)
7.     Vérifiez si un ami vous a supprimé de sa liste – 2.27% (anglais – international)
8.     Cliquez ici pour voir le top 10 des profils qui vous harcèlent le plus ! Vous serez étonné d’apprendre que votre ex visite toujours votre profil ! – 1.74% (anglais – international)
9.     Découvre comment voir qui visite ton profil, tu n’es pas au bout de tes surprises ! – 1.55% (espagnol)
10.  Je viens de modifier le thème de mon Facebook. C’est incroyable – 1.50% (anglais – international)

Alors que Taylor Swift quitte le Top 10, Rihanna reste la star la plus utilisée en tant qu’« appât » par les scammers pour répandre un malware via Facebook. L’arnaque des billets “gratuits” pour Disneyland sort aussi du classement alors qu’en juillet dernier, elle surclassait l’arnaque « Je peux vérifier qui regarde mon profil » qui avait fait des dizaines de milliers de victimes. Le scam « Qui a visité mon profil » conserve quant à lui sa 1ère place, représentant presque un tiers de la part totale des arnaques sur Facebook (30.20%). Les arnaques du type « changez la couleur de votre Facebook » se sont internationalisées et représentent dorénavant 7,38 % de la part totale des scams sur Facebook (vs 4.16% en 2013).

Argent, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Vie privée

L’impact des failles de données sur la fidélité des clients

65 % des consommateurs adultes se déclarent peu enclins à poursuivre leurs relations commerciales avec des entreprises ayant subi une faille touchant aux données financières.

Selon une nouvelle étude de SafeNet, Inc., un des leaders mondiaux de la protection des données, les failles de données ont un impact significatif sur les relations commerciales qu’une marque peut entretenir avec ses clients. Il ressort en effet de cette étude réalisée auprès de plus de 4 500 consommateurs adultes dans cinq des plus grandes économies du monde (États-Unis, Royaume-Uni, Allemagne, Japon et Australie) que près des deux tiers (65 %) des personnes interrogées envisagent de ne plus jamais – ou très peu – entretenir de relations commerciales avec une enseigne ayant subi une faille de données doublée d’un vol de données financières (numéros de cartes bancaires, numéros de comptes bancaires et autres informations de connexion).

En parallèle, SafeNet annonce également aujourd’hui les résultats de l’étude Breach Level Index (BLI) du deuxième trimestre qui précise que 237 failles ont été recensées d’avril à juin 2014, impactant plus de 175 millions d’enregistrements à travers le monde. Les résultats de cette étude soulignent donc l’impact que les failles de données peuvent avoir sur la fidélité des clients et le business des entreprises. Les failles de données impliquant des informations personnelles identifiables sont considérées comme légèrement moins nocives pour les entreprises que les failles impliquant des données financières : seulement un peu plus de la moitié des personnes interrogées (57 %) indiquant ne plus jamais – ou très peu – entretenir de relations commerciales avec une entreprise ayant subi une faille de données de cette nature.

« Les failles de données ne sont pas seulement des failles de sécurité. Ce sont également des violations de la confiance entre les entreprises et leurs clients, qui peuvent écorner l’image de marque, entraîner un manque à gagner, des poursuites juridiques et des amendes potentiellement menaçantes pour la viabilité des entreprises. Pour les sociétés qui ne sont pas capables de gérer leur vulnérabilité en matière de sécurité, le problème ne fera qu’empirer : en effet, à mesure que les réglementations concernant la déclaration des failles de données deviendront plus strictes à travers le monde, les failles gagneront en visibilité auprès du grand public. C’est pourquoi les entreprises doivent tout faire pour protéger les données de leurs clients », a déclaré Tsion Gonen, directeur de la stratégie de SafeNet.

Dans les cinq pays concernés par l’enquête de fidélisation client, la répartition des personnes qui envisagent de ne plus jamais – ou très peu – entretenir des relations commerciales avec une enseigne ayant subi une faille de données, est la suivante :

États-Unis : 54 %
Royaume-Uni : 68 %
Allemagne : 53 %
Japon : 82 %
Australie : 72 %

Seulement la moitié des consommateurs estiment que les entreprises prennent la sécurité des données au sérieux. Selon les résultats de cette enquête, seulement la moitié des adultes interrogés estiment que les entreprises prennent la protection et la sécurité des données suffisamment au sérieux. Ce sentiment est susceptible d’avoir été influencé par le volume élevé de failles de données enregistré en 2014. Au cours du seul deuxième trimestre, les failles de données ont frappé de nombreuses entreprises renommées dont AOL, Dominos, eBay, Office et Spotify. Plus de 175 millions de dossiers clients renfermant des informations personnelles et financières ont été impactés à travers le monde.

