Archives de catégorie : backdoor

600 millions d’utilisateurs d’un téléphone Samsung en danger ?

Plus de 600 millions d’utilisateurs de téléphones portables Samsung ont été touchés par un risque de sécurité important. Samsung S3, S4, S5 et S6 touchés par une vulnérabilité dans un clavier pré-installé qui permet à un pirate d’exécuter du code à distance.

Intéressant ! Après la diffusion de faille et bug visant le téléphone portable d’Apple, l’iPhone, voici venir la faille pour le concurrent direct de la grosse pomme, la famille des Samsung S. Cette faille a été découverte par le chercheur Ryan Welton de la société américaine de NowSecure. Samsung a été alerté en décembre 2014.

Compte tenu de l’ampleur du problème, NowSecure a aussi notifié le CERT américain afin de faire corriger le problème rapidement (CVE-2015-2865). L’équipe de sécurité de Google Android a elle aussi été mise dans la boucle. L’attaque permet de récupérer la connexion GPS, brancher caméra et micro, installer en cachette des applications malveillantes, lire les messages (SMS, MMS, Mails, …). Bref, une petite cochonnerie.

Samsung n’a rien dit, mais propose depuis début de 2015 un correctif. Impossible de savoir si les opérateurs ont suivi la même mouvance sécuritaire… mais particulièrement pratique pour espionner une cible précise. A la lecture de la liste ci-dessous, qui ne concerne que des opérateurs américains, il y a de forte chance que votre téléphone soit toujours un espion en puissance dans votre poche.

Malheureusement, l’application du clavier défectueux ne peut pas être désinstallé. Côté solution : ne pas utiliser de wifi non sécurisé (utilisez un VPN, INDISPENSABLE NDLR)… ou changez de téléphone.

Galaxy S6      Verizon  Non corrigée
Galaxy S6       AT & T   Inconnu
Galaxy S6       Sprint   Non corrigée
Galaxy S6       T Mobile Inconnu
Galaxy S5       Verizon  Inc9nnu
Galaxy S5       AT & T   Inconnu
Galaxy S5       Sprint   Inconnu
Galaxy S5       T Mobile N8n c2rrigée
Galaxie S4       Verizon  Inconnu
Galaxie S4       AT & T   Inconnu
Galaxie S4       Sprint   Inconnu
Galaxie S4       T Mobile Inc8nnu
Galaxy S4 Mini  Verizon  Inconnu
Galaxy S4 Mini  AT & T   Non corrigée
Galaxy S4 Mini  Sprint   Inconnu
Galaxy S4 Mini  T Mobile Inc9nnu

Merci à @dodutils pour l’alerte.

RunPE, le tueur de logiciels espion

Phrozen RunPE Detector : Nouveau logiciel indispensable dans son kit de secours informatique.

Phrozen RunPE Detector est la nouvelle création d’un informaticien chercheur Français que nous vous présentons souvent dans les colonnes de Data Security Breach. En plus d’être un ami, il est surtout un sérieux dompteur de codes via son site Internet Phrozen Soft. Il y a quelques années, il sortait le logiciel RAT DarkComet. Un excellent outil qu’il devra stopper. Des malveillants ayant détourné son outil… comme le gouvernement Syrien pour espionner les opposants au régime. Une mésaventure qui n’a pas assommé notre codeur Français, bien au contraire. Depuis, il concocte des outils de sécurité qui mériteraient de se retrouver sur les étagères des éditeurs d’antivirus de la planète web. En attendant, ce nouveau logiciel, baptisé Phrozen RunPE Detector, va devenir un indispensable de votre boite à outil sécurité informatique.

Pour faire simple, la technique RunPE consiste à démarrer un processus légitime souvent signé puis de le suspendre pour remplacer son contenu par une application malicieuse, ainsi cela permet de contourner les restrictions des par feux et d’exécuter du code directement en mémoire. Malheureusement, très pratique pour piéger les antivirus. Une technique utilisée par les pirates dans leurs « crypteurs », mais aussi dans de nombreux RAT. De nombreux outils malveillants continuent d’utiliser cette technique populaire, bilan, JP Lesueur a décidé de faire un outil qui se charge de repérer la menace.

Un logiciel d’analyse dynamique, et non statique, qui détecte la menace et, permet même dans certains cas, de récupérer la source de la menace. Le logiciel est gratuit.

Confirmation du piratage du Bundestag

L’assemblée parlementaire Allemande, le Bundestag, piratée. Un cheval de Troie infiltré dans des machines.

Un porte-parole de la chambre basse du Parlement allemand, le Bundestag, a confirmé que des pirates avaient réussi à s’infiltrer et à voler des données après le piratage d’ordinateurs appartenant à l’assemblée parlementaire Allemande. Une attaque qui aurait débuté en mai. L’infiltration n’a été détectée que deux semaines plus tard.

Les détails ne sont pas claires quant aux services touchés par ce piratage. Un cheval de Troie a été découvert. Il aurait permis les actions malveillantes (vols de données ? rebond pour DDoS sur d’autres sites ? Espionnage ?).

Autant dire qu’un employé a très bien pu cliquer sur un lien en visitant un site pour adultes, télécharger un torrent moisi ou reçu un courriel piégé.  (DW)

166816, le code secret qui pirate 90% des lecteurs de CB

Voilà qui est amusant. Le code secret de notre carte bancaire est un précieux sésame qu’il vaut mieux garder au secret. Il faudrait, maintenant, que les banques obligent le changement des mots de passe des lecteurs de cartes bancaires que l’on trouve dans les boutiques, restaurants, …

Si je vous dit 166816 ou encore Z66816, vous aller vous demander ce que sont ces mystérieux codes. La réponse est malheureusement très simple. Ils représentent 90% des mots de passe usine trouvés dans des lecteurs de cartes bancaires. Des lecteurs disposés chez les commerçants.

Des chercheurs de Trustwave, un cabinet spécialisé dans la cybersécurité, ont découvert que 9 propriétaires sur 10 de lecteurs de CB n’avaient pas modifié le mot de passe de leur boitier. Des mots de passe qui existent depuis … 1990.

Charles Henderson, de chez TrustWave, explique qu’un pirate, armé de ces mots de passe était
capable d’atteindre un accès à l’administration des lecteurs de cartes et, pour les plus joueurs, installer un code malveillant. Pour arriver à cette inquiétante conclusion, les chercheurs ont étudié les terminaux de cartes de crédit de plus de 120 détaillants du pays.

Stegosploit : l’outil qui cache un code malveillant dans une image

Lors de la conférence Hack In The Box d’Amsterdam, un chercheur en sécurité informatique présente Stegosploit, un outil qui permet de cacher un code malveillant dans une image.

Imaginez, vous êtes en train de surfer quand soudain votre machine devient folle ! Un code malveillant vient d’être installé alors que vous avez un antivirus et vos logiciels à jour. Une image, affichait par un site que vous veniez de visiter vient de lancer l’attaque. De la science-fiction ? Pas avec les preuves de Saumil Shah, un chercheur en sécurité informatique.

L’ingénieur a expliqué lors de la conférence (HiP) Hack In The Box que des pirates étaient très certainement en train d’exploiter sa découverte. L’idée, cacher un code malveillant dans une image en utilisant la stéganographie (cacher une information dans un autre document, NDR). Des recherches de Shah est sorti Stegosploit, un logiciel qui code en Javascript un logiciel malveillant dans les pixels d’une image au format JPEG ou PNG.

Trend Micro partage son expertise sur la cyber-sécurité dans le nucléaire

Trend Micro, leader mondial des solutions et logiciels de sécurité, participe en ce moment à l’International Conference on Computer Security in a Nuclear World: Expert Discussion and Exchange, la conférence Internationale sur la Sécurité Informatique dans le Monde Nucléaire.

L’Agence Internationale de l’Energie Atomique (AIEA), organise cette semaine à Vienne (jusqu’au 5 juin) un rendez-vous dédié à la sécurité des infrastructures nucléaires dans le monde. L’éditeur de solutions de sécurité informatique Trend Micro présente les bénéfices offerts par ses solutions (notamment Portable Security et SafeLock), ainsi que les avancées de ses dernières recherches dans le domaine des attaques ciblant les environnements industriels SCADA/ICS.

« Nous sommes particulièrement honorés d’avoir été conviés à cette conférence », commente Loïc Guézo, Security Evangelist, Director chez Trend Micro, référent AIEA au sein de société. « Trend Micro souhaite contribuer à la mission de l’AIEA et s’engager à ses côtés pour une utilisation sûre, sécurisée et pacifique de l’énergie nucléaire. Les conséquences d’une cyber-attaque contre une infrastructure nucléaire, par exemple, seraient potentiellement dévastatrices. Cet événement joue ainsi un rôle essentiel dans la protection de milliards d’êtres humains à travers le monde. »

Dans ce contexte, l’AIEA organise cette conférence en coopération avec Interpol, l’Union internationale des télécommunications (UIT), l’Institut interrégional de recherche des Nations unies sur la criminalité et la justice (UNICRI) et la Commission électrotechnique internationale (CEI). L’agence a ainsi souhaité rassembler les spécialistes du monde entier qui, à l’image de Trend Micro, apportent une expertise et des solutions concrètes aux questions très spécifiques des constructeurs et opérateurs du nucléaire. L’anticipation de problématiques à venir et la recherche de pistes pour intensifier la coopération internationale dans ce domaine seront également à l’ordre du jour.

Créée en 1957 par l’Assemblée générale des Nations Unies, l’AIEA a pour objectif d’encourager et de faciliter le développement de l’énergie atomique à des fins pacifiques, ainsi que la recherche dans ce domaine à l’échelle mondiale, notamment les problématiques de cyber-sécurité. L’organisation a pour objectif de fournir aux Etats des conseils et des ressources pour les aider à détecter et répondre aux cyber-attaques, criminelles ou intentionnelles, ciblant ou impliquant un matériau nucléaire, tout autre matériau radioactif, une infrastructure ou une activité afférente.

