Archives de catégorie : Patch

Android, Communiqué de presse, Cybersécurité, ios, iOS, Logiciels, Mise à jour, Patch, Sécurité, Securite informatique, Smartphone, Téléphonie, Windows phone

Mobile X-Ray, service gratuit pour tester la sécurité des applications mobiles

High-Tech Bridge, une société spécialisée dans la sécurité applicative, a annoncé aujourd’hui le service en ligne gratuit « Mobile X-Ray » destiné à tester la sécurité des applications mobiles ainsi que leur confidentialité.

Le nouveau service réalise une analyse dynamique (DAST), statique (SAST) et comportemental pour des applications natives ou hybrides d’Android et iOS. Il détecte rapidement tout types de faiblesse ou de vulnérabilités telles que Mobile Top 10 de l’OWASP, et fournit un rapport convivial avec un simple guide correctionnel. Récemment, une fonctionnalité suspecte de capture d’écran silencieuse a été découverte dans l’application mobile d’Uber. Juste avant cela, Equifax a dû retirer ses applications mobiles du marché car des données sensibles pouvait être interceptées. Désormais, chacun peut utiliser ce service gratuit pour détecter des problèmes similaires de façon proactive.

Ilia Kolochenko, CEO et fondateur de High-Tech Bridge, a déclaré : « Les applications mobiles font désormais partie intégrante de la vie professionnelle et privée de tous les jours. Réagissant à la quantité alarmante de failles de sécurité présente dans les applications mobiles, de nombreux rapports de recherche appellent vigoureusement à l’amélioration de la sécurité et de la confidentialité des applications mobiles. »

Malheureusement, la plupart des développeurs manquent tout simplement de ressources, de temps ou de budget pour pouvoir tester leurs applications avant que celles-ci ne soient publiées. High-Tech Bridge propose un service en ligne unique, bénéfique à la communauté de cybersécurité et aux développeurs.

Cependant, il faut se rappeler que les vulnérabilités les plus dangereuses résident principalement du côté « backend » de l’application.

Base de données, Chiffrement, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, loi, Mise à jour, Patch, Piratage, Propriété Industrielle, ransomware, Securite informatique

La cyber-criminalité coûte de plus en plus d’argent aux entreprises

La cyber-criminalité coûte en moyenne 11,7 millions de dollars par an à chaque entreprise américaine, soit une hausse de 62 % en cinq ans, d’après une étude menée par Accenture et Ponemon Institute. Les infections par malware sont les cyber-attaques les plus coûteuses, avec 2,4 millions de dollars par incident en moyenne.

Partout dans le monde, des cyber-attaques sont commises avec un impact financier de plus en plus lourd pour les entreprises. Selon une nouvelle étude publiée par Accenture à l’occasion de l’ouverture des Assises de la sécurité, le coût moyen de la cyber-criminalité a atteint, à l’échelle mondiale, 11,7 millions de dollars par entreprise en 2017, soit une augmentation de 23 % par rapport à 2016 (9,5 millions de dollars) et de 62 % ces cinq dernières années. C’est aux États-Unis que le coût moyen est le plus élevé (21,22 millions de dollars par acte criminel), tandis que l’Allemagne enregistre la plus forte hausse du coût total de la cyber-criminalité (de 7,84 à 11,15 millions de dollars). Cette forte dégradation fait suite aux récentes attaques de grande ampleur telles que WannaCry et Petya, dont les préjudices causés à un certain nombre de grandes entreprises mondiales se chiffrent en centaines de millions de dollars.

Cette étude du coût de la cyber-criminalité (Cost of Cyber Crime Study) a été menée auprès de 2 182 spécialistes de la sécurité IT, issus de 254 organisations à travers le monde. Elle révèle que le nombre de cyber-attaques est en constante augmentation depuis que le Ponemon Institute a débuté ses recherches en 2009. Le rapport fait état d’un certain nombre d’enseignements :

En moyenne, une entreprise subit 130 violations de sécurité par an, soit une hausse de 27,4 % par rapport à 2016, et un quasi-doublement en l’espace de cinq ans. Une violation de sécurité (« breach ») est définie comme une infiltration au sein d’un réseau central ou d’un système d’entreprise.
Les secteurs les plus touchés sont les services financiers et l’énergie, avec respectivement un coût annuel moyen par entreprise de 18,28 et 17,20 millions de dollars.
On note également une augmentation de la durée nécessaire pour corriger les problèmes. Parmi les incidents les plus longs à traiter se trouvent ceux qui viennent de l’intérieur, avec une moyenne de 50 jours, contre un peu plus de 23 jours pour les attaques par ransomware.
Les attaques par malware et celles provenant du Web sont les plus coûteuses, nécessitant une dépense moyenne respective de 2,4 et 2 millions de dollars par entreprise.

