Archives de catégorie : Banque

Près de la moitié des français n’achèterait pas à une entreprise piratée

78 % des français souhaitent plus de condamnations et des sanctions plus sévères envers les cyber criminels qui volent les données personnelles.

F5 Networks a présenté dernièrement les résultats d’une étude sur les attitudes des français face au piratage. L’étude révèle que les français prennent conscience des problèmes liés au piratage – avec 47 % qui affirment qu’ils n’ouvriraient pas de compte, ne partageraient pas de données ou n’achèteraient pas à une entreprise déjà piratée par le passé (50 % en UK – 51 % en Allemagne).

Même si 49 % des français changent parfois ou à chaque fois leur mot de passe si une entreprise dans laquelle ils possèdent un compte a été piratée, nous sommes encore 17 % à ne jamais changer nos mots de passe après le piratage d’une entreprise dans laquelle nous possédons un compte (8 % en UK – 9 % en Allemagne).

https://twitter.com/zataz/status/783060182205161472

Les motivations des pirates
Selon les français, les pirates sont principalement motivés par le fait de gagner de l’argent grâce au vol de données personnelles (60 %), suivi par la possibilité de souligner des failles dans l’entreprise et les solutions de sécurité (9 %) puis de dérober des secrets d’affaires (8 %). Nous sommes également près de 60 % à penser que les pirates deviennent plus professionnels (72 % en UK – 64 % en Allemagne) et 22 % à penser que les employés ne reçoivent pas des formations appropriées en matière de cybersécurité.

A qui la faute ?
Les français sont partagés : 39 % d’entre eux pensent que la responsabilité doit être attribuée aux solutions de sécurité elles-mêmes, alors que 37 % pensent que l’équipe IT et sécurité est responsable, si l’entreprise est victime d’une cyber attaque. Alors que les britanniques et les allemands sont plus tranchés : ils sont respectivement 52 % et 53 % à penser que la responsabilité doit être attribuée à l’équipe IT et sécurité. 49 % des français estiment également que les entreprises ne prennent pas assez de mesures pour elles-mêmes et leurs clients afin de se protéger contre les cyber criminels, comparativement à 61 % en Angleterre et 46 % en Allemagne. « Les individus pensent de plus en plus qu’il est de la responsabilité des entreprises de mener la lutte contre les cyber criminels et de s’assurer qu’elles protègent les données de leurs clients. Alors que les consommateurs doivent améliorer leur comportement en ligne en pensant à la sécurité, la protection des données reste la responsabilité de l’entreprise », pense Gad Elkin, directeur de la sécurité EMEA chez F5 Networks.

Que faire ?
Lorsque l’on demande aux consommateurs comment les entreprises doivent-elles améliorer leur façon de se protéger contre les hackers, “Investir dans les technologies de sécurité” arrive en première position dans les trois pays (61 %), suivi par “une meilleure éducation des consommateurs sur la menace” et ”partager leurs (les entreprises) connaissances sur la menace” en troisième position.

Et si les français pouvaient tous pirater…
Si l’étude a également permis de révéler que près d’un français sur 5 place les hackers du côté « des bons » (contre seulement 1 britannique sur 10), ils sont 37 % à citer les banques et 22 % le secteur public, parmi leurs victimes – s’ils pouvaient pirater pour une raison ou une autre (voler des données, découvrir des secrets d’affaires ou gagner de l’argent) sans aucune conséquence.

« Les chiffres de l’étude montrent que l’ensemble des consommateurs à travers l’Europe sont disposés à quitter un prestataire pour choisir un concurrent non piraté. La cyber sécurité devient donc un avantage concurrentiel pour les entreprises et non plus seulement un centre de coûts – et celles-ci doivent trouver comment améliorer leurs propres défenses d’une part, et comment éduquer les consommateurs sur les risques informatiques d’autre part. »

Infiltration de centaines de boutiques de prêt à porter

La chaîne de magasins de vêtements Eddie Bauer vient de confirmer l’infiltration de plus de 350 de ses magasins d’Amérique du Nord.

Les amateurs de vêtements connaissent la marque Eddie Bauer. Une enseigne bien implanter aux États-Unis. La société vient de confirmer que plus de 350 de ses points de vente avaient été infiltrés par un pirate informatique. Un code malveillant a été détecté et supprimé des systèmes de paiement des boutiques d’Amérique du Nord. Les pirates ont pu mettre la main, depuis le début d’année 2016, sur les données bancaires fournies par les clients.

KrebsOnSecurity avait alerté sur cette fuite au mois de juillet 2016. Eddie Bauer a mis 6 semaines pour confirmer et rassurer (ou pas) ses clients. Cette découverte se fait l’écho de l’infiltration d’un des espaces de la firme Oracle concernant les clients de son outil de paiement pour magasin (point-of-sale), MICROS.

https://krebsonsecurity.com/2016/08/malware-infected-all-eddie-bauer-stores-in-u-s-canada/

IDICore : En un clic, ils savent tout de vous

La société IDI annonce être capable de fournir la moindre information sur les Américains. Dans IDICore, chaque mouvement physique, chaque clic, chaque jeu, chaque endroits visités sont répertoriés.

La société Interactive Data Intelligence (IDI – IDCORE), basée en Floride, présage de l’avenir « Big Brother » qui s’ouvre à nous. La société a construit un profil sur l’ensemble les adultes américains en regroupant l’ensemble des données des ressortissants locaux dans une base de données géante. Chaque mouvement, chaque clic de souris, chaque jeu utilisé, chaque endroit visité, IDI a collecté, sauvegardé, classé les informations. Comment ? En louant des accès à des bases de données. Pour 10 dollars, comme le rappel Bloomberg, les fouineurs professionnels sont en mesure de rechercher et trouver la moindre information sur les américains : adresses publiques et non publiques, photos de voiture… Ils peuvent combiner ces informations avec celles des sociétés marketing et vous combiner des informations pouvant aller jusqu’à la dernière visite chez l’épicier du coin, ce que vous avez mangé hier soir, et prédire vos futurs comportements.

idiCORE : Minority Report is back

IDI semble être la première entreprise à centraliser et à « militariser » toutes ces informations pour ses clients. Son service de base de données est baptisé idiCORE. Il combine des dossiers publics, des données démographiques et comportementales. Le responsable d’IDI, Derek Dubner, indique que son système possède un profil sur tous les adultes américains, y compris les jeunes qui ne seraient pas présents dans des bases de données classiques.

Du bluff marketing ou véritable “Big Brother” ?

Derek Dubner n’a proposé, pour le moment, aucune démonstration de son idiCORE. Il indique que ces profils comprennent toutes les adresses connues, les numéros de téléphone et adresses mail ; les adresses des anciennes et nouvelles propriétés ; il en va de même des véhicules anciens et actuels ; des potentiels actes criminels : excès de vitesse sur place ; les registres de vote ; permis de chasse ; les noms et numéros de téléphone des voisins. Les rapports proposés par idiCORE contiendraient aussi des photos de voitures prises par des entreprises privées en charge de la collecte automatisée des plaques d’immatriculation, avec coordonnées GPS.

Bref, la société IDI présage de l’avenir « Big Brother » qui s’ouvre à nous. Et il est de plus en plus moche !

Code malveillant bancaire pour Android

Code malveillant bancaire pour Android – L’équipe de recherche en sécurité de Zscaler a découvert une application malveillante Android se faisant passer pour l’app officielle de Sberbank, la plus grande banque d’Europe de l’Est.

code malveillant bancaire pour Android – De nombreuses tentatives de cyberattaques à son encontre ont déjà eu lieu par le passé et les pirates ont également essayé de s’attaquer à ses clients depuis leurs mobiles. Cette dernière tentative constitue, cependant, une percée majeure dans les efforts des pirates visant à nuire à cette organisation.

Le malware se fait passer pour l’application en ligne de la plus grande banque de Russie, Sberbank. Son apparence est identique à celle de l’application d’origine. Elle affiche un écran de connexion similaire et se sert de celui-ci pour dérober les informations d’identification de l’utilisateur dès que la victime tente de s’authentifier.

Une fois les informations d’identification acquises, l’app affiche une page d’erreur technique et se ferme. Le malware demande alors des privilèges d’administrateur qui, s’ils sont accordés, entraînent des effets dévastateurs sur le terminal infecté. Il peut intercepter les SMS et les appels entrants, ce qui permet au pirate de contourner l’identification OTP (mot de passe à usage unique) mise en œuvre par la banque. Par ailleurs, les faux écrans utilisés peuvent se superposés à ceux d’autres applications connues.

Explication technique de ce code malveillant bancaire pour Android

L’app apparaît comme étant celle de la banque Sberbank et demande des privilèges administrateurs une fois installée, comme indiqué ci-dessous : l’équipe Zscaler a tenté d’installer l’application originale Sberbank à partir du Play Store Google, et il est difficile de différencier l’app malveillante de l’originale. A noter : l’app Sberbank se trouvant sur le Play Store n’est pas infectée. Ce qui fait la particularité de ce malware est sa capacité à se substituer entièrement à l’app originale. Quand bien même la victime tenterait de la lancer, se serait l’écran d’identification du malware serait qui s’afficherait. Une fois les informations d’authentification entrées, elles sont envoyées à un serveur C&C. L’app affiche alors un écran d’erreur et se ferme.

Le malware ne s’arrête pas là, il peut également envoyer des SMS à n’importe quel numéro, selon la volonté du pirate ; intercepter des SMS ; lancer un appel ; intercepter un appel et d’attaquer d’autres applications en s’y superposant.

En ce qui concerne sa capacité à se substituer à une autre application, ce malware a été conçu, entre autres, pour attaquer les apps suivantes : Whatsapp, l’app du Google Play Store, VTB 24 Bank. Les fausses pages de login utilisées sont identiques à celles des apps officielles. Une fois lancées, les informations d’identification récupérées sont envoyées au serveur C&C comme vu précédemment.

Une nouvelle tendance chez les développeurs de malware, et des amateurs de code malveillant pour Android est de cibler les utilisateurs par le biais de fonctionnalités de sécurité d’applications. Dans un article précédent, les chercheurs Zscaler avaient présenté des attaques réalisées à partir de fausses applications de sécurité. Dans le cas de Whatsapp, par exemple, les victimes avaient été piégées par une fausse alerte sur la nouvelle fonctionnalité de chiffrement des messages. Un message s’affichait pour demander des informations d’authentification et de paiement pour cette nouvelle fonctionnalité.

Ce code malveillant bancaire pour Android a une approche particulièrement efficace pour rester actif sur l’appareil de l’utilisateur. Il enregistre un récepteur qui se déclenche dès que la victime tente de retirer les privilèges administrateurs de la fausse application. Ainsi, l’appareil Android se retrouve bloqué pour quelques secondes chaque fois qu’une tentative est faite.

Bref, cibler les utilisateurs par le biais de fausses applications bancaires est le moyen le plus facile et privilégié des pirates. Le malware présenté plus haut combine plusieurs fonctionnalités, en une seule et même application, pour une attaque en profondeur. Il est capable de se substituer à n’importe quelle app existante, il suffit au pirate d’envoyer un élément portant le nom de l’app en question pour dérober des données privées au propriétaire de l’appareil.

Le certificat pour cette application infectée a récemment été mis à jour et le serveur C&C a été enregistré il y a peu, ce qui pourrait indiquer que les pirates informatiques ont l’intention de continuer sur leur lancée. Une fois de plus, la prudence est de mise et il faut continuer à télécharger les applications à partir de sources officielles. Toute app provenant d’une tierce partie est à éviter.

Skimer, la nouvelle menace pour distributeurs de billets

Skimer, un groupe russophone, force les distributeurs automatiques de billets (DAB) à l’aider à dérober de l’argent. Découvert en 2009, Skimer a été le premier programme malicieux à prendre pour cible les DAB. Sept ans plus tard, les cybercriminels ré-utilisent ce malware. Mais le programme, ainsi que les escrocs, ont évolué ; ils représentent une menace encore plus importante pour les banques et leurs clients partout dans le monde.

Imaginons qu’une banque découvre avoir été victime d’une attaque. Étrangement, aucune somme d’argent n’a été dérobée et rien n’a été modifié dans son système. Les criminels sont partis comme ils sont venus. Serait-ce possible ? Je vous parlais de ce type d’attaque l’année dernière. L’éditeur Gdata m’avait invité en Allemagne pour découvrir l’outil malveillant qui permettait de pirater un distributeur de billets. Aujourd’hui, l’équipe d’experts de Kaspersky Lab a mis au jour le scenario imaginé par les cybercriminels et découvert des traces d’une version améliorée du malware Skimer sur l’un des DAB d’une banque. Il avait été posé là et n’avait pas été activé jusqu’à ce que les criminels lui envoient un contrôle : une façon ingénieuse de couvrir leurs traces.

