Archives de catégorie : Mise à jour

Android, backdoor, Cybersécurité, Mise à jour, Sécurité, Securite informatique, Smartphone, Virus

Cybermenaces : Le navigateur web, cible de toutes les attaques

Le rapport sur les cybermenaces du 1er semestre 2018 montre une évolution des types de dangers. Si avec plus de 2 millions de nouveaux types de logiciels malveillants, la tendance est à la décroissance sur les malwares classiques, les attaques web dites « sans fichiers » explosent. Autre information notable du rapport : avec 7,5 attaques bloquées par mois et par utilisateur, G DATA situe la France au 8éme rang mondial de son indice de dangerosité.

Le développement de nouveaux types de logiciels malveillants a légèrement diminué au cours du premier semestre par rapport à l’année précédente. Au total, G DATA Security Labs a classé 2 396 830 nouveaux échantillons comme nocifs. En moyenne, environ 13 000 nouveaux échantillons de logiciels malveillants ont été détectés chaque jour, soit environ 9 par minute.

Le développement des familles de logiciels malveillants actuelles et leur utilisation sont soumis à de fortes fluctuations. Neuf des dix menaces les plus courantes pour les utilisateurs de PC au cours de l’année écoulée ne figurent plus parmi les dix principales menaces évitées au cours du premier semestre 2018.

Les codes utilisés changent, mais la manière dont ils sont diffusés se confirment mois après mois. Aujourd’hui, les attaques sont lancées pour la majorité à partir de sites Web, les attaquants délaissant la diffusion par fichiers exécutables.

Indice de dangerosité stable avec 3 attaques par mois par utilisateur

Le nombre de nouveaux spécimens de programmes malveillants apporte un premier niveau d’information, mais n’indique pas l’activité réelle de ces codes : un seul code aux méthodes de diffusion innovantes ou à la technicité supérieure peut causer plus de dégâts que des milliers. Pour définir cet indice de dangerosité, les attaques détectées chez les utilisateurs des solutions G DATA sont comptabilisées. La moyenne mondiale des attaques sur le premier semestre 2018 pour 1000 utilisateurs est de 94,29. Autrement dit, chaque jour dans le monde un utilisateur d’une solution G DATA sur 10 est confronté à une attaque bloquée. Cela représente en moyenne 18 attaques par utilisateur sur les 6 premiers mois de l’année 2018. 

La France dans le top 10 avec 7,5 attaques par mois ! 

Avec 250 attaques bloquées pour 1000 utilisateurs, la France arrive en 8eme position de ce classement : chaque jour en France, un utilisateur d’une solution G DATA sur 4 est confronté à une attaque bloquée. Cela représente en moyenne 7,5 attaques bloquées par utilisateur par mois. 

La grande tendance du cryptojacking
Durant le premier semestre, le Cryptojacking – minage des monnaies virtuelles à l’insu de l’internaute – se révèle être l’activité principale des cybercriminels. Sur les 6 premiers mois de l’année, les Cryptomineurs ont inondé le Web. 4 cryptomineurs sont dans le Top 10 mondial des codes nuisibles détectés par G DATA. Ils sont 5 dans le Top 10 français ! Cachés sur de nombreux sites Internet Web, ces cryptomineurs téléchargent des scripts sur l’ordinateur de l’utilisateur et minent des cryptomonnaies à l’insu de l’utilisateur. Face à la difficulté technique de miner des bitcoins (trop de ressources de calcul nécessaires), c’est le minage de Monero qui est maintenant privilégié.

Le Webassembly, aussi pour les malwares
Le standard bytecode Webassembly est généralement utilisé comme langage par les cryptomineurs pour s’intégrer dans les navigateurs Internet. Webassembly est un supplément à Javascript supporté par tous les navigateurs. Avec Webassembly, les développeurs web peuvent réaliser une exécution de code plus rapide dans le navigateur : une technologie idéale pour les cryptomineurs… Ce qui est nouveau, c’est que Webassembly n’est plus seulement utilisé dans les cryptomineurs. Il est aussi utilisé par les codes malveillants.

PUP ou Malware ? 
Classer la dangerosité des codes a toujours été une tâche difficile. À partir de quel niveau d’ingérence, un logiciel publicitaire devient-il nuisible ? Cette question se pose également avec les cryptomineurs : il n’est pas toujours clair si les utilisateurs ont accepté ou non l’installation du mineur dans leur navigateur. Ce critère de dangerosité est représenté dans deux catégories de classement : Malware et PUP (programme potentiellement indésirable). Les chiffres globaux du 1er semestre montrent cette ambivalence : 3 cryptomineurs sont parmi le top 10 des malwares et 4 sont dans le top 10 des PUP.

Faits marquants du premier semestre

Forte croissance des attaques à l’escroquerie au support technique en juillet
Au mois de juillet, une série de scripts trojan spécialisés dans l’affichage de fausses alertes dans les navigateurs est arrivée à la cinquième position des dangers détectés. Sous prétexte d’infection, des fenêtres invitent l’utilisateur à contacter un support technique. À l’autre bout du fil, un arnaqueur attend sa victime…

Fortnite au coeur de toutes les attentions

L’arrivée poussive de Fortnite sur Android fut une aubaine pour les cybercriminels. Surfant sur cet engouement, de nombreuses fausses APK du jeu ont vu le jour. Vol d’identifiants et abonnement SMS coûteux étaient au programme pour les plus impatients. Piqué au vif pour ne pas avoir été choisi comme store officiel pour l’application, Google pointe publiquement la faille de sécurité (corrigée depuis) présente dans l’application officielle disponible chez l’éditeur EPIC.

 

Chiffrement, cryptage, Cybersécurité, IOT, Mise à jour, Patch, Securite informatique

OpenSSH faillible depuis 20 ans ?

2 commentaires

Toutes les versions d’OpenSSH, publiées au cours des 20 dernières années, sont soumises à une vulnérabilité dangereuse. Compte tenu de la large diffusion d’OpenSSH, cela peut représenter des milliards de périphériques vulnérables.

Les chercheurs en sécurité de la société Qualys ont remarqué une vulnérabilité dans OpenSSH. La faille permettrait à un pirate de deviner les connexions enregistrées sur les serveurs OpenSSH. Une action possible à distance.

Le problème (CVE-2018-15473) touche toutes les versions du client OpenSSH publiées au cours des 20 dernières années. Compte tenu de la large diffusion d’OpenSSH, cela peut représenter des milliards de périphériques vulnérables – des serveurs cloud aux équipements IoT -. La correction du problème risque de prendre du temps. Le correctif correspondant est cependant disponible.

Mode d’attaque

Pour attaquer avec succès, un pirate qui tente de s’authentifier sur un serveur vulnérable, va communiquer une demande d’authentification spécialement conçue. Le serveur peut répondre à la requête de deux manières différentes: la connexion n’existe pas, le serveur répondra par un message d’erreur. Si un nom d’utilisateur existe, la connexion quitte sans réponse. C’est ce dernier comportement qui permet à un malveillant de deviner les connexions valides enregistrées sur le serveur SSH. Il n’a plus qu’à sortir le dictionnaire de mots de passe.

Correctif

La vulnérabilité corrigée avec la sortie de versions stables d’OpenSSH. Les experts publient un code PoC pour vérifier la présence de vulnérabilités sur les serveurs (ici et ). Les chercheurs ont notamment présenté des instructions détaillées sur la manière de tester la présence d’un problème sur les serveurs.

Apple, backdoor, Cyber-attaque, Cybersécurité, ios, Logiciels, Mise à jour, OS X, Piratage, Securite informatique, Smartphone

Un ancien hacker de la NSA démontre une faille majeure dans macOS

2 commentaires

La société Apple est généralement considérée comme étant une marque fiable, proposant une sécurité accrue. Un ancien hacker de la NSA démontre une faille majeure dans macOS. Elle permet le contournement des mécanismes de sécurité !

Faille majeure pour Apple ! Lors des conventions de cybersécurité Def Con/Black Hat qui se sont tenues à Las Vegas, début août, Patrick Wardle, un ancien Ninja de la NSA, fondateur de la société DigitaSecurity, a présenté des exemples d’attaques visant les produits Apple, et plus précisément macOS.

D’abord, Patrick Wardle est aussi généreux que doué. Il a expliqué comment un pirate pouvait contourner la plupart des mécanismes de sécurité mis en œuvre par Apple pour protéger macOS.

Wardle explique que les logiciels malveillants peuvent échapper aux méthodes de sécurité en les ciblant au niveau de l’interface utilisateur.

Chez Apple, les avertissements et autres autorisations à la moindre action font partis de l’écosystème des produits de la firme Californienne. Un mécanisme de défense contre les clics indésirables.



Faille majeure

Ensuite, Wardle affirme qu’il est possible d’exploiter ces avertissements en modifiant la façon dont macOS convertit les clics de clavier en clics de souris. Étant donné que macOS interprète deux actions de la souris comme équivalant à cliquer sur OK, il est donc possible d’écrire une ligne de code supplémentaire pour éviter qu’un avertissement n’apparaisse à l’écran. En abusant des nombreuses interfaces de macOS, un code peut s’executer via un code malveillant qui permettra d’ignorer les avertissements. Wardles a baptisé cette action « Synthetic Click ». Des attaques que l’ancien hacker de la National Security Agency a expliqué lors de la Def Con via des attaques automatisées visant macOS Sierra.

https://twitter.com/patrickwardle/status/1029060044900507649

Cependant, Wardle a déclaré que les exploits ne permettent pas à un pirate d’accéder initialement à un appareil Mac, mais qu’ils pourraient exploiter efficacement le sandboxing.

Une possibilité qui laisserait aux applicationx malveillantes de quoi obtenir des autorisations de niveau supérieur. De son côté, Apple a confirmé les correctifs adequates dans son nouveau OS, macOS Mojave.

Pour conclure, Patrick Wardle propose, via sa société, l’outil Do Not Disturb. Une application qui permet d’avertir le propriétaire d’un MacBook en cas d’accès non autorisé. L’application tourne sous iPhone.

Elle permet de surveiller votre ordinateur portable afin de détecter les événements ouverts et vous avertir en temps réel, via une photographie par exemple.

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Mise à jour, Securite informatique

L’audit de fichier : quel rôle pour une bonne conformité ?

Les mandats de conformité ont tous un point en commun, la volonté de sécuriser des données protégées. Pour ce faire, il ne faut permettre l’accès à certaines données qu’à ceux qui en ont besoin pour des raisons professionnelles. Pour pouvoir prouver aux auditeurs que c’est le cas pour les données protégées de votre organisation, il faut avoir une certaine visibilité sur qui a accès, qui utilise l’accès, et quelles actions sont effectuées sur les données protégées. Comment utiliser l’audit de fichier pour la conformité ? La société IS Decisions revient sur cette problématique en plusieurs questions comme « Faut-il utiliser une solution tierce ou un outil natif ? » ou encore « Comment garantir la conformité« .

Base de données, Cybersécurité, Entreprise, ID, Identité numérique, loi, Mise à jour, Particuliers, RGPD, Securite informatique

HMA! renforce la vie privée des internautes et permet l’accès à du contenu restreint en ligne

Quand le RGPD restreint la liberté d’expression ! En mai dernier, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur, offrant plus de transparence sur la collecte des données et des droits plus importants en termes de vie privée pour les Européens. Pourtant, comme le révélait alors une récente étude menée par HideMyAss!, près de la moitié des français (48 %) ne considèrent pas la vie privée comme un droit fondamental.

Le RGPD restreint la liberté d’expression ? Ils sont cependant 66 % à penser que le gouvernement, les fournisseurs d’accès à internet et les services de police peuvent accéder, à leur insu, à l’historique des sites qu’ils ont visité, et de leurs activités en ligne.