« Les conséquences coûteuses et dévastatrices de la cyber-criminalité pour les entreprises soulignent l’importance croissante de la planification stratégique et d’un suivi rigoureux des investissements en matière de sécurité. L’étude donne une moyenne du coût de la cybercriminalité mais pour certaines entreprises les pertes peuvent être bien plus importantes », explique Eric Boulay, Directeur d’Accenture Security en France et au Benelux. « Pour continuer à résister à des attaques de plus en plus sophistiquées et extrêmement motivées, les entreprises doivent adopter une stratégie de sécurité dynamique et agile, permettant de construire la résilience de l’intérieur vers l’extérieur (au lieu de se focaliser exclusivement sur le périmètre pris en charge), avec une approche spécifique à l’activité pour protéger l’ensemble de la chaîne de valeur. »

Améliorer la répartition des dépenses en matière de technologies de sécurité

Sur les neuf technologies de sécurité évaluées, celle qui fait l’objet des dépenses les plus importantes est le contrôle de périmètre avancé. Or on constate que les entreprises qui ont déployé ces solutions de sécurité ont réalisé des économies opérationnelles (liées à l’identification et à la remédiation des cyber-attaques) qui s’élèvent à seulement un million de dollars, ce qui suggère un possible manque d’efficacité dans l’allocation des ressources. Parmi les catégories de dépenses les plus efficaces pour minimiser les pertes causées par les actes de cyber-criminalité se trouvent les systèmes de renseignement (security intelligence), définis comme des outils permettant d’ingérer des informations issues de multiples sources dans le but d’identifier et prioriser les menaces internes ou externes. Ces systèmes permettent de réaliser des économies substantielles (2,8 millions de dollars en moyenne), soit plus que tous les autres types de technologies couverts par l’étude. Les technologies d’automatisation, d’orchestration et d’apprentissage machine ont été déployées dans seulement 28 % des entreprises, (soit le pourcentage le plus faible parmi les technologies considérées), alors qu’elles arrivent en troisième position en termes d’économies opérationnelles liées aux technologies de sécurité, avec un total de 2,2 millions de dollars.

Les conséquences financières des cyber-attaques sont de plus en plus lourdes

Les chercheurs ont exploré quatre impacts principaux sur les organisations victimes d’une cyber-attaque : perturbation de l’activité, perte d’informations, perte de revenus et dommages matériels. Le type de dommages le plus préjudiciables est aujourd’hui la perte d’information, mentionnée par 43 % des personnes interrogées. Le coût de la perturbation de l’activité (défaillance des processus suite à une attaque, par exemple) est en revanche passé de 39 % en 2015 à 33 % cette année.

« Le cœur d’un programme de sécurité solide et efficace consiste à identifier et à « renforcer » les actifs les plus précieux de l’entreprise », explique le Dr Larry Ponemon, Président fondateur du Ponemon Institute. « Bien que des progrès réguliers aient été réalisés dans le domaine de la cyber-défense, les entreprises pourraient bénéficier d’une meilleure compréhension des coûts de la cyber-criminalité ; cela les aiderait à combler l’écart entre leurs vulnérabilités et l’inventivité sans fin (et le nombre croissant) des cyber-criminels. »

Le coût moyen par entreprise varie considérablement selon le pays et le type d’attaque
L’Australie affiche le coût moyen par cyber-attaque le plus faible (5,41 millions de dollars), tandis que le Royaume-Uni enregistre la plus faible évolution par rapport à l’an dernier (de 7,21 à 8,74 millions de dollars). Le Japon enregistre une augmentation des coûts de 22 % (10,45 millions de dollars), soit la troisième plus forte augmentation des pays couverts par l’étude.