Le groupe Skimer commence ses opérations en accédant au système du DAB, soit physiquement, soit via le réseau interne de la banque visée. Ensuite, après été installé avec succès dans le système, l’outil Backdoor.Win32.Skimer, infecte le cœur de l’ATM, c’est-à-dire le fichier exécutable en charge des interactions entre la machine et l’infrastructure de la banque, de la gestion des espèces et des cartes bancaires.

Ainsi, les criminels contrôlent complètement les DAB infectés. Mais ils restent prudents et leurs actions témoignent d’une grande habileté. Au lieu d’installer un skimmer (un lecteur de carte frauduleux qui se superpose à celui du DAB) pour siphonner les données des cartes, les criminels transforment le DAB lui-même en skimmer. En infectant les DAB avec Backdoor.Win32.Skimer, ils peuvent retirer tout l’argent disponible dans le distributeur ou récupérer les données des cartes des utilisateurs qui viennent retirer de l’argent, y compris le numéro de compte et le code de carte bancaire des clients de la banque.

Il est impossible pour un individu lambda d’identifier un DAB infecté car aucun signe de le distingue d’un système sain, contrairement à un DAB sur lequel a été posé un skimmer traditionnel qui peut être repéré par un utilisateur averti.

Un zombie dormant
Les retraits directs depuis un DAB ne peuvent pas passer inaperçu alors qu’un malware peut tranquillement siphonner des données pendant une longue période. C’est pourquoi le groupe Skimer n’agit pas immédiatement et couvre ses traces avec beaucoup de prudence. Leur malware peut opérer pendant plusieurs mois sans entreprendre la moindre action.

Pour le réveiller, les criminels doivent insérer une carte spécifique, qui contient certaines entrées sur sa bande magnétique. Après lecture de ces entrées, Skimer peut exécuter la commande codée en dur ou requérir des commandes via le menu spécial activé par la carte. L’interface graphique de Skimer n’apparaît sur l’écran qu’une fois la carte éjectée et si les criminels ont composé la bonne clé de session, de la bonne façon, sur le pavé numérique en moins de 60 secondes.

À l’aide du menu, les criminels peuvent activer 21 commandes différentes, comme distribuer de l’argent (40 billets d’une cassette spécifique), collecter les données des cartes insérées, activer l’auto-suppression, effectuer une mise à jour (depuis le code du malware mis à jour embarqué sur la puce de la carte), etc. D’autre part, lors de la collecte des données de cartes bancaires, Skimer peut sauvegarder les fichiers dumps et les codes PIN sur la puce de la même carte, ou il peut imprimer les données de cartes collectées sur des tickets générés par le DAB.

Dans la plupart des cas, les criminels choisissent d’attendre pour collecter les données volées afin de créer des copies de ces cartes ultérieurement. Ils utilisent ces copies dans des DAB non infectés pour retirer de l’argent sur les comptes clients sans être inquiétés. De cette manière, ils s’assurent que les DAB infectés ne seront pas découverts. Et ils récupèrent de l’argent simplement.

Des voleurs expérimentés
Skimer a été largement répandu entre 2010 et 2013. À son arrivée correspond une augmentation drastique du nombre d’attaques sur des distributeurs automatiques de billets, avec jusqu’à neuf différentes familles de malwares identifiées par Kaspersky Lab. Cela inclut la famille Tyupkin, découverte en mars 2014, qui est devenue la plus populaire et la plus répandue. Cependant, il semblerait maintenant que Backdoor.Win32.Skimer soit de retour. Kaspersky Lab identifie 49 modifications de ce malware, dont 37 ciblent les DAB émanant de l’un des plus importants fabricants. La version la plus récente a été découverte en mai 2016.

En observant les échantillons partagés avec VirusTotal, on note que les DAB infectés sont répartis sur une large zone géographique. Les 20 derniers échantillons de la famille Skimer ont été téléchargés depuis plus de 10 régions à travers le monde : Émirats Arabes Unis, France, États-Unis, Russie, Macao, Chine, Philippines, Espagne, Allemagne, Géorgie, Pologne, Brésil, République Tchèque.

Renforcer la cybersécurité des organismes financiers

La société financière SWIFT a publié très récemment un communiqué visant à sensibiliser ses 11 000 banques clientes à relever le niveau de sécurité lors de l’utilisation de leur système de transfert. Cette recommandation fait suite à la cyberattaque perpétrée contre la Banque Centrale du Bangladesh (BCB) ayant conduit au vol de 81 millions de dollars via un système de transfert de fonds Swift.

Dans ce contexte de sensibilisation accrue et de transformation digitale des entreprises, les cyberattaques perpétrées contre les organismes financiers démontrent le besoin global de revoir la place de la sécurité dans les stratégies des organismes financiers et des entreprises, aux plus hauts niveaux de ces dernières. C’est d’autant plus essentiel à l’heure où les dommages collatéraux tels que l’impact sur le cours de la bourse et sur les investissements semblent inévitables.

Jean-François Pruvot, Regional Director France chez CyberArk, commente à Data Security Breach : « La cybersécurité doit irrévocablement être considérée comme une priorité par les entreprises car les répercussions immédiates d’une faille de sécurité concernent directement, et en premier lieu, leurs dirigeants qui sont porteurs de ces questions et sont donc tenus pour responsables du moindre incident. Dans le cas d’une cyberattaque de grande ampleur, cela aboutit la plupart du temps au renvoi ou à la démission quasi immédiate du PDG, comme ce fût le cas, par exemple, de la Banque Centrale du Bangladesh. Des mesures souvent radicales qui s’expliquent par des arguments économiques et stratégiques« .

D’un point de vue économique, les cybermenaces doivent aujourd’hui être considérées comme un risque systémique. En effet, les attaques contre les organisations financières impactent directement les investissements et le cours de la bourse, ce qui contribue à inciter les agences de notation et les organismes de contrôles financiers, qui jusqu’à présent ne prenaient pas en compte le risque cyber dans leurs analyses, à l’intégrer de plus en plus, à l’instar d’analystes financiers tels que Moody’s. L’adoption de cette démarche anticipative leur permet entre autres d’éviter que les investisseurs ne se retournent contre eux dans le cas d’un décrochage boursier causé par une cyberattaque.

Relever le niveau de sécurité

Par ailleurs, dès lors que les investissements et/ou le cours de la bourse sont impactés, les organisations doivent prendre conscience de l’effet « boule de neige » d’une cyberattaque, d’un point de vue stratégique. En effet, en attaquant l’entreprise, elle touche en premier lieu la direction, suivi du comité de direction et par extension atteint le conseil d’administration. Cela conduit à la nécessité de développer en amont un plan d’urgence, tenant compte des répercussions sur l’image et la réputation, pour faire face à l’éventualité d’une cyberattaque. Mais ce qui aura le plus de poids est sa manière d’appréhender une telle crise auprès de ses clients, partenaires et investisseurs et surtout sa capacité à recouvrer le business suite à une compromission. Par exemple, le renvoi effectif d’un dirigeant, ou sa démission, reste à l’heure actuelle quasiment inévitable car il démontre une volonté de l’entreprise d’aller de l’avant et de ne pas reproduire les mêmes erreurs : il envoie un message de renouveau à l’opinion.

Cependant, avant d’en arriver là, les hauts dirigeants, qui ont en majorité pris conscience de la menace du risque lié à la cybersécurité, doivent à présent s’atteler sérieusement à la mise en place et au verrouillage d’un plan de sécurité de l’information au sein de leur organisation, et ce, au-delà des investissements financiers dans les technologies. Pour y parvenir, ils doivent indiscutablement impliquer l’ensemble des départements de l’entreprise afin d’adresser à l’unisson, et en priorité, le problème central des pirates informatiques qui trouveront le moyen de s’introduire dans le périmètre de sécurité, et de détourner et d’abuser d’identifiants afin d’accéder à des informations sensibles ou de perpétrer des transactions frauduleuses dont les conséquences risquent de marquer l’organisme au fer rouge pour de longues années.

Pirate de données bancaires arrêté en Pologne

Un pirate de données bancaires Polonais, recherché depuis 6 mois, arrêté après avoir volé plus de 100.000 €. Il en avait 800.000 en réserve.

Selon les autorités polonaises, Mateusza C., un internaute de 35 ans originaire de Varsovie, est accusé de piratage bancaire. Lui et un complice [Polsilverem], ce dernier a été arrêté en octobre 2015, auraient réussi à s’infiltrer dans des banques locales pour orchestrer des virements illicites. 100.000 euros ont pu être dérobés et transformés en bitcoin, la crypto monnaie. Les pirates avaient encore la main sur 800.000 euros qu’ils n’ont pu transférer. Connu sur la toile sous le pseudonyme de Pocket, le pirate risque 10 ans de prison. Pendant ce temps, en Russie, le gouvernement de Vladimir Poutine se penche à punir les utilisateurs « malveillants » de Bitcoin. Des peines d’amendes et de prisons sont proposés dans une loi qui doit être votée le mois prochain.

Forte hausse de la contrefaçon des billets de banque

La police allemande s’inquiète de la forte hausse de la contrefaçon des billets de banque de 20 et 50 euros. Elle a quasiment doublée en 2015.

Les billets de banques Euros contrefaits ont augmenté considérablement, en 2015, selon un rapport publié par l’Agence fédérale de la police criminelle allemande (BKA). En 2015, 86.500 cas ont été enregistrés par les autorités. Deux fois plus d’affaires qu’en 2011. 42% de plus qu’en 2014. Un total de 112.000 billets Euros falsifiées ont été découverts en Allemagne pour une valeur nominale de 5,5 millions d’euros. Une hausse de 48% par rapport à l’année précédente. 37% des faux étaient des billets de 20 euros. Les billets de 50 montent sur la plus haute marche de ce business de la contrefaçon avec la moitié des euros saisis.

Contrefaçon des billets de banque

Selon le rapport, cette hausse de la contrefaçon des billets de banque serait due au black market, le marché noir des données piratées, contrefaites et illégales. En plus des faux billets, il n’est pas rare de croiser du matériel pour contrefaire des billets de banque : des hologrammes et des modes d’emploi vendus dans les boutiques du dark net, par exemples.

Inquiétant, les contrefacteurs semblent être en mesure d’imiter beaucoup plus de fonctionnalités de sécurité, comme que la micro-impression. Le BKA a noté que la plupart des « contrefaçons de haute qualité » ont été produites en Europe orientale et méridionale. L’Italie est montrée du doigt.

En dépit de l’amélioration de la qualité des contrefaçons, les autorités indiquent que la majorité des billets contrefaits sont détectables sans l’utilisation d’aides techniques. (DW)

Le Japon va tester la biométrie pour payer ses achats

Biométrie – Pour préparer les Jeux Olympiques de 2020, attirer les touristes et contrer le cyber crime, le japon va tester, cet été 2016, le contrôle biométrique pour le paiement et la  réservation d’une chambre d’Hôtel.

Cet été, si vous avez la chance de vous rendre au Japon, préparez-vous à sortir vos doigts. Le pays va lancer une grande opération biométrique dédiée au contrôle d’identité et à la sécurisation des paiements.

Le gouvernement Japonais espère ainsi augmenter le nombre de touristes étrangers en utilisant ce système pour soulager les utilisateurs de la nécessité de transporter des espèces ou cartes de crédit. Le Japon veut tester son système afin que ce dernier soit opérationnel pour les Jeux olympiques et paralympiques de Tokyo 2020.

L’expérience permettra aux touristes volontaires, foulant le sol Nippon, d’enregistrer leurs empreintes digitales, identités et données de carte de crédit. Pour inciter les visiteurs à participer, pas de taxe sur les produits. Il suffira de placer deux doigts sur les dispositifs spéciaux installés dans 300 magasins et hôtels du pays. La biométrie permettra aussi d’éviter aux touristes de voir leur passeport copiés dans les hôtels. L’authentification par empreintes digitales suffira.

En 2020, Tokyo attend 40 millions de touristes. Les premiers tests ont eu lieu, depuis octobre 2015, dans le parc à thème du Huis Ten Bosch de Sasebo.

15 000 dollars en bitcoins volés à la Nigerian Bitcoin exchange

La Nigerian Bitcoin exchange se fait voler 15 000 dollars en Bitcoins. Le PDG a suivi en temps réel la transaction sans pouvoir agir.