La Yemen Electronic Army diffuse des milliers de documents sensibles

DSB a pu constater des milliers de données volées.

La Yemeni Electronic Army vient de mettre une sacré pagaille dans l’informatique du Ministère des Affaires étrangères d’Arabie Saoudite. Des milliers de données diffusées, des centaines de machines bloquées.

La Yemeni Electronic Army (Yemen Cyber Army) n’a pas été de main morte, derrière ce groupe de pirates informatiques, de jeunes internautes passionnés d’informatiques et, malheureusement, manipulés dans des actions qui les dépassent. Le YEA a annoncé le pirate du Ministère des Affaires étrangères d’Arabie Saoudite (mofa.gov.sa). Plusieurs milliers d’informations sensibles, allant des visas, aux courriels internes des Ambassades du Royaume ont été mis en ligne sur plusieurs sites de téléchargement gratuits. Ils ne sont pas à leur premier coup. Ils ont piraté, dernièrement, un sous domaine du Ministère de l’Éducation Nationale d’Arabie Saoudite ssb.edu.sa.

Le Yemen Cyber Army  annonce avoir chiffré 3 000 ordinateurs, volé plus de 300Gb de données. Ils promettent autant d’informations pour le Ministère de l’Intérieur et le Ministère de la Défense. A noter que la source de l’information nous provient d’une agence de presse Iranienne qui n’a pas hésité à diffuser le lien de téléchargement des données piratées, volées et mis en ligne.

Ce groupe de pirates dispose d’un outil qu’ils cachent dans les serveurs infiltrés.

Le royaume d’Arabie Saoudite est une ciblé récurrente. Au mois d’août 2012, une des plus importantes compagnie pétrolière du monde, Saudi Arabian Oil Co était obligée de couper ses ordinateurs du web après la découverte d’un code malveillant dans ces derniers.

Des pirates dans le réseau bancaire Isabel

Des pirates informatiques auraient visé le système bancaire belge Isabel.

Le nombre de cyberattaques contre les utilisateurs de toutes sortes de plateformes de banque en ligne est en nette augmentation. Les utilisateurs Isabel aussi peuvent être victimes d’actes de fraude ou de maliciels (logiciel malveillant). Malgré toutes les mesures de sécurité prises par Isabel SA et les banques, la sécurité des transactions n’est possible qu’avec la collaboration active des utilisateurs. Cependant, il semble que des pirates ont trouvé le moyen de nuire à cette entreprise forte de 35 000 clients professionnels.

Isabel SA est le principal prestataire belge de services en matière de PC Banking destinés aux utilisateurs professionnels. Les grandes entreprises, comme Breetec, des PME et des services publics utilisent ce système. Isabel c’est annuellement 400 millions de transactions pour une valeur de 2.400 milliards d’euro. Bref, de quoi attirer les pirates informatiques.

Selon la justice belge, des malveillants auraient mis en place un virus qui se serait attaqué à 35 000 entreprises belges. Des enquêtes ont été ouvertes par les parquets de Bruxelles et de Furnes. D’après le journal De Tijd, plusieurs sociétés auraient été victimes de ponctions pécuniaires orchestrées par le code pirate.

Isabel indique de son côté que le PC de l’utilisateur est contaminé par un maliciel (logiciel malveillant) au travers d’une pièce jointe proposé par un courriel. Le fraudeur prend le contrôle du PC à distance. Il effectue des transactions frauduleuses et les fait signer par l’utilisateur. « Le mode d’attaque ne change pas dans l’environnement Isabel. La seule différence se situe au moment où le fraudeur veut faire signer la transaction : à ce moment, le lecteur de carte émet un bip. Si l’utilisateur considère la demande du lecteur comme suspecte et n’introduit pas son code PIN, aucun problème. » Malheureusement, si l’utilisateur a le réflexe d’introduire son code PIN, il signera sans le savoir une transaction frauduleuse. C’est donc bien l’utilisateur qui signe des transactions qui seront ensuite exécutées par la banque.

Breetec, l’une des victimes, a été en mesure de retracer l’une des transactions qui s’est terminée dans une banque situé à Dubaï.

Outils anti ransomwares

Disque dur bloqué, fichiers chiffrés, … les attaques de ransomwares n’ont jamais été aussi nombreuses. Un kit de sauvetage vient d’être diffusé. Il ne corrige pas toutes les possibilités malveillantes, mais permet déjà d’y voir plus clair.

L’internaute Jada Cyrus a compilé un kit de secours pour aider les victimes de ransomwares à déchiffrer les fichiers verrouillés. Cette boite à outils serait efficace contre les variantes de CryptoLocker, TeslaCrypt, et CoinVault, trois logiciels rançonneurs malheureusement très populaire sur la toile… et dans les ordinateurs de leurs victimes. « Nous avons des dizaines de cas » souligne à DataSecurityBreach.fr un technicien officiant dans une boutique informatique du Nord de la France, à Seclin. « Beaucoup de personnes se retrouvent avec leurs fichiers chiffrés et n’hésitent pas à payer pour retrouver leurs biens« .

ZATAZ.COM a proposé, il y a quelques semaines, un article les premières minutes d’une attaque d’un ransomware. De quoi vous donner une idée de l’efficacité de ce genre d’attaque. Pour rappel, pour se protéger de ce genre de cochonnerie : Ne pas télécharger ou cliquer sur n’importe quoi ; Un courriel proposant un fichier joint de types .rar ; .zip ; .exe ; .svg ; … sont à bannir. Les alertes s’ouvrant dans votre navigateur vous annonçant « des virus » ou une mise à jour urgente de VLC (vidéo, NDR) ; Flash ; … ne sont pas à prendre à la lettre. Un antivirus mis à jour est obligatoire. La meilleure des défenses face à ce genre d’attaque reste la réflexion. Ce kit regroupe des anti ransomwares pour BitCryptor, CoinVault, CryptoLocker, FBI Ransomware, PC Lock, Tesla Crypt, Torrent Locker.

Un faux courriel, une pièce jointe piégée et le disque dur est chiffré !

Pendant ce temps…

Le Ministère de la justice Vietnamien est devenu la dernière victime de taille d’une attaque d’un ransomware. Plusieurs ordinateurs connectés au réseau du ministère ont été infectés par le malware. Beaucoup de données « importantes » se sont retrouvées cryptés. Comme il n’y a aucun moyen de récupérer les données autres que de payer la rançon, il est très probable que le ministère va perdre toutes ses données. Espérons pour ce ministère que les mots « sauvegardes », « Backup » ou « Kar surxng kahxmul » ne lui soit pas inconnu.

Le kit est à télécharger ICI.

Infiltration du réseau PacNet

Un pirate informatique a visité le réseau PacNet de la société TelStra. Plusieurs organismes gouvernementaux, dont la police fédérale australienne infiltrés.

Courriels, réseaux, serveurs, sites Internet. Pas de doute, l’infiltration que vient de révéler la société Telstra fait bondir les kangourous Australiens. Le réseau d’entreprises Pacnet a été piraté et infiltré. La filiale asiatique de Telstra a été visitée, mettant en danger ses clients, dont la police fédérale australienne, le ministère des Affaires étrangères, le ministère du Commerce et de nombreux autres organismes gouvernementaux. Une attaque qui a visé les systèmes d’administrations des clients de ce géant de l’informatique, ainsi que leurs courriels. Une attaque qui a été lancée début avril 2015.

Une attaque qui débarque au moment ou TelStra finalise le rachat de PacNet (697 millions de dollars, NDR DataSecuritybreach.fr) et se prépare à lancer une grande campagne de communication, en Asie, pour
vanter ses services.

L’Australian Cyber Security Centre (ACSC) enquête sur cette affaire. Il n’y a pas encore eu de communication sur les données qui ont pu être volées aux différents ministères. Le plus inquiétant est que le pirate, via une injection SQL, a pu tout simplement installer un shell (une porte cachée – backdoor) dans le serveur et lancer sa petite visite que personne n’a vu, du moins jusqu’au 16 avril dernier. Bref, une attaque d’un classique qui a de quoi faire revenir sur terre le thylacine (animal australien aujourd’hui disparu, NDR).

Pacnet est l’une des rares entreprises à avoir des datas center en Chine occidentale. L’origine géographique du pirate reste inconnue. (CT)

Les Députés américains votent la fin de la collecte en vrac de la NSA

La NSA collecte, à la tonne, les données téléphoniques. Mission officielle, traquer les terroristes. 338 députés, sur 88, ont décidé que cet espionnage devait être mieux contrôlé.

Alors qu’en France les députés ont décidé de permettre la collecte de données « en vrac » de personnes considérées comme dangereuses par les services de renseignements, aux USA, le Capitole a confirmé par le vote positif de 338 députés (pour 88 contre, NDR) que la même collecte, réalisée par la Nationale Security Agency (NSA) devait être contrôlée.

La Chambre a voté ce 13 mai le projet de loi baptisée USA Freedom Act. Bilan, elle aura pour effet, si le Sénat vote dans le même sens, de faire fermer de nombreux programmes d’espionnage de la NSA. Un espionnage visant les ressortissants américains, sur le sol de l’Oncle Sam. Ce projet de loi, adopté massivement par les députés, mettra peut-être fin à la collecte en vrac des appels téléphoniques à partir d’un fournisseur de télécommunication américain.

Un programme d’espionnage dénoncé en 2006 par USA Today, et qui reviendra sur le devant de la scéne en 2013, via les dossiers de la NSA volés par Edward Snowden, ancien analyste privé des grandes oreilles américaines.

Ce projet de loi prévoit que la NSA devra passer par la Foreign Intelligence Surveillance Court avant de demander une écoute. Ce projet exige de l’agence l’utilisation de mots spécifiques lors de ces
recherches. Des mots qui doivent affiner son accès aux seuls dossiers pertinents. Il faut attendre, maintenant, le vote du Sénat pour entériner ce projet de loi. L’Electronic Frontier Foundation (EFF) se félicite de cette nouvelle avancé, même si l’EFF doute du vote final. La semaine dernière, une cour
d’appel fédérale avait statué que cette collecte massive de données téléphonique était totalement illicite. Une collecte qui n’avait jamais été autorisée par l’article 215 du Patriot Act (Fight 215).