Les coûts varient considérablement selon le type d’attaque. Les entreprises américaines sont celles qui consacrent le plus de dépenses de remédiation, tous types de cyber-attaque confondus, en particulier dans les domaines des attaques par malware et des attaques provenant du Web (3,82 et 3,40 millions de dollars par incident, respectivement). En Allemagne et en Australie, 23 % du coût total annuel lié à la cyber-criminalité est imputable à des attaques par malware. En France, 20 % du coût total annuel lié à la cyber-criminalité est imputable aux attaques provenant du Web. Les attaques par déni de service représentent 15 % du coût annuel total en Allemagne et au Royaume-Uni.

Recommandations pour renforcer l’efficacité des efforts de cyber-sécurité

En prenant les trois mesures suivantes, les entreprises peuvent renforcer l’efficacité de leur cyber-sécurité, en prévenant les actes cybercriminels et en minimisant leur impact :

Construire la cyber-sécurité sur des fondations solides – Les entreprises gagneraient à investir dans des éléments de base performants, notamment dans les domaines du renseignement en matière de sécurité et de la gestion avancée des accès, tout en reconnaissant la nécessité d’innover pour rester en avance sur les hackers.
Effectuer des tests de résistance extrêmes – Les entreprises ne doivent pas uniquement chercher à répondre aux impératifs de conformité pour améliorer leur profil sécuritaire : elles doivent également procéder à des tests de résilience extrêmement exigeants afin d’identifier leurs vulnérabilités de manière encore plus rigoureuse que les hackers les plus motivés.
Investir dans des innovations de rupture – Les entreprises doivent consacrer une partie de leur budget aux nouvelles technologies, en particulier aux solutions analytiques et à l’intelligence artificielle, pour améliorer l’efficacité et l’étendue de votre programme.

Méthodologie

L’étude, menée par le Ponemon Institute pour le compte d’Accenture, analyse un certain nombre de coûts associés aux cyber-attaques, dans des domaines tels que l’infrastructure IT, l’espionnage économique, la perturbation de l’activité, l’exfiltration de propriété intellectuelle ou encore la perte de revenus. Les données ont été collectées à partir de 2 182 entretiens conduits sur une période de dix mois, dont les participants étaient issus de 254 organisations dans sept pays (Etats-Unis, Royaume-Uni, Australie, Allemagne, Japon, France et Italie). L’étude permet d’établir le coût de tous les actes de cyber-criminalité subis sur une période d’un an. Cela inclut les coûts liés à la détection, à la récupération, aux investigations et aux réponses apportées aux incidents. Les coûts résultant des activités post-incident, visant à limiter des dépenses supplémentaires liées à la perturbation de l’activité et à la perte de clientèle, sont également pris en compte.

Communiqué de presse, Cybersécurité, loi, Mise à jour, Patch, Securite informatique

Accompagnement de cybersécurité au profit des structures de santé

3 commentaires

Accompagnement de cybersécurité dans le monde de la santé ! Le ministère des Solidarités et de la Santé annonce la mise en place d’un dispositif national d’appui au profit des organismes concernés par la déclaration des incidents sur les systèmes d’information de santé : la Cellule Accompagnement Cybersecurite des Structures de Santé (Cellule ACSS).

Accompagnement de cybersécurité dans les établissement de santé ! La sécurité numérique est au cœur des préoccupations du ministère des affaires sociales et de la santé. L’interconnexion, la multiplication des échanges et le partage des données entre la ville et l’hôpital multiplient les risques liés à la sécurité : piratage, vols ou détournements de données, blocage des systèmes…

Au regard de l’augmentation du nombre d’attaques sur les systèmes numériques des établissements de santé, l’amélioration des actions de prévention et d’assistance portée devient prioritaire. La sécurité des systèmes d’information de santé permet que les données de santé soient disponibles, confidentielles, fiables, partagées et traçables. La protection des données de santé est indispensable pour assurer une meilleure coordination des soins et une prise en charge optimale des patients.

Un portail unique pour déclarer les incidents de sécurité à partir du 1er octobre 2017

A partir du 1er octobre 2017, les structures de santé concernées devront déclarer leurs incidents de sécurité via le portail de signalement des évènements sanitaires indésirables depuis l’espace dédié aux professionnels de santé : signalement.social-sante.gouv.fr

Celles-ci devront signaler toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de leurs systèmes d’information, une altération ou une perte de leurs données et plus généralement ayant un impact sur le fonctionnement normal de l’établissement.