Le PDG de la Nigerian Bitcoin exchange, Ejezie Sunday, a perdu 15 000 dollars en bitcoins. Des pirates ont trouvé le moyen de mettre la main sur un transfert que le patron de la NBE n’a pu que constater, en temps réel.

Il explique à CoinTelegraph « Immédiatement, je remarque que l’opération [achat de 15 000 dollars en Bitcoins, était encore à confirmer. J’ai essayé par tous les moyens de contacter blockchain.info. Malheureusement, je n’ai reçu aucune réponse, ni une méthode pour arrêter la transaction. J’ai regardé, douloureusement, que la transaction soit confirmée et tous les fonds déplacé dans le portefeuille du pirate« .

Quelques heures plus tard, blockchain.info a répondu qu’il ne pouvait rien faire pour la Nigerian Bitcoin exchange.

Data Security Survey : Manque d’information sur la sécurité informatique

Dell annonce les conclusions de la première édition de son étude Dell Data Security Survey, dont il ressort que même si les membres de la direction mesurent les avantages d’une politique de sécurité, les entreprises peinent encore à développer des programmes cohérents, intégrant les stratégies de sécurité, sans pénaliser d’autres initiatives métier.

Malgré les outils en place pour satisfaire les besoins de sécurité, les décideurs métier et IT peinent en effet à mettre en œuvre ou à étendre des programmes fondés sur ces technologies. De plus, il s’avère que les questions autour de la sécurité freinent également l’adoption du Cloud, et ralentissent le déploiement de solutions de mobilité au service des organisations.

La sécurité des données, une priorité des hauts dirigeants, qui se disent préoccupés par la capacité à se protéger des menaces  
Si les hauts dirigeants sont plus impliqués dans la sécurité des données que par le passé, les équipes IT ont le sentiment que leurs supérieurs ne leur allouent ni les ressources, ni l’énergie nécessaire pour traiter les problématiques qui se posent réellement.

Près de trois décideurs sur quatre reconnaissent que la sécurité est une priorité pour la direction de leur organisation ; un sur quatre estime néanmoins que la direction n’est pas suffisamment au fait des problèmes relatifs à cette notion de sécurité. Trois décideurs sur quatre déclarent que leur direction prévoit de renforcer les mesures de sécurité en place, et ils sont plus de la moitié à espérer que les budgets sécurité seront augmentés au cours des cinq prochaines années. La question du coût reste un critère clé quand il s’agit de renforcer les programmes existants, avec 53% des répondants qui évoquent des contraintes financières pour expliquer l’absence de développement des mesures de sécurité à l’avenir. Un décideur sur quatre seulement se dit très confiant dans la capacité de sa direction à prévoir un budget suffisant pour les solutions de sécurité des données au cours des cinq ans à venir.

« Ces conclusions appellent à un engagement accru des hauts dirigeants en faveur de l’intégration des stratégies de sécurité des données dans la conduite des opérations », déclare Steve Lalla, vice-président en charge des logiciels et solutions pour clients professionnels, Dell. « Ils comprennent la nécessité d’investir dans leur infrastructure de sécurité, mais sans que cela n’aboutisse pour autant à la modernisation ou à l’extension des systèmes en place pour mieux se protéger contre les nouveaux types d’attaques. »

Malgré le soutien plus actif de la direction, les services IT ont besoin d’être épaulés pour réussir l’intégration de règles et de mesures de sécurité
Le rapport établit que des investissements insuffisants dans des technologies éprouvées, ajoutés à une pénurie de talents, entravent l’application de programmes de sécurité des données réellement optimisés.

La majorité des décideurs (58%) pense que leur organisation souffre d’une pénurie de professionnels de la sécurité correctement formés. 69% des décideurs considèrent toujours la sécurité des données comme une perte de temps et d’argent. Mais près de la moitié (49%) des sondés estiment qu’ils devront consacrer plus de temps à protéger leurs données au cours des cinq prochaines années. 76% estiment que leurs solutions leur sembleraient moins pesantes et laborieuses s’ils pouvaient tout concentrer auprès d’un fournisseur unique.

« Il ressort de cette étude que les services IT des entreprises déplorent les contraintes de coûts et de temps qui accompagnent traditionnellement les solutions tactiques », ajoute Steve Lalla. « Il n’est pas du tout efficace, quand on doit administrer les centaines ou les milliers de postes de travail de salariés, de devoir intervenir sur chacun séparément via plusieurs consoles. Sans compter que le risque de conflit ou d’incompatibilité est grand. Dans ces cas-là, il est vivement recommandé de se doter d’une suite intégrée d’administration IT. »

Les malwares et autres techniques d’attaques continuent de préoccuper les décideurs IT et métier
Les sondés se disent extrêmement préoccupés par les malwares, même en étant majoritairement équipés de solutions anti-malwares. Près de trois décideurs sur quatre (73%) craignent les malwares et les menaces persistantes avancées. Les préoccupations vis-à-vis des malwares sont les plus fortes aux Etats-Unis (31% très préoccupés), en France (31% très préoccupés) et surtout en Inde (56% très préoccupés) ; alors qu’elles sont moindres en Allemagne (11% très préoccupés) et au Japon (12% très préoccupés). Un sondé sur cinq seulement prétend avoir entière confiance dans la capacité de son entreprise à se protéger contre les attaques de malwares sophistiquées. Les sondés craignent les attaques de harponnage de type « spear phishing » (73% très préoccupés) plus qu’aucune autre méthode. « Le fait que les décideurs IT et métier n’aient pas confiance dans leur défense anti-malware s’explique peut-être par l’utilisation d’outils obsolètes ou inefficaces », commente Brett Hansen, directeur exécutif de la division Data Security Solutions de Dell. « Quand des équipes IT n’ont pas les ressources nécessaires pour adopter une protection proactive contre les menaces et se tenir à jour des nouvelles menaces qui émergent, leur défense se cantonne nécessairement à la détection des menaces et aux interventions de dépannage. »

Les employeurs en viennent à vouloir limiter la mobilité pour protéger les données

Tout le monde pense que les services internes des entreprises deviennent tous plus mobiles, or ce rapport nous apprend que les choses sont en réalité plus compliquées.

La majorité des entreprises de taille moyenne (65%) diffère leurs projets de mobilité des équipes pour des questions de sécurité, et 67% hésitent même à adopter les pratiques BYOD (bring-your-own-device). Alors que 82% des décideurs s’efforcent de limiter les points d’accès aux données pour renforcer la sécurité, 72% estiment que c’est en sachant d’où provient l’accès aux données qu’ils pourront renforcer l’efficacité des mesures de protection. 69% des sondés envisagent toujours de sacrifier les terminaux individuels pour mieux protéger leurs données des risques de compromission, or 57% se disent toujours préoccupés par la qualité du chiffrement dans leur entreprise. Deux sondés sur cinq sont enthousiastes vis-à-vis des gains de productivité d’une plus grande mobilité des équipes, en dehors des considérations de sécurité.

« Quand des organisations se désengagent des programmes de mobilité à la sécurité encadrée, elles s’exposent à d’autres risques », déclare Brett Hansen. « Les aspects de mobilité et de sécurité peuvent tout à fait coexister grâce aux technologies modernes de sécurité des données qui ont recours à des algorithmes de chiffrement intelligent pour protéger les données en toutes circonstances, en transit comme au repos. »

Les sondés se méfient des plateformes de cloud public
L’utilisation croissante des services de cloud public comme Box et Google Drive par les salariés amène les décideurs à douter de leur capacité à contrôler les risques que posent ces applications. Quatre sondés sur cinq hésitent à télécharger des données d’importance stratégique dans le cloud et 58% sont plus inquiets aujourd’hui qu’il y a un an. 38% des décideurs restreignent l’accès aux sites de cloud public dans leur organisation pour des questions de sécurité. 57% des décideurs qui autorisent l’utilisation du cloud et 45% de ceux qui prévoient d’autoriser l’utilisation des plateformes de cloud public attendront des fournisseurs de services cloud qu’ils assument les responsabilités liées à la sécurité. Une organisation sur trois seulement cite l’amélioration de la sécurité des accès aux environnements de cloud public comme une priorité concernant leur infrastructure de sécurité, alors que 83% des organisations reconnaissent que leurs salariés utilisent ou utiliseront les environnements de cloud public pour partager et stocker leurs données professionnelles.

« Les programmes de sécurité doivent permettre aux salariés d’être productifs en toute sécurité, ce qui suppose de les équiper d’outils et de technologies qui les aident dans leur travail », conclut Brett Hansen. « Les entreprises peuvent tenter de limiter ou d’interdire l’utilisation du cloud public, mais elles ont plutôt intérêt à utiliser des solutions de chiffrement intelligent, capables de protéger leurs données confidentielles où qu’elles aillent, et qui décourageront les salariés de vouloir contourner les règles qu’ils jugent trop restrictives. »

Malwares mobiles : le volume a triplé en 2015

Le volume de malwares ciblant les utilisateurs d’appareils mobiles a plus que triplé en 2015, comparé à 2014. Les menaces les plus dangereuses observées au cours de l’année dernière sont des ransomwares, c’est-à-dire des malwares capables d’obtenir le contrôle illimité d’un appareil infecté, ainsi que les voleurs de données, y compris les malwares financiers. Ces conclusions sont le résultat du travail de l’équipe de recherche antimalware de Kaspersky Lab, compilées dans son rapport annuel de virusologie.

Les chiffres clés du paysage des menaces mobiles 2015 :
·         884 774 nouveaux programmes malicieux ont été détectés, soit trois fois plus qu’en 2014 (295 539).
Le nombre de Trojans bancaires mobiles a diminué à 7 030, alors qu’ils étaient 16 586 en 2014.
·         94 344 utilisateurs uniques ont été attaqués par un ransomware mobile, soit cinq fois plus qu’en 2014 (18 478).

Explosion du nombre de ransomwares
2015 a été l’année des ransomwares. Une fois un appareil infecté, l’application malicieuse le bloque grâce à une fenêtre pop-up annonçant que l’utilisateur a commis un acte illégal. Pour débloquer son appareil, il doit payer une rançon pouvant aller de 12$ à 100$.

La part d’utilisateurs de produits Kaspersky Lab pour mobiles attaqués par un ransomware est passée de 1,1% à 3,8% entre 2014 et 2015. 156 pays sont concernés par ces attaques, avec en haut de la liste la Russie, l’Allemagne et le Kazakhstan. Le malware Trojan-Ransom.AndroidOS.Small et sa modification, Trojan-Ransom.AndroidOS.Small.o étaient les plus actifs en Russie et au Kazakhstan. Small.o a été le ransomware mobile le plus répondu et détecté l’année dernière. Le nombre de modifications d’applis de ransomware a été multiplié par 3,5, prouvant que les fraudeurs voient un intérêt toujours plus grand à gagner de l’argent grâce au chantage.

En 2016, les malwares vont probablement gagner en complexité et le nombre de modifications va augmenter, augmentant en parallèle le nombre de zones géographiques touchés.

Quand les malwares prennent les pleins pouvoirs (et droits d’accès)
Près de la moitié des 20 plus importants Trojans de 2015 étaient des programmes malicieux diffusant des publicités intrusives sur des appareils mobiles. Les plus répandus l’année dernière étaient les Trojans Fadeb, Leech, Rootnik, Gorpro et Ztorg. Les fraudeurs derrière ces programmes ont utilisé toutes les méthodes à leur disposition pour les propager, à travers des bannières web malicieuses, des faux jeux et d’autres applications légitimes publiées dans des marketplaces légitimes. Dans certains cas, ils étaient présentés comme des logiciels légitimes préinstallés sur l’appareil.

Certaines de ces applis ont la capacité de s’approprier des “super” droits d’accès ou l’accès root. Cela permet aux cyber criminels de disposer de possibilités quasi infinies de modifier les informations stockées sur l’appareil de leur victime. Si l’installation est réussie, il devient presque impossible de supprimer le malware, même après un reset aux paramètres d’usine. Les malwares mobiles pouvant s’octroyer l’accès root sont connus depuis 2011, avec un pic de popularité l’année dernière auprès des cyber criminels. Cette tendance devrait se confirmer en 2016.