4ème édition du livre Ethical Hacking

Ce livre sur la sécurité informatique est devenu une véritable référence. Écrit par des universitaires Français, « Sécurité informatique – Ethical Hacking » vient de sortir sa 4ème édition.

Ce gros pavé s’adresse à tout informaticien sensibilisé au concept de la sécurité informatique mais novice ou débutant dans le domaine de la sécurité des systèmes d’informations. Il a pour objectif d’initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

Cette nouvelle édition tient compte de l’actualité en matière de sécurité informatique et voit l’apparition de trois nouveaux chapitres qui traitent : des investigations Forensic, principalement utilisées dans la recherche de preuves numériques, des attaques plus orientées vers le matériel (comme les cartes à puce et autre) et des Box, omniprésentes dans nos maisons, en mettant en lumière que celles-ci ne sont pas infaillibles et qu’il faut bien savoir les configurer pour éviter les ennuis.

La 4ème édition de ce livre référence vient d’être publiée.

Les auteurs de ce livre (Marion AGÉ – Nicolas CROCFER – Robert CROCFER – David DUMAS – Franck EBEL – Guillaume FORTUNATO – Jérôme HENNECART – Sébastien LASSON – Raphaël RAULT – Laurent SCHALKWIJK) composent une équipe de personnes de conviction qui se donnent pour mission de rendre la sécurité informatique accessible à tous : « apprendre l’attaque pour mieux se défendre« . Sécurité informatique – Ethical Hacking – Edition ENI – 54€.

Spy in the sandbox : espionner un ordinateur en quelques clics

Décidément, espionner les ordinateurs serait un véritable jeu d’enfant. Aujourd’hui, il suffit d’un navigateur compatible HTML5 pour espionner huit ordinateurs sur 10 de par le monde.

Prenez un ordinateur récent, fonctionnant avec un processeur Intel. A cela rajoutez un navigateur Internet compatible html5, une page malveillante et un peu de Javascript et vous voilà la technique du Spy in the sandbox.

Des chercheurs en sécurité de l’université américaine de Cornell (Yossef Oren , Vasileios P. Kemerlis , Simha Sethumadhavan , Angelos D. Keromytis) ont annoncé avoir découvert comment il était (trop, ndr) simple d’espionner huit ordinateurs sur dix de par le Monde. L’ordinateur n’a besoin que d’être motivé par une puce Intel. Une page d’hameçonnage piégée permet d’actionner un ensemble d’actions malveillantes que les chercheurs ont baptisé exploit « micro architectural« .

Un code Javascript dans la page pirate va ensuite collecter les données qui passent (entrantes et sortantes, ndr). La mémoire « tampon » du processeur est trop rapide. Bilan, les informations en caches peuvent être aspirées. Le processeur est rapide, la mémoire vive beaucoup moins. « Se défendre contre cette attaque est possible, mais les contre-mesures nécessaires peuvent exiger un coût loin d’être négligeable » précise les chercheurs dans le document qu’ils ont diffusé.

Quand les virus informatiques détruisent nos complexes industriels

Fin décembre, le gouvernement allemand a émis un rapport concernant une cyber-attaque contre une aciérie, qui a eu pour conséquence des dommages conséquents causés à l’usine. L’événement a été largement médiatisé depuis, de la BBC à Youtube ; le SANS Institute (SysAdmin, Audit, Network, Security) a notamment fourni une analyse détaillée de l’attaque. Nombre de ces rapports, comme celui de Wired, ont désigné l’attaque comme « le second cas confirmé dans lequel une attaque numérique a entraîné la destruction physique d’équipements », la première étant Stuxnet.

L’attaque s’est produite seulement quelques semaines après celles de BlackEnergy, ce qui a attiré mon attention, ce cas-ci constituant une attaque bien plus fondamentale contre une infrastructure majeure. L’attaque s’est concentrée sur la contamination de composants d’interface homme-machine issus de divers fournisseurs. De même que dans l’attaque sur des infrastructures américaines de gaz naturel rapportée par US-Cert en 2013, BlackEnergy représente une initiative élargie contre des capacités industrielles, bien plus sérieuse que l’attaque unique de l’aciérie allemande.

La visibilité que donne cet incident quant au risque de cyber-attaques est essentielle ; elle nous avertit que les attaques ciblées contre l’Internet des Objets en général et contre les infrastructures essentielles en particulier doivent être prises au sérieux. Certains historiens des technologies désignent juin 2010 comme le moment où tout a changé. C’est le moment où Stuxnet a frappé et aurait neutralisé un cinquième des centrifugeuses nucléaires en Iran. Depuis, le public n’a eu connaissance que de quelques autres cas d’usage de cyber-armes, mais ne vous y trompez pas : depuis 2010, les pays et « des groupes renégats » collectent des renseignements en masse et mettent au point des cyber-armes dont il peut être facilement fait usage contre un ennemi.

Les anomalies et interruptions consécutives de la connexion internet en Corée du Nord sont attribuées, sans confirmation, à des représailles suite à la récente agression d’une entreprise basée aux Etats-Unis. Suivant cette tendance, il n’est pas inimaginable que les guerres du futur se déroulent largement sur Ethernet, infligeant aux infrastructures des dommages bien plus importants et coûteux que nous ne pouvons l’imaginer.

Ce n’est pas de la science-fiction. Le directeur de la NSA, Michael Rogers, l’a annoncé publiquement : la Chine pourrait neutraliser la totalité du réseau électrique des Etats-Unis et d’autres attaques similaires pourraient être lancées, constituant des menaces concrètes pour les simples citoyens. Le trojan HAVEX récemment découvert en est un autre exemple. Ce malware a infiltré un nombre indéterminé d’infrastructures essentielles en s’intégrant à des mises à jour logicielles diffusées par des fabricants de systèmes de contrôle. Ces attaques impactent des systèmes sur lesquels nous nous appuyons quotidiennement, notamment des systèmes utilitaires, des raffineries, des systèmes de défense militaire, ou des usines de traitement des eaux.

Avec notre dépendance accrue aux technologies de l’information et nos systèmes interconnectés, nos efforts pour assurer à ces systèmes des défenses appropriées n’ont pas suivi le rythme. Par exemple, un simple pare-feu et des technologies de sécurité basées sur des règles ne garantissent pas la sûreté d’environnements diffusés ou virtuels, ni ne protègent d’attaques « jour zéro » ciblées où aucune signature n’a été développée. Les cybercriminels de niveau corporatif et les cyber-terroristes d’échelle nationale peuvent facilement tirer parti de ces brèches dans notre armure défensive et lancer la prochaine attaque d’envergure.

Lors de la mise en place de nouvelles technologies, il est essentiel de faire de la sécurité un enjeu du débat plutôt que d’y faire face par un ajout après-coup ou même suite à une attaque. Notre capacité à sécuriser les intérêts commerciaux et intérêts nationaux requiert une posture « vers l’avant » contre les scénarios de plus en plus plausibles où une arme lancée contre nous sera peut-être bien plus silencieuse mais bien plus dévastatrice lorsque nous ferons face aux cyberguerres.  (Par Christian Hiller, Président, EMC France)

1 milliard de données personnelles identifiables divulguées en 2014

L’équipe de recherche et développement IBM X-force vient de publier son rapport trimestriel sur son analyse des menaces avancées. Ce rapport dévoile qu’au moins 1 milliard de données personnelles identifiables (PII) ont été divulguées en 2014.

Le rapport 2015, qui met également en évidence les résultats du dernier trimestre 2014, a recensé plus de 9 200 nouvelles failles de sécurité affectant plus de 2 600 fournisseurs, ce qui représente une augmentation de 9,8% par rapport à 2013 et constitue l’augmentation la plus importante en une seule année depuis que le rapport X-Force a été créé il y a 18 ans.

Selon ce rapport (qui ne prend en compte que les informations d’IBM, NDR), le nombre total de failles enregistrées en 2014 était de près de 20% plus élevé qu’en 2013 (où l’on enregistrait 800 millions de données divulguées). 74,5%, le nombre d’incidents enregistrés aux Etats-Unis, ce qui est beaucoup plus élevé que dans les autres pays. Une majorité (40,2%) des types d’attaques les plus courants n’ont pas été identifiés. Les logiciels malveillants (malwares) et les DDoS (déni de service distribué) arrivent en seconde position avec un taux de 17,2% chacun. La divulgation par l’US-CERT d’une classe de vulnérabilités affectant des milliers d’applications Android qui mettent à mal les certificats SSL représentent 15% du total pour l’année, portant peu à peu le décompte final à un nouveau sommet historique.

Les chercheurs attribuent largement ces chiffres croissants à l’augmentation de l’indifférence des développeurs en matière de sécurité. Ces derniers ont été lents à mettre en œuvre des « patches » en dépit des avertissements et de la sensibilisation accrue aux vulnérabilités. En fait, 10 des 17 (59%) applications bancaires utilisant Apache Cordova qui ont été initialement divulguées en octobre 2014 étaient encore vulnérables en janvier de cette année.

Le rapport montre également une augmentation des vulnérabilités de « conception », qui sont de plus en plus meurtrières, très reconnaissables, ayant des noms et logos accrocheurs (par exemple : Heartbleed et Shellshock) et qui devraient désormais être prises en compte dans la conception et le développement. Ces vulnérabilités ont révélé des failles facilement exploitables dans les systèmes de base et les bibliothèques sous-jacentes qui supportent presque toutes plateformes web et les systèmes de gestion de contenu habituels.