Pour répondre aux besoins des consommateurs soucieux du respect de leur vie privée, HMA! propose une couche d’anonymat supplémentaire lors de la navigation en ligne via son service gratuit Proxy Web. Cette fonctionnalité permet de masquer l’adresse IP d’un internaute et de lui en attribuer une nouvelle, afin d’acheminer le trafic web vers d’autres serveurs et adresses IP. Cela signifie que son adresse IP, qui représente également son identité en ligne, devient beaucoup plus difficile à repérer ou à suivre. En outre, la toute dernière version de HMA! est fournie via le protocole HTTPS, garantissant ainsi le cryptage des activités en ligne.

Elle permet également d’accéder à du contenu restreint. Un citoyen Européen pourra par exemple lire le Los Angeles Times, le New-York Daily News ou encore le Chicago Tribune, grâce à l’utilisation du Proxy Web. Impossible en effet de faire sans, car ces médias ont bloqué l’accès aux internautes basés en Europe, suite à l’entrée en vigueur du RGPD.

Un Proxy Web n’a cependant pas les mêmes fonctions qu’un réseau privé virtuel (VPN). Ce dernier devra en effet être envisagé par un internaute s’il recherche un anonymat en ligne avancé et une protection contre les regards indiscrets. En revanche, dans le cas où il veut se procurer un outil lui permettant de contourner la « censure locale » et de bénéficier d’un niveau convenable de confidentialité lors de sa navigation sur Internet, un Proxy Web constitue un bon point de départ.

backdoor, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

Malware Zacinlo : outil pour fraude publicitaire

2 commentaires

Un nouveau malware appelé Zacinlo, spécialisé dans la fraude publicitaire découvert. Il infecte le PC de l’utilisateur pour ensuite ouvrir des sessions de navigateur invisibles dans le but de charger des bannières publicitaires et de simuler des clics sur ces dernières, ou encore remplacer les publicités naturelles dans le navigateur par celles du pirate pour détourner les revenus publicitaires générés.

Cet adware a plusieurs caractéristiques qui ont attiré l’attention  :

  • Zacinlo contient un driver de type rootkit, qui se protège lui-même ainsi que ses autres composants. Celui-ci peut stopper des processus jugés dangereux pour le fonctionnement de l’adware, tout en empêchant son arrêt ou sa suppression. Les chercheurs ont également relevé la présence de fonctionnalités « man-in-the-browser » qui interceptent et déchiffrent les communications SSL. Cela permet à l’adware d’injecter du code JavaScript personnalisé dans les pages Internet visitées par l’utilisateur. Les malwares basés sur des rootkits sont EXTRÊMEMENT rares, et constituent généralement moins de 1% des menaces habituelles. Ils sont également très difficiles à éliminer car ils s’intègrent profondément au système d’exploitation.
  • Zacinlo inclut un programme de nettoyage d’adware, utilisé pour éliminer la « concurrence » potentielle pour l’espace publicitaire. Il est plutôt générique et ne cible pas de famille ou de type d’adware en particulier.
  • Il collecte des informations à propos de l’ordinateur infecté. Par exemple, si un logiciel antivirus est installé ou non (et si oui, lequel), quelles applications se lancent au démarrage, etc.
  • Il prend des captures d’écran et les envoie au serveur de commande et contrôle pour analyse. Cette fonctionnalité menace la vie privée des victimes car les captures d’écran peuvent contenir des informations sensibles telles que des e-mails, des conversations privées, des identifiants ou des coordonnées bancaires.
  • Il peut faciliter l’installation de quasiment n’importe quel nouveau logiciel de manière transparente, sans arrêter de fonctionner et ainsi étendre ses fonctionnalités.
  • Il ajoute ou remplace des publicités lors de la navigation en cherchant des objets de type « DOM » par taille, par style, par classe ou expressions régulières spécifiques.
  • Il extrait des publicités de plusieurs plateformes, dont Google AdSense.
  • Il ouvre des pages Internet en arrière-plan dans des fenêtres cachées, et interagit avec elles comme un utilisateur normal : en les faisant défiler, en cliquant et en utilisant le clavier. Il s’agit d’un comportement typique des fraudes publicitaires, qui inflige d’importants dommages financiers aux plateformes publicitaires en ligne.
  • Zacinlo utilise énormément de projets et de bibliothèques Open-Source (ex : chromium, cryptopop, jsoncpp, libcef, libcurl, zlib).
  • Il utilise des scripts Lua pour télécharger différents composants (très certainement afin de passer inaperçu aux yeux de certains programmes antivirus qui détectent les téléchargements suspects et les bloquent).
  • Il dispose d’un design extrêmement paramétrable et hautement modulaire, ce qui lui permet d’étendre ses fonctionnalités grâce à des scripts et des fichiers de configuration disponibles via les infrastructures de commande et contrôle.

Ce malware est présent principalement aux États-Unis et semble avoir une certaine affinité pour Windows 10. La France et l’Allemagne font également partie des pays qui en sont victimes, bien que le nombre d’infections soit un peu plus bas qu’aux États-Unis jusqu’ici.  Un livre blanc édité par BitDefender détaille ce nouveau malware ICI .

Communiqué de presse, Cybersécurité, DDoS, Mise à jour, Piratage, Securite informatique

Retour en force des attaques DDoS en Europe en 2018

2 commentaires

Les attaques par déni de service, ou DDoS, avaient marqué les esprits à la fin de l’année 2016. Perpétrées grâce au botnet « Miraï », l’un des premiers « thingbots » constitué exclusivement d’objets connectés (Internet of Thing), les deux attaques de plusieurs Tbit/s lancées contre OVH et DynDNS, avaient ébranlé le web mondial.

De l’avis des experts, ce type d’attaques était voué à se multiplier en 2017. Il n’en fut rien et les attaques tant redoutées ne se sont jamais produites. Pourtant les pirates n’ont pas mis un terme à leurs attaques volumétriques massives. Ils n’ont simplement pas exploité au maximum de leurs capacités, les impressionnantes cyberarmes à leur disposition.

F5 fait état d’une véritable explosion des attaques DDoS depuis janvier 2018 :   

  • Le thingbot « JenX » proposant ses services pour mener des attaques DDoS (DDoS-for-hire) a tout d’abord été découvert en janvier. Celui-ci permet de lancer des attaques DDoS de 300 Gbit/s pour la modique somme de 20 dollars, plaçant ainsi la neutralisation d’une cible à la portée de tous.
  • En mars, c’est un nouveau record du monde qui a été établi : le site de développement collaboratif GitHub a été ciblé par une attaque DDoS d’une puissance sans précédent, atteignant un débit de 1,35 Tbit/s. Techniquement, l’attaque a été lancée depuis des systèmes de mémoire cache (« memcached ») non sécurisés.

Le centre des opérations de sécurité (SOC) de F5 Silverline fait état d’une véritable explosion des attaques DDoS en 2018. Jusqu’à présent, le SOC F5 a écarté des attaques volumétriques de haut débit comprises entre 100 et 300 Gbit/s. Les attaques volumétriques reviennent ainsi sérieusement jouer les trouble-fête.

F5 a observé plusieurs tendances dans les attaques menées à la fin de l’année 2016 et les nombreuses attaques réapparues lors du 1er trimestre 2018.

  • Les entreprises de la zone Europe, Moyen-Orient et Asie-Pacifique sont désormais toutes autant ciblées que leurs homologues nord-américaines.
  • Les établissements financiers et les hébergeurs continuent de figurer parmi les secteurs les plus ciblés. Mais sur le 1er trimestre 2018, ce sont les sociétés de jeu en ligne qui ont été particulièrement ciblées. A eux trois, ces secteurs ont subi 76 % des attaques DDoS au 1er trimestre 2018.
  • Cependant, avec la montée en puissance de ressources à la location, bon marché, qui facilitent le ciblage de tout type d’entreprise, l’écart se rétrécit entre ces secteurs historiquement ciblés et les autres.
  • Le SOC de F5 a commencé à neutraliser des attaques DDoS ciblant directement des applications (et non le réseau) au 3ème trimestre 2016, et cela risque de devenir un vecteur d’attaque en hausse à mesure que les entreprises évoluent vers des processus de virtualisation de services orientés applications.
  • Après un hiatus en 2017, les attaques volumétriques à haut débit ont repris au premier trimestre 2018. En mars 2018, le SOC de F5 a neutralisé une attaque multi-vecteurs de 325 Gbit/s, principalement issue de systèmes basés aux États-Unis.

Vincent Lavergne, expert attaques DDoS de F5 explique : « Avec l’explosion des objets connectés, du Cloud computing et des bases de données en ligne, les pirates disposent plus que jamais de systèmes plus vulnérables leur permettant de lancer des attaques DDoS dévastatrices ».

Rappel – Quelques bonnes pratiques pour se prémunir de ce type d’attaques :

  1. Ne pas exposer l’administration à distance à l’ensemble du réseau Internet, en particulier aux appareils IoT ou aux bases de données en ligne.
  2. Protéger ses systèmes au moyen de protocoles d’accès sécurisés, d’identifiants d’administration complexes (ou de clés SSH lorsque cela est possible), et ne pas laisser se produire des attaques par force brute.
  3. Appliquer régulièrement des correctifs sur tous les systèmes en contact avec Internet, et immédiatement dès la détection d’une faille dans l’exécution de code à distance ou d’un défaut de conception susceptible de conduire à une exploitation à distance.

L’analyse approfondie menée par F5 révèle également les enseignements suivants :

  • Croissance des attaques mondiales

Le nombre d’attaques neutralisées au niveau mondial par F5 entre 2016 et 2017 a augmenté de 26 %. Sur le premier trimestre 2018 (vs le 1er trimestre 2017), F5 a analysé une augmentation plus significative, de 33% du nombre d’attaques.

Toutes les zones observées par F5 ont connu une hausse constante des attaques depuis 2016, mais le nombre d’attaques DDoS commises contre des cibles dans la région Asie-Pacifique (APAC) augmente plus rapidement que dans n’importe quelle autre région du monde.

L’Amérique du Nord, historiquement la zone la plus touchée par les attaques DDoS, est depuis 2017 passées sous la barre des 50% du total d’attaques DDoS mondiales, alors que les attaques DDoS ciblant la région EMEA ont augmenté d’environ un tiers. La région APAC a, quant à elle, fait un bond de 8 % en 2016 à 17 % en 2017. Au premier trimestre 2018, les entreprises de la région APAC ont subi presque autant d’attaques que les entreprises situées en Amérique du Nord.

  • Répartition des attaques par secteur

Les hébergeurs Web et les établissements financiers ont toujours figuré parmi les principales cibles d’attaques DDoS, une tendance qui ne s’est pas démentie en 2017.

Vincent Lavergne explique : « Dans ces deux secteurs, tout temps d’arrêt se traduit directement en pertes financières. C’est pourquoi les attaques DDoS avec chantage à la clé sont très lucratives, car le fait de payer la rançon est pour les entreprises un moyen efficace de régler le problème ».

Le fossé se rétrécit entre les principales cibles traditionnelles et d’autres secteurs ; les profils des cibles sont variés et comptent notamment les fournisseurs de technologies, les FAI, l’univers du jeu en ligne et les fournisseurs de services aux entreprises.

Vincent Lavergne ajoute : « Chaque année, nous continuons à observer un plus large éventail de cibles d’attaques DDoS, en corrélation avec la hausse des services « DDoS for hire » à des prix extrêmement abordables et la mise à disposition des outils DDoS accessibles même aux néophytes ».

  • Origine des attaques

F5 a analysé un ensemble d’attaques de très fort débit, persistantes pendant 4 jours en mars 2018 et a observé que les 10 principaux pays à l’origine du trafic ont conservé le même débit tout au long des attaques, ce qui pourrait laisser entendre que ces attaques ont été lancées par les mêmes systèmes sur toute la durée de quatre jours. Ce type de comportement d’attaque cadre avec l’utilisation d’objets connectés, dans lesquels des failles et les attaques qui en découlent ne sont pas détectées, ou, dans un scénario moins probable, avec la compromission de systèmes appartenant à des entreprises (qui ne sont pas au courant de la faille) et qui sont utilisés pour lancer des attaques.