Mettre son argent en sécurité
Les Trojans bancaires sont de plus en plus complexes, en dépit d’une diminution du nombre de modifications. La mécanique de ces applis malicieuses n’a pas changé : après avoir infiltré l’appareil ou le système d’un client, le malware se superpose à la page ou à l’application d’une banque. Cependant, l’échelle à laquelle ces malwares peuvent être utilisés s’est accrue en 2015. Maintenant, les cyber criminels peuvent attaquer les clients de douzaines de banques situées dans des pays différents en utilisant un seul type de malware, alors que par le passé ils auraient utilisé des applications malicieuses capables d’attaquer un seul établissement bancaire, voire deux, dans quelques pays. Un exemple d’application aux victimes multiples est le Trojan Acecard, qui dispose d’outils pour attaquer plusieurs douzaines de banques et de services web.

« Avec l’avènement des technologies mobiles, les cyber criminels sont entrés dans une logique de monétisation qui transcende les plates-formes. C’est pourquoi il n’y a rien de surprenant à enregistrer un accroissement de l’activité des ransomwares et autres malwares sur mobiles.  Certains utilisateurs pourraient être tentés de payer, mais cela ne fait que renforcer le modèle des criminels sans aucune garantie de récupérer ses données ou les pleins pouvoirs sur son appareil. Pour limiter les risques, la prudence et la prévention restent encore et toujours la meilleure des protections. » explique Tanguy de Coatpont, directeur de Kaspersky Lab France.

Alerte sur la croissance considérable du malware mobile
Même son de cloche pour Intel Security qui vient de publier un nouveau rapport, intitulé ‘McAfee Labs Threat Report’, sur l’évolution du paysage des menaces ciblant les environnements mobiles.

Tandis qu’historiquement, les cybercriminels concentraient principalement leurs efforts sur les attaques de postes fixes et de PC portables, Intel Security pointe du doigt l’augmentation spectaculaire du nombre de malwares sophistiqués ciblant aujourd’hui les appareils mobiles. L’étude indique qu’au cours des 6 derniers mois, 3 millions d’appareils ont été touchés uniquement par des malwares qui se propagent via les AppStores.

En outre, il a été constaté une nouvelle augmentation de 24 % d’échantillons de malwares mobiles au cours du dernier trimestre 2015 par rapport au trimestre précédent. Parmi les autres chiffres : 37 millions d’échantillons de malware mobile identifié par Intel Security au cours de 6 derniers mois. Plus d’1 million d’URL redirigeant vers des sites malveillants ont été enregistrées sur 4 millions de dispositifs mobiles. Plus de 155 % de ransomwares en 2015 par rapport à l’année passée. 780 millions d’accessoires connectés dans le monde d’ici 2018, là où il en était recensé 500 millions en 2015. « Les appareils mobiles prennent une place prépondérante dans la vie numérique des consommateurs, notamment dans l’usage de services sensibles (banques, achats, etc.). Il est important de veiller à la mise en place d’une protection anti-malware efficace afin de mieux sécuriser les données des utilisateurs », précise John Giamatteo, vice-président chez Intel Security. « Intel Security est très impliqué dans la lutte contre les menaces mobiles, y compris à travers sa collaboration avec des constructeurs grand public, telle que Samsung, pour les aider à mieux intégrer la sécurité en native au sein de leurs produits et permettre aux consommateurs de surfer dans un monde connecté en toute sécurité ».

Applications bancaires : La France touchée par le code Acecard

Le Trojan Acecard menace les utilisateurs de plus de 30 applications bancaires et de paiement sur Android. La France dans le top 5 des pays les plus touchés.

L’équipe de recherche antimalware de Kaspersky Lab a détecté l’un des chevaux de Troie bancaires les plus dangereux jamais observés sur la plate-forme Android. Le malware Acecard est en effet capable de s’attaquer aux utilisateurs de près d’une cinquantaine d’applications et de services de finance en ligne, en contournant les mesures de sécurité de Google Play.

Au cours du troisième trimestre 2015, les experts de Kaspersky Lab ont repéré une augmentation inhabituelle du nombre d’attaques contre des services bancaires mobiles en Australie. Cela leur a paru suspect et très vite ils ont découvert que cette recrudescence était principalement imputable à un seul et même Trojan bancaire : Acecard.

La famille de chevaux de Troie Acecard utilise la quasi-totalité des fonctionnalités malveillantes aujourd’hui disponibles, qu’il s’agisse de s’approprier les messages (textes ou vocaux) d’une banque ou de superposer aux fenêtres des applications officielles de faux messages qui simulent la page d’authentification officielle afin de tenter de dérober des informations personnelles et des identifiants de compte. Les plus récentes versions de la famille Acecard peuvent s’attaquer aux applications clients d’une trentaine de systèmes bancaires et de paiement. Sachant que ces chevaux de Troie sont en mesure de maquiller toute application sur commande, le nombre total d’applications financières attaquées est peut-être bien supérieur.

En dehors des applications bancaires, Acecard peut détourner les applications suivantes avec des fenêtres de phishing :

·         messageries instantanées : WhatsApp, Viber, Instagram, Skype ;
·         réseaux sociaux : VKontakte, Odnoklassniki, Facebook, Twitter ;
·         Client de messagerie Gmail ;
·         application mobile PayPal ;
·         applications Google Play et Google Music.

Le malware, détecté pour la première fois en février 2014, n’a cependant montré pratiquement aucun signe d’activité malveillante pendant une période prolongée. Tout a changé en 2015 lorsque les chercheurs de Kaspersky Lab ont remarqué un pic dans les attaques : de mai à décembre 2015, plus de 6000 utilisateurs ont été ciblés par ce cheval de Troie, la plupart d’entre eux se trouvant en Russie, Australie, Allemagne, Autriche et France.

Pendant leurs deux années d’observation, les chercheurs de Kaspersky Lab ont été témoins du développement actif du cheval de Troie. Ils ont ainsi enregistré au moins dix nouvelles versions du malware, chacune présentant une liste de fonctions malveillantes nettement plus longue que la précédente.

Applications bancaires : Google Play attaqué
Les appareils mobiles ont généralement été infectés après le téléchargement d’une application malveillante imitant une application authentique. Les variantes d’Acecard sont généralement diffusées sous le nom de Flash Player ou PornoVideo, même si d’autres appellations sont parfois employées dans le but de les faire passer pour des logiciels utiles et répandus.

Il ne s’agit toutefois pas de la seule méthode de diffusion de ce malware. Le 28 décembre 2015, les experts de Kaspersky Lab ont repéré une version du module de téléchargement d’Acecard – Trojan-Downloader.AndroidOS.Acecard.b – sur la boutique officielle Google Play. Le cheval de Troie se propage sous l’apparence d’un jeu. Une fois le malware téléchargé depuis Google Play, l’utilisateur ne voit qu’une icône Adobe Flash Player sur le bureau et aucune trace de l’application installée.

Qui se cache derrière Acecard ?
Après avoir étudié de près le code malveillant qui se cache dans ces Applications bancaires, les experts de Kaspersky Lab sont enclins à penser qu’Acecard est l’œuvre du même groupe de cybercriminels déjà responsable du premier cheval de Troie TOR pour Android, Backdoor.AndroidOS.Torec.a, et du premier ransomware de cryptage mobile, Trojan-Ransom.AndroidOS.Pletor.a.

Cette conclusion s’appuie sur la présence de lignes de code similaires (noms de méthodes et de classes) et l’utilisation des mêmes serveurs de commande et de contrôle (C&C). Cela tend à prouver qu’Acecard a été créé par un groupe criminel puissant et chevronné, très probablement russophone.

« Ce groupe cybercriminel utilise pratiquement chaque méthode existante pour propager le Trojan bancaire Acecard. Celui-ci peut être diffusé sous l’aspect d’un autre programme, via des boutiques d’applications officielles, ou par l’intermédiaire d’autres chevaux de Troie. Une caractéristique distinctive de ce malware est sa capacité à se superposer à plus de 30 systèmes bancaires et de paiement en ligne mais aussi des applications de réseaux sociaux, de messagerie instantanée ou autres. La combinaison des capacités et des modes de propagation d’Acecard font de ce cheval de Troie bancaire mobile l’une des menaces les plus dangereuses pour les utilisateurs aujourd’hui », avertit Roman Unuchek, analyste senior en malware chez Kaspersky Lab USA.

Afin de prévenir une infection, quelques recommandations :
–          Ne pas télécharger ou/et installer d’applications depuis Google Play ou des sources internes si elles ne sont pas dignes de confiances ou ne peuvent être traitées comme telles.
–          Ne pas consulter de pages web suspectes présentant des contenus particuliers et ne pas cliquer sur des liens suspects.
–          Installer une solution de sécurité fiable sur les appareils mobiles, par exemple Kaspersky Internet Security for Android.
–          Veiller à ce que les bases de données antivirales soient à jour et fonctionnent correctement.

Fraude dans la publicité mobile : comment la mettre K.O

Avec l’apparition des Smartphones, la publicité digitale sur le mobile est devenue le nouvel Eldorado des annonceurs. Interactivité, accessibilité, capacités pointues de ciblage… les avantages du mobile sont nombreux et expliquent les budgets publicitaires considérables investis sur ce support. Mais, de manière presque attendue et comme cela fut le cas pour la publicité sur desktop, l’explosion de cette jeune industrie s’est accompagnée d’une menace bien réelle pour les annonceurs : LA FRAUDE. 

Moins connue du grand public – car elle ne touche pas les consommateurs finaux, la fraude sur le mobile a pourtant un coût considérable pour les annonceurs : 1.3 milliards de dollars en 2015 et ce seulement aux Etats-Unis, selon la dernière étude d’Ernest & Young*. En quoi consiste cette fraude ? Comment peut-on identifier les acteurs frauduleux ? D’où viennent-ils ? Comment les contrer ?

La fraude, qu’est-ce-que c’est ?
Afin de mieux comprendre ce qu’est la fraude sur le mobile, revenons rapidement sur les principes basiques de la publicité digitale. Un annonceur souhaite cibler des utilisateurs de Smartphones afin de communiquer sur sa marque, son application ou son site. Il va pour cela payer un montant fixe à un éditeur pour la réalisation d’une action sur son trafic (impression d’une publicité, clic, téléchargement d’app, inscription sur un site,…). L’éditeur, qui offre généralement du contenu gratuit sur son application ou site web, se voit donc offrir une opportunité unique de monétiser son audience et de construire ainsi un modèle économique pérenne. Jusque là … tout va bien. Seulement voilà, des éditeurs peu « scrupuleux »  ont décidé de « rafler la mise » en simulant des fausses actions sur leur trafic. L’annonceur, qui souhaitait acquérir des utilisateurs qualifiés, se retrouve donc avec une part non-négligeable d’utilisateurs  non-qualifiés voire inexistants !

La conséquence directe et mathématique est que l’annonceur se retrouve avec un prix de revient réel beaucoup plus élevé que prévu.  Or ses budgets n’étant pas extensibles, il va devoir exercer une pression déflationniste sur les prix. C’est alors toute la chaîne des éditeurs qui en paie les conséquences… fraudeurs inclus !

Détecter la fraude, un combat du quotidien
Il existe aujourd’hui toute une panoplie de pratiques permettant de détecter la fraude. Il s’agit d’un exercice à la fois simple et complexe mêlant rigueur et technologie. Différents principes de bons sens et basés sur l’expérience du métier permettent d’obtenir de très bons résultats et de proposer une approche systématique ayant pour objectif d’écarter le risque potentiel de fraude. Il ne s’agit donc pas de trouver la formule magique qui permettra de se mettre à l’abri de la fraude mais de combiner plusieurs approches afin de rendre de plus en plus compliqué le travail des fraudeurs jusqu’à ce qu’ils décident eux-mêmes d’abandonner ou de s’attaquer à une autre proie plus faible.

Les schémas frauduleux les plus classiques et quelques approches pour le contrer : Les robots prennent le contrôle… Non ce n’est pas le titre du dernier Spielberg.  Certains hackers ont bel et bien mis au point des robots capables de « regarder » des publicités, cliquer dessus et même installer des applications. Ces techniques sont en fait l’héritage d’une longue pratique de la fraude sur Desktop et représentent aujourd’hui sur le mobile, la majorité des cas de fraude. Une solution ? Le meilleur moyen pour contrer ces robots est d’analyser en temps réel les campagnes : depuis quels terminaux sont vues les publicités, quelles adresses IP, quel langage de terminal, quelle redondance pour une même action de la part d’un utilisateur, quel timing entre le clic et l’action, etc. Autant de données et de paramètres permettant d’identifier des tendances suspectes, des proxy et des robots, et donc de bloquer la source à l’origine du trafic frauduleux.