Une cellule d’accompagnement de cybersécurité opérationnelle pour aider les structures de santé

Afin d’apporter un appui et un accompagnement aux organismes concernés par la déclaration de ces incidents, le ministère des solidarités et de la Santé, en lien avec les agences régionales de santé (ARS) et l’ASIP Santé, met en place un dispositif pour traiter les signalements d’incidents de sécurité de leurs systèmes d’information.

L’ASIP Santé est désignée comme le groupement d’intérêt public (GIP) en charge d’apporter un appui au traitement de ces incidents, au travers de la Cellule Accompagnement Cybersécurité des Structures de Santé (Cellule ACSS), ouverte le 1er octobre 2017 et placée sous la responsabilité du Fonctionnaire en charge de la sécurité des systèmes d’informations (FSSI) auprès du secrétaire général des ministères chargés des affaires sociales, haut fonctionnaire de défense et de sécurité (HFDS).

Les objectifs visés par ce dispositif d’accompagnement de cybersécurité vont permettre de :

  • renforcer l’analyse et le suivi des incidents pour le secteur santé ;
  • alerter et informer l’ensemble des acteurs de la sphère santé en cas de menaces ;
  • partager les bonnes pratiques sur les actions de prévention, ainsi que sur les réponses à apporter suite aux incidents, afin de réduire les impacts et de mieux protéger les systèmes.

Pour ce faire, un portail dédié à l’information et la veille sera également disponible à partir du 1er octobre 2017 à l’adresse suivante : https://www.cyberveille-sante.gouv.fr

Ce portail informera sur l’actualité SSI (Sécurité des Systèmes d’information), les vecteurs de menaces et les bonnes pratiques en matière de sécurité numérique. Il présentera des bulletins de veille sur certaines vulnérabilités logicielles critiques ou des menaces sectorielles, des fiches réflexes et des guides pour répondre à différents types d’incidents. Ce portail mettra également à disposition de la communauté SSI en santé un espace privé pour le partage entre spécialistes de la cybersécurité.

Ce nouveau dispositif national découle de l’article 110 de la loi de santé 2016 qui prévoit, pour les établissements de santé, les hôpitaux des armées, les centres de radiothérapie ainsi que les laboratoires de biologie médicale, l’obligation de signalement des incidents de sécurité de leurs systèmes d’information à compter du 1er octobre 2017.

Cybersécurité, Mise à jour, Patch, Securite informatique

Google corrige deux failles sérieuses pour le navigateur Chrome

Google vient de corriger trois failles dans son navigateur Chrome, dont deux considérées comme graves. Mise à jour vers la version 61.0.3163.100 indispensable.

La branche Chrome du géant de l’Internet Google vient de mettre à jour son navigateur Chrome après la correction de trois failles, dont deux considérées comme vraiment très dangereuses. Il est fortement conseillé de mettre à jour le navigateur si vous utilisez ce dernier. La version qui vient d’être publiée est notifiée 61.0.3163.100. Les deux principaux bugs ont été découverts par un chercheur de chez Microsoft, Jordan Rabet et Choongwoo Han de chez  Naver Corporation. L’expert de chez Microsoft a reçu une récompense de 7 500 $ dans le cadre du programme BugBounty Google. La faille CVE-2017-5122 a été récompensée d’une prime de 3 000 $.

À ce jour, Google a déjà réparé 25 vulnérabilités (8 d’entre elles ont été évaluées comme des problèmes de gravité élevée) affectant différentes versions de Chrome 61, dont la moitié ont été signalées par des chercheurs externes.

Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch, Securite informatique

Le casseur de codes de l’application Gorillaz décroche un poste

Un commentaire

Jaguar Land Rover compte sa première recrue de la nouvelle génération d’ingénieurs électroniciens et informaticiens à la suite du récent défi de recrutement consistant à décrypter un code au sein de l’application Gorillaz.

Gorillaz m’a recruté ! Daniel Dunkley, âgé de 23 ans et originaire de Gloucester (Royaume-Uni), est le premier à rejoindre Jaguar Land Rover après être parvenu à déchiffrer le code. Après avoir quitté l’école à 16 ans, Daniel a travaillé en tant que controls engineer dans une carrière locale. Manifestant très tôt de l’intérêt pour les jeux vidéo chez lui avec son frère aîné, c’est en parfait autodidacte qu’il a acquis des compétences en codage et en logiciels. Le 2 octobre, il prendra ses fonctions de software engineer chez Jaguar Land Rover à Gaydon (Warwickshire).