Découverte d’une nouvelle technique de camouflage dans un malware

Les experts de l’éditeur allemand G DATA ont découvert de nouveaux programmes malveillants liés à un botnet Andromède. Un de ces codes, qui se distribue via des macros dans les documents Word manipulés, utilise une technique rare de camouflage par stéganographie. « Le malware se comporte comme une poupée russe sur le système. Il révèle progressivement son objectif« , explique à DataSecurityBreach.fr Ralf Benzmüller, directeur du G Data SecurityLabs. « Les systèmes infectés sont destinés à être utilisés comme PC zombies dans le botnet Andromède / Gamarue« .

Infection en 5 étapes
Le début de l’attaque s’effectue par un document MS Word manipulé. Un tel document se propage par e-mails de spam. Dans le cas étudié, le nom du document suggère qu’il s’agit d‘un contrat. En ouvrant le document et en activant les Macros Office, la victime active une série d’actions qui vont amener à l’infection. Un premier programme déchiffre un second code stocké dans une image (stéganographie). Celui-ci lance en cascade un troisième code en mémoire (le payload) qui injecte la charge utile dans le système. Ce dernier programme malveillant, msnjauzge.exe, intègre une entrée de démarrage automatique dans le Registre pour survivre au redémarrage système : le système cible est infecté.

Le Botnet Andromède identifié
Le fichier msnjauzge.exe est le point d’entrée d’un botnet bien connu appelé Andromède, aussi connu sous le nom de Gamarue. Ce botnet est connu pour avoir livré le cheval de Troie bancaire ZeuS en 2011. Lors de cette analyse, le serveur C&C contacté par l‘échantillon étudié était en ligne, mais n’avait pas délivré de code supplémentaire sur la machine infectée. Par conséquent, l’utilisation prévue pour ce botnet n‘est pas encore déterminée. (Gdata)

Accéder à votre compte Facebook sans mot de passe, facile !

Voilà qui va être apprécié chez les amateurs du réseau communautaire. Les employés de Facebook peuvent accéder à votre compte, sans utiliser votre mot de passe. Facebook explique que cela reste cependant très contrôlé !

On ne rigole pas, et on se dit que Facebook croit vraiment ce qu’il tente de raconter aux internautes. Accéder à votre compte Facebook est très simple pour un employé, il lui suffit de cliquer sur le logiciel local et le voilà dans votre espace, sans avoir à utiliser, ni même connaitre votre mot de passe. Facebook explique que cela reste cependant très contrôlé !

La découverte a été faite par un Paavo Olavi Siljamäki, un DJ producteur, en visite dans les locaux de Facebook. Il explique, sur son compte FB, avoir vu de ses petits yeux un employé de Facebook accéder à son compte, sans utiliser le moindre sésame. « Des gens sympas là-bas nous ont donné de bons conseils sur la façon d’utiliser au mieux Facebook. Puis on m’a demandé si j’étais d’accord pour regarder mon profil (…) Un ingénieur de Facebook peut alors se connecter directement sur mon compte, regarder tout mon contenu privé sans me demander mon mot de passe« .

Le plus fou est que Paavo a ensuite regardé, chez lui, son compte Facebook. Sa page ne lui a pas indiquer cette visite particulière.  « Nous avons des contrôles administratifs, techniques et physiques très rigoureux quant à l’accès aux informations de nos utilisateurs » indique Facebook à Venture Beat. Bref, Paavo a donné son accord, et l’employé est rentré !

 

Il y a bien eu des tentatives de piratage de Gemalto

Gemalto a présenté ce mercredi 25 février les conclusions de ses investigations sur le possible piratage de clés d’encryptage de cartes SIM diffusé par un journal américain. Pour la firme, l‘analyse de la méthode décrite dans les documents et les tentatives d’intrusion sophistiquées détectées par Gemalto en 2010 et 2011 rendent cette opération probable. Les attaques (Phishing et tentative d’installation du cheval de Troie) n’auraient touché que des réseaux bureautiques, elles n’ont pas pu résulter en un vol massif de clés d’encryptage de cartes SIM. La technique utilisée étant d’intercepter les clés lors de l’échange entre l’opérateur télécom et ses fournisseurs, et Gemalto indique avoir largement déployé un système d’échange sécurisé avec ses clients, avant 2010. Les données éventuellement volées par cette méthode ne sont exploitables que dans les réseaux de deuxième génération (2G). Les réseaux 3G et 4G ne sont pas vulnérables à ce type d’attaque.

Suite à la publication de documents le 19 février 2015 dernier, Gemalto a mené une investigation approfondie sur la base de deux éléments : les documents censés émaner de la NSA et du GCHQ rendus publics par ce site, et les outils de surveillance interne, avec leurs registres de tentatives d’intrusion.

L’article de The Intercept suppose que les documents publiés sont réels et qu’ils décrivent précisément des événements qui se sont produits en 2010 et 2011. Notre publication ci-dessous n’a pas pour but de confirmer partiellement ou entièrement ni de fournir des éléments permettant de réfuter partiellement ou entièrement le contenu des documents publiés par ce site web. En tant qu’acteur de la sécurité numérique, Gemalto est régulièrement la cible d’attaques. Ces tentatives d’attaques sont plus ou moins sophistiquées et nous sommes habitués à y faire face. La plupart échouent mais quelques-unes parviennent parfois  à pénétrer la partie externe de notre réseau qui est architecturé pour être très sécurisé.

 

Si nous regardons en arrière, sur la période couverte par les documents de la NSA et le GCHQ, nous confirmons avoir fait face à plusieurs attaques. En 2010 et 2011 précisément, nous avons détecté deux attaques particulièrement sophistiquées qui pourraient être reliées à cette opération.

 

En juin 2010, nous avons remarqué une activité suspecte sur l’un de nos sites français où un tiers a essayé d’espionner le réseau que nous appelons « office », c’est-à-dire le réseau de communication des employés entre eux et avec le monde extérieur. Des mesures ont été prises immédiatement pour éradiquer la menace.
En juillet 2010, notre équipe de sécurité a détecté un second incident. Il s’agissait de faux courriels envoyés à l’un de nos clients opérateur mobile en usurpant des adresses mail authentiques de Gemalto. Ces faux emails contenaient un fichier attaché qui permettaient le téléchargement de code malveillant. Nous avons immédiatement informé le client concerné et signalé l’incident aux autorités compétentes, en leur communiquant l’incident lui-même et le type de programme malveillant identifié.

 

Au cours de la même période, nous avons également détecté plusieurs tentatives d’accès aux ordinateurs de collaborateurs de Gemalto ayant des contacts réguliers avec des clients. A l’époque, nous n’avons pas pu identifier les auteurs de ces attaques mais maintenant nous pensons qu’elles pourraient être liées à l’opération du GCHQ et de la NSA.

 

Les intrusions n’ont affecté que des parties externes des réseaux de Gemalto, c’est-à-dire les réseaux bureautiques qui sont en contact avec le monde extérieur. Les clés de cryptage et plus généralement les données client ne sont pas stockées sur ces réseaux. Il faut imaginer l’architecture de notre réseau un peu comme le croisement entre un oignon et une orange. Il est composé de couches multiples et de nombreux quartiers qui permettent de cloisonner et d’isoler les données.

 

Les techniques de persuasion utilisées par les cybercriminels

92 % des employés français, 80 % à travers le monde, se sont déjà fait piéger par des menaces informatiques et notamment par des tentatives d’hameçonnage. DataSecurityBreach.fr vous alerte très souvent sur les techniques de persuasion utilisées par les pirates informatiques. Intel Security vient de diffuser un rapport sur les méthodes de substitution des données sensibles utilisées par les cybercriminels sont de plus en plus proches de celles utilisées dans le monde réel et notamment des techniques de vente et d’escroquerie. Prenez garde à votre sécurité en ligne !

« Piratage de l’OS humain », le nouveau rapport d’Intel Security, élaboré avec le soutien du Centre Européen de lutte contre la cybercriminalité d’Europol, présente les techniques utilisées dans les récentes cyberattaques, ainsi que les méthodes de manipulations des hackers pour rendre les collaborateurs d’entreprises complices/acteurs d’actes de cybercriminalité.

Publié quelques jours après la révélation d’une cyberattaque qui a touché plus de 100 banques à travers le monde et causé aux alentours de 900 millions d’euros de dégâts, ce rapport démontre toute l’importance d’une prise de conscience collective et souligne la nécessité d’éduquer les collaborateurs aux méthodes de persuasion appliqués par les hackers dans le monde numérique. Dans l’exemple cité, les attaques de phishing ciblées ont permis l’ouverture de brèches au sein de ces réseaux bancaires, démontrant ainsi la faiblesse intrinsèque du « pare-feu humain ». A titre de comparaison, l’étude Threat Report d’Intel Security a permis, en septembre dernier, de révéler que 92 % des employés français n’étaient pas en mesure d’identifier un courriel de phishing sur sept.

« L’analyse de nombreux cas d’usurpation de données nous montre qu’aujourd’hui, le facteur humain est le plus souvent la clé qui permet aux hackers d’agir. En les manipulant, ils les incitent à prendre des mesures qui facilitent l’infection des systèmes par des logiciels malveillants », commente Raj Samani, Directeur Technique EMEA d’Intel Security et conseiller auprès du Centre européen de lutte contre la cybercriminalité d’Europol.

« Aujourd’hui, les cybercriminels n’ont pas nécessairement besoin de savoir-faire technique pour atteindre leurs objectifs. Certains logiciels malveillants peuvent infecter les ordinateurs en y accédant directement par emails. Ces attaques ciblées manipulent les victimes et les incitent à ouvrir des pièces jointes, prétendument légitimes, ou à cliquer sur un lien qui semble provenir d’une source sûre », indique Paul Gillen, directeur des opérations du Centre Européen de lutte contre la cybercriminalité.