Pas de robots mais une performance exceptionnelle de campagne pour une très faible qualité ? L’annonceur est probablement victime d’une fraude tout aussi courante :  le trafic incentivé (i.e l’utilisateur reçoit une prime à l’action). Cette fois, les utilisateurs sont bel et bien « réels ». Seulement ils sont « payés » par l’éditeur pour voir, cliquer ou faire une action. Résultats : des taux de conversions très intéressants, mais un taux d’engagement ou de fidélité à la marque très faible. Là encore une analyse du trafic (taux de conversion horaire, taux d’engagement de l’utilisateur ,…) permettra de dégager des tendances assez flagrantes et de bloquer les sources frauduleuses.

Les utilisateurs ne sont pas du tout actifs, pourtant il est certain qu’ils ne viennent pas de trafic incentivé. Dans ce cas, l’annonceur est exposé à une fraude encore plus sournoise : les « fermes » d’installations mises en place dans certains pays. Les employés de ces « fermes » sont payés pour installer des milliers de fois la même application à partir du même terminal en simulant des utilisateurs différents. Comment ? Par une opération très simple que les systèmes de tracking ne parviennent pas encore à repérer : ils installent et ouvrent l’application sur leur terminal, la désinstallent, réinitialisent leur identifiant de terminal et répètent l’opération des dizaines de fois, le tout en se cachant derrière des proxy. Laborieux mais ingénieux. Il faut donc être malin et, une nouvelle fois, analyser les données reçues, notamment le nom et le langage du terminal. En effet, les terminaux ont généralement un nom, et envoient le langage de la machine lors de l’installation. Par exemple si l’on observe pour une même campagne ciblant les Etats-Unis, plusieurs téléchargements provenant de terminaux portant le même nom d’utilisateur (e.g iPhone de Michael) et ayant le même language (e.g VN pour Vietnam), il s’agit très certainement de téléchargement frauduleux en provenance d’une de ces « fermes » d’installations localisées dans le pays. Ou alors c’est vraiment que votre produit cartonne chez les Vietnamiens habitant aux Etats-Unis!

Ceci n’est malheureusement qu’un échantillon limité des actions frauduleuses observées sur le mobile. Il existe des pratiques encore plus sophistiquées que de bons algorithmes sauront débusquer (click spamming, « viewability » de campagne, …).

Des techniques pour gagner votre combat
L’écosystème des éditeurs de media mobile est une véritable jungle dans laquelle se glissent facilement des intermédiaires mal intentionnés. S’il est difficile d’y voir clair et de désigner un coupable, il existe heureusement des outils et des méthodologies permettant de se protéger de façon très efficace. Annonceurs, ne soyez donc pas paranos ! Le marketing mobile – bien qu’encore à ses débuts – est un monde d’opportunités qui s’ouvre à vous avec de nouvelles possibilités de ciblage et de transformations jusqu’alors inédites sur le digital. Au contraire, l’activité frauduleuse est par nature court-termiste et nocive à l’ensemble du secteur. Il est donc fort à parier qu’avec le temps et la mise en place de bonnes pratiques, cette épidémie deviendra bien moins menaçante, comme cela a été le cas pour le Desktop.

Montrez donc l’exemple et soyez plus rusés que les fraudeurs pour déjouer leurs tentatives : Multipliez les sources de trafic (RTB, social, ad-networks …), les formats (display, vidéo, rich media, …) et les approches (retargeting, …) . Traquez et analysez au mieux l’engagement des utilisateurs. Choisissez le bon partenaire pour vous aider et vous aiguiller dans l’achat média. Toute source de trafic comprend des utilisateurs plus ou moins qualifiés, le tout est de savoir faire le tri et évacuer la pollution des fraudeurs ! (Par Stéphane Pitoun, Co-Fondateur et CEO d’Adxperience)

Quand des dealers font du business avec des bitcoins

La police néerlandaises arrête 10 personnes soupçonnées de dealer de la drogue via Internet. Voitures de luxe, argent et comptes bitcoins ont été saisis.

Le FIOD, le service des enquêtes spéciales du ministère des finances des pays-bas et le bureau des infraction, un service en charge de la lutte contre la criminalité dans les domaines de l’environnement et l’économie ont fait descendre « les amis du petit déjeuner » sur 15 adresses basées à Rotterdam, Zoetermeer, Almere, Dordrecht, Zaandam, Schiedam, La Haye et Putten.

Derrière les portes de ces maisons et appartements, 10 individus soupçonnés de vendre de la drogue par le biais de l’Internet. Le produit phare de cette bande, du XTC [Ecstasy].

Des véhicules de luxe, de l’argent liquide, des comptes bancaires et des comptes Bitcoins ont été saisis. Une action judiciaire avec des commissions rogatoires venues des États-Unis, d’Australie, de Lituanie et du Maroc. Ces 10 suspects servaient aussi de blanchisseur d’argent pour les commerçants du Darknet.

Fraude au président ? une banque belge piégée à hauteur de 70 millions d’euros

La banque coopérative Crelan vient de révéler un piratage qui lui a coûté 70 millions d’euros.

Ca n’arrive pas qu’aux autresLa fraude au président, DataSecurityBreach.fr vous en parle malheureusement très souvent. L’idée, voler de l’argent à une entreprise en l’incitant à faire volontairement le virement. Les pirates, derrière ce type d’attaque, collectent un maximum d’informations sur leur cible. Identité, adresse, documents, postes occupés par les salariés… même les répondeurs des boites mails peuvent servir de source d’information.

La banque coopérative belge Crelan vient de goûter à ces escrocs particulièrement chevronnés. D’abord parce qu’ils ont la connaissance technique de l’environnement de l’entreprise qu’ils vont attaquer. Ensuite, ils ont l’aplomb pour appeler au téléphone, mettre la pression aux interlocuteurs par courriels. Ils se font passer pour un créancier, un client de la société et incitent un employé à valider des virements. Pour cette banque aux 288.000 clients, les pirates ont réussi à se faire virer pour 70 millions d’euros. « Aucun client n’a été touché. » confirme la banque à la presse Belge. C’est une enquête interne qui a découvert le pot aux roses. Il était malheureusement bien trop tard. L’enquête du parquet a été lancé. Il va falloir remonter à l’argent perdu entre la Moldavie, la Chine, Israël et les poches des voyous. Crelan indique avoir « renforcé les procédures de sécurité interne« .

Piratage de Cryptsy annonce-t-il la fin du Bitcoin ?

Cryptsy, l’une des bourses d’échanges de Bitcoins piratée. Une porte cachée installée dans le code du porte-monnaie de cette crypto-monnaie.

Voilà un piratage impressionnant. D’abord par sa mise en place. Le pirate présumé, le développeur d’un concurrent du Bitcoin, Lucky7Coin. Il aurait inséré une backdoor (une porte cachée) directement dans le code du Cryptsy. Bilan, via IRC (Internet Relay Chat), le pirate aurait été capable de prendre le contrôle de  Cryptsy et de détourner des milliers de bitcoins et Litcoin. 13.000 bitcoins et pas moins de 300.000 litcoins ont été volés, soit un total de 11 millions d’euros. Un piratage qui daterait de 2014. Ce boursicoteur de Cryptsy avait réussi à éponger la perte.

Seulement, une descente de la police relance l’affaire. Plus efficace que le pirate, cette rumeur de perquisition a inciter les clients à retirer leur argent. Bilan, les transactions ont été stoppées tellement le cours chuté comme neige au soleil.

Pendant ce temps, chez les développeur de la crypto-monnaie, ça bouge, et pas dans le bon sens. Mike Hearn, co concepteur historique du Bitcoin a décidé de stopper son engagement considérant que ses collégues ne laissaient aucunes chances d’évolution à la monnaie numérique. Il souhaitait 24 transactions par seconde alors que ses « amis » ne souhaitent pas dépasser l’unique transaction par seconde. Et ce n’est pas les fermes de bitcoins, installées en Chine qui vont aider dans la bonne évolution de la monnaie 2.0.

Une prime de 1000 BTC a été proposée à toute personne capable de remonter à l’argent volé. Ce dernier a été entreposé sur un wallet qui n’a pas évolué depuis 2014. Big Vern, de chez Cryptsy, promet « le pardon » dans le cas ou le pirate rend spontanément les Bitcoins détournés. Sans réponse, ce dernier indique que « ce sera la guerre » contre ce pirate.

Fraude : Pôle Emploi diffuse de fausses annonces

Devenir chauffeur, recevoir un chèque à débiter et renvoyer l’argent liquide par Wester Union ? Bienvenue dans les petites annonces pirates diffusées par Pôle Emploi.

Les fraudes à l’emploi, via Internet sont légions. Je vous en parle malheureusement très souvent. Elles prennent différentes formes : faux contrat de gestion de colis. Des objets volés ou acquis avec des CB piratées. Les colis sont à renvoyer à une adresse donnée (DropBox) au dernier moment, par le pirate. Gestion de fausses commandes. L’employé reçoit de l’argent sur son compte en banque. L’escroc explique qu’il provient de commandes de clients d’un « grand distributeur international de produits de créateurs ». Il s’agit surtout de fraudes bancaires [Phishing, CB piratée, cyber boutiques pillées…). Le pigeon doit renvoyer un pourcentage en liquide, par Western Union. Bref, la fausse offre d’emploi permet aux voleurs d’amadouer sa victime. Il lui communique un chèque à déposer en banque. La cible doit renvoyer la liquidité par un procédé choisi par le pirate. Le chèque est faux ou sans provision.

De la Mule à l’âne, il n’y a qu’un pas

En plus de devenir une « mule » en blanchissant de l’argent volé et de participer à une escroquerie en bande organisée, l’internaute piégé par ce type d’escroquerie met aussi ses informations personnelles en danger. En fournissant des renseignements privés comme son compte bancaire ou la photocopie de son passeport. L’activité de la « mule » consiste à accepter des transferts d’argent sur son compte personnel. La victime utilise ensuite les services de transfert de fonds comme la Western Union pour envoyer l’argent vers une supposée adresse d’entreprise, en Europe de l’Est, à Hong-Kong ou simplement en Belgique. L’ « employé » conserve un certain pourcentage sur le montant du transfert, généralement entre 3% et 5%, comme commission pour le service. L’opportunité d’embauche proposée dans ces emails est alléchante : travailler comme agent financier ou chef de transaction, pour quelques heures par semaine seulement et à partir de son domicile, contre une rémunération élevée. Une fois l’argent en route vers l’étranger, la victime escroquée n’a quasiment plus aucune chance de récupérer son argent. Lorsque la fraude est découverte, ce sont les blanchisseurs d’argent, les mules insouciantes, qui reçoivent les demandes de dommages et intérêts et/ou les lettres de l’accusation. Sans parler de la visite des « Amis du petit déjeuner« . Bref, de la Mule à l’âne, il n’y a qu’un pas.

Fausse annonce, faux chèque, vraie arnaque

C’est cette dernière possibilité qui a touché plusieurs demandeurs d’emploi du nord de la France. Un habitant de la région Lilloise a répondu, par exemple, à une petite annonce diffusée par Pôle emploi. La mission, devenir chauffeur de maître pour une famille Suisse qui doit s’installer quelques temps en France. L’arnaque est simple, mais efficace. Pour louer la voiture dédiée à ce travail, l’escroc envoie un chèque à sa victime. Le document bancaire, d’un montant variant de 2000 à 3000se, doit permettre de louer la voiture. La cible le dépose donc sur son compte en banque. Le surplus d’argent doit être renvoyé, par Wester union. Le voyou 2.0 vient de récupérer des euros sonnants et trébuchants. La personne piégée se retrouve avec un énorme trou dans son compte en banque. Sans parler de la location de la voiture, que les escrocs pourront récupérer et utiliser à d’autres fins que les vacances !

Comment les repérer ?

Pôle Emploi, qui dans le Nord de la France ne semble pas vérifier l’intégralité de ces offres comme l’indique la Voix du Nord du 5 janvier 2016, donne quelques clés pour ne pas être piégés. Parmi les propositions : Ne donnez jamais vos données personnelles à un inconnu (votre numéro de sécurité sociale, le numéro de permis de conduire, votre RIB, numéros de compte, de carte bancaire, accès de connexions, etc.). Tout recruteur qui vous demanderait ce type d’information, avant même de vous avoir rencontré, doit être considéré comme suspect ; protégez votre ordinateur ou votre périphérique en installant antivirus et pare-feu ; n’envoyez pas d’argent à un employeur potentiel ; Ne versez aucune somme d’argent en échange d’un contrat de travail potentiel ; N’acceptez aucune rétribution, de quelque nature que ce soit, de votre futur employeur tant que vous n’avez pas signé le contrat de travail [Attention, j’ai pu croiser de faux contrats de travail. Bannissez les entreprises inconnues, basées à l’étranger, NDR) ; Ne poursuivrez pas la communication si vous doutez de l’honnêteté de votre interlocuteur. « N’hésitez pas à demander toute précision qui vous semble utile afin de vous assurer que l’offre proposée est bien réelle et sérieuse » termine Pôle Emploi sur son site web.