Fait inhabituel, la plus importante source de cette campagne d’attaques est venue des États-Unis. Cela indique qu’un nombre significatif de systèmes vulnérables (appareils IoT ou systèmes « memcached » potentiellement compromis) est ciblé aux États-Unis pour lancer des attaques DDoS.

Cybersécurité, Mise à jour, Patch, Securite informatique

Patch Tuesday : 51 nouveaux correctifs pour juin

Le Patch Tuesday de juin est plus léger que ceux des mois précédents, avec 51 CVE uniques résolues dont 11 classées comme critiques. Adobe a également publié la semaine dernière une mise à jour urgente pour une vulnérabilité qui affecte Flash Player, qui est activement exploitée.

Speculative Store Bypass Microsoft a publié des correctifs pour Speculative Store Bypass lors de son patch Tuesday, une vulnérabilité également dénommée Variante 4 de Spectre. Ces patches déploient une protection Speculative Store Bypass Disable (SSBD) pour les processeurs Intel. Le nouveau microcode Intel devra être pleinement protégé contre la Variante 4. Microsoft a publié un article contenant des actions recommandées.

Windows DNSAPI Des patches ont été publiés pour des vulnérabilités détectées dans la bibliothèque DLL DNSAPI de Windows. Ces dernières peuvent permettre à un attaquant de compromettre un système via un serveur DNS malveillant. Les postes de travail mobiles se connectant à des points wifi non fiables sont à risque. Ce patch est donc une priorité pour eux.

Protocole HTTP Une faille critique dans le fichier HTTP.sys de Microsoft est également corrigée dans le Patch Tuesday de juin. HTTP.sys « écouteur en mode noyau » utilisé par IIS et différents services Windows. Un attaquant qui exploite cette vulnérabilité peut prendre le plein contrôle de la machine ciblée. Ce patch doit être déployé de manière prioritaire sur tous les systèmes, serveurs et postes de travail Windows.

Navigateurs et moteur de script Les autres patches Microsoft critiques de ce mois-ci sont destinés principalement aux navigateurs, au moteur de script Windows et à Windows Media Foundation. Ces correctifs doivent être déployés en priorité sur les équipements de type poste de travail.

Adobe Adobe a donc publié la semaine dernière une mise à jour non programmée pour une vulnérabilité découverte dans son module Flash Player. Selon Adobe, cette vulnérabilité est exploitée activement et doit être corrigée en priorité sur les équipements de type postes de travail. En mai dernier, une autre mise à jour en urgence avait déjà été publiée pour Adobe Reader qui faisait aussi l’objet d’un exploit disponible publiquement. Ce patch est également une priorité pour les postes de travail impactés. (Par Jimmy GrahamThe Laws of Vulnerabilities)

Chiffrement, Cybersécurité, Hacking, Mise à jour, Patch, Securite informatique, Travel

14 failles de sécurité pour des modèles BMW

Un commentaire

Des chercheurs en cybersécurité découvrent 14 failles de sécurité dans des modèles de la marque automobile BMW. Ces vulnérabilités permettraient d’intervenir à distance sur le fonctionnement interne d’une voiture ciblée.

Depuis plusieurs années déjà, de nombreux chercheurs ont mis en garde les constructeurs automobiles contre leurs systèmes électroniques qui sont souvent conçus sans qu’une profonde attention ne soit portée à la sécurité. On se rappelle notamment de Charlie Miller et Chris Valasek qui avaient montré en 2015 comment ils parvenaient à prendre le contrôle d’une Jeep alors que le véhicule roulait sur l’autoroute.

L’intérêt de telles démonstrations basé sur un scénario catastrophe a permis aux grand public mais surtout aux constructeurs, de prendre conscience du risque qui n’est plus du tout hypothétique. Dans le cas présent, BMW a travaillé conjointement avec ce groupe de chercheurs chinois et a reconnu leur effort pour, au final, améliorer la sécurité de ses voitures. « Il ne reste plus qu’à espérer que cette démonstration incite d’autres marques à faire de même. » confirme Jérôme Ségura, de chez Malwarebytes.

Les chercheurs ne sont pas à leur coup d’essai. Ils avaient déjà trouvé plusieurs vulnérabilités dans divers modules embarqués utilisés par Tesla. La société Allemande a confirmé les problèmes et leurs corrections en cours.

Cybersécurité, Mise à jour, Patch, Securite informatique, Social engineering, Téléphonie

Cosiloon : les appareils Android livrés avec des malwares pré-installés

Cosiloon – Des chercheurs découvrent un adware pré-installé sur plusieurs centaines de modèles et de versions d’appareils Android différents, y compris ceux fabriqués par ZTE, Archos ou encore myPhone. La majorité de ces appareils ne sont pas certifiés par Google.

Le logiciel publicitaire en question porte le nom de « Cosiloon », et crée une superposition pour afficher une annonce sur une page web dans le navigateur de l’utilisateur. Des milliers d’individus sont touchés, et le mois dernier, Avast a identifié la dernière version de l’adware sur environ 18 000 appareils appartenant aux utilisateurs situés dans plus de 100 pays, dont la France, l’Italie, le Royaume-Uni, l’Allemagne ou encore la Russie parmi d’autres, ainsi que quelques cas aux États-Unis.

L’adware est actif depuis au moins trois ans, et s’avère difficile à supprimer. Il est en effet installé au niveau du firmware (ou micrologiciel) et utilise un code rendu impénétrable par procédé d’offuscation. Le géant du Web a ainsi pris des mesures pour atténuer les capacités malveillantes de nombreuses variantes d’applications sur plusieurs modèles d’appareils, en exploitant des techniques développées en interne.

Google Play Protect a été mis à jour pour garantir la protection de ces applications à l’avenir. Néanmoins, étant donné qu’elles sont pré-installées avec le firmware, le problème reste donc difficile à résoudre. Google a contacté les développeurs de micrologiciels pour les sensibiliser et les encourager à prendre des mesures pour y remédier.

Identifier Cosiloon

Au cours des dernières années, le Threat Labs d’Avast a régulièrement observé des échantillons Android à caractère étrange, dans sa base de données. Ils ressemblaient à n’importe quel autre échantillon, à l’exception que l’adware semblait pas disposer de point d’infection et présentait plusieurs noms de packages similaires, les plus communs étant :

  • com.google.eMediaService
  • com.google.eMusic1Service
  • com.google.ePlay3Service
  • com.google.eVideo2Service

La façon dont le logiciel publicitaire est arrivé sur les appareils n’est pas claire. Le serveur de contrôle était en service jusqu’en avril 2018, et les auteurs ont continué de le mettre à jour avec de nouvelles charges utiles. Les fabricants ont également continué d’expédier de nouveaux appareils avec l’injecteur (ou dropper, en anglais), également appelé « programme seringue » ou « virus compte-gouttes » qui est un programme informatique créé pour installer un logiciel malveillant sur un système cible.

Certaines applications antivirus signalent les charges utiles, mais l’injecteur les ré-installe et ne peut pas lui-même être supprimé. Ce qui signifie que le terminal aura toujours un dispositif permettant à un inconnu d’installer n’importe quelle application. Les chercheurs ont par ailleurs noté que l’adware permet d’installer le dropper sur les appareils, mais il est également en mesure de télécharger facilement un logiciel espion, un ransomware ou tout autre type de menace.

Avast a tenté de désactiver le serveur C&C (Command and Control) de Cosiloon en envoyant des demandes de retrait au registraire de noms de domaines et aux fournisseurs de serveurs. Le premier fournisseur, ZenLayer, a rapidement répondu et désactivé le serveur, mais il a été restauré après un certain temps par le biais d’un autre fournisseur. Le registraire n’a lui pas donné suite, ce qui signifie que le serveur fonctionne toujours.

Désactiver Cosiloon

Les utilisateurs peuvent trouver le dropper dans leurs paramètres (intitulé « CrashService », « meMess » ou « Terminal » avec l‘icône d’Android), et cliquer sur le bouton « désactiver » sur la page des applications, si disponible (selon la version Android). Cela désactivera l’injecteur qui ne reviendra pas.

Communiqué de presse, Cybersécurité, double authentification, Facebook, Mise à jour, Particuliers, Securite informatique

Facebook annonce son entrée au conseil d’administration de l’Alliance FIDO

Un commentaire

Alliance FIDO : Facebook rejoint d’autres grandes entreprises du secteur high-tech, de la finance et du commerce en ligne pour réduire la dépendance des utilisateurs vis-à-vis des mots de passe.

L’Alliance FIDO annonce l’entrée de Facebook au sein de son conseil d’administration. Le réseau social rejoint ainsi d’autres grands noms des secteurs des hautes technologies, des services financiers et du commerce en ligne, afin de concrétiser la vision stratégique de l’Alliance de réduire la dépendance des utilisateurs du monde entier vis-à-vis des mots de passe, grâce à une authentification plus forte et plus simple.

L’Alliance FIDO développe des spécifications d’authentification forte interopérables pour les plateformes informatiques, ainsi que les applications web et mobiles. Grâce à l’intégration de la technique de chiffrement à clé publique dans des outils d’authentification simples d’emploi, tels que les clés de sécurité ou la biométrie, l’approche proposée par l’Alliance FIDO se distingue par un plus haut niveau de sécurité, de confidentialité et de simplicité que les mots de passe et autres formes d’authentification forte.

« Les mots de passe faibles continuent de causer des problèmes inutiles qui pourraient être évités en déployant et en utilisant des techniques d’authentification forte sur une plus grande échelle. Nous sommes fiers de rejoindre le conseil d’administration de l’Alliance FIDO et d’aider ses membres à atteindre leur objectif : élargir et simplifier la disponibilité de l’authentification forte sur les navigateurs web, ainsi que sur les plateformes mobiles et de bureau », a déclaré Brad Hill, ingénieur logiciel, chez Facebook.

Malgré son arrivée toute récente au sein du conseil d’administration de l’Alliance, Facebook a joué un rôle actif en faveur de l’authentification préconisée par l’Alliance FIDO depuis janvier 2017 en permettant à ses 2 milliards d’utilisateurs quotidiens d’utiliser une clé de sécurité compatible FIDO pour s’identifier et accéder à leur compte.

Outre Facebook, de nombreux prestataires de services de premier plan, parmi lesquels Aetna, Google, PayPal, Samsung, Bank of America, NTT DOCOMO, Dropbox ou Github, mettent la technologie d’authentification FIDO à la disposition de leurs vastes bases d’utilisateurs. Le mois dernier, Google, Microsoft et Mozilla se sont ainsi engagés à prendre en charge la norme WebAuthn récemment annoncée dans leurs navigateurs, rendant l’authentification FIDO accessible aux internautes aux quatre coins du Web.

« Nous sommes heureux d’accueillir Facebook parmi les membres de notre conseil d’administration, a déclaré Brett McDowell, Directeur Exécutif de l’Alliance FIDO. Facebook est l’un des services web et mobiles les plus largement utilisés à travers le monde et, à ce titre, contribuera fortement à la mission de l’Alliance FIDO, à savoir proposer des expériences d’authentification à la pointe de l’innovation qui satisfont pleinement les utilisateurs, tout en résolvant les problèmes de sécurité liés à l’utilisation de mots de passe. »

Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Piratage, Securite informatique

Une exploit 0-Day pour Internet Explorer utilisée in the wild

Un commentaire

Fin avril 2018, un exploit inconnu jusqu’alors détécté. Après analyse, il s’avère que cet exploit utilise une vulnérabilité zero-day CVE-2018-8174 pour Internet Explorer. L’exploit a été utilisé dans des attaques ciblées. Depuis le 8 mai, Microsoft propose la contre-mesure de sécurité.

Il est intéressant de noter que l’exploit Internet Explorer a été téléchargé au sein d’un document Microsoft Word. C’est la première fois que l’on note l’utilisation d’une telle technique. A noter également qu’une version de Microsoft Word entièrement patchée a été exploitée avec succès. Après cette découverte, Microsoft diffuse un patch disponible ici, depuis mardi 8 mai.