« Face à l’augmentation de la fréquence et de l’ampleur des failles de données, il ne fait aucun doute que toutes les entreprises sont exposées à plus ou moins longue échéance. Les cybercriminels visent les cibles les plus faciles, et dans de nombreux cas, les données personnelles ne sont pas chiffrées. Les conséquences sont limpides : il est temps que les entreprises pensent à protéger davantage leurs données au moyen d’une solution de chiffrement forte et d’authentification multi-facteurs. Seules les entreprises ayant adopté une approche basée sur les « failles sécurisées » et ayant chiffré la totalité des données seront en mesure de conserver leurs clients en cas de faille de données », a conclu Tsion Gonen.

Chiffrement, cryptage, Cybersécurité, Espionnae, Facebook, Identité numérique, Vie privée

Piratage facile des données utilisateurs Instagram

2 commentaires

Une nouvelle vulnérabité, considérée comme critique, touche le jouet de Facebook, Instagram.

La faille permet à un internaute malveillant de mettre la main sur les informations des utilisateurs, dont le cookies de connexion. L’attaque peut se faire via les applications (sauf mobile, ndlr) du portail communautaire. Des logiciels qui n’utilisent pas les connexions chiffrées. Bref, via un hotspot wifi, une connexion d’entreprise (coucou admin, ndlr), les données transitent en clair. Un « homme du milieu », n’a plus qu’à se servir.

Mazin Ahmed, qui a découvert le probléme a contacté facebook qui lui a confirmé connaitre le probléme depuis 2012. Facebook travaille à réfléchir quand la version HTTPS sera mise en place pour Instagram. A noter qu’en France Facebook et Instagram sont donc dans l’illégalité la plus totale et pourrait être poursuivit. La loi Française impose aux entreprises de sécuriser au mieux les données que les utilisateurs peuvent lui laisser.

Data Security Breach rappelle à Facebook et Instagram que la communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende. Que la divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende. Article 226-22 du code pénal. A cela, DataSecurityBreach.fr rajoute que le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. Article 226-17 du code pénal. Seule la version mobile d’Instagram chiffre les informations.

Chiffrement, cryptage, Entreprise, Fuite de données, Paiement en ligne, Propriété Industrielle

Galileo communique en mode chiffré

Le Satelitte commercial Galileo vient de conclure ses premiers tests de diffusion en mode chiffré.

La démonstration a permis de diffuser des signaux à la fois chiffrés et non chiffrés. Au cours d’une période d’essai de 10 jours, les récepteurs situés à Tres Cantos (Espagne) et Poing (Allemagne) ont pu emettre et recvoir des informations protégées. Les essais ont confirmé le chiffrement, contenant l’authentification et l’assurance de données non altérées. Les signaux chiffrés ont été diffusés sur les « signaux » E6-B et E6-C des satelittes Galileo. Une démonstration pour ce concurrent du service américain (GPS, …). Une fois opérationnel, deux autres signaux cryptés sur la bande E6 seront proposés. Il reste encore pas mal de travail avant une mise en action définitive des services de Galileo qui devraient débuter en 2016.

Android, Argent, Arnaque, escroquerie, Sécurité, Smartphone

Le ransomware mobile Koler cible aussi les PC

2 commentaires

Mise au jour d’une partie cachée du programme malicieux qui a révélé au monde le ransomware Koler pour les appareils Android en avril 2014.

Cette partie inclut des ransomware utilisant les navigateurs et un exploit kit. Depuis le 23 juillet, le composant mobile de ce programme a été interrompu, et le serveur de commande et de contrôle a commencé à envoyer des commandes de désinstallation sur les mobiles des victimes. Cependant, le reste des composants sur PC  – incluant l’exploit kit – est toujours actif. Kaspersky Lab continue de surveiller ce malware, qui a été présenté pour la première fois par un chercheur en sécurité appelé Kaffeine.

Les criminels derrière ces attaques ont utilisé une technique inhabituelle pour scanner les systèmes des victimes et développer des ransomware personnalisés en fonction du lieu et du type d’appareil – mobile ou PC. L’infrastructure de redirection est l’étape qui suit, une fois que la victime a visité l’un des 48 sites pornographiques malicieux utilisés par les opérateurs de Koler. L’utilisation d’un réseau pornographique pour ce ransomware n’est pas anodin car les victimes ont souvent honte d’avoir visité ce type de contenu et sont prêtes à payer l’amende provenant de soi-disant ‘autorités’.