Dans le quotidien nordiste, l’une des victimes indique cependant n’avoir reçu aucune réponse à ses demandes insistantes sur le sérieux d’une des annonces « J’ai contacté mon conseiller pour demander si une vérification est faite sur le sérieux des offres. Je n’ai jamais obtenu de réponse. »

En cas de fraude ou d’abus de ce type, n’hésitez pas à contacter la rédaction de ZATAZ.COM via leur protocole d’alerte sécurisé ou encore Info Escroquerie au 0 811 02 02 17 ou via le site Internet internet-signalement.gouv.fr.

Piratage d’entreprises au Japon : la moitié ne le savaient pas

Sur 140 entreprises privées et publiques japonaises interrogées, 75 organisations ne savaient pas que les données de leurs utilisateurs avaient été volées.

Le piratage informatique n’arrive pas qu’aux autres. Nous sommes toutes et tous susceptibles de finir dans les mains malveillantes de pirate informatique. Nos données sont tellement partagées par les entreprises qu’il est difficile, voire impossible, de les contrôler.

Au japon, par exemple, une étude intéressante vient d’être publiée par le Kyodo News. Sur les 140 entreprises interrogées, et ayant été piratées en 2015, 75 organisations ont confirmé qu’elles n’avaient pas remarqué l’attaque. Plus de la moitié avaient découvert la fuite de données après l’intervention de la police, ou d’une autre source. Sur ces 140 entreprises, 69 étaient du secteur privé, 49 étaient des agences gouvernementales et 22 universités.

Les 65 entreprises restantes ont indiqué s’être rendues compte, via des audits internes, de la fuite de leurs données. En 2015, les sociétés telles que Seki Co (267000 CB piratées) ; Chateraise CO (200000 données clients) ; Tamiya Inc (110000 données clients) ou encore Itochu Corp, l’Université de Tokyo, la Waseda University, l’association du pétrole japonais ont été touchés par un piratage informatique.

La plus grosse fuite aura touché le service des pensions de retraite du Japon (Japan Pension Service) avec 2,7 millions de données dans la nature. En 2014, Japan Airlines avait du faire face à la fuite de 750,000 données de son club de clients VIP. En 2013, Yahoo! Japan enquêtait sur le vol probable de 22 millions de comptes utilisateurs.

Chantage informatique saveur Macaron

Une entreprise de Montmorillon piratée. Sa base de données volée. Les pirates ont tenté de faire chanter la PME spécialisée dans les Macarons.

Les amateurs de Macarons connaissent l’artisan Rannou-Métivier. Cette entreprise familiale basée à Montmorillon, dans la région de Poitiers, est spécialisée dans cette petite gâterie sucrée qu’est le macaron. Des pirates informatiques ont jeté leur dévolu sur le site Internet de la société. Une faille SQL plus tard et les malveillants sont repartis avec la base de données [BDD].

Une BDD comprenant les informations clients : mails et mots de passe. « Notre service informatique a immédiatement réagi pour renforcer la sécurité du site. Cependant, des données ont déjà été volées » souligne dans le courriel envoyé aux clients de Rannou-Métivier. Les pirates ont réclamé de l’argent à la société. En contre partie, les voyous du web ne diffuseraient pas les informations collectées. Depuis, le chiffrement des sésames a été instauré, espérons juste que cela n’est pas un modeste format MD5 et que les pirates ne diffuserons pas les informations volées.

Une attaque qui démontre une fois de plus l’intérêt des base de données pour le blackmarket. Si cette derniére ne peut-être vendue, ce qui ne veut pas dire  que les données n’ont pas été diffusés dans le BM, les pirates n’hésitent plus à contacter les victimes pour « dealer » une rançon. L’année derniére, le groupe Rex Mundi s’était spécialisé dans ce type de chantage à la base de données clients. [La Nouvelle république]

Qui veut la peau de Roger Ramnit ?

La version 2 du code malveillant Ramnit fait surface sur la toile. Un logiciel pirate avide de données bancaires.

À la fin du mois de Février 2015, Europol, en collaboration avec plusieurs sociétés de sécurité informatique mettait fin à plusieurs serveurs (C&C) permettant de contrôler le botnet Ramnit. La police internationale parlait alors de 3 millions de pc infiltrés. Un an plus tard, Ramnit 2 sort son artillerie lourde. Pour l’équipe  X-Force de la Threat Intelligence Team d’IBM, Ramnit revient lentement sur ses terres sous une nouvelle version. Sa cible reste toujours les données bancaires.

Ramnit a fait ses débuts sur la scène de la cybercriminalité en 2010. Il est devenu le quatrième plus grand botnet dédié à la fraude financière à la fin de l’année 2014, derrière GameOver Zeus, Neverquest (Vawtrack) ou encore Shylock. Principalement destiné aux utilisateurs dans les pays anglo-saxons comme les États-Unis, l’Australie et le Royaume-Uni, le botnet a rapidement inquiété les autorités. En février 2015, avec l’aide de Microsoft, Symantec et Anubis Networks, le Centre d’Interpol dédié à la lutte contre la cybercriminalité (EC3) le centre de commandement de Ramnit était mis hors d’état de nuire. Même si des commandes envoyées par des ordinateurs infectés recherchent toujours à converser avec le C&C saisi par les autorités, les pirates se sont penchés sur une nouvelle version de Ramnit.

Ramnit v2, repensé intégralement
Les pirates ont repensé intégralement leur outil malveillant. Les experts en sécurité d’IBM affirment qu’il n’y a pas d’énormes différences entre l’ancienne version du cheval de Troie Ramnit et sa nouvelle monture, à l’exception de sa méthode d’infection. Alors que le Ramnit était diffusé par clé USB et P2P, Ramnit 2 est construit de maniére à diriger les potentielles victimes vers des pages web fabriquées pour l’occasion, ou infiltrées pour y cacher les kits d’exploits pirates.

Fait intéressant, le code source de Ramnit n’a jamais été diffusé et partagé dans le darknet. Un élément qui tenterait à laisser penser que Ramnit 2 a été écrit par le/les mêmes codeurs. Ramnit a permis d’attaquer plusieurs grandes banques au Canada, en Australie, aux États-Unis et en Finlande. (SoftMedia)

Code malveillant dans la gestion des Hôtel Hyatt

Après les Hôtels Sheraton, Hilton et Le Meridien, c’est au tour du groupe hôtelier Hyatt d’être la cible d’une attaque informatique.

L’hôtelier américain Hyatt a indiqué sur son site Internet avoir été la cible d’une attaque informatique d’envergure. Une enquête en cours a permis de découvrir que des ordinateurs de la marque américaine avait été infiltrés et qu’un code malveillant permettait l’accès aux informations internes et sensibles.

Dans son communiqué de presse Hyatt Hotels indique avoir identifié « récemment » un programme informatique malveillant dans des systèmes informatiques habituellement utilisés dans la gestion du système de paiement de ses sites Internet « Sitôt l’activité découverte, la société a lancé une enquête et engagé les meilleurs experts en sécurité, dixit Hyatt, Les clients peuvent avoir confiance quand ils utilisent une carte de paiement dans des hôtels Hyatt dans le monde ». Chuck Floyd, le président des opérations chez Hyatt, encourage les clients à surveiller de près leurs relevés bancaires. Sait-on jamais !

Les hôtels, cibles faciles pour les pirates
Comme je peux vous l’expliquer et démontrer depuis des années, les Hôtels, et leurs clients, sont des proies faciles pour les pirates informatiques. Poubelles, documents bancaires, ordinateurs sont quelques portes d’entrées faciles. Combien d’hôtels infiltrés sans que personne ne puisse le savoir ? Impossible à savoir. Les cas que je traite, via le protocole de zataz.com, sont de plus en plus nombreux à l’image de du Carthage Thalasso sur la côte Tunisienne. Des internautes annonçait avoir la main sur les ordinateurs de cet important établissement hôtelier.

Cheval de Troie, accès à l’administration, aux documents des employés. Autant de données revendus, ensuite, dans le blackmarket. Fin septembre, le Département de la Justice de l’État de Californie (DoJC) confirmait le piratage d’au moins sept hôtels du groupe Trump. Ici aussi, un code malveillant avait été découvert. Des Français impactés ? très certainement, à l’image de ceux touchaient par le piratage de 10 hôtels du groupe Mandarin Oriental ou encore cette révélation concernant plusieurs dizaines d’Hôtels de part le monde dans lesquels j’avais pu découvrir des données privées et sensibles appartenant à des entreprises Françaises. Documents oubliés par des vacanciers, dans les ordinateurs en accès libres des hôtels visités.

Manipulation des données d’une compagnie aérienne chinoise

Un internaute met la main sur le site Internet d’une compagnie aérienne Chinoise et réussi à détourner 150 000 euros en annulant des voyages.

Zhang est un internaute Chinois de 19 ans. Comme beaucoup de ses petits camarades, ils touchent au piratage. Le gouvernement ne dit rien, tant que ces « visites » ne visent pas les entreprises locales. Sauf que Zhang a oublié l’adage « Une petite armée résiste à l’ennemi, une grande armée le capture » L’art de la Guerre – Art. III. Bilan, après s’être invité dans le serveur d’une compagnie aérienne, il a manipulé les comptes clients et réussi à soutirer 150 000 euros via les 1,6 million d’informations de réservations qu’il a copié et qui incluaient noms, numéros de carte d’identité, numéros de téléphone, adresses e-mail et autres données de vol. Dans son « attaque », elle va durée 15 jours, Zhang écrivait aux passagers en indiquant que leur vol avait été annulé et qu’il fallait reprogrammer un voyage. Zhang vendait de nouveaux billets et prenant sa commission. Il a été arrêté. (People)

Cybercriminalité et libertés individuelles au cœur des préoccupations de sécurité en 2016

A l’aube de l’année 2016, l’heure est au bilan et le marché de la cyber sécurité a une nouvelle fois été secoué par des failles de grande ampleur qui n’ont épargné aucun secteur. De Vtech, en passant par Ashley Madison, le parlement allemand, Sony Pictures, TV5Monde ou encore le Bureau Américain du Personnel (OPM), le constat est sans appel : les organisations doivent renforcer leur pratiques de sécurité et les gouvernements doivent poursuivre leurs efforts en vue de mettre en place des réglementations plus claires en faveur de la lutte contre les cybermenaces.

Les équipes informatiques doivent garder une longueur d’avance sur les pirates informatiques et ressentent par conséquent une forte pression face aux menaces émergentes. Dans de nombreux cas, cela requiert des formations poussées, notamment au sein des industries concernées par l’Internet des Objets (IoT), ainsi que de nouvelles compétences dans les domaines prenant de plus en plus d’importance comme l’analyse comportementale. L’investissement dans des systèmes d’automatisation d’alertes relatives à des comportements inhabituels ou au blocage des menaces peut permettre de soulager les équipes d’une partie du fardeau. En outre, l’émergence de « réseau auto-protégé », capable d’apprendre à se protéger lui-même une fois qu’une attaque est détectée, peut également constituer une réponse à la problématique de manque de compétences.

La vie privée et l’IoT dans le collimateur des responsables de la sécurité
La violation de données chez Vtech pourrait marquer un tournant décisif en ce qui concerne la vie privée des consommateurs et l’IoT. Toutefois, selon le cabinet d’études Altimeter Group, 87% des consommateurs n’ont pas la moindre idée de ce que le terme « l’Internet des Objets » signifie et il est urgent d’y remédier. Au cours des prochaines années, les consommateurs devront être mieux informés de la manière dont leurs données sont collectées par les fournisseurs, et comprendre que ces informations peuvent être compromises si elles ne sont pas correctement sécurisées par le vendeur. Le risque de faille existe à partir d’un seul terminal connecté au réseau domestique ou à d’autres appareils. Ces risques sont encore plus élevés pour les entreprises où le déploiement d’objets connectés devient une réalité. Bien que ces appareils intelligents augurent une simplification du quotidien professionnel, ils ne sont la plupart du temps pas conçus avec le niveau de sécurité adapté, ce qui engendre un risque conséquent pour les entreprises. Cela devient d’autant plus critique avec la généralisation de leur utilisation et l’augmentation du nombre d’appareils.