Un exploit est une forme de logiciel qui se sert des bugs ou des vulnérabilités d’autres logiciels pour infecter des victimes avec un code malveillant. Les exploits sont utilisés très largement par les cybercriminels à la recherche de profits mais aussi par des acteurs plus sophistiqués, qui disposent de soutiens étatiques, dans un but malveillant.

Dans ce cas particulier, l’exploit identifié se base sur le code malveillant exploitant la vulnérabilité zero-day – un bug typique « use-after-free » quand un code exécutable légitime, comme celui d’Internet Explorer, comporte une logique de traitement de la mémoire incorrecte. Cela conduit à la communication d’un code avec de la mémoire disponible. Alors que dans la plupart des cas, cela débouche sur un simple crash du navigateur, l’exploit permet aux attaquants de prendre le contrôle de l’appareil.

Des analyses approfondies de l’exploit ont permis de mieux comprendre la chaine d’infection :

  • La victime reçoit un document Microsoft Office RTF malveillant
  • Après avoir ouvert le document malveillant, la seconde phase de l’exploit est téléchargée – une page HTML avec un code malveillant
  • Le code déclenche un bug UAF de corruption de la mémoire
  • Le shellcode qui télécharge la charge malveillante est alors exécuté.

« Cette technique, jusqu’à ce qu’elle soit corrigée, permettait aux criminels de forcer le chargement d’Internet Explorer, peu importe le navigateur habituellement utilisé par la victime. Cela démultiplie le potentiel de l’attaque, pourtant déjà énorme. Heureusement, la découverte proactive de la menace a permis à Microsoft de sortir un patch correctif dans les temps. Nous invitons les organisations et utilisateurs à installer les patchs les plus récents immédiatement après leur disponibilité, car il ne faudra pas beaucoup de temps avant que les exploits de cette vulnérabilité ne trouvent leur place dans des kits d’exploits populaires et soient utilisés non seulement par les acteurs de menaces sophistiqués, mais également par des cybercriminels de plus petit calibre », explique Anton Ivanov, Security Researcher, Kaspersky Lab

APT, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Mise à jour, Piratage, Securite informatique

ZooPark : une nouvelle campagne de malware Android propagée par l’infection de sites web légitimes

Des chercheurs en cybersécurité viennent de découvrir ZooPark, une campagne élaborée de cyberespionnage. ZooPark cible depuis plusieurs années les utilisateurs d’appareils Android dans divers pays du Moyen-Orient. Se servant de sites web légitimes comme sources d’infection, cette campagne paraît être une opération étatique visant des organisations politiques, des activistes et d’autres cibles dans la région.

Dernièrement, les chercheurs ont reçu ce qui semblait être un échantillon d’un malware Android inconnu. De prime abord, le malware ne paraissait guère sérieux, tout au plus un outil de cyberespionnage très simple sur le plan technique. Les chercheurs ont alors décidé d’enquêter plus avant et n’ont pas tardé à découvrir une version bien plus récente et complexe du même logiciel, qu’ils ont dénommé ZooPark. Sa cible : le Maroc, l’Egypte, le Liban, la Jordanie et l’Iran.

Certaines applications du code malveillant ZooPark sont diffusées à partir de sites d’actualités ou politiques très consultés dans certaines zones du Moyen-Orient. Elles se dissimulent sous la forme d’applications légitimes portant des noms tels que « TelegramGroups » ou « Alnaharegypt news ». Une fois l’infiltration réussie, le malware offre à l’auteur de l’attaque de nombreuse possibilités. Parmi les actes possibles : Exfiltration des contacts, identifiants de comptes, journaux et enregistrements audio des appels. A cela se rejoute les photos stockées sur la carte SD de l’appareil. Bien entendu, la localisation GPS. Les SMS. Les détails des applications installées, données du navigateur. Enregistrement des frappes clavier et contenu du presse-papiers. La backdoor peut envoyer, discrtement, des SMS. Téléphoner à des numéros, comme des lignes surtaxées.

Une autre fonction malveillante cible les messageries instantanées (Telegram, WhatsApp, IMO), le navigateur web (Chrome) et plusieurs autres applications. Elle permet au malware de dérober les bases de données internes des applications attaquées. Par exemple, dans le cas du navigateur, il s’agit des identifiants enregistrés pour d’autres sites web, susceptibles d’être infectés à la suite de l’attaque.

Les investigations laissent penser que les attaques ciblent en priorité des utilisateurs en Egypte, en Jordanie, au Maroc, au Liban et en Iran. En fonction des thèmes d’actualité choisis par les assaillants pour inciter par tromperie leurs victimes à installer le malware, des membres de l’Office de secours et de travaux des Nations Unies (UNRWA) font partie des cibles potentielles de ZooPark.

« Les utilisateurs sont de plus en plus nombreux à se servir de leur mobile comme principal voire unique moyen de communication. Or cette tendance n’est certainement pas passée inaperçue aux yeux des acteurs malveillants étatiques, qui développent leur arsenal afin de le rendre suffisamment efficace pour pister les utilisateurs mobiles. La menace persistante avancée (APT) ZooPark, qui espionne activement des cibles dans des pays du Moyen-Orient, en est un exemple mais il n’est sans doute pas isolé », commente Alexey Firsh, expert en sécurité chez Kaspersky Lab. Au total, au moins quatre générations du malware espion lié à la famille ZooPark ont été détéctées depuis 2015.

Android, Base de données, Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, ID, Identité numérique, ios, Mise à jour, Particuliers, Sécurité, Securite informatique, Smartphone, Vie privée, Windows phone

Psychology of Passwords : les comportements liés aux mots de passe restent inchangés

Psychology of Passwords – 62% des internautes réutilisent le même mot de passe sur leur comptes personnels et professionnels ! Vous avez dit suicidaire ?

Psychology of Passwords – La gestion des mots de passe, voilà bien un casse tête omnis présent chez les utilisateurs. LastPass présente les résultats d’une nouvelle enquête mondiale baptisée « La psychologie des mots de passe : la négligence aide les pirates à prospérer ». Cette étude révèle que malgré des menaces croissantes et une sensibilisation accrue vis-à-vis des cas de piratage et de fuites de données, les comportements en matière de mots de passe restent largement inchangés. Les résultats de l’enquête montrent que bien que 91% des individus soient conscients du risque de sécurité lié au fait d’utiliser le même mot de passe pour plusieurs comptes, 59% d’entre eux continuent de le faire. Les comportements en matière de création, de changement et de gestion de mots de passe professionnels comme personnels n’évoluent donc pas aussi vite que les menaces de cybersécurité.

Menée auprès de 2 000 individus aux États-Unis, en Australie, en France, en Allemagne et au Royaume-Uni, cette enquête mondiale prouve qu’une connaissance accrue des meilleures pratiques de sécurité ne se traduit pas nécessairement par une meilleure gestion des mots de passe. Les résultats mettent également en évidence l’influence des différences régionales, générationnelles et de personnalité sur les comportements vis-à-vis des mots de passe.

Voilà les principaux enseignements du rapport Psychology of Passwords.

• Psychology of Passwords – Des comportements inchangés malgré une montée en flèche des cybermenaces

Les comportements à risques constatés restent largement identiques à ceux enregistrés il y a 2 ans dans le cadre de la même étude : 53% des personnes interrogées affirment ne pas avoir changé leurs mots de passe durant les 12 derniers mois malgré l’annonce dans les médias de cas de piratages. En outre, bien que 91% des individus soient conscients du risque de sécurité lié au fait d’utiliser le même mot de passe pour plusieurs comptes, 59% d’entre eux le font encore systématiquement ou la plupart du temps.

• Psychology of Passwords – La peur de l’oubli : le principal motif de réutilisation des mots de passe

La plupart des répondants (59%) utilisent le même mot de passe sur plusieurs comptes. En outre, beaucoup continuent de s’en servir autant que possible (soit jusqu’à ce que leur service informatique exige le changement ou à cause d’un incident de sécurité). La peur de l’oubli est citée comme la principale raison de la réutilisation de mots de passe (61%), suivie par la volonté de connaître et de pouvoir contrôler tous ses mots de passe (50%).

• Psychology of Passwords – Avertissement aux équipes informatiques : les comportements vis-à-vis des mots de passe sont les mêmes au bureau et à la maison

La majorité des répondants (79%) auraient entre 1 et 20 comptes en ligne utilisés à des fins professionnelles et personnelles. Près de la moitié d’entre eux (47%) affirment réemployer des mots de passe identiques. Seuls 19% créent des combinaisons plus sécurisées pour leurs comptes professionnels. Enfin 38% ne réutilisent jamais des mots de passe professionnels à des fins personnels ou vice versa – ce qui signifie que 62% des répondants le font.

• Psychology of Passwords – Les personnalités de type A prennent les mots de passe avec sérieux

Le mauvais comportement des personnalités de type A découle de leur besoin d’avoir le contrôle, alors que les personnalités de type B ont une attitude plus décontractée à l’égard de la sécurité des mots de passe. Les répondants s’identifiant comme étant de Type A sont plus enclins que les personnalités de Type B à maîtriser la sécurité de leurs mots de passe : 77% d’entre eux réfléchissent sérieusement lors de la création de mots de passe, contre 67% des individus de Type B. En outre, 76 % des utilisateurs de Type A s’estiment informés des meilleures pratiques en la matière, contre 68% des utilisateurs de Type B.

• Psychology of Passwords – La prise de conscience de l’importance de la sécurité ne se concrétise pas forcément

Les données révèlent plusieurs contradictions, les répondants affirmant une chose, puis en faisant une autre : ainsi, 72% des personnes interrogées estiment connaître les meilleures pratiques en matière de mots de passe, mais 64% d’entre eux affirment que le plus important est de pouvoir s’en souvenir facilement. Parallèlement, bien que 91% des individus soient conscients du risque de sécurité lié au fait d’utiliser le même ou des mots de passe similaires pour plusieurs comptes, 59% d’entre eux le font encore systématiquement ou la plupart du temps.

« Les cybermenaces auxquelles les consommateurs et les entreprises doivent faire face sont de plus en plus ciblées et efficaces. Pourtant, il reste un net fossé entre ce que pensent les utilisateurs et leur volonté de passer à l’action », déclare Sandor Palfy, directeur technique chargé des solutions de gestion des identités et des accès chez LogMeIn. « Bien qu’ils semblent connaître les meilleures pratiques en la matière, les comportements des individus vis-à-vis de leurs mots de passe sont souvent de nature à exposer leurs informations aux cybercriminels. Quelques mesures simples suffisent pour améliorer ces pratiques et renforcer la sûreté des comptes en ligne, qu’ils soient personnels ou professionnels. »

APT, backdoor, Cybersécurité, Mise à jour, Securite informatique

Le ransomware SynAck gagne en complexité pour échapper aux logiciels de sécurité

Des chercheurs ont découvert une nouvelle variante du ransomware SynAck. Il utilise la technique Doppelgänging pour échapper aux logiciels anti-virus en se cachant dans des process légitimes.

SynAck is back ! C’est la première fois que la technique Doppelgänging est utilisée par un ransomware « in the wild ». Les développeurs derrière SynAck font également appel à d’autres stratagèmes pour ne pas être détectés, notamment l’obfuscation de tout le code avant la compilation d’échantillons et la fuite s’ils détectent des signes suggérant un lancement depuis un « sandbox ».

Le ransomware SynAck existe depuis l’automne 2017. En décembre dernier, il ciblait principalement les utilisateurs anglophones via des attaques par force brute RDP (remote desktop protocol) suivies par le téléchargement manuel et l’installation du malware. La nouvelle variante découverte par les chercheurs de Kaspersky Lab exploite une approche bien plus sophistiquée.

Les chercheurs du Kespersky Lab pensent que les attaques utilisant cette nouvelle variante de SynAck sont hautement ciblées. A ce jour, ils ont observé un nombre limité d’attaques aux Etats-Unis, au Koweït, en Allemagne et en Iran, avec des demandes de rançon d’un montant de 3 000 dollars USD.