Les fans intéressés par un emploi chez Jaguar Land Rover peuvent visiter un garage éphémère de Gorillaz et s’essayer à une énigme qui teste les capacités techniques, la réflexion logique et la mémoire. Envie de voir si vous êtes de taille ? Résolvez le casse-tête et vous sauterez la première épreuve de sélection du processus de recrutement de Jaguar Land Rover.

Si vous ne pouvez pas vous rendre au Tech Fest, relevez le défi de décryptage sur l’application de Gorillaz et rendez-vous directement à l’entretien. L’épreuve de décodage teste les aptitudes pratiques et concrètes exigées de la nouvelle génération de talents en logiciels et en ingénierie. Le challenge reste ouvert à l’échelle mondiale.

Noodle, guitariste du groupe virtuel et ambassadrice de Jaguar Land Rover, lance le défi : « Voir les choses en grand et faire mieux, c’est ma devise. Cessez d’utiliser tous ces filtres pour sublimer vos photos de nourriture et téléchargez dès maintenant cette application. Nous comptons notre première recrue, alors participez et décrochez la victoire ! »

Daniel Dunkley a déclaré : « Je n’en reviens pas de tout ce qui s’est passé ces deux derniers mois. J’ai appris sur BBC News que Jaguar Land Rover et Gorillaz lançaient le défi de décryptage et j’ai décidé de tenter ma chance. J’ai passé l’entretien via Google Chat, puis j’ai été convié à Gaydon pour discuter de mon nouvel emploi. J’ai été médusé de ne devoir remplir aucun formulaire de candidature. »

« J’étais aux anges quand on m’a proposé un poste ! Mon père roule en Land Rover Defender, j’ai donc toujours été fan. Je n’arrive pas à croire que j’ai maintenant peut-être la chance de travailler sur la nouvelle génération de Defender ! »

Jusqu’à présent, près de 400 000 personnes ont téléchargé l’application de Gorillaz. Sur les 41 000 qui ont relevé le défi, près de 500 ont décrypté le code.

Alex Heslop, directeur de l’ingénierie électrique chez Jaguar Land Rover, a déclaré : « Daniel correspond exactement au profil de personne dont nous avons besoin. Les entreprises technologiques comme Jaguar Land Rover offrent une opportunité passionnante pour les plus brillants et les meilleurs. Nous souhaitons attirer les meilleurs talents dans les domaines de la programmation, des cyber-systèmes, du développement d’applications et du graphisme. »

« À ce jour, nous avons fait passé plus de 50 entretiens parmi les 500 candidats qui ont décrypté le code et nous avons recruté 13 personnes jusqu’à présent. Nous continuons de faire passer des entretiens à ceux qui cassent le code et qui souhaitent travailler chez Jaguar Land Rover. La quête mondiale pour dénicher les meilleurs talents se poursuit. »

Dans l’esprit d’innovation collaborative, Jaguar Land Rover a invité une pléiade d’intervenants à participer à une série de débats et de conférences tout au long du Tech Fest, sous les yeux d’un public composé de personnes d’influence mondiale et de journalistes issus de quatre continents. L’avenir du diesel, l’électrification, les femmes dans l’industrie et la robotique feront partie des thèmes abordés par un éventail de spécialistes du monde entier en industrie mondiale et en consommation.

La recherche de jeunes talents se poursuit. Les candidats intéressés peuvent télécharger dès maintenant l’app de Gorillaz sur l’iTunes Store  ou Google Play.

Pour plus d’informations sur le recrutement de Jaguar Land Rover, cliquez ici : http://www.jaguarlandrovercareers.com. La procédure classique de dépôt de candidature avec CV reste en vigueur, mais Jaguar Land Rover invite les candidats potentiels à télécharger l’application afin de décrypter les codes et résoudre les problèmes pour accélérer leur recrutement.

Cybersécurité, IOT, Logiciels, Microsoft, Mise à jour, Patch, Securite informatique

Gros bugs pour Microsoft et son service de mails Outlook

Les services de courrier électronique de Microsoft (Outlook, …) ont été frappés par deux bugs aujourd’hui lundi 18 septembre. Outlook, Exchange Online ont eu des ratés comme le confirme Microsoft. Des bugs qui ont posé des « problèmes » avec « certains » utilisateurs du service Outlook.com en Europe.