L’entreprise devient la cible privilégiée de la cybercriminalité
2015 fût le théâtre de nombreuses extorsions de fonds menaçant les organisations victimes de voir leurs activités IT ou opérationnelles interrompues. En 2016, ces attaques seront plus agressives et viseront l’extraction d’informations financières, agitant la menace de divulgation d’informations compromettantes et d’augmentation des rançongiciels (ransomwares) à l’échelle de l’entreprise. Ce type d’attaques va en effet croitre à mesure que les pirates informatiques développeront des méthodes plus créatives de chantage envers les individus et les corporations ; les attaques continueront en outre de se transformer et de s’adapter aux environnements des entreprises ciblées, en utilisant des approches de type « caméléon » pour dérober les identifiants de connexion. Cette activité peut également donner un nouvel élan pour faire évoluer et affiner l’industrie mondiale de la cyber-assurance afin de renforcer la protection des entreprises. Aux Etats-Unis par exemple, les risques de cyberattaques et les mesures de préventions consenties devraient avoir des conséquences notables sur les analyses financière et la cote des entreprises.

La convergence des risques de terrorisme physique et cybernétique sur les infrastructures critiques
En 2015 des actes de terrorisme dévastateurs ont impacté la communauté internationale. En 2016, il y aura davantage de convergence entre les formes de terrorisme physiques et virtuelles. Nous avons déjà pu observer le piratage d’une compagnie aérienne : plutôt que de s’attaquer à l’avion directement, le pirate pourrait également utiliser une faille pour engendrer la confusion au sein de l’aéroport, en ciblant le système de billetterie par exemple. Ces deux catégories d’attaques devraient être plus coordonnées entre elles : utiliser une cyberattaque pour semer la confusion et l’attaque physique pour causer un maximum de dégâts. Au-delà des transports, ces attaques visant les infrastructures critiques pourront aussi concerner les systèmes de santé, les marchés financiers ou encore les réseaux d’énergies.

Les cyber-traités et la législation
Les pays mettent en place de nouvelles lois pour lutter contre la cybercriminalité ainsi que des accords plus larges pour développer des tactiques de cyberguerre. Cependant, ces réglementations risquent davantage de porter préjudice aux avancées technologiques que de diminuer les activités malveillantes. Définir la conformité et rendre responsables les organisations qui ne la respectent pas permettra également de déterminer la capacité d’engagement des gouvernements sur la question de la cyber-sécurité et la possibilité d’avoir une incidence réelle sur ce sujet.

Le chiffrement : existe-t-il un équilibre entre sécurité et libertés individuelles ?
Les récentes attaques terroristes perpétrées dans le monde ont relancé le débat initié lors des révélations de Snowden : les consommateurs lambda doivent-ils avoir accès aux technologies de chiffrement ? La nécessité de surveiller les activités terroristes prime-t-elle sur les droits à la vie privée des citoyens et de leurs communications ? En fin de compte, la population aura-t-elle droit à plus de chiffrement et de préservation de sa vie privée malgré les coûts de sécurité ou 2016 sera-t-elle l’année de limitation des libertés civiles ? Dans certains pays du monde, de nombreux citoyens ont déjà accepté de renoncer à la confidentialité de leurs données au nom d’une cyber sécurité renforcée.

Identifier les cyber-infiltrés
Au cours de ces trois dernières années, le gouvernement fédéral américain et les entreprises privées ont été la cible de fuites massives d’informations privées. Comme pour l’OPM américain ou les attaques ciblant les compagnies aériennes, la principale question est de savoir ce qui a été volé alors qu’il vaudrait mieux se demander si les pirates n’ont pas eux-mêmes introduit quelque chose dans les systèmes piratés. 2016 sera-t-elle l’année où l’on découvre que les espions, les terroristes ou autres acteurs gouvernementaux sont finalement des utilisateurs vérifiés et approuvés sur la base d’informations introduites au cours d’une cyberattaque ? (Par Jean-François Pruvot, Regional Director France chez CyberArk)

Vulnérabilité des clés SSH et cybercriminalité : comment sécuriser et protéger les systèmes et environnements SSH

La réutilisation de clés SSH (Secure Shell) n’a rien de nouveau, c’est un phénomène que nous avons déjà observé dans le passé. Pour preuve, en 2013, les médias révélaient que des cybercriminels avaient profité de la vulnérabilité d’une clé SSH pour bénéficier d’un accès root aux équipements exécutant l’EAS (Emergency Alert System) aux États-Unis. Par Kevin Bocek, Vice President of Security Strategy & Threat Intelligence chez Venafi.

Le protocole SSH ayant pour mission de sécuriser les communications entre les ressources numériques les plus stratégiques et les plus précieuses d’une entreprise, il n’est guère étonnant que des cybercriminels veuillent dérober, déchiffrer ou autrement compromettre les clés cryptographiques sur lesquelles il repose. Les accès SSH sont tous tributaires d’une administration et d’une sécurisation adaptées des clés SSH. En l’absence de projet sérieux en la matière, votre établissement court un risque.

La compromission d’un procédé cryptographique au travers d’une clé SSH est, de loin, l’un des pires scénarios pour une entreprise. À partir du moment où un pirate possède un accès de niveau root, autrement dit un accès privilégié, il détient les clés lui permettant de prendre le contrôle d’un réseau ou d’un système complet pour le compromettre à sa guise. La plupart des professionnels de l’informatique et de la sécurité ne prennent pas conscience que les clés SSH en plus de fournir un accès de niveau root n’expirent pas. Par conséquent, à partir du moment où un pirate a dérobé une clé SSH, il disposera perpétuellement d’un accès par un moyen ou un autre. Il est donc primordial que les entreprises agissent aujourd’hui pour protéger leurs clés SSH.

Une étude(1) révèle que 3 acteurs du classement Global2000 sur 4 ne disposent d’aucun système de sécurité pour le protocole SSH, ce qui laisse ainsi la porte ouverte aux piratages, accès de niveau root et compromissions de données, et près de la moitié de l’ensemble des entreprises n’opèrent jamais de rotation ni ne changent leurs clés SSH. Ce faisant, leurs réseaux, serveurs et systèmes cloud deviennent la proie d’acteurs malveillants dès l’instant où ces clés SSH sont dérobées et utilisées de manière abusive.

Parce que le protocole SSH joue un rôle essentiel dans la sécurisation de l’accès administratif et automatisé à un large éventail de systèmes au sein d’établissements de toutes tailles, il est essentiel de disposer d’un ensemble très complet de chartes, processus et contrôles techniques pour gérer et superviser la configuration et les clés SSH. Il est donc important de sensibiliser à l’importance de sécuriser et de protéger ces clés SSH. Première action décisive que doivent engager les entreprises : maîtriser les clés dont elles ont l’usage – non seulement au niveau des systèmes et des logiciels installés, mais aussi des appliances réseau employées.

Le NIST(2) (National Institute of Standards and Technology) a publié récemment une nouvelle publication, « Security of Interactive and Automated Access Management using Secure Shell (SSH) » qui analyse plusieurs aspects décisifs du protocole SSH, notamment ses technologies sous-jacentes, vulnérabilités inhérentes ainsi que les meilleures pratiques appliquées à la gestion de clés SSH tout au long de leur cycle de vie. Ce rapport(3) sensibilise aux principales vulnérabilités associées à la gestion des clés SSH et de présenter des mesures concrètes pour sécuriser et protéger les systèmes et environnements SSH.

Parmi les quelques compromissions SSH notables ces dernières années figurent celles ci-après :
En 2014, Kaspersky Labs a mis au jour une cybermenace baptisée The Mask (ou Careto) qui a sévi sept années durant lesquelles un groupe criminel organisé en Espagne a multiplié les techniques pour mener des attaques de type APT visant à dérober des données à des administrations et des entreprises. Ce groupe s’emparait de clés SSH servant à l’authentification d’administrateurs, de serveurs, de machines virtuelles et de services cloud.

En juin 2015, Cisco a annoncé qu’une clé SSH autorisée par défaut était déployée sur trois de ses appliances de sécurité, exposant ainsi ses clients au risque de voir un pirate distant non authentifié intercepter du trafic ou accéder à des systèmes vulnérables au moyen de privilèges root.

La publication du NIST expose plusieurs vulnérabilités SSH courantes au sein des entreprises, à savoir :
– Implémentation SSH vulnérable
– Contrôles d’accès mal configurés
– Vol, fuite, détournement et non révocation de clés SSH
– Portes dérobées (clés utilisateurs non contrôlées)
– Utilisation indésirable des clés utilisateurs
– Rotation
– Déficit de connaissances et erreurs humaines

Le NIST recommande plusieurs mesures pour gérer les clés SSH, à savoir :

– Définir des principes et pratiques applicables au cycle de vie et à la révocation de clés SSH. La configuration de l’accès à un compte dans l’optique de faciliter les échanges avec les utilisateurs et d’automatiser les processus doit être une décision mûrement réfléchie, conciliant au mieux impératifs d’accessibilité et risques, qui doit tenir compte du niveau d’accès requis.
– Instaurer des procédures de contrôle et de surveillance continue. La surveillance continue a pour objet de faire en sorte que les procédures d’allocation, de gestion du cycle de vie et de révocation soient observées et appliquées. Des clés SSH non autorisées et mal configurées seront détectées.
– Inventorier les serveurs et clés SSH ainsi que les relations de confiance, et remédier aux problèmes éventuels. Les clés existantes au format propriétaire posent un réel problème de sécurité et compliquent l’analyse des risques si elles ne sont pas maîtrisées. L’emplacement de toutes les clés SSH existantes doit être inventorié, au même titre que les relations de confiance, qu’il convient d’évaluer à l’aune de politiques bien définies.
– Automatiser les processus. L’automatisation des processus relevant de la gestion des accès à partir de clés SSH est de nature à améliorer considérablement la sécurité, l’efficacité et la disponibilité.
– Sensibiliser la direction. Nombre de hauts responsables ne sont conscients ni du rôle central joué par les clés SSH dans le mode opératoire d’une infrastructure stratégique, ni des failles importantes susceptibles d’apparaître si celles-ci sont détournées. Sans formation suffisante des responsables opérationnels et chargés de sécurité, les initiatives de gestion des clés SSH risquent d’être évincées par des priorités de degré plus élevé, rendant ainsi l’entreprise plus vulnérable.

1 : Enquête 2015 Cost of Failed Trust Report publiée en mars dernier par Ponemon Institute et Venafi.
2 : Fondé en 1901, le NIST est une agence fédérale non réglementaire qui relève de l’administration de la technologie du département du Commerce des États-Unis.
3 : Co-signé par Venafi.

Un logiciel pour prédire le CVV de sa prochaine carte bancaire

Imaginez ! Vous avez une carte bancaire et vous êtes capables de prédire le code de sécurité (CVV) qui vous sera alloué au changement de votre prochain CB.

Quand vous possédez une carte bancaire, vous êtes en possession du plastique, de la puce, de la bande magnétique, des 16 chiffres de votre CB, de sa date de validité et du CVV, le code de sécurité de 3 à 4 chiffres inscrits au dos de votre carte bancaire. CVV baptisé aussi cryptogramme visuel de validation.

Ce Card Verification Value change, comme la date de validité de la CB, à chaque fois que vous recevez une nouvelle carte bancaire. Le chercheur bidouilleur Samy Kamkar vient de trouver un sacré bug dans le CVV des cartes American Express. Chez AE, on appelle cette sécurité le Card Identification Number. Même principe, 4 chiffres des informations d’usages. Samy Kamkar a trouvé le moyen de générer le CIN qui vous allez recevoir avec votre prochaine carte, celle que vous n’avez pas encore.

Le plus inquiétant, il a été capable de payer avec son moyen de paiement du moment et les 4 chiffres qui ne sont pas censés être en sa possession. Sa méthode a été simple. Il a d’abord demandé à ses amis de lui fournir leur CIN. Avec une formule mathématique de son cru, il a pu créer les prochains codes de sécurité et … la nouvelle date de validité attenante. A partir de sa découverte, il a créé une un petit boitier qui lui a coûté 10 $. MagSpoof, le nom de son invention, permet de simuler n’importe quelle bande magnétique de cartes bancaires et de connaitre les futures informations d’identification de la CB.