La technique Doppelgänging permet de faire passer des malwares derrière les lignes de défense et les mesures de sécurité les plus récentes ; c’est une menace majeure que les criminels n’ont pas attendu pour exploiter. « Notre rapport illustre la façon dont le ransomware SynAck, jusqu’ici assez discret, a utilisé cette technique pour gagner en furtivité et accroître sa capacité infectieuse. » explique Anton Ivanov, Lead Malware Analyst, Kaspersky Lab.

Arnaque, Communiqué de presse, Cybersécurité, escroquerie, Identité numérique, Mise à jour, Particuliers, Patch, Phishing, Securite informatique, Vie privée

Nouvelle vague de phishing détectée. 550 millions de mails bloqués

Grâce à sa technologie prédictive basée sur une intelligence artificielle, Vade Secure a découvert début janvier une vague d’attaque de phishing d’un nouveau genre. Habituée à des mails usurpant l’identité de banques, de fournisseurs d’accès internet ou de grands noms de la grande distribution en ligne, dans le but de voler les identifiants de connexion de la victime, la société  a détecté en janvier une nouvelle vague de phishing frappant la France.

Représentant un volume mondial cumulé de 550 millions de mails sur le premier trimestre 2018, cette nouvelle vague d’arnaque se présente sous la forme d’un mail marketing proposant un coupon de réduction ou la participation à un concours en ligne. Cet mail usurpant des marques de la grande distribution, de services de streaming en ligne ou bien encore d’opérateurs télécoms géolocalise la victime et adapte son discours en fonction de la langue. Cf. les captures d’écran ci-dessous.

Sébastien Gest, Tech Evangéliste de Vade Secure explique : « La finalité de cette attaque réside dans le fait de voler les coordonnées bancaires de la victime à la suite d’un quizz dans le but de gagner le fameux coupon réduction ». 

Quelle est la nouveauté dans cette attaque ? 

Habituellement les pages de phishing sont hébergées sur des sites internet piratés. Ce n’est pas ici le cas, les adresses IP, les serveurs et les noms de domaines semblent loués et donc légitimes. Après analyse, le coût de l’infrastructure engagée par les pirates semble très important, pouvant se chiffrer à plusieurs dizaines de milliers d’euros. Afin de brouiller les outils de détection, les pirates ont utilisé en série des outils permettant de raccourcir les URL dans le but de masquer l’adresse de destination du lien. Cette technique a été utilisée en chainant plusieurs centaines d’URL entre elles.

Du fait de ces différentes techniques de nombreuses solutions basées sur des technologies de réputation ne détectent pas cette nouvelle vague, qui nécessite des techniques avancées d’analyse des liens et du contexte de la menace pour être bloquée.

Quelques conseils à destination des particuliers :

o    Ne jamais cliquer sur un lien si la sollicitation vous semble suspecte.

o    Si vous avez un doute allez sur isitphishing.ai et entrez l’adresse pour valider si la page est une page légitime ou une page de phishing.

o    Toujours être vigilant devant un mail même si la marque vous semble familière.

o    Une entreprise ne demandera jamais vos identifiants par mail. ​

Chiffrement, Cybersécurité, Mise à jour, santé, Securite informatique

Sécurité : Ça tousse du côté de la eSanté

eSanté : Les équipes de sécurité informatique doivent jouer un rôle primordial dans les hôpitaux.

eSanté – L’éditeur de solutions de sécurité informatique Trend Micro revient sur la problématique de la sécurité informatique dans le milieu de la santé. La dernière étude conjointe avec HITRUST, Securing Connected Hospitals, met en évidence deux aspects cruciaux de l’écosystème des soins de santé que les équipes informatiques doivent prendre en compte dans le cadre de leurs dispositifs de sécurité et de leurs partenaires tiers.

Nous pouvons penser que les hôpitaux seraient extrêmement sensibles à l’exposition des appareils sur Internet en raison des amendes imposées par la Loi sur la transférabilité et la responsabilité de l’assurance maladie (HIPAA) et des règlements similaires pour les violations de l’exposition aux données. Mais lorsque Trend Micro a cherché des points sensibles liés aux soins de santé à l’aide de l’outil Shodan, ils ont été surpris de trouver un grand nombre de systèmes hospitaliers exposés.

Il a été découvert des systèmes médicaux exposés – y compris ceux qui stockent des images médicales, des interfaces de logiciels de soins de santé et même des réseaux hospitaliers mal configurés – qui ne devraient pas être consultables publiquement. Bien qu’un dispositif ou un système exposé ne signifie pas nécessairement qu’il soit vulnérable, les dispositifs et systèmes exposés peuvent potentiellement être utilisés par des cybercriminels et d’autres acteurs pour pénétrer dans des organisations, voler des données, exécuter des botnets, installer des rançongiciels, etc.

En outre, il montre qu’une quantité massive d’informations sensibles est accessible au public alors qu’elles ne devraient pas l’être.

Communiqué de presse, Cybersécurité, IOT, Mise à jour, Patch, Securite informatique

Pas (encore) de normes de sécurité pour les objets connectés

De nombreux objets connectés iot pour la maison et le bureau ne sont tout simplement pas sécurisés. On ne compte plus les histoires sur les vulnérabilités des objets connectés – particulièrement ceux utilisés à domicile. Bien que certaines aient l’air « tirées par les cheveux » – comme celle de la caméra pour bébé piratée qui répondait à sa mère – d’autres, comme le botnet Mirai, montrent que les problèmes de sécurité liés aux petits objets peuvent rapidement prendre de l’ampleur. Bref, difficile d’oublier que nombre d’objets connectés ne sont pas très sécurisés.

Camouflés derrière le plastique lustré de ces appareils connectés iot tout neufs pour la maison, de nombreux facteurs contribuent pourtant à créer cet environnement à risque. Voici les trois facteurs principaux, mais il en existe d’autres :
1.Les mots de passe codés en dur
2.Les mots de passe par défaut difficiles à changer
3.Les vulnérabilités non corrigées

La balle n’est PAS dans votre camp (mais vous êtes quand même coupable)
Avec un ordinateur à la maison, vous pouvez suivre de bonnes mesures de sécurité. Cela signifie entre autres, avoir installé un antivirus et faire en sorte que toutes vos applications et pilotes soient à jour (voire même utiliser un programme qui s’en charge tout seul). Et puis il y a cet élément important du piratage psychologique, vous en tant qu’utilisateur, ne cliquez pas sur des offres trop alléchantes sur Internet sans en être sûr.

Mais avec les objets connectés, impossible de suivre ce genre de précautions. Dans le meilleur des cas, vous pouvez modifier le mot de passe par défaut, mais ça s’arrête là. Le plus souvent, vous ne saurez même pas avec qui votre télé connectée communique et de quoi elle parle. Et ces appareils recueillent un tas de données potentiellement compromettantes sur vous et vos activités. En fait, même si votre caméra de surveillance faisait partie d’une armée internationale de botnets par DDoS, vous ne le sauriez pas.

SOS, mais qui pouvez-vous appeler ?
Les failles de sécurité de nombreux objets connectés ont lancé le débat sur les moyens des autorités ou des instances de réglementation pour remédier au problème. Aux États-Unis, une loi a été proposée qui obligerait les objets connectés achetés par le gouvernement fédéral à répondre à certaines normes. L’entrée en vigueur de cette loi aurait des répercussions sur la sécurité, car les fabricants devraient faire en sorte que leurs appareils soient plus sécurisés pour les clients du secteur public. Puis, cette certification pourrait également être utilisée pour d’autres types de clients.

Dans l’Union européenne, la Commission européenne dispose de l’AIOTI, l’Alliance for Internet of Things Innovation, un groupe de travail qui souhaiterait que les labels sur les produits – comme ceux utilisés pour présenter les données sur la consommation d’énergie – s’étendent aussi aux objets connectés.

Toutefois, cet autre concept d’auto réglementation ferait encore appel à des organismes de tests indépendants comme l’American Underwriters Laboratories, le German Stiftung Warentest ou l’AFNOR en France.

Il est temps de faire vos propres recherches sur la sécurité
Cependant, toutes ces options n’en sont encore qu’à leurs balbutiements et au moment d’acheter un objet connecté sécurisé, vous êtes encore livré à vous-même. La seule option pratique qui vous soit disponible pour le moment est de faire des recherches pour écarter toute marque ou modèle lié(e) à un problème de sécurité. Vous pouvez également jeter un œil à la liste de Krebsonsecurity des objets considérés comme problématiques. Cependant, cette approche en mode « système D » ne mettra pas au jour les composants génériques d’objets connectés, qui ont été intégrés à un système.

Il existe aussi des solutions qui peuvent vous aider à sécuriser vos connexions telle que Avira Home Guard. Il s’agit d’une application gratuite pour Windows qui scanne les objets intelligents connectés au réseau, identifie les vulnérabilités de sécurité, suggère des solutions et conserve un inventaire des appareils connectés. Cette solution vous donne une vue complète des appareils connectés à votre réseau et de leurs failles potentielles. Avira Home Guard est inclue dans le tableau de bord Avira pour Windows.

Chiffrement, Communiqué de presse, Cybersécurité, Mise à jour, Propriété Industrielle, Securite informatique

Trend Micro et Panasonic s’associent pour sécuriser les véhicules connectés

Trend Micro et Panasonic Corporation annoncent un partenariat innovant visant à développer une solution de cyber-sécurité permettant de détecter et contrer les risques de piratage ciblant les voitures connectées et autonomes.

Ce partenariat a pour objectif de garantir un niveau de sécurité élevé pour ces véhicules, la solution étant capable de déceler et de prévenir les intrusions visant, d’une part les unités de commande électronique (UCE – Electronic Control Unit)*1 qui assurent le contrôle des comportements dynamiques de conduite tels que l’accélération, la direction et le freinage ; et d’autre part les plateformes d’info-divertissement embarquées (IVI – In Vehicule Infotainment)*2 comme les systèmes de navigation et les boitiers télématiques*3.

Les risques de piratage des systèmes de direction et de freinage dans les véhicules connectés sont bien réels. De nouvelles failles de sécurité sont découvertes quotidiennement, permettant aux cybercriminels de prendre le contrôle d’un véhicule à distance. Il est donc indispensable de définir des mesures de sécurité dans chaque voiture connectée, mais également d’analyser les nouvelles formes d’attaques grâce à une surveillance continue des systèmes embarqués depuis le Cloud, tout en capitalisant sur les données analytiques produites pour développer et généraliser des contre-mesures adéquates.

Ce partenariat s’appuiera sur la technologie de détection et de prévention des intrusions*4 pour le réseau CAN (Control Area Network) de Panasonic, ainsi que sur la solution Trend Micro IoT Security*5. La technologie Panasonic permettra de détecter l’ensemble des commandes non autorisées envoyées aux unités de commande électronique (ECU). Trend Micro IoT Security capitalise sur l’expertise de Trend Micro à l’échelle mondiale, ainsi que sur ses solutions basées sur l’intelligence connectée, notamment pour ce qui est de l’analyse des malware*6. La solution sera implémentée sur les plateformes d’info-divertissement embarqué (IVI) comme les systèmes de navigation, pour identifier les attaques tentant d’exploiter des vulnérabilités via le réseau Internet. Grâce à ce partenariat, les événements identifiés par les deux technologies seront collectés et envoyés à une plateforme d’analyse dans le Cloud pour détecter et bloquer le trafic suspect.

Ce partenariat technologique permettra ainsi de fournir une solution globale – dont des systèmes embarqués et des systèmes Cloud – visant à prévenir les cyber-attaques ciblant les véhicules autonomes et connectés. Les deux entreprises planifient un lancement commercial à l’horizon 2020.

*1 Unité de commande électronique : calculateurs qui commandent des actionneurs comme le moteur ou la direction
*2 Info-divertissement embarqué (IVI) : applications de divertissement et d’information disponibles dans les voitures
*3 Télématiques : service qui envoie et reçoit des données vers et depuis un véhicule
*4 Technologie de détection et de prévention CAN : technologie qui surveille le bus CAN (Control Area Network), autorisant les communications entre les unités de commande électroniques pour détecter les commandes non autorisées et les traiter comme invalides
*5 Trend Micro IoT Security : solution de sécurité pour les dispositifs embarqués connectant l’extérieur du véhicule à des communications IP sur des systèmes d’exploitation tels que Linux
*6 Malware : terme générique utilisé pour désigner différentes formes de logiciels ou de codes malveillants créés pour causer des dommages, y compris des virus informatiques.