Sur l’année 2014, il a été répertorié une augmentation spectaculaire du nombre d’URL malveillantes soit plus de 30 millions de liens suspects. Cette augmentation peut être attribuée à la fois à une forte hausse du nombre de liens de phishing ainsi qu’à une utilisation plus commune des URL courts qui cachent, souvent, des sites Web malveillants. Cette tendance est d’autant plus inquiétante que 18 % des utilisateurs visés par un email de phishing cliquent sur ce lien malveillant et deviennent ainsi victimes de la cybercriminalité.

Le rapport pointe du doigt le fait que deux tiers des emails mondiaux sont des spams qui visent à soutirer des informations et de l’argent à leurs destinataires. Face à ce constat, il est d’autant plus important que les consommateurs et les collaborateurs d’entreprises soient informés des techniques de phishing et d’escroquerie couramment utilisées dans le monde numérique.

« Aujourd’hui, les cybercriminels sont devenus de très bons psychologues, capables de jouer sur le subconscient des employés en s’appuyant notamment sur un grand nombre de tactiques de « vente » souvent utilisées dans la vie quotidienne. Pour garder une longueur d’avance sur les cybercriminels et réduire le risque d’être l’une des victimes de la cybercriminalité, les entreprises doivent non seulement optimiser leurs processus et compter sur la technologie mais aussi former leurs personnels pour pallier à la brèche dans ce qu’on nomme ‘l’OS humain’ », conclut Raj Samani.

Il n’a jamais été plus important de former les individus à la sécurité et à la politique de leur entreprise en matière de protection des données. Paradoxalement, une étude récente publiée par Enterprise Management Associates1 a révélé que seulement 56 % des employés avaient suivi une formation à la politique de sécurité de l’entreprise.

Les six leviers d’influence des cybercriminels dans le monde numérique

1. Réciprocité des échanges : Les gens ont tendance à se sentir obligés de répondre une fois qu’ils reçoivent quelque chose.

2. Rareté de l’offre : Les individus sont motivés par l’obtention de ce qu’ils croient être une ressource rare ou une offre limitée dans le temps et peuvent ainsi s’exposer plus facilement au cybercrime. Par exemple, un faux courriel envoyé par une banque demandant à l’utilisateur d’accepter une demande suspecte afin d’éviter la désactivation de son compte dans les 24 heures peut avoir tendance à inciter au clic.

3. Cohérence des engagements : Une fois engagée dans une démarche, la victime choisit très souvent de tenir ses promesses pour rester cohérente et éviter de paraître peu voire non fiable. Par exemple, un pirate peut se présenter en tant qu’un membre de l’équipe SI de l’entreprise et, après avoir fait en sorte qu’un employé s’engager à respecter tous les processus de sécurité, lui demander d’effectuer une tâche suspecte sur son poste, qui semblerait être conforme aux exigences de sécurité.

4. Appréciation et amitié : Les tentatives d’hameçonnage sont plus productives lorsque le cybercriminel réussit à gagner la confiance de la victime. Pour endormir la méfiance, un pirate pourrait notamment essayer d’entrer en contact, soit par téléphone soit en ligne, et « charmer » au préalable sa victime potentielle.

5. Respect de l’autorité : Les gens ont tendance à se conformer à une figure d’autorité. Les directives dans un mail prétendument envoyé de la part d’un PDG de l’entreprise sont plus susceptibles d’être suivies par un employé.

6. L’effet de masse : Les gens ont tendance à se conformer à la majorité. Par exemple, si un courriel de phishing est prétendument envoyé à un groupe de collègues, plutôt qu’à un seul destinataire, la victime potentielle de l’attaque se sent davantage rassurée et est plus susceptible de croire que le mail provient d’une source sûre.

1 Source : Enterprise Management Associates

Equation Group : l’ancêtre du cyber espionnage ?

Depuis plusieurs années, l’équipe GReAT (Global Research & Analysis Team) suivrait étroitement plus de 60 menaces avancées responsables de différentes cyber attaques à travers le monde. Elle a ainsi fait des observations de toutes sortes, les attaques gagnant en complexité à mesure qu’un nombre croissant de pays se sont impliqués et efforcés de se doter des outils les plus évolués. Cependant, ce n’est qu’aujourd’hui que les experts de  peuvent confirmer la découverte d’une menace dépassant tout ce qui était connu jusque-là en termes de complexité et de sophistication techniques. Le groupe à l’origine de cette menace, dénommé « Equation Group », est actif depuis près de 20 ans.

Le groupe se singularise par pratiquement chaque aspect de ses activités : il utilise des outils très complexes et coûteux à développer pour infecter ses victimes, récupérer des données et masquer ses actions d’une façon extrêmement professionnelle, ainsi que des techniques classiques d’espionnage pour diffuser ses codes malveillants. Pour infecter ses victimes, le groupe emploie un puissant arsenal d’« implants » (Troyen), notamment les suivants : Equation Laser, Equation Drug, Double Fantasy, Triple Fantasy, Fanny et Gray Fish. L’existence d’autres implants ne paraît faire aucun doute.

L’équipe GReAT a pu récupérer deux modules servant à reprogrammer le firmware du disque dur de plus d’une douzaine de marques répandues. Il s’agit peut-être de l’outil le plus puissant dans l’arsenal d’Equation Group et du premier malware connu capable d’infecter les disques durs. En reprogrammant le firmware du disque dur (c’est-à-dire en réécrivant le système d’exploitation du disque comme nous vous l’expliquons plus haut), le groupe atteint deux objectifs :

1.       Un niveau extrême de persistance permettant au malware de résister à un reformatage du disque et une réinstallation du système d’exploitation. Dès lors que le malware s’est introduit dans le firmware, il est à même de se régénérer à l’infini. Il peut par exemple empêcher l’effacement d’un certain secteur du disque ou bien le remplacer par un code malveillant à l’amorçage du système. « Un autre danger tient au fait qu’une fois le disque dur infecté par ce code malveillant, il devient impossible d’analyser son firmware. En termes simples, les disques durs comportent pour la plupart des fonctions permettant d’écrire dans le firmware matériel mais aucune pour vérifier l’écriture, de sorte que nous sommes pratiquement aveugles et incapables de détecter les disques durs infectés par ce malware », avertit Costin Raiu, Directeur de l’équipe GReAT. A noter que l’attaque de disque dur n’est pas une nouveauté comme l’annonce Kaspersky. Snowden en avait déjà fait la preuve via des documents volés à ses anciens employeurs, la NSA.

2.       La capacité de créer une zone invisible et persistante à l’intérieur du disque dur. Celle-ci sert à enregistrer des informations qui pourront être exfiltrées ultérieurement par les auteurs de l’attaque. En outre, dans certains cas, elle peut aussi aider le groupe à percer le cryptage : « Etant donné que l’implant GrayFish est actif dès le début de l’amorçage du système, il permet de capturer la clé de cryptage et de l’enregistrer dans la zone cachée », explique Costin Raiu.

Capacité de récupérer des données sur des réseaux isolés
Parmi toutes les attaques lancées par Equation Group, le ver Fanny se démarque. Il a pour but principal de cartographier les réseaux isolés, c’est-à-dire de déterminer la topologie d’un réseau inaccessible par Internet et d’y exécuter des commandes. Pour ce faire, il utilise un mécanisme unique de commande et contrôle (C&C) sur une clé USB, permettant aux auteurs de l’attaque de faire entrer et sortir des données sur les réseaux isolés.

En particulier, une clé USB infectée avec une zone de stockage cachée a été employée pour recueillir des informations système de base sur un ordinateur non connecté à Internet et les transmettre à un serveur C&C dès que la clé est insérée dans une autre machine infectée par Fanny et disposant d’une connexion Internet. Pour exécuter des commandes sur un réseau isolé, il suffit de les enregistrer dans la zone cachée de la clé. Lorsque cette dernière est introduite dans un ordinateur du réseau, Fanny reconnaît les commandes et les exécute.

Méthodes classiques d’espionnage pour la diffusion des malwares
Les auteurs des attaques ont utilisé des méthodes universelles pour infecter les cibles, que ce soit via le Web ou dans le monde physique. A cette fin, ils ont intercepté des produits physiques pour leur substituer des versions contaminées par des chevaux de Troie. Cette technique a été employée, par exemple, pour cibler les participants d’une conférence scientifique à Houston (Texas) : à leur retour chez eux, certains des participants ont reçu un compte rendu de la conférence sur un CD-ROM qui a ensuite servi à installer l’implant DoubleFantasy sur la machine cible. La méthode exacte de falsification des CD reste inconnue.

Il existe de solides indices d’interactions d’Equation Group avec d’autres groupes puissants, tels que les opérateurs des campagnes Stuxnet et Flame, généralement en position de supériorité. Equation Group a ainsi eu accès à des failles « zero day » avant qu’elles ne soient exploitées par Stuxnet et Flame. A un moment donné, il a également partagé des exploitations de vulnérabilités avec d’autres. Par exemple, en 2008, Fanny a utilisé deux failles « zero day » qui ont été par la suite exploitées dans Stuxnet en juin 2009 et mars 2010. Pour l’une d’elles, Stuxnet reprenait en fait un module Flame exploitant la même vulnérabilité et passé directement d’une plate-forme à l’autre.

Equation Group utilise une vaste infrastructure C&C qui comprend plus de 300 domaines et 100 serveurs. Les serveurs sont hébergés dans de nombreux pays (Etats-Unis, Royaume-Uni, Italie, Allemagne, Pays-Bas, Panama, Costa Rica, Malaisie, Colombie et République tchèque, notamment). Kaspersky surveillerait  actuellement plus d’une vingtaine de serveurs C&C (autant dire que les pirates derrières ces centres de commande n’ont plus qu’à changer d’espace, ndlr). Depuis 2001, Equation Group aurait infecté des milliers voire des dizaines de milliers de victimes dans plus d’une trentaine de pays à travers le monde, appartenant aux secteurs ou milieux suivants : administrations et missions diplomatiques, télécommunications, aéronautique, énergie, recherche nucléaire, pétrole et gaz, défense, nanotechnologies, militants et érudits islamiques, médias, transports, établissements financiers ou encore développeurs de technologies de cryptage. Sept exploits utilisés par l’Equation Group dans ses malwares, dont au moins 4 comme « zero day » (ils ne sont donc plus inconnus, ndlr). En outre, des failles inconnues, peut-être « zero day », ont été exploitées contre Firefox 17, tout comme dans le navigateur Tor.