Mon petit doigt me fait dire que l’attaque semble être connue de petits coquins du black market des Pays de l’Est. Comme le souligne Korben, il va être intéressant de savoir si cette « technique » fonctionne pour les autres cartes. Samy Kamkar propose sa découverte sur GitHub.

Sécurité informatique : 2015, année difficile

La division sécurité d’IBM publie son rapport trimestriel IBM X-force faisant état du Top 4 des tendances liées aux cyber-menaces en 2015. Dans l’ensemble, 2015 a été une année difficile en matière de menaces internes, de logiciels malveillants, ainsi que d’attaques persistantes et évolutives touchant les entreprises.

Les pirates amateurs exposent les criminels expérimentés lors d’attaques « Onion Layered ». Alors que 80% des cyber attaques sont générées par des réseaux de criminels en ligne hautement organisés et sophistiqués, ce sont souvent des pirates inexpérimentés – « script kiddies » – qui inconsciemment poussent les entreprises à être attentives à ces pirates plus nombreux et expérimentés qui rôdent sur un réseau en ligne ou à l’intérieur d’une entreprise. Les pirates amateurs laissent des indices tels que des dossiers inhabituels ou des fichiers dans un répertoire temporaire, altèrent des pages web d’entreprises, et plus encore. Lorsque les entreprises se penchent sur ces attaques malveillantes, ils découvrent souvent des attaques beaucoup plus complexes.

Accroissement des rançongiciels (Ransomwares)
2015 était l’année des rançongiciels, se classant comme l’infection la plus fréquemment rencontrée. En fait, le FBI a signalé des attaques du rançongiciel CryptoWall qui ont permis aux pirates de collecter plus de 18 millions de dollars entre 2014 et 2015. Les chercheurs d’IBM pensent que cela restera une menace fréquente et un business rentable en 2016, migrant également vers les appareils mobiles.

La plus grande menace peut venir de l’intérieur
Le rapport (tiré de l’étude Identifying How Firms Manage Cybersecurity Investment de Tyler Moore, Scott Dynes, Frederick R. Chang, Darwin Deason de l’Institute for Cyber Security Southern Methodist University – Dallas) indique également le danger permanent des attaques malveillantes à l’intérieur même d’une entreprise. Ceci est la continuation d’une tendance observée en 2014 lorsque l’index IBM 2015 lié à la Cyber Security Intelligence révélait que 55% de toutes les attaques de 2014 avaient été réalisées en interne ou par des individus ayant eu par le passé accès au système d’informations de l’entreprise – sciemment ou par accident.

Le C-Suite Cares
En 2015, la cybersécurité est devenue une priorité au plus haut niveau de l’entreprise, avec de plus en plus de responsables qui s’interrogent sur la sécurité de leur organisation. En fait, un récent sondage questionnant les responsables de la sécurité des systèmes d’information (RSSI), réalisé par SMU et IBM, a révélé que 85% des RSSI indiquent que la gestion des problèmes informatiques a augmenté, et 88% ont déclaré que leurs budgets de sécurité se sont accrus.

Vous pouvez télécharger le rapport complet ici : http://ibm.co/1OJkd8N.

La chasse aux phishings est ouverte

D’après le Ministère de l’Intérieur, 2 millions de Français touchés par un phishing en 2015.

Pour renforcer la lutte contre le phishing, le Ministère de l’Intérieur a signé ce jour, une convention de partenariat avec l’association Phishing Initiative, soutenue par Lexsi et Microsoft France. Cet accord vise à mutualiser les informations entre sa propre plateforme, PHAROS, et celle de Phishing Initiative qui a identifié de son côté plus de 150 000 adresses uniques de sites frauduleux visant la France depuis sa création en 2011.

Une convention commune pour renforcer la lutte contre le Phishing
En signant la convention de lutte anti-phishing, Catherine Chambon, sous-directeur de la lutte contre la cybercriminalité et Jérôme Robert, président de Phishing Initiative souhaitent renforcer la sensibilisation des internautes aux risques liés à cette malveillance majeure. « La complémentarité de nos actions rend évidente la nécessité d’un rapprochement et d’une coordination entre nos deux organisations », explique Jérôme Robert. « PHAROS et Phishing Initiative opèrent en effet tous deux des plateformes de signalement à destination du grand public. Il est par conséquent possible d’instaurer des conditions de partage de l’information de manière à optimiser d’une part, la recherche de données et d’autre part, la protection de l’internaute. »
Suite à la signature de cette convention et à l’engagement des parties prenantes, le Ministère de l’Intérieur et Phishing Initiative travailleront également à la rédaction d’un rapport commun et à l’élaboration d’un suivi des tendances au service de la protection des internautes.

Phishing Initiative et PHAROS : l’union des expertises
Elaborée et construite sous l’impulsion de Madame Catherine Chambon, Madame Valérie Maldonado, chef de l’OCLCTIC, Messieurs Jérôme Robert, Directeur Marketing, Vincent Hinderer, Expert Cybersécurité chez Lexsi, et Bernard Ourghanlian, directeur technique et sécurité de Microsoft, la convention a pour objectif d’augmenter le nombre d’URLs traitées et analysées.

Avec respectivement 60 000 et 30 000 URLs traitées depuis début 2015, Phishing Initiative et PHAROS unissent leurs forces pour protéger les internautes et rendre le web plus sûr. « L’association de nos dispositifs de lutte contre la fraude sur Internet représente une avancée majeure dans la protection des particuliers comme des entreprises » précise Bernard Ourghanlian de Microsoft France. « Face à la malveillance et à la fraude organisée, chaque citoyen et chaque entreprise est acteur d’un Internet plus sûr au bénéfice de tous. »

La Sous-Direction de la Lutte contre la Cybercriminalité (SDLC) a développé deux dispositifs destinés aux particuliers : la Plateforme d’Harmonisation d’Analyse et de Recoupement et d’Orientation des Signalements (PHAROS), lancée en janvier 2009, et Info-Escroqueries, une hotline téléphonique dédiée aux arnaques. PHAROS a notamment pour mission de recueillir et traiter les signalements de contenus et de comportements illicites détectés sur Internet.

Phishing Initiative, un programme de lutte européen
Cofinancé par le Programme de Prévention et de Lutte contre le Crime de l’Union Européenne, Phishing Initiative offre à tout internaute la possibilité de lutter contre les attaques d’hameçonnage en signalant de manière simple les liens lui paraissant suspects en un clic sur www.phishinginitiative.fr. Chaque signalement fait l’objet d’une analyse par les experts Lexsi qui, s’il se révèle frauduleux, est transmis aux partenaires de Phishing Initiative, notamment Microsoft. Ces derniers enrichissent alors leurs listes noires, de sorte que le lien frauduleux est bloqué par les principaux navigateurs Web (Edge, Internet Explorer, Chrome, Firefox et Safari).

Phishing Initiative en chiffres
A ce jour, plus de 400 000 adresses suspectes ont été signalées dans le cadre de la Phishing Initiative, dont plus de 300 000 uniques. Depuis le début de l’année 2015, 110 000 signalements ont déjà été transmis, représentant plus de 60 000 nouvelles adresses uniques. Parmi elles, plus de 35 000 URLs uniques ont été confirmées comme faisant partie d’une campagne de phishing, soit près de 120 adresses distinctes par jour. A noter que le temps médian nécessaire aux analystes pour catégoriser un nouveau cas signalé est de moins de 20 minutes. Microsoft rafraîchit sa liste noire toutes les 20 minutes au sein d’Internet Explorer et Edge, ce qui protège en moyenne les internautes en moins de 40 minutes suite à un signalement sur www.phishing-initiative.fr.

Des milliers d’internautes contribuent anonymement à ce projet chaque année et plusieurs centaines d’individus ont créé depuis la rentrée un compte personnel sur le site Phishing Initiative. Il leur permet désormais de signaler des URLs suspectes plus simplement et d’accéder à des informations, statistiques et services additionnels, relatifs notamment aux signalements effectués par leurs soins. Ces internautes peuvent, par exemple, suivre l’état du site en temps réel et demander à être prévenus du caractère frauduleux ou non d’une adresse ainsi soumise, mais surtout participer à la lutte anti-phishing et empêcher que d’autres internautes soient victimes de ce fléau.

Une idée à saluer, elle demande cependant, pour être vraiment efficace, plus de rapidité encore ! Comme peut le faire votre serviteur, alerter et montrer sur Twitter, en temps réel, une attaque phishing permet de familiariser l’internaute face à cet ennemi 2.0.

320 heures d’attaque DDoS en continu

320 heures : c’est la durée de l’attaque DDoS la plus longue enregistrée par Kaspersky Lab au troisième trimestre 2015, soit près de deux semaines.

Le rapport sur les attaques DDoS a été mené à partir de la surveillance continue des botnets et de l’observation des nouvelles techniques employées par les cybercriminels. Les victimes des attaques DDoS se répartissent dans 79 pays à travers le monde. Les 3 pays les plus touchés sont la Chine, les Etats-Unis et la Corée du Sud. Plus de 90 % des attaques ont duré moins de 24 heures mais le nombre d’attaques dépassant 150 heures est en nette progression. Le nombre le plus élevé d’attaques ciblant une même victime a été de 22, contre un serveur situé aux Pays-Bas. Les cybercriminels semblent prendre des vacances comme tout un chacun, le mois d’août ayant été le plus calme du trimestre en matière d’attaques. Les botnets sous Linux occupent une part importante, étant à l’origine de 45,6 % de toutes les attaques enregistrées, principalement pour des raisons de protection insuffisante et de capacité supérieure de bande passante.

Les banques sont des cibles fréquentes d’attaques complexes et de demandes de rançons. Les attaques moins complexes mais non moins dangereuses sont devenues moins chères à exécuter. Le rapport révèle également que des attaques DDoS visant des serveurs ont été observées dans 79 pays au total, mais, 91,6 % des victimes des attaques DDoS se trouvent dans seulement 10 pays. On notera également que les auteurs d’attaques DDoS ne peuvent pas opérer loin de leur pays de résidence contrairement à d’autres organisations cybercriminelles spécialisées dans le piratage de cartes de crédit par exemple.

De plus amples détails sur la répartition géographique et d’autres caractéristiques des attaques DDoS enregistrées par l’observatoire DDoS Intelligence de Kaspersky Lab figurent dans le rapport complet publié sur le site Viruslist. « D’après nos observations et nos mesures directes, nous ne pouvons pas prédire comment le « business » clandestin des attaques DDoS va évoluer. La menace semble se développer partout. Nous avons enregistré des attaques extrêmement complexes contre des banques, assorties d’une demande de rançon, mais aussi de nouvelles méthodes bon marché destinées à paralyser les activités d’une entreprise pendant une période prolongée. Le volume des attaques augmente, la plupart d’entre elles ayant pour but de frapper, de semer le chaos et de disparaître. Cependant, le nombre des attaques de longue durée, capables d’acculer à la faillite une grande entreprise non protégée, est également en hausse. Ces évolutions de taille obligent les entreprises à prendre des mesures préventives contre la menace bien réelle et le risque accru que représentent les attaques DDoS », commente à Data Security Breach Evgeny Vigovsky, responsable des activités de Kaspersky Lab pour la protection contre les attaques DDoS.

Pendant ce temps…
L’excellent service de chiffrement de courrier électronique ProtonMail se faisait attaquer à coup de DDoS, au début du mois de novembre. Des rançonneurs qui réclament de l’argent pour que cessent les attaques. ProtonMail a versé 6000 dollars aux assaillants. Ces derniers n’ont cependant pas attaqué l’attaque perturbant les services de l’entreprise Suisse. « En l’espace de quelques heures, les attaques ont commencé à prendre un niveau de sophistication sans précédent » confirme ProtonMail. Impressionnante attaque car l’assaut, coordonné, a visé le FAI de ProtonMail avec des données malveillantes dépassant les 100Gbps. Une attaque visant le centre de données, mais également des routeurs à Zurich, Francfort… Des centaines d’autres entreprises ont été impactées. ProtonMail a payé 6000 dollars, espérant que cesse l’attaque. Ils ont suivi la directive d’un agent spécial du FBI qui invitait les entreprises victimes à payer. Mauvaise idée ! « Cela a été clairement une mauvaise décision, confirme ProtonMail, à tous les attaquants futurs – ProtonMail ne payera plus jamais une autre rançon« . Les maîtres chanteurs, ils signent sous le pseudonyme d’Armada Collective, se sont attaqués à plusieurs autres entreprises helvétiques.