Communiqué de presse, Cybersécurité, Emploi, Entreprise, Mise à jour, Securite informatique, Social engineering

Oubliez les « fake news » : les FAUSSES DONNÉES envahissent les entreprises du monde entier

Une étude révèle que les consommateurs français FALSIFIENT INTENTIONNELLEMENT leurs données personnelles en ligne. Oubliez les « fake news » : les FAUSSES DONNÉES envahissent les entreprises du monde entier.

Fake news or not fake news ! Concernant l’exactitude des informations personnelles que les consommateurs français partagent en ligne avec les entreprises/marques… Plus d’un consommateur français sur deux (55 %) admet avoir intentionnellement falsifié, ou ne sait pas s’il a falsifié ou non, ses informations personnelles lors de l’achat d’un produit/service. Plus le consommateur est jeune, plus il est susceptible de falsifier ses informations personnelles (74 % des 18-24 ans, et 52 % des 25-34 ans).

– Fake news – Informations personnelles parmi les plus fréquemment falsifiées :
o Numéro de téléphone (32 %)
o Date de naissance (19 %)
o Adresse personnelle (18 %)
o Nom (17 %)

– Les principaux motifs de falsification des données personnelles invoqués sont les suivants :
o Ne souhaitent pas recevoir de communications non sollicitées (appels téléphoniques, SMS, e-mails) de la part des entreprises (60 %)
o Ne veulent pas recevoir de publicités (51 %)
o Estiment que les données demandées sont sans rapport avec le produit/service proposé (35 %)
o Doutent de la capacité de l’entreprise à traiter/conserver leurs données de manière sécurisée (32 %)

Fake news – Quel impact sur les entreprises/marques ?
o 69 % des consommateurs français se disent prêts à boycotter une entreprise ayant montré, à maintes reprises, un manque d’intérêt pour la protection des données clients
o Le niveau de tolérance baisse avec l’âge, 82 % des plus de 55 ans étant prêts à boycotter une entreprise pour ce même motif (contre 65 % chez les 18-24 ans qui font preuve d’une plus grande indulgence)
o En cas de vol de leurs informations personnelles résultant d’une atteinte à la sécurité, deux tiers (67 %) en attribueraient la responsabilité à l’entreprise plus qu’à qui que ce soit d’autre (y compris le pirate)
o 73 % des plus de 55 ans pointeraient probablement l’entreprise du doigt
o 59 % éviteraient de confier leurs données personnelles à une entreprise connue pour avoir vendu des informations ou les avoir utilisées de manière abusive sans le consentement des personnes intéressées
o 53 % sont moins enclins à acheter les produits/services d’une entreprise réputée pour sa mauvaise gestion des données
o 48 % sont plus susceptibles d’acheter auprès d’une entreprise ayant démontré qu’elle prenait la protection des données au sérieux

Fake news – Quel impact sur les équipes marketing ?
o Bien que les entreprises détiennent plus de données clients que jamais auparavant, seulement un quart environ des personnes interrogées (28 %) pensent qu’elles permettent aux marques de leur proposer des produits/services à la fois meilleurs et plus personnalisés
o Seule une personne sur trois (34 %) parmi les 18-24 ans est disposée à fournir des informations personnelles en échange d’une meilleure expérience client ou de meilleurs services

Questionnés sur les types de données personnelles qu’ils souhaitent préserver…
o La majorité des Français interrogés (81 %) citent leurs informations financières et bancaires, suivies de leurs pièces d’identité (72 %), dont leur passeport et leur permis de conduire
o 7 sur 10 (71 %) tiennent à protéger leurs informations de sécurité, comme les mots de passe
– Les consommateurs français attachent moins d’importance à la protection de leurs habitudes de navigation (35 %), données de géolocalisation (38 %) et données génétiques (ADN) (39 %)

Concernant la perte, le vol ou la manipulation des données personnelles…
– Près de 3 sur 4 (74 %) se disent préoccupés par l’usurpation de leur identité
– Plus de 7 sur 10 (73 %) craignent que de l’argent ne soit dérobé à leur insu sur leur compte bancaire
– Un tiers (33 %) redoutent l’altération de leurs dossiers médicaux, et une même proportion (33%) celle de leur casier judiciaire
– 40 % s’inquiètent de la divulgation publique d’informations embarrassantes ou sensibles les concernant
– De la même manière, 41 % ont peur d’être victimes de chantage suite à la perte, au vol ou à la manipulation de messages ou de photos

À propos de leur sensibilisation aux violations de données (actes de piratage à l’encontre des entreprises)
– 71 % se disent davantage au courant des violations de données qu’il y a cinq ans
– Plus de deux tiers (67 %) sont inquiets à l’idée que des technologies de suivi et des dispositifs portatifs, comme les appareils Fitbit, collectent et stockent des données sur leurs moindres mouvements
– 8 consommateurs français sur 10 (80 %) s’efforcent de limiter la quantité d’informations personnelles qu’ils publient en ligne ou communiquent aux entreprises

Avons-nous vraiment le choix ?
– 49 % estiment n’avoir d’autre choix que de fournir des données personnelles à une entreprise en contrepartie de produits ou de services
o Ce sentiment est partagé par 70 % des 25-34 ans
– 4 sur 10 (39 %) se sont sentis forcés de transmettre à des entreprises des données personnelles sans aucun rapport avec le produit ou service proposé
– 22 % des 18-24 ans acceptent avec résignation de communiquer leurs informations personnelles
– Près de la moitié des personnes interrogées (49 %) pensent que les consommateurs sont si habitués à divulguer leurs données personnelles qu’il est presque impossible d’inverser la tendance

Méthodologie de l’étude à l’échelle mondiale
Sauf indication contraire, tous les chiffres proviennent de YouGov Plc. Taille totale de l’échantillon : 7 579 adultes à travers le Royaume-Uni (2 112), les États-Unis (1 076), la France (1 025), l’Allemagne (2 232) et l’Italie (1 134). L’enquête sur le terrain s’est déroulée du 15 décembre 2017 au 3 janvier 2018. Le sondage a été réalisé en ligne. Les chiffres ont été pondérés et sont représentatifs de l’ensemble de la population adulte (18 ans ou plus) de chaque région.

Cybersécurité, Emploi, Entreprise, Facebook, Justice, Mise à jour, Particuliers, Securite informatique

Vous ne fermez pas votre session Facebook ? Les messages deviennent publics

Voilà qui devrait vous faire réfléchir à deux fois quand vous laissez la session de votre compte Facebook ouvert. En cas d’oublie, les messages deviennent publics.

La justice Française vient de trancher. Une salariée d’une entreprise Toulousaine avait laissé la session de son compte Facebook ouvert. Son employeur, durant l’absence de cette dernière, avait eu accès au compte de l’employée via un ordinateur de l’entreprise. La session de la dame n’avait pas été coupée.

Bilan, le patron a pu lire des messages insultants diffusées sur le Facebook de la salariée.

Comme l’indique Legalis, pour sa défense, l’auteure des messages avait invoqué le caractère privé de ses communications.

La cour d’appel de Tooulouse a estimé que « les propos tenus par Mme X. sur son compte Facebook, affichés sur l’écran de l’ordinateur de l’entreprise et visibles de toutes les personnes présentes dans le magasin, avaient perdu leur caractère privé ».

Bitcoin, cryptomonnaie, Cybersécurité, Entreprise, Mise à jour, Securite informatique, Social engineering

Arnaque autour de la cryptomonnaie

Des pirates informatiques auraient réussi à détourner des millions de dollars dans une arnaque à la crypto-monnaie. De faux sites mis en place pour l’escroquerie.

Une petite dizaine de faux sites web. De fausses publicités exploitant le service publicitaire de Google (AdWords). Le tour était presque parfait pour une bande de pirates informatiques qui semble être basé du côté de l’Ukraine.

Une situation géographique qui semble être bonne, les autorités locales travaillant sur ce cas.

La campagne a été découverte en interne, chez Talos. Une campagne malveillante très simple, mais efficace. Les publicités Google AdWords ont permis aux escrocs de s’assurer un flux régulier de victimes.

Cette campagne ciblait des régions géographiques spécifiques et permettait aux assaillants d’amasser des millions de dollars de revenus grâce au vol de cryptomonnaie des victimes.

Data Security Breach a pu repérer plusieurs faux URL exploitant, par exemple, la fameuse technique des lettres exploitée par des langues étrangères (Faux sites Air France ; Faux URL Nike ; Faux URL Disneyland …) révélée par ZATAZ.

Pour le cas de cette arnaque, j’ai pu repérer des blokchaín.info (l’accent sur le i ; il manque le c à block) ; blockchaìn.com (l’accent sur le i) …

Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

L’outil gratuit G DATA Scanner détecte les failles de sécurité Meltdown et Spectre

L’éditeur de solutions de sécurité propose un scanner gratuit qui détecte les failles de sécurité Meltdown et Spectre dans le système. Quand une faille est trouvée, des astuces de défense contre les attaques sont proposées à l’utilisateur.   

Scanner votre machine ! Les failles Meltdown et Spectre découvertes il y a quelques semaines seront-elles exploitées à grande échelle dans des codes malveillants ? Sur ce sujet les avis des experts divergent et se positionner aujourd’hui clairement relève de la divination. Pour autant, mieux vaut être préparé à cette éventualité.

C’est dans ce but que G DATA met gratuitement à disposition un scanneur qui détecte les vulnérabilités face aux failles Meltdown et Spectre dans le système d’exploitation. Que fait exactement ce programme ?

Le scanneur interroge les paramètres et configurations importants du système, par exemple :

  • si des mises à jour Microsoft récentes sont installées ;
  • quel processeur est installé et s’il est affecté par les failles de sécurité ;
  • quel système d’exploitation est utilisé ;
  • si des configurations BIOS critiques ont été faites ;
  • si un produit antivirus vérifié compatible avec le correctif Microsoft est installé ;

Après avoir fait cette analyse, G DATA Scanner donne des conseils pour des améliorations possibles. Les internautes doivent appliquer les conseils sans attendre pour s’assurer que le système continue à jouir d’une protection efficace.

Prérequis système :

Windows 10, Windows 8.1, Windows 8, Windows 7 SP1, Windows Server 2016, Windows Server 2012 R2, ou Windows Server 2012.

G DATA Meltdown & Spectre Scanner requiert .NET Framework 4 ou plus récent, qui est préinstallé sur Windows 8 ou Windows Server 2012. Si Windows 7 SP1 est utilisé, alors  .NET Framework 4.7.1. doit être installé précédemment.

Cybersécurité, loi, Mise à jour, santé, Securite informatique

L’e-Santé et la santé connectée: la sécurité au cœur des enjeux

Aujourd’hui plus que jamais, la santé fait partie des préoccupations quotidiennes des Français . Et pour cause, les problématiques budgétaires liées au devenir de la sécurité sociale (7,2 milliards de déficit dont 4,1 milliards pour la branche assurance maladie en 2016 ), les déserts médicaux (initiés par la hausse de l’urbanisation), la remise en cause de la disponibilité des soins apportés dans les hôpitaux, une population de plus en plus vieillissante, amènent les pouvoirs publics à chercher des solutions.

Le Président Emmanuel Macron a exprimé à maintes reprises son souhait de débloquer un plan d’investissement de 5 milliards d’euros destiné à moderniser en profondeur le secteur médical. Depuis son élection, le gouvernement encourage les entrepreneurs à concevoir de nouvelles technologies pour développer l’e-Santé afin d’améliorer durablement la santé des citoyens tout en réduisant les coûts de l’assurance maladie .