Selon downdetector.com, plusieurs centaines d’utilisateurs ont signalé des problèmes tels que la difficulté à recevoir des messages et à se connecter à leurs comptes de messagerie Web (Outlook/Hotmail/Windows Live Hotmail). Pour le moment, Microsoft n’en n’a pas dit plus sur le pourquoi du comment de ces bugs à répétitions.

Android, Cyber-attaque, Cybersécurité, ios, IOT, Mise à jour, Patch, Piratage, Sécurité, Securite informatique, Smartphone, Téléphonie, Windows phone

Faille BlueBorne : quand le danger est dans la poche

Faille BlueBorne – Suite à la découverte par le spécialiste de la sécurité Armis d’un vecteur d’attaque et de 8 vulnérabilités zero-day qui touchent quasiment l’ensemble des appareils connectés, retour sur la vulnérabilité BlueBorne.

La faille BlueBorne, vous en avez très certainement entendu parler. Elle vise le Bluetooth, ce moyen de connexion sans fil qui s’affiche dans nos smartphones, TV et autres objets connectés. Les vulnérabilités peuvent permettre, par exemple, de forcer l’exécution d’une action pirate ou encore d’intercepter les informations qui transitent entre l’appareil et l’extérieur. La société Armis pense que plus de 5 milliards d’appareils peuvent être concernés. L’attaque, qui touchent iOS, Android et Linux, doit s’orchestrer dans la zone de diffusion du Bluetooth, pas de possibilité d’une infiltration à plus longue distance.

Christophe Badot, directeur général France de Varonis revient sur ce problème de taille XXL. « L’attaque BlueBorne est préoccupante non pas en raison de sa nature, mais parce qu’elle affecte un grand nombre des terminaux qui nous accompagnent désormais au quotidien. Et nombre de ces appareils resteront vulnérables dans les années à venir. Certaines personnes ont déjà des difficultés à mettre à jour leurs ordinateurs (système d’exploitation, logiciels, etc.), alors si on ajoute une douzaine de périphériques IoT dans l’équation, on réalise assez vite qu’il sera presque impossible de garantir que chaque produit et système reçoive son correctif. On peut même affirmer que certains de ces appareils ne se verront pas proposer de correctifs du tout. » Voilà qui n’est pas rassurant !

Si BlueBorne concerne les smartphones et ordinateurs Android, IoS, Windows, Linux et les appareils qui utilisent ces systèmes, cette vulnérabilité pointe vers un problème beaucoup plus important et beaucoup plus difficile à résoudre, qui est la manière avec laquelle les mises à jour et les correctifs de système d’exploitation sont distribués aux périphériques IoT. Cette vulnérabilité est un nouvel avertissement concernant la sécurité des appareils IoT. Il appartient désormais aux fabricants de faire attention et de bien prendre en compte la sécurité et les mises à jour de leurs produits avant plutôt que de les commercialiser rapidement pour profiter de l’engouement du grand public pour ces objets.

« Les cybercriminels continueront à développer rapidement des exploits pour pirater les appareils IoT afin de nous espionner, de voler nos informations, d’utiliser ces appareils pour des attaques (DDoS), voire même pour mettre notre vie en danger. Etant donné que nous sommes de plus en plus dépendants de nos terminaux mobiles, et que le monde devient de plus en plus automatisé, des attaques comme BlueBorne qui frappent spécifiquement des puces et des composants deviennent beaucoup plus dangereuses. »

Communiqué de presse, cryptomonnaie, Cybersécurité, Mise à jour, Patch, Securite informatique

cryptomonnaie : Quand les cybercriminels s’enrichissent à votre insu

ESET a découvert une nouvelle vague de code JavaScript utilisé par des cybercriminels pour miner de la cryptomonnaie depuis le navigateur des visiteurs de sites non compromis.

Quand de la cryptomonnaie est « fabriquée » par des pirates dans votre navigateur ! Comme la plupart des navigateurs activent JavaScript par défaut, il suffit aux cybercriminels d’insérer un script d’extraction sur les sites Internet qui génèrent un trafic important. En effet, il est plus facile d’atteindre un nombre significatif de machines en infectant des sites Internet qu’en infectant directement les machines des utilisateurs.