Les sites pornographiques en question redirigent es utilisateurs vers un hub central qui utilise Keitaro Traffic Distribution System (TDS) pour les rediriger une nouvelle fois. En fonction d’un certain nombre de critères, la seconde redirection peut déclencher trois scenarii différents :

–          L’installation du ransomware mobile Koler. Dans le cas où l’utilisateur utilise un appareil mobile, il est automatiquement redirigé vers l’application malicieuse. Mais il doit encore confirmer le téléchargement et l’installation de l’application – baptisée animalporn.apk – qui est en réalité le ransomware Koler. L’écran de l’appareil touché est alors bloqué et il est demandé à l’utilisateur de payer entre 100$ et 300$ pour le débloquer. Le malware affiche un message localisé émanant soi-disant de la police, ce qui le rend particulièrement crédible.

–          Redirection vers l’un des sites du navigateur ransomware. Un contrôleur spécial vérifie si (i) l’agent utilisateur émane de l’un des 30 pays touchés, (ii) l’utilisateur est ou non un utilisateur Android, et si (iii) la requête ne contient pas d’agent utilisateur Internet Explorer. Si la réponse est positive pour les trois, l’utilisateur voit apparaitre un écran similaire à celui qui apparait sur les mobiles. Dans ce cas, il n’y a pas d’infection, juste une fenêtre pop-up qui peut être évitée facilement grâce à la combinaison alt+F4.

–          Redirection vers un site web contenant Angler Exploit Kit. Si l’utilisateur navigue à partir d’Internet Explorer, l’infrastructure de redirection l’envoie vers des sites hébergeant Angler Exploit Kit, qui inclut des exploits pour Silverlight, Adobe Flash et Java. Pendant l’analyse, le code exploit était parfaitement fonctionnel. La charge utile (payload) était nulle, mais cela pourrait évoluer dans un futur proche.

Vicente Diaz, chercheur principal en sécurité chez Kaspersky Lab, explique : « L’un des points particulièrement intéressant de cette campagne est l’utilisateur d’un réseau de distribution. De douzaines de sites web générés automatiquement redirigent le trafic vers un hub central utilisant un système de distribution du trafic qui redirige une nouvelle fois les utilisateurs. Selon Kaspersky Lab, cette infrastructure démontre à quel point l’ensemble de la campagne est organisé et dangereux.  Les attaquants peuvent créer rapidement des infrastructures similaires grâce à un fonctionnement automatisé, tout en changeant le payload ou le type de cibles. Ils ont également pensé à la façon de monétiser au mieux l’ensemble en ciblant grand nombre d’appareils. »

Le payload mobile en chiffres
Près de 200 000 visiteurs ont été en contact avec le domaine mobile infecté depuis le début de la campagne. La majorité d’entre eux étaient basés aux US (80% – 146 650), suivi du Royaume-Uni (13 692), l’Australie (6 223), le Canada (5 573), l’Arabie Saoudite (1 975) et l’Allemagne (1 278). Europol et Interpol travaillent actuellement à savoir comment fermer l’infrastructure malveillante.

Conseils aux utilisateurs :
–       Gardez à l’esprit que la police ne diffuse jamais de message électronique demandant de l’argent donc ne payez pas ;
–       N’installez pas les applications que vous trouvez en surfant sur Internet ;
–       Ne visitez pas les sites web auxquels vous ne faites pas confiance ;
–       Utilisez une solution de sécurité fiable.

Android, Argent, Arnaque, Cybersécurité, escroquerie, ios, Sécurité, Smartphone

Piège autour de Clash of Clans

Clash of Clans, Bubble Witch, Boom Beach… des applications vidéo ludiques qui font un carton sur les smartphones et autres tablettes. Des jeux qui, mais ce n’est pas obligé, proposent de payer pour passer des niveaux, gagner de l’énergie, des bonus, … Bref, des jeux qui rapportent des centaines de milliers d’euros aux éditeurs. Les joueurs peuvent dépenser beaucoup, du moins pour les plus impatients. Des pirates ont trouvé le moyen de piéger ses joueurs impétueux en leur proposant de tricher, du moins les « gamerz » le pensent. Plusieurs sites, installés en Iran, tentent d’inciter les joueurs à télécharger des applications ayant pour mission de gagner plus, en jouant moins. « Clash-of-Clans Hack illimit gemmes » ; « BubbleWitch2 illimit bonus » ; … promettent les pirates. Derrière ces faux logiciels, de vrais pièges qui n’ont qu’une seule finalité, infiltrer les appareils des propriétaires. A noter que DataSecuityBreach.fr a repéré aussi des applis, toujours sur des sites Iraniens, proposant de télécharger des « followers-Instagram ».