L’e-santé ou la santé 3.0, qui peut être décrite comme le mariage entre les nouvelles technologies, les professionnels de santé et les patients, est déjà un domaine dynamique qui ne cesse de se développer en France. Ce marché est évalué à 4 milliards d’euros pour la France d’ici 2020 . Près 100 millions d’euros ont été investis dans le secteur de l’e-santé et du bien-être en 2016, ce qui en fait l’un des secteurs les plus attractifs de l’année .

A l’origine, la France est le pays précurseur en matière de numérisation du système de santé.
La diffusion de la première carte vitale en 1998 (qui va bientôt fêter ses 20 ans d’existence), permet à des millions de Français une gestion automatisée de leurs facturations de prestations de soins, et un remboursement plus rapide de leurs frais médicaux. Et pourtant aujourd’hui, l’Hexagone est classé parmi les pays « moyennement avancés » avec un niveau de déploiement de l’e-santé encore peu satisfaisant, qui le place loin derrière le Royaume-Uni, L’Espagne et les Etats-Unis . Etonnant pour un pays qui a pourtant des atouts considérables, fort de sa médecine et de son système de soins.

L’e-Santé offre pourtant de nouvelles opportunités comme la télémédecine, qui permet aux patients de bénéficier d’une consultation médicale à distance (en visioconférence) avec un ou plusieurs professionnels de santé (diagnostic, bilan de santé suivi médical etc.). La télémédecine est particulièrement bien adaptée pour répondre à la problématique des déserts médicaux en permettant non seulement le diagnostic à distance mais également une meilleure hospitalisation à domicile (télésurveillance) pour des suivis de maladies chroniques (cardiaque, diabète ; …), dans la prise en charge d’un AVC ou encore le suivi en continu des soins. Sur ce dernier point, l’installation d’équipements connectés au domicile du malade permet de fournir en permanence aux médecins des informations sur l’état de santé du patient. Les nouvelles technologies très poussées de ces appareils – miniaturisées à l’extrême avec des batteries allant jusqu’à 10 ans de durée de vie – rendent l’objet très peu intrusif dans le quotidien des patients qui l’adopte rapidement. La télésurveillance apporte aussi un confort non négligeable aux personnes âgées qui se sentent souvent mieux à leur domicile que dans des maisons de retraite. Par exemple, la société OnKöl a lancé en septembre 2017 un boitier intelligent prêt à l’emploi qui informe la famille du patient et les soignants de tous les détails des signes vitaux aux urgences, en passant par les rappels de prise de médicaments. Les données collectées sont chiffrées avant d’être transmises via le réseau mobile vers les professionnels de santé. Aux Etats-Unis, des appareils de lutte contre l’apnée du sommeil sont eux-aussi connectés pour vérifier que le traitement est efficace et l’ajuster si nécessaire.

La mise en place des systèmes d’informations de santé (SIS) ou hospitaliers (SIH) facilitent également les échanges de données et les dossiers médicaux numériques des patients entre le médecin, l’hôpital et la sécurité sociale.

Les citoyens français se montrent en grande majorité favorables au développement de nouvelles technologies liées à l’e-Santé, notamment à la transmission électronique de leurs résultats d’examen médicaux entre professionnels de santé (87%), au renouvellement d’ordonnances à distance (84%) et à la réception de leurs données médicales ou de leurs résultats d’examen sous format électronique (81%) . Malheureusement le projet de Dossier Médical Partagé (DMP) lancé initialement en 2004 sous le nom de Dossier Médical Personnalisé qui devait placer la France en tête, est loin de répondre aux attentes. En effet, le déploiement a été très faible, freiné par des problèmes techniques et une absence d’incitation des médecins généralistes qui doivent supporter le coût de mise à jour du DMP de chaque patient sans véritable contrepartie.

L‘autre frein au développement de l’e-santé réside dans la crainte des patients que le secret médical et la confidentialité de leurs données ne soient pas assez sécurisés. Cette crainte concernant la sécurité atteint 41% des personnes interrogées et 50% chez les jeunes.

Si la France est mature d’un point de vue politique et citoyens pour développer l’e-santé, il lui manque encore un cadre sécuritaire bien établi pour que cet écosystème voie le jour. La multiplication des cyberattaques d’envergure mondiale (Wannacry, NotPetya, Botnet Mirai) ces deux dernières années est révélatrice des failles encore existantes et invite à ne prendre aucun risque, surtout à l’échelle de données personnelles et privées, concernant des millions de citoyens. La sécurité des données passe par l’utilisation de technologies de chiffrement qui doivent être accompagnées de moyens de mise à jour régulière afin de faire face aux évolutions constantes des cyberattaques. La sécurité du système de santé, système dit « critique », doit donc être pensée dans sa globalité et de façon « bout en bout », de l’appareil de santé au stockage, usage et partage des données générées.

Pour assurer le bon fonctionnement d’un système de santé connectée dans son ensemble, il est indispensable de garantir l’efficience des nouvelles technologies et la protection des données sensibles qu’elles contiennent. Pour cela, il est nécessaire que la sécurisation des données personnelles de santé soit pensée à échelle nationale voire européenne avec une norme claire et définie. En effet, l’Union Européenne a défini un plan pour la santé au sein du marché unique numérique qui se focalise sur 3 objectifs prioritaires : permettre l’accès sécurisé et l’utilisation des données de santé par les citoyens sans frontière à l’intérieur de l’Europe, aider à la mise en place d’une infrastructure de données européenne pour faire avancer la recherche et les soins personnalisés, et enfin faciliter échanges et interactions entre les patients et les prestataires de santé.

L’essentiel à retenir est que tout est là : la volonté d’un Etat, l’attente d’une population, la technologie. L’e-Santé a aujourd’hui tous les ingrédients pour révolutionner notre système de santé et proposer des services plus adaptés à notre ère digitale. Il s’agit maintenant que tous les acteurs collaborent efficacement pour mettre en place une infrastructure fiable en collaboration avec l’UE pour que la France bénéficie des énormes avancées que l’Internet des Objets rend possibles tout en garantissant une sécurisation sans faille des données personnelles des patients. (Par Stéphane Quetglas, Directeur Marketing Internet des Objets (IoT) chez Gemalto)

Source : https://www.journalducm.com/sante-connectee-e-sante/
Source : http://www.lepoint.fr/societe/chomage-sante-retraites-premieres-preoccupations-des-francais-13-01-2017-2096886_23.php
Source : https://www.maddyness.com/entrepreneurs/2017/05/10/presidentielle-2017-emmanuel-macron-medecine-connectee/
Selon une étude de juillet 2017 menée par le cabinet Xerfi-Precepta
Source : https://www.journalducm.com/sante-connectee-e-sante/

Communiqué de presse, cryptomonnaie, Entreprise, Mise à jour

Atari : Développements dans le domaine des blockchains, crypto-monnaies et crypto-casinos

Crypto-casinos : Signature du contrat relatif à l’Atari Token, crypto-monnaie associée à une plateforme de blockchains dans le domaine de l’Entertainment. Projets supplémentaires en cours dans le domaine des crypto-monnaies, notamment dans les crypto-casinos.

Le Groupe Atari annonce deux projets de développement majeurs dans le domaine des blockchains, des crypto-monnaies et crypto-casinos, avec d’une part une prise de participation dans une crypto-plateforme et la création d’un Token dédié (l’« Atari Token »), et d’autre part le lancement prochain de plateformes de casinos offrant des options de jeux en crypto-monnaies.

Prise de participation dans Infinity Networks Ltd (Gibraltar) et création de l’Atari Token
Atari a pris une participation de 15% du capital, avec un droit à 17,5% des résultats, de la société Infinity Networks, Ltd (Gibraltar). Cet investissement, réalisé sans décaissement de trésorerie par Atari, démontre tout l’attrait de la marque Atari. Infinity Networks, Ltd (Gibraltar), société créée par une équipe de vétérans reconnus de l’industrie de l’Entertainment et de la finance et dirigée par Ron Dimant et Daniel Doll-Steinberg, est dotée d’un conseil consultatif rassemblant des personnalités de premier plan dans le domaine des blockchains. La société développe une plateforme décentralisée donnant accès à toute forme de digital Entertainment, c’est à dire une offre très large allant des jeux vidéo aux films et à la musique. Cette plateforme, en cours de développement, fonctionnera en utilisant une crypto-monnaie, l’Atari Token. En échange de ces participations au capital, aux résultats et à des royautés futures, Atari a consenti à Infinity Networks, Ltd (Gibraltar) une licence long-terme d’utilisation de la marque Atari.

« La technologie des blockchains est vouée à prendre une place très importante dans notre environnement et à transformer, sinon révolutionner, l’écosystème économique actuel, en particulier dans les domaines de l’industrie du jeu vidéo et des transactions en ligne », a déclaré Frédéric Chesnais, PDG d’Atari, SA. « Compte tenu de nos atouts technologiques avec les studios de développement, et de la notoriété mondiale de la marque Atari, nous avons l’opportunité de nous positionner de façon attractive dans ce secteur. Notre objectif est de prendre des positions stratégiques avec un risque de trésorerie limité, afin de valoriser au mieux les actifs et la marque Atari ».

Lancement prochain de plateformes de casino acceptant les crypto-monnaies

L’investissement dans Infinity Networks, Ltd (Gibraltar) est le premier investissement réalisé par Atari dans le domaine des blockchains et crypto-monnaies. Le Groupe Atari travaille activement à l’identification et à la négociation d’opportunités supplémentaires, en prenant des participations capitalistiques en échange d’une licence de marque et avec un décaissement de trésorerie très limité. Le second projet en cours est le renforcement du partenariat avec Pariplay, Ltd dans le cadre du lancement au cours de l’année 2018 de plateformes de casino permettant aux joueurs de parier soit en argent réel soit avec la plupart des crypto-monnaies actuellement en circulation. Ces sites de casino offriront de nombreux jeux Atari. Pour élargir l’attrait de ces nouveaux casinos, et une fois l’Atari Token disponible, Atari a pour projet de lancer le Pong Token, un second Token dédié aux crypto-casinos et utilisable sur ces sites de jeux. Les modalités détaillées de ce lancement de crypto-casinos seront annoncées prochainement.

Cybersécurité, Mise à jour, Patch, Securite informatique

Hide’N Seek : botnet à la sauce brute force

Détection d’un nouveau botnet IoT baptisé Hide ‘N Seek, utilisant son propre système de communication peer-to-peer.

Les chercheurs des Bitdefender Labs ont détecté l’émergence d’un botnet qui utilise des techniques de communication avancées pour infecter les victimes et créer son infrastructure. Le botnet, baptisé HNS (Hide ‘N Seek), a été intercepté par notre système d’honeypots d’objets connectés suite à une attaque par force brute via le service Telnet.

Le bot a été détecté pour la première fois le 10 janvier, puis a disparu quelques jours après, avant de réapparaitre le 20 janvier sous une forme nettement améliorée.

Impact

Le botnet HNS communique d’une manière complexe et décentralisée et utilise de multiples techniques contre l’altération pour empêcher qu’un tiers puisse le détourner. Le botnet peut procéder à l’exploitation web de toute une série d’appareils via le même exploit que Reaper (CVE-2016-10401 et d’autres vulnérabilités des équipements réseau). Le botnet embarque une multitude de commandes permettant l’exfiltration des données, l’exécution de code et la perturbation du fonctionnement d’un appareil.

Fonctionnement Hide ‘N Seek

Le botnet intègre un mécanisme d’autoréplication qui génère de manière aléatoire une liste d’adresses IP pour obtenir des cibles potentielles. Il initie ensuite une connexion raw socket avec flag SYN avec chaque hôte de la liste et continue à communiquer avec ceux ayant répondu à la requête sur des ports de destination spécifiques (23 2323, 80, 8080). Une fois la connexion établie, le botnet recherche si une bannière spécifique (« buildroot login: ») est présente chez la victime. S’il détecte cette bannière de connexion, il tente de se connecter à l’aide d’un ensemble d’identifiants prédéfinis. En cas d’échec, le botnet tente une attaque par force brute en utilisant une liste codée en dur.