Les recherches d’ESET montrent que les cybercriminels ciblent les sites Internet de films en streaming et de jeux vidéo, car ces internautes ont tendance à rester longtemps sur une même page. Les scripts d’exploitation fonctionnent donc plus longtemps, ce qui augmente la qualité du minage des cryptomonnaies Feathercoin, Litecoin et Monero. « Cette technique est moins efficace que le minage réalisé avec un logiciel, car elle est 1,5 à 2 fois plus lente. Cependant, le nombre d’utilisateurs disponibles contrebalance cette lenteur », explique Benoît Grunemwald, Cybersecurity Leader chez ESET.

Certains considèrent que miner de la cryptomonnaie sur la machine d’un utilisateur sans son consentement équivaut à une intrusion. Pour que cela soit légal, il conviendrait d’avertir clairement l’utilisateur avant de commencer le minage, ce que les cybercriminels ne font pas en détournant des annonces publicitaires en mineurs.

Les chercheurs ESET dressent les recommandations à suivre pour se protéger contre ce type de menace :

• activer la détection des applications potentiellement dangereuses et des applications potentiellement indésirables (PUA). Cette fonctionnalité est disponible dans les solutions ESET.

• mettre à jour sa solution de sécurité.

• installer un bloqueur d’annonces dans le(s) navigateur(s) utilisé(s) (uBlock par exemple).

• installer un bloqueur de scripts tel que NoScript. Attention, l’installation du blocage des scripts dans le navigateur peut désactiver certaines fonctionnalités de sites Internet.

Android, Arnaque, backdoor, Communiqué de presse, Cybersécurité, Mise à jour, Particuliers, Patch, Sécurité, Securite informatique, Smartphone, Téléphonie

Le spyware Igexin infecte plus de 500 app mobiles sur Google Play

Les applications infectées par Igexin ont été téléchargées plus de 100 million de fois dans l’écosystème Android.

L’équipe de recherche de Lookout, le leader mondial de la sécurisation de la mobilité vient d’annoncer dans un article de blog la mise à jour d’un SDK publicitaire appelé Igexin qui a infecté plus de 500 applications mobiles légitimes du portail Google Play afin de permettre l’installation d’un spyware sur les smartphones et tablettes.

Igexin permettait d’installer sur les appareils un plugin espionnant les actions des utilisateurs et, l’équipe de spécialistes en sécurité mobile de Lookout confirme que ce sont au moins 500 applications Android qui sont concernées et que celles-ci ont été téléchargées plus de 100 millions de fois dans l’écosystème Android.

Les applications android concernées incluaient des jeux (dont l’un téléchargé plus de 50 millions de fois), des applications météorologiques (dont une téléchargée plus de 1 million de fois), des webradios, des éditeurs de photographie (dont l’un téléchargé plus de 1 million de fois) ou encore des applications utilitaires.

L’équipe de spécialistes en sécurité mobile de Lookout a notamment observé le téléchargement de fichiers chiffrés depuis Igexin permettant l’installation a posteriori de malwares en contournant les mécanismes de surveillance habituels détectant la présence de logiciels malveillants dans les applications disponibles sur le portail de Google Play.

Les utilisateurs de Lookout sont protégés de ce spyware. Lookout a informé Google des fonctionnalités d’Igexin, et les applications ont été enlevées du portail Google Play, ou remplacées par des versions mises à jour ne contenant ce spyware invasif. Plus de renseignements sur Igexin peuvent être retrouvés dans l’article de blog.

Cybersécurité, ID, Identité numérique, IOT, Logiciels, Mise à jour, Particuliers, Patch

Une mise à jour plante des milliers de télévisions connectées Samsung

Des milliers de télévisions connectées de marque Samsung sont aux abonnés absents. Les propriétaires font les frais d’une mise à jour qui a tout planté.

Des milliers de propriétaires de télévisions connectées haut de gamme Samsung se sont plaints après une mise à jour logicielle qui a laissé leur écran sourd et muet. La raison, une mise à jour bancale. L’alerte a été lancée par le quotidien britannique « The Guardian« . La société coréenne a déclaré aux clients qu’elle travaillait pour résoudre le problème, mais que jusqu’à présent (soit plus d’une semaine, Ndr) rien n’est encore sorti pour corriger le « bug ». Le problème semble affecter les derniers modèles de la marque car les propriétaires d’anciens téléviseurs Samsung ne signalent aucun soucis. Une fois encore, le géant Samsung montre de léger dérapage dans sa structure. En 2016, l’entreprise proposait dans ses téléviseurs vendus au Royaume-Uni l’application BBC iPlayer. Sauf que l’entreprise avait omis d’en acquérir les droits. La diffusion des images étaient donc impossibles pour les acquéreurs des coûteux écrans. Un étonnant bug qui apparaît alors que Samsung a lancé, ce 23 août, son Samsung Note 8.

backdoor, Chiffrement, Cyber-attaque, Cybersécurité, Mise à jour, Patch, Piratage, Securite informatique

Un pirate écume les loteries américaines et remporte 25 ans de prison

Un pirate informatique vient d’être condamné à 25 ans de prison pour avoir « joué » avec l’informatique des loteries de plusieurs états américains. Il aurait détourné plus de 14 millions de dollars.

En avril 2015, je vous parlais du pirate informatique Eddie Raymond Tipton. Cet informaticien travaillait comme programmeur pour la loterie du Texas. Il sera arrêté pour avoir piraté les machines dédiées à ce « jeu de hasard » afin d’empocher 14,3 millions de dollars. L’homme vient de connaitre sa sentence définitive : 25 ans de prison fédérale. Il a été découvert que Tipton avait piraté et manipulé les systèmes informatiques dans trois autres États Américains : Colorado, Iowa et le Wisconsin. Sa manipulation lui aurait permis d’engranger 2,2 millions de dollars supplémentaires. Une escroquerie informatique qui aura durée six ans. Timpton n’était pas n’importe qui, il était le responsable de la sécurité de la Multi-State Lottery Association (MUSL).

La MUSL fournit des systèmes informatiques destinés aux loteries pour quasiment l’ensemble des États-Unis, y compris les îles Vierges américaines et Porto Rico.

Tipton avait codé une clé USB qui lui permettait de générer les nombres aléatoires qui déterminaient les gagnants de la loterie. Employé par la MUSL, Timpton ne pouvait pas jouer et encore moins retirer l’argent. L’argent du billet gagnant de 14 millions de dollars ne sera pas retiré durant un an. Timpto va créer une entreprise « fantôme » à Belize afin de réclamer le prix, via un avocat de New York. C’est la caméra de vidéo surveillance d’une boutique ou avait été acheté le billet qui perdra le pirate.

Argent, Arnaque, backdoor, Chiffrement, Communiqué de presse, Cybersécurité, Espionnae, ID, Identité numérique, Mise à jour, Particuliers, Patch, Securite informatique

Joao : cyberattaque via un site dédié aux joueurs en ligne

Des chercheurs ont découvert un nouveau malware baptisé Joao, qui se répand par le biais de jeux informatiques diffusés sur des sites non officiels. Joao est un malware modulaire, capable de télécharger et d’exécuter d’autres codes malveillants.

Joao, le malware joueur ! Pour diffuser leur malware, les attaquants cachés derrière Joao ont abusé de jeux de rôle en ligne massivement multi-joueurs. « Ils ont modifié les jeux pour les rendre capables de télécharger du malware additionnel” explique Tomáš Gardon, analyste de malware chez ESET.

Les recherches ont démontré que les criminels derrière cette campagne ont abusé de plusieurs titres de jeux d’Aeria Games et installé leurs versions modifiées sur des sites non officiels. Les jeux auxquels Joao a été rajouté, étaient capables de recueillir des informations concernant l’ordinateur infecté et ensuite de télécharger des composants supplémentaires offerts par le serveur Command&Control des malveillants. Les composants de Joao découvert disposaient de capacités backdoor (porte cachée), d’espionnage et de DDoS (blocage de serveur, ordinateur, …) par la diffusion de connexions malveillantes ayant pour mission de saturer la cible du Déni Distribué de Service. « Le processus d’infection est bien caché aux yeux des victimes et ces jeux modifiés fonctionnent comme on s’y attend. Lorsque des utilisateurs passionnés de jeux se lance dans le téléchargement du jeux usurpateur, rien ne peut éveiller leurs soupçons. Ceux qui ne sont pas protégés par une solutions de sécurité fiable se retrouvent avec leur ordinateur infecté ».

Les experts en sécurité d’ESET conseillent de télécharger les jeux sur des sources officielles ; de faire les mises à jour proposées par les éditeurs ; utiliser une solution de sécurité fiable