Pendant la phase d’infection, le groupe a la capacité d’exploiter dix vulnérabilités en chaîne. Cependant, les experts n’en ont constaté pas plus de 3 à la suite : si la première échoue, une deuxième est essayée, puis une troisième. En cas de triple échec, le système n’est pas infecté. Ce qui est assez étonnant car ZATAZ.COM a pu constater des « HQ » malveillants exploitant l’intégralité des failles, exploits disponibles au moment de l’attaque lancée par ce type d’outil.

État des lieux de la sécurité sur internet du 4ème trimestre 2014

Sale ambiance numérique pour le dernier trimestre de 2014. Akamai indique que le nombre d’attaques DDoS a pratiquement doublé en un an ; le trafic DDoS a diversifié ses sources à l’échelon mondial et que près de la moitié des attaques DDoS ont exploité plusieurs vecteurs.

Akamai Technologies, l’un des principaux fournisseurs de services de cloud, d’optimisation et de sécurisation de contenus en ligne et d’applications professionnelles, annonce la publication du rapport « Etat des lieux de la sécurité sur internet » du 4ème trimestre 2014 sur les attaques DDoS. Produit par le PLXsert (Prolexic Security Engineering and Research Team), aujourd’hui rattaché à Akamai, qui rassemble des experts des services et stratégies de protection contre les attaques DDoS et de sécurisation cloud, il livre une analyse trimestriel et un éclairage sur les cyber-menaces et attaques à l’échelle mondiale, y compris sur les attaques DDoS observées sur le réseau PLXrouted.

« Un nombre impressionnant d’attaques DDoS ont eu lieu au 4ème trimestre, près du double par rapport à ce que nous avions observé à la même période un an plus tôt », souligne à DataSecurityBreach.fr John Summers, vice president, Security Business Unit chez Akamai. « Le déni de service est une menace répandue qui vise de nombreuses entreprises. Le trafic d’attaques DDoS n’a pas été cantonné à un secteur donné, comme celui du divertissement qui a pu faire la une des medias en décembre. Les attaques ont, au contraire, porté sur de multiples secteurs d’activité. »

Akamai a également observé une hausse de 52 % du débit moyen des attaques DDoS en comparaison du 4ème trimestre de l’année précédente. De volumineux paquets de trafic indésirable peuvent très vite anéantir la capacité d’une entreprise à traiter les requêtes légitimes de ses clients, et ce déni de service entraîner ainsi des pannes. Or, la plupart des sites non protégés sont incapables de résister à une attaque DDoS classique. Par conséquent, les attaques DDoS font aujourd’hui partie intégrante du paysage des menaces et de la cybersécurité que toute entreprise présente sur le Net se doit d’anticiper dans une évaluation des risques.

Le phénomène DDoS-for-hire et la montée en puissance des attaques par réflexion et multi vecteurs. Les suites de booters DDoS-for-hire, ont engagé peu de moyens puisqu’elles ont mis à profit des attaques DDoS par réflexion. Près de 40 % des attaques DDoS en tous genres ont fait appel à ces techniques, qui s’appuient sur des protocoles Internet pour générer un trafic en réponse considérablement amplifié et dispensent le hacker de prendre le contrôle du serveur ou du device.

La généralisation de services DDoS-for-hire a permis à des hackers amateurs d’acheter ces services prêts à l’emploi. L’essor de ce marché a également été propice à l’utilisation de campagnes multivectorielles, l’innovation des attaques étant stimulée par la concurrence. Les attaques multivecteurs observées ont été considérablement plus nombreuses – en hausse de 88 % par rapport au quatrième trimestre 2013. Plus de 44 % des attaques de toute nature ont exploité plusieurs vecteurs.

Répartition mondiale des cibles et des sources d’attaques DDoS
Le rythme des attaques DDoS a été plus homogène au 4ème trimestre lié à un nombre croissant de cibles importantes dans des zones géographiques jusqu’alors sous-représentées. Par ailleurs, l’origine géographique du trafic malveillant s’est déplacée. Les États-Unis et la Chine ont continué à répondre de la plupart du trafic DDoS, mais à la différence du 3ème trimestre 2014 marqué par la domination du groupe BRIC (Brésil, Russie, Inde et Chine), le trafic d’attaques DDoS, au 4ème trimestre 2014, a émané, pour l’essentiel, des États-Unis, de la Chine et de l’Europe occidentale. Quelques faits et chiffres marquants :

Par rapport au 4ème trimestre 2013
– Nombre d’attaques DDoS : + 57 %
– Débit crête moyen : + 52 %
– Nombre crête moyen de paquets par seconde : – 77 %
– Attaques de couches applicatives : + 51 %
– Attaques de couches d’infrastructure : + 58 %
– Durée moyenne des attaques : + 28 %
– Nombre d’attaques multivecteurs : + 84 %
– Attaques à plus de 100 Gb/s : + 200 % (9 contre 3)

Par rapport au 3ème trimestre 2014
– Nombre d’attaques DDoS :+ 90 %
– Débit crête moyen des attaques : + 54 %
– Nombre crête moyen de paquets par seconde : – 83 %
– Attaques de couches applicatives : + 16 %
– Attaques de couches d’infrastructure : + 121 %
– Durée moyenne des attaques : + 31 %
– Nombre d’attaques multivecteurs : + 38 %
– Attaques à plus de 100 Gb/s : – 47 % (9 contre 17)

Les botnets à la loupe
Les logiciels malveillants sont souvent utilisés pour favoriser la propagation des botnets DDoS. Leurs caractéristiques – infection multiplate-forme, détection du système d’exploitation et maliciels destructifs – sont exposées dans le Rapport de sécurité. Akamai a, par ailleurs, défini le profil de plusieurs botnets d’attaques visant des applications web au moyen d’une nouvelle technique d’analyse tirant parti de données glanées sur Akamai Intelligent Platform™. Les botnets en question visaient à automatiser la découverte de vulnérabilités dans ces applications web face à des attaques par injection de commandes RFI (Remote File Inclusion) et OS (Operating System). Les experts Akamai ont établi leur profil en isolant des URL et charges utiles de code malveillant identiques entre des attaques apparemment sans lien. Une charge utile a servi à regrouper les données et à cartographier l’activité des botnets, les acteurs en lice et les applications web victimes de ces attaques. Cette technique de profilage permettra de recenser d’autres sources d’attaques.

Neutralisation des bots, scrapers et autres spiders
Si les attaques par déni de service ralentissent considérablement les performances d’un site, les robots d’indexation ont, eux aussi, une incidence, mais dans un degré moindre. Les plus mal codés peuvent même s’apparenter à du trafic DDoS. Akamai établit un classement des robots d’indexation en fonction de leur intérêt et de leur impact sur les performances des sites. Le Rapport de sécurité documente la hiérarchisation et la neutralisation de leurs effets.(Le rapport)

Des portes dérobées découvertes dans des terminaux Android

DeathRing et CoolReaper, des portes cachées installées dans des téléphones Android. Ils ont pu toucher des millions d’utilisateurs.

Palo Alto Networks a révélé des informations sur une porte dérobée présente sur des millions de terminaux mobiles Android vendus par Coolpad, l’un des plus gros fabricants de Smartphones basé en Chine. Baptisée « CoolReaper », cette porte dérobée expose les utilisateurs à d’éventuels actes de malveillance et semblerait avoir été installée et conservée par Coolpad malgré les objections des clients.

Il arrive fréquemment que les fabricants d’équipements installent des logiciels sur le système d’exploitation mobile Android de Google pour doter les appareils Android de fonctionnalités et de possibilités de personnalisation supplémentaires. Certains opérateurs de téléphonie mobile installent même des applications permettant de recueillir des données sur les performances des appareils. Mais d’après l’analyse détaillée de l’Unité 42 – l’équipe d’analyse des menaces de Palo Alto Networks – CoolReaper ne se contenterait pas de collecter simplement des données d’utilisation de base. Son fonctionnement s’apparenterait davantage à celui d’une véritable porte dérobée permettant d’accéder aux appareils Coolpad. Coolpad semblerait également avoir modifié une version du système d’exploitation Android pour rendre cette porte dérobée quasi invisible pour les programmes d’antivirus.

Découvert par le chercheur Claud Xiao de Palo Alto Networks, CoolReaper a été identifié sur 24 modèles de téléphones vendus par Coolpad et pourrait, si l’on en croit les données commerciales de Coolpad accessibles au public, impacter plus de 10 millions d’utilisateurs.

« Il est naturel que les fabricants d’équipements sous Android préinstallent des logiciels qui offrent des fonctionnalités et permettent de maintenir leurs applications à jour. Mais la porte dérobée évoquée dans ce rapport dépasse le cadre que connaissent les utilisateurs : elle permet à Coolpad de prendre le contrôle complet des équipements affectés, de rendre le logiciel invisible pour les antivirus et expose les utilisateurs à la merci d’actes de malveillance. Nous encourageons vivement les millions d’utilisateurs Coolpad susceptibles d’être concernés par CoolReaper d’inspecter leurs appareils pour y rechercher l’éventuelle porte dérobée et prendre les mesures appropriées pour protéger leurs données. » – Ryan Olson, directeur de la recherche au sein de l’Unité  42 chez Palo Alto Networks

Contexte et effets de CoolReaper
L’intégralité des résultats de l’analyse de CoolReaper figure dans le rapport de l’Unité 42, « CoolReaper : The Coolpad Backdoor » préparé par Claud Xiao et Ryan Olson qui paraît aujourd’hui. Dans ce rapport, Palo Alto Networks publie également la liste des fichiers à vérifier sur les terminaux Coolpad susceptibles d’indiquer la présence de la porte dérobée CoolReaper. Comme l’ont observé les chercheurs, CoolReaper est capable d’effectuer chacune des tâches suivantes, avec un potentiel de dangerosité pour les données sensibles des utilisateurs ou des entreprises. Un pirate malintentionné pourrait par ailleurs exploiter une vulnérabilité découverte sur le système de contrôle (back-end) de CoolReaper.

CoolReaper est capable de télécharger, installer ou activer n’importe quelle application Android sans autorisation ou notification de l’utilisateur ; effacer des donnés utilisateur, désinstaller des applications existantes ou désactiver des applications système ; informer les utilisateurs d’une fausse mise à jour OTA (Over-The-Air) qui, au lieu de mettre à jour le terminal, installe des applications indésirables ; envoyer ou insérer des messages SMS ou MMS arbitraires sur le téléphone ; transmettre à un serveur Coolpad des informations concernant le terminal, sa localisation, l’utilisation des applications, l’historique des appels et des SMS.

Prise en compte par Coolpad
L’Unité 42 a commencé à observer ce que l’on a baptisé CoolReaper suite aux nombreuses réclamations publiées sur les forums Internet par des clients de Coolpad en Chine. Au mois de novembre, un chercheur qui travaillait avec le site Wooyun.org a identifié une vulnérabilité sur le système de contrôle back-end de CoolReaper. Cette découverte a permis de comprendre que Coolpad contrôlait lui-même le backdoor présent dans le logiciel. Un site d’information chinois, Aqniu.com, a par ailleurs signalé l’existence de la porte dérobée et ses pratiques abusives dans un article paru le 20 novembre 2014. Au 17 décembre 2014, Coolpad n’a toujours pas répondu aux nombreuses demandes d’assistance de Palo Alto Networks. Les informations de ce rapport ont également été transmises à l’équipe de sécurité Android de Google.

De son côté Lookout découvre un logiciel malveillant pré-chargé dans des smartphones. DeathRing est un cheval de Troie chinois, préinstallé sur toute une série de smartphones parmi les plus populaires en Asie et en Afrique. Bien que sa détection ne soit pas plus fréquente qu’un autre logiciel malveillant, nous le considérons menaçant, notamment de par sa présence sur les smartphones dès leur sortie d’usine, et car il a été détecté aux quatre coins de la planète.

Autre particularité de ce malware, sa méthode de distribution. Pour la seconde fois en 2014, c’est en pré-chargeant le malware directement dans la chaîne d’approvisionnement que DeathRing atteint sa cible. Nous n’arrivons pour le moment pas à déterminer à quelle étape de la chaîne d’approvisionnement DeathRing est installé sur les smartphones. Nous savons toutefois que, pour de nombreux portables, il est installé dans le répertoire système le rendant extrêmement difficile à éradiquer. Il n’est malheureusement pas possible aux prestataires de services de sécurité de supprimer ce logiciel malveillant car il est installé dans le répertoire système des portables.

Recommandations

·         Vérifiez la provenance du téléphone que vous achetez.
·         Téléchargez une application de sécurité comme celle de Lookout, qui sert de première ligne de défense pour votre portable. Si vous découvrez qu’un tel logiciel malveillant est pré-chargé sur votre portable, demandez à vous faire rembourser.
·         Consultez régulièrement votre facture téléphonique afin de détecter les frais suspects.

La réalité de l’industrialisation de la cybercriminalité

Selon le Centre de lutte contre la Cybercriminalité d’Europol, il n’y aurait qu’une centaine de personnes responsables de la cybercriminalité dans le monde.

Ce chiffre reflète effectivement la réalité de l’industrialisation de la cybercriminalité d’aujourd’hui, à laquelle sont confronté les entreprises, les États et les individus. Ainsi, seul un tout petit nombre de programmes permettant d’exploiter des failles logicielles connues (exploits) et d’outils en matière de cybercriminalité sont très largement exploités par les réseaux cybercriminels professionnels dans le monde entier.

Le dernier rapport semestriel sur la sécurité de Cisco a d’ailleurs mis en évidence le fait que le nombre de kits d’exploits a chuté de 87 % depuis que le créateur présumé de Blackhole a été arrêté en 2013. Cela montre à quel point ce kit a largement été utilisé par la communauté cybercriminelle.

Nous savons également que les réseaux de cybercriminels sont si bien organisés qu’ils achètent désormais « clef en main » les kits d’exploits et logiciels qu’ils utilisent pour mener à bien leurs activités. La plupart du temps, ces logiciels sont même fournis avec des manuels d’utilisation et un support technique 24/7. Ensuite, les cybercriminels utilisent Internet pour mettre en place un « réseau de distribution » dans le monde entier et diffuser leurs attaques, que ce soit physiquement ou en ligne, via des réseaux de botnets.

Selon Europol, ces kits et ces malwares sont si sophistiqués qu’avec très peu d’effort ils peuvent être réutilisés maintes fois et adaptés aux cibles des cybercriminels.

Mais si ces outils sont si fréquemment et si largement répandus, pourquoi les entreprises ne parviennent-elles pas à prévenir les attaques de leurs réseaux et leurs PC ?

Ceci est en partie dû au fait que les cybercriminels ont une longueur d’avance sur les responsables de la sécurité en trouvant de nouvelles variantes à leurs kits d’exploit alors que les experts en sécurité cherchent le moyen de les bloquer. Cette « course à l’armement » ne cessera jamais et nous savons même que de nombreux réseaux de cybercriminels vont jusqu’à acheter les solutions de sécurité pour tester leurs exploits afin de voir si ces dernières parviennent à les arrêter. Et, si tel est le cas, ils développent une nouvelle version de l’exploit pour la communauté cybercriminelle.

Ce que les professionnels de la cybersécurité ont bien compris depuis longtemps, c’est que les hackers sont très motivés, bien équipés et très qualifiés pour s’enrichir grâce à leurs activités illégales.

Les entreprises doivent ainsi s’assurer que leur sécurité est à jour et dispose des toutes dernières signatures, protections et solutions disponibles. Car, tandis que de nombreuses attaques sont destinées à une entreprise en particulier (attaque ciblée) , nous savons que beaucoup d’entre elles sont moins ciblées mais réussissent grâce à un manque de patching ou de mise à jour des signatures, des protections ou des solutions dont sont équipées les entreprises.

Aussi, les entreprises doivent s’assurer que leurs solutions de sécurité ne prennent pas seulement en compte uniquement la défense des postes de travail, mais qu’elles soient également capables de détecter les activités malicieuses potentielles sur l’ensemble de leur réseau – où les menaces peuvent apparaître. Il est fort probable que votre entreprise soit attaquée un jour, mais plus vite vous le saurez et vous agirez, plus vite vous pourrez déterminer l’ampleur des dommages sur votre business et sur la réputation de votre entreprise.  (Par Christophe Jolly, Directeur France Security Group Cisco / BBC.)

Un code malveillant JeSuisCharlie

Des pirates informatiques diffusent un code malveillant du nom de JeSuisCharlie. Il aurait déjà infecté plusieurs millions d’ordinateurs.

Un virus informatique diffusé par des malveillants aurait touché des millions d’ordinateurs depuis les attentats parisiens. Les chercheurs de Blue Coat Systems auraient découvert la chose, indique que les pirates ont baptisé leur microbe : JeSuisCharlie.

L’outil permet de prendre la main sur un ordinateur connecté et transformer le pc en zombie capable de participer à des Dénis Distribués de Service, en proxy pour servir de rebond à d’autres attaques distantes, … Cet espiogiciel utilise le code du RAT Français DarkComet. Le microbe se cache en réalité dans une photo, partagée plus de 5 millions de fois sur Twitter en 48 heures. Cette image reprend la main de ce nouveau né baptisé Charlie.

« C’est énervant de voir mon outil repris par le premier criminel qui passe, souligne à DataSecurityBreach.fr l’auteur du RAT. J’ai arrêté de travailler dessus il y a deux ans quand, déjà, le gouvernement Syrien l’avait détourné à des fins malveillantes. » A noter qu’il existe un outil permettant de contrer DarkComet.

Les pirates d’Anunak s’attaquent aux banques russes

Des pirates informatiques baptisés Anunak se sont spécialisés dans les attaques numériques à destination des banques russes. 20 millions d’euros auraient été volées.

La société néerlandais Fox-IT, spécialisée dans la sécurité informatique, a annoncé avoir terminé une enquête sur un groupe de pirates qu’elle a baptisé Anunak. Ces « visiteurs » ne visent que les banques russes. Méthode employée, courriels piégés et infiltration/installation d’outils malveillants comme des keylogger [logiciel d’espionnage, NDR] qui ont pour mission d’intercepter la moindre frappe sur un clavier.

En 2013, les voleurs 2.0 se seraient invités dans une cinquantaine de banques. D’après la société FOX It, les pirates auraient ainsi pu manipuler des distributeurs de billets. Deux entreprises bancaires piratées ont perdu leur licence bancaire suite aux méfaits d’Anunak.

Logiciels espions dans la derniere mise à jour Galaxy Note de Samsung

Mais que viennent donc faire là Cookie Jam, Drippler et RetailMeNot dans la nouvelle mise à jour de T-Mobile concernant les Galaxy Note 4 de chez Samsung. Les applications sont avides d’informations… sans que les propriétaires des smartphones soient alertés.

Voilà qui commence à faire beaucoup. Après la disparation de musique non acquise sur iTunes dans des iPod, Apple ayant décidé de faire le ménage sans que les utilisateurs ne puissent rien dire, voici le débarquement de logiciels « sniffeurs » d’informations dans les Galaxy Note 4 Samsung commercialisés par T-Mobile.

Une mise à jour, imposée par l’opérateur, en a profité pour installer sans que personne ne puisse dire « non », trois applications avec des autorisations incroyables… sans que le propriétaire du téléphone ne le sache. Cookie Jam, Drippler et RetailMeNot se sont retrouvés dans les smartphones. Les utilisateurs peuvent pas les effacer, ils se réinstallent dans la foulée.

Les logiciels malveillants ont été installés automatiquement après la mise à jour de T-Mobile. Parmi les autorisations autorisées, mais non validées par les clients : lire l’état du téléphone, l’identité, modifier, lire et supprimer le contenu de votre périphérique de stockage USB, modifier les paramètres de sécurité du système, télécharger des fichiers sans notification, voir toutes sortes de connexions et avoir accès complet au réseau… (Rick Farrow)

007 espionne deux cables sous-marins de Vodafone

L’agence britannique GCHQ aurait espionné deux câbles sous marins de Reliance Communication pour accéder aux données de millions de personnes.

L’Inde, comme des millions d’Internautes sont en colères après le GCHQ (General Communications Headquarters), les grandes oreilles britanniques, sœurs jumelles de la Nationale Security Agency de l’Oncle Sam. Dans ce qui peut être qualifié comme une autre révélation majeure des dossiers volés d’Edward Snowden, ancien analyste privé employé par la NSA, il vient d’être révélé par la presse britannique, allemande et indienne (Channel4, Süddeutsche Zeitung), que l’agence britannique « d’intelligence » a piraté deux grands câbles sous-marins de Reliance Communications. L’intimité numérique de millions d’utilisateurs aurait été compromise, sans parler de plusieurs gouvernements, dont l’Inde, l’Égypte, la péninsule arabique, la Malaisie, la Thaïlande, Hong Kong, la Chine continentale, Taïwan et le Japon.

Le piratage aurait été réalisé avec l’aide d’une société privée achetée dernièrement par le géant des télécommunication Vodafone. Ce « copain » aurait permis de pirater les câbles de Reliance Communication, ainsi que 27 autres « tuyaux » passant par le Royaume. Une action planifiée baptisée « Pfenning Alpha« , en partenariat avec la NSA américaine. Une ponction qui aurait durée de 2009 à 2011 à partir de Skewjack Farm, dans le sud de l’Angleterre.

Les câbles Reliance acheminent le trafic de données Internet entre l’Asie, l’Europe  (Flag) et le continent américain (Flag Atlantic 1).

Il y a un an, Le Monde rappelait que la France n’était pas en reste avec ce genre de « partenariat » avec la mise sur écoute d’un câble sous-marin. « Ce flux d’informations étranger-France, cette « matière première » comme la qualifie la NSA dans une note révélée par M. Snowden, fait l’objet d’une large interception par la DGSE« . Bref, la NSA a des pinces crocodiles un peu partout !

En février 2013, la NSA confirmait sa main mise sur les données transitant par le câble SEA-ME-WE 4 « Nous avons réussi à collecter les informations de gestion des systèmes du câble sous-marin SEA-ME-WE » confirmait alors la grande muette. (HindusTimes)

La version Bêta de Windows 10 communique vos frappes clavier à Microsoft

Alors que vous testez la nouvelle version de Windows, sous forme de bêta, Microsoft intercepte vos frappes clavier… pour votre bien.

Les internautes qui ont téléchargé la version bêta de Windows 10, la technical preview, n’ont pas intérêt à taper trop d’informations personnelles et sensibles au risque d’avoir une mauvaise surprise. Comme l’explique le « Privacy Statements for Windows Technical Preview » de WIN10, bref la notice d’utilisation du nouveau bébé de Microsoft, la voix, mais aussi les frappes claviers sont communiqués à Microsoft.

Microsoft collects information about you, your devices, applications and networks, and your use of those devices, applications and networks. Examples of data we collect include your name, email address, preferences and interests; browsing, search and file history; phone call and SMS data; device configuration and sensor data; and application usage.

Un espionnage qui a pour mission d’enrichir le fonctionnement des futures options de Win10. Microsoft indique à WinBeta que cette « absorption » d’information ne sera activée que dans cette version de « démonstration », Windows 10 définitif n’aura pas cette big brother attitude.

Il ne faut cependant pas se voiler la face. Une commande clavier ou manipulation extérieure pourrait réactiver la « fonction » magique dans la condition ou cette dernière est implantée d’origine dans Windows 10. A moins que Microsoft le retire du code source, mais ça, personne ne pourra le vérifier.

Bash Bug : mesures urgentes et nécessaires pour les entreprises

Bash Bug ou ShellShock : voilà le nom de la nouvelle faille de sécurité qui vient d’être découverte au sein du programme Bash, un interpréteur en ligne de commande présent sur plusieurs systèmes Linux mais aussi Unix et OS X.

Cette vulnérabilité serait générée par l’exécution d’un code malicieux permettant de prendre le contrôle du système d’exploitation et de ce fait, d’accéder à toutes les données stockées sur les différents équipements. Des rapports avancent que de nombreux programmes exécutent le shell Bash en tâche de fond et que l’attaque est déclenchée dès que le code supplémentaire est ajouté au code Bash. Bien qu’elle vienne tout juste d’être identifiée, la faille serait du même niveau de gravité que Heartbleed révélée en avril dernier, ce qui signifie qu’un très grand nombre de systèmes et d’appareils vont très probablement être touchés.

Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, a fait les commentaires suivants : « Les entreprises vont devoir réagir et prendre les mesures nécessaires rapidement face à cette nouvelle attaque car il semblerait que de très nombreux appareils connectés soient exposés à d’importants risques. Si la faille est exploitée par les hackers, ils auront une longueur d’avance pour récupérer les données sensibles et confidentielles, mettre la main sur tout type d’information, des identifiants en passant par les mots de passe ou encore les données bancaires et personnelles. Il est clair que les conséquences d’une telle attaque peuvent être très graves et un nombre considérable d’individus et d’organisations sont susceptibles d’être touchés. »

$ env x='() { :;}; echo vulnerable’  bash -c « echo this is a test »

Alors que les antivirus et les firewalls sont les logiciels de base utilisés par les entreprises pour assurer leur sécurité informatique, ils ne suffiront pas pour arrêter les pirates et pour lutter contre cette cyberattaque. Ainsi, aujourd’hui plus que jamais, il est nécessaire que les organisations adoptent des solutions de sécurité complémentaires pour limiter des dommages qu’une telle faille peut engendrer. Une mesure efficace pour protéger ses ressources serait la mise en place d’outils permettant de fournir une visibilité complète de l’activité réseau. Non seulement les entreprises peuvent mettre ces solutions en place relativement rapidement, un enjeu majeur en raison du contexte, mais elles peuvent également bénéficier d’alertes en temps réel en cas d’activité anormale. Elles sont dès lors en mesure de réagir et de remédier aux éventuelles menaces immédiatement, avant que les conséquences ne soient trop lourdes.

Les cyberattaques contre les entreprises deviennent de plus en plus fréquentes et il n’y a aujourd’hui rien qui excuse les organisations de ne pas disposer des moyens de défense adéquats pour y faire face. Il est encore difficile de savoir si cette faille baptisée Bash Bug ou ShellShock peut être entièrement corrigée dans la mesure où de nombreux appareils considérés comme anciens ne pourront pas recevoir de patchs de sécurité. Dans ce cas, les organisations doivent se protéger du mieux qu’elles le peuvent en utilisant des outils qui leur permettront d’avoir une visibilité accrue de ce qu’il se passe sur leur réseau en temps réel. Aujourd’hui, la question n’est plus de savoir si une entreprise sera attaquée mais quand, et si les mesures nécessaires ne sont pas prises pour remédier à ce Bash Bug, cela se produira encore plus rapidement.

Google et Doubleclic exploités dans une diffusion malveillante

La méthode est connue, utilisée depuis des années : des pirates exploitent les réseaux publicitaires pour diffuser des codes malveillants dans les ordinateurs des visiteurs de site Internet. Des cyber-criminels ont exploité la puissance de deux réseaux de publicité en ligne pour infecter et infiltrer des millions de potentielles victimes.

Lors de vos visites sur le site web, des publicités peuvent s’afficher. Des pirates informatiques ont rapidement compris le potentiel intérêt de ces supports pour diffuser leurs malveillances informatiques. Il y a quelques jours, les réseaux de DoubleClick et de l’agence de publicité Zedo, affiliée à Google, ont diffusé des publicités malveillantes qui avaient pour mission d’installer un logiciel espion dans les ordinateurs des visiteurs.

Un récent rapport publié par les chercheurs de la société Malwarebytes suggère que les cybercriminels ont pu profiter d’affiches piégés sur un certain nombre de sites web, y compris le Times d’Israël, le Jérusalem Post et encore le  site de streaming musical Last.fm.

L’attaque a été détectée à la fin du mois août dernier. Depuis, des millions d’ordinateurs ont probablement été exposés au code malveillant Zemot. Un microbe que les antivirus mis à jour détectent les yeux fermés. Google a confirmé l’attaque et a fermé l’ensemble des serveurs permettant la diffusion des publicités piégées. Ce qui est intéressant, dans ce cas, est la facilité déconcertante qu’ont eu les pirates à pirater les administrations de diffusion, à installer leurs publicités et à permettre la mise en ligne sans que personne ne puisse s’en inquiéter.

Les pirates ont exploité de nombreux sites supports, les publicités renvoyaient sur ces espaces. Des sites qui déclenchaient ensuite l’installation d’un kit pirate. Beaucoup de sites étaient basés au Pays-Bas (.nl), Suisse (.ch) et quelques pays de l’Est.

Zemot a été détecté, pour la première fois, en novembre 2013. Rien qu’en juin 2014, Microsoft annonçait 45.000 machines piégées ; plus de 35.000 en juillet, 27.000 en août. Zemot se concentre sur des ordinateurs exécutant Windows XP, mais il peut aussi infecter les systèmes d’exploitation plus modernes s’exécutant sur des machines tournant en x86 et 64 bits. Zemot est conçu pour contourner la sécurité d’un système avant d’infecter les ordinateurs avec des logiciels malveillants supplémentaires.