Une fois qu’une session est établie avec une nouvelle victime, l’échantillon exécute un automate pour identifier correctement l’appareil ciblé et sélectionne la méthode de compromission la plus adaptée. Par exemple, si la victime a le même LAN que le botnet, celui-ci crée un serveur TFTP pour permettre à la victime de télécharger le code malveillant depuis le bot. Si la victime est connectée à Internet, le bot tente d’utiliser une méthode spécifique d’installation de charge active à distance, pour que la victime télécharge et exécute l’échantillon du malware. Ces techniques d’exploitation sont préconfigurées et stockées dans une adresse mémoire signée numériquement pour empêcher les modifications. Cette liste peut être mise à jour à distance et diffusée parmi les hôtes infectés.

Les échantillons identifiés par nos honeypots le 10 janvier s’attaquent à des caméras IP fabriquées par une entreprise coréenne. Ces appareils semblent jouer un rôle majeur sur le fonctionnement du botnet, car sur les 12 adresses codées en dur dans l’échantillon, 10 appartiennent à des appareils de la marque Focus H&S. La nouvelle version, détectée le 20 janvier, n’utilise plus d’IP codées en dur.

Comme d’autres botnet, HNS n’est pas persistant, et un simple redémarrage permet de nettoyer les appareils infectés. Il s’agit du second botnet connu à ce jour, après le célèbre botnet Hajime, qui utilisait lui aussi une architecture peer-to-peer décentralisée. Néanmoins, dans le cas de Hajime, la fonctionnalité p2p était basée sur le protocole BitTorrent, tandis qu’il s’agit ici d’un système p2p conçu sur mesure.

Hide ‘N Seek : Mécanisme de communication UDP

Le botnet ouvre un port aléatoire sur la victime et ajoute des règles de pare-feu pour permettre le trafic entrant sur ce port. Il reste ensuite en écoute sur ce port ouvert et n’accepte que les commandes décrites ci-dessous. Notre analyse initiale de l’échantillon a révélé la présence d’une clé basée sur les courbes elliptiques à l’intérieur du fichier utilisé pour authentifier la commande de mise à jour de la zone mémoire où sont stockées les options de configuration afin d’empêcher les tentatives d’infiltration ou d’infection du botnet.

Une fois exécuté, le botnet reste à l’écoute des commandes transmises soit sur le port indiqué à l’exécution soit, le cas contraire, sur un port généré aléatoirement. S’il reçoit une commande, le bot répond habituellement à l’expéditeur avec un paquet qui respecte le protocole de communication pré-établi. Comme l’analyse et le traitement des données sont exactement les mêmes en mode récepteur et émetteur, nous pouvons en conclure que la communication du botnet est basée sur une architecture peer-to-peer.

Outre leurs capacités de bot, les codes analysés intègrent également un composant de serveur web qui héberge et sert des fichiers binaires à d’autres victimes potentielles.

backdoor, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Piratage, Securite informatique

Opération de la Corée du nord baptisée HIDDEN COBRA

HIDDEN COBRA, une attaque informatique signée par des pirates informatiques de la Corée du Nord selon les autorités américaines.

Ce rapport d’analyse de malware (MAR) de Hidden Cobra est le résultat d’efforts d’analyse entre le département de la sécurité intérieure (DHS) et le Federal Bureau of Investigation (FBI). En collaboration avec des partenaires du gouvernement, le DHS et le FBI ont identifié des variantes de logiciels malveillants de type cheval de Troie utilisés par le gouvernement nord-coréen – communément appelé HARDRAIN.

Le gouvernement américain fait référence à la cyberactivité malveillante du gouvernement nord-coréen sous le nom de HIDDEN COBRA.

Le FBI est convaincu que les acteurs de HIDDEN COBRA utilisent des variantes de logiciels malveillants en conjonction avec des serveurs proxy pour maintenir une présence sur les réseaux de victimes et poursuivre l’exploitation du réseau.

Le DHS et le FBI viennent de distribuer un document pour permettre la défense du réseau et réduire l’exposition à l’activité cybernétique malveillante du gouvernement nord-coréen. Cette alerte inclut des descriptions de logiciels malveillants liées à HIDDEN.

Mise à jour : https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-G.PDF pour Badcall

Android, Communiqué de presse, Cybersécurité, escroquerie, ID, Identité numérique, Mise à jour, Particuliers, Sécurité, Securite informatique, Smartphone, Téléphonie, Vie privée

AdultSwine : un malware affichant des publicités à caractère pornographique sur des applications à destination des enfants

AdultSwine : un malware affichant des publicités à caractère pornographique sur des applications à destination des enfants.

Les chercheurs de Check Point ont découvert un nouveau code malveillant sur le Google Play Store, baptisé AdultSwine, se cachant dans environ 60 applications de jeux, la plupart étant à destination des enfants. D’après les données disponibles sur Google Play, ces applications ont été téléchargées entre 3 millions et 7 millions de fois.

Ces applications malveillantes peuvent être dangereuses à trois niveaux :

  1. Afficher des publicités web souvent inappropriées et pornographiques
  2. Tenter de piéger les utilisateurs pour qu’ils installent de fausses applications de sécurité
  3. Inciter les utilisateurs à s’abonner à leurs frais à des services premium

Par ailleurs, le code malveillant peut être utilisé pour ouvrir une porte, laissant le champ libre à d’autres attaques telles que le vol de coordonnées.

Android, Antivirus, APT, backdoor, Chiffrement, Cyber-attaque, Cybersécurité, Espionnae, ID, Leak, Logiciels, Mise à jour, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Téléphonie, Vie privée

Skygofree : un puissant logiciel de surveillance pour Android

Skygofree : des chercheurs ont découvert un implant mobile avancé, actif depuis 2014 et conçu pour une cybersurveillance ciblée, peut-être afin de constituer un produit de « sécurité offensive ». Cet implant, nommé Skygofree, comporte des fonctionnalités inédites, telles que l’enregistrement audio suivant la géolocalisation via des appareils infectés. Le spyware se propage à travers des pages web imitant celles de grands opérateurs mobiles.

Skygofree est un logiciel-espion élaboré, à plusieurs modules, qui permet à des pirates de prendre totalement le contrôle à distance d’un appareil infecté. N’ayant cessé d’évoluer depuis la création de sa première version fin 2014, il est désormais capable d’intercepter les conversations et les bruits ambiants lorsque l’appareil infecté se trouve à un endroit donné, une fonctionnalité jamais vue jusque-là. Parmi les autres capacités avancées et inédites figurent des services d’accessibilité permettant de pirater des messages WhatsApp ou encore la possibilité de connecter l’appareil infecté à des réseaux Wi-Fi contrôlés par des individus malveillants.

Un logiciel espion très élaboré qui prend totalement le contrôle de l’appareil infecté.

L’implant exploite diverses vulnérabilités pour obtenir un accès root. Il peut également prendre des photos et des vidéos. Capturer des appels. Voler des SMS. Lancer une géolocalisation de l’appareil, des événements de l’agenda voire des informations professionnelles stockées en mémoire. Une fonction spéciale permet de contourner une technique d’économie de la batterie employée par un grand fabricant : l’implant s’ajoute alors à la liste des « applications protégées » de façon à ne pas être désactivé automatiquement lorsque l’écran est éteint.

Les pirates paraissent également s’intéresser aux utilisateurs Windows et les chercheurs ont découvert un certain nombre de modules développés récemment et ciblant cette plate-forme.

La plupart des pages web factices servant à répandre l’implant ont été enregistrées en 2015 alors que, selon les données télémétriques de Kaspersky Lab, la campagne de diffusion était à son paroxysme. La campagne est toujours en cours et le domaine le plus récent a été enregistré en octobre 2017. Les données indiquent plusieurs victimes à ce jour, toutes en Italie.

« Un malware mobile avancé est très difficile à identifier et à bloquer, et les développeurs qui se cachent derrière Skygofree en ont clairement tiré profit, en créant et faisant évoluer un implant capable d’espionner largement ses cibles sans éveiller les soupçons. Les éléments que nous avons découverts dans le code malveillant et notre analyse de l’infrastructure nous portent à croire avec un haut degré de certitude que les auteurs des implants Skygofree travaillent par une société informatique italienne proposant des solutions de surveillance, à la manière de HackingTeam », commente Alexey Firsh, analyste en malware spécialisé dans l’étude des attaques ciblées chez Kaspersky Lab.

Pour s’en protéger, être attentifs aux emails entrants, et équipés de logiciels de sécurité.

Les chercheurs ont identifié 48 commandes différentes pouvant être mises en œuvre par les pirates, pour un maximum de souplesse d’utilisation.

Pour assurer la protection contre la menace des malwares mobiles avancés, Kaspersky Lab recommande vivement l’installation d’une solution de sécurité fiable, capable d’identifier et de bloquer ces menaces sur les appareils des utilisateurs. Les utilisateurs sont en outre invités à faire preuve de prudence lorsqu’ils reçoivent des e-mails provenant de personnes ou d’entreprises inconnues ou comportant des demandes ou pièces jointes inattendues et de toujours vérifier à deux fois l’intégrité et l’origine des sites web avant de cliquer sur des liens. En cas de doute, mieux vaut contacter l’exploitant du site pour en avoir le cœur net. Les administrateurs système, pour leur part, doivent activer le contrôle des applications dans leur solution de sécurité mobile afin de maîtriser les programmes potentiellement dangereux vulnérables à cette attaque.

Kaspersky Lab détecte les versions de Skygofree sur Android sous HEUR:Trojan.AndroidOS.Skygofree et HEUR:Trojan.AndroidOS.Skygofree.b, et les versions Windows sous UDS:DangerousObject.Multi.Generic.

De plus amples informations, notamment la liste des commandes de Skygofree, les indicateurs d’infection (IoC), les adresses des domaines et les modèles d’appareils ciblés par les modules de l’implant, consultez le site Securelist.com.

Notes

Skygofree est nommé ainsi parce que le mot a été utilisé dans l’un des domaines. Le malware n’a rien à voir avec Sky, Sky Go ou une quelconque filiale de Sky, et n’affecte pas le service ou l’application Sky Go.

Argent, backdoor, Base de données, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Justice, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Securite informatique

Jugement de la FTC : Lenovo doit demander l’accord de ses clients pour les espionner

La Federal Trade Commission, la FTC, a donné son accord final à un règlement avec Lenovo Inc. Le constructeur d’ordinateurs avait été accusé de modifier les navigateurs. Des logiciels installés dans ses machines afin d’engranger les bénéficies des publicités qui s’y affichaient.

Dans sa plainte, la Federal Trade Commission ( FTC – Commission fédérale du commerce ) a déclaré qu’à partir d’août 2014, Lenovo a commencé à vendre aux États-Unis des ordinateurs portables grand public équipés d’un logiciel de publicité préinstallé. Appelé VisualDiscovery, cet outil interférait avec la façon dont le navigateur interagissait avec les sites Web. Il affichait de la publicité au profit de Lenovo. A cela s’est ajoutait de graves failles de sécurité. Dans le cadre du règlement avec la FTC, Lenovo à interdiction de modifier les fonctionnalités des logiciels préchargés sur ses ordinateurs portables.

Il est interdit à la marque d’injecter de la publicité dans les sessions de navigation Internet des consommateurs. Ensuite, interdit aussi de transmettre des informations sensibles des consommateurs à des tiers. Si la société préinstallé ce type de logiciel, la FTC exige que l’entreprise obtienne le consentement des consommateurs avant que le logiciel puisse fonctionner sur leurs ordinateurs portables. En outre, la société est tenue de mettre en œuvre un programme complet de sécurité. Sécurisation pour la plupart des logiciels grand public préchargés sur ses portables. Et cela durant les 20 prochaines années ! Enfin, ce programme de sécurité fera également l’objet d’audits par des tiers.

Pour conclure, VisualDiscovery est un adware développé par la société américaine Superfish, Inc. VisualDiscovery diffuse des annonces sous forme de pop-up dès qu’un internaute passait sa souris sur une image d’un produit vendu dans une boutique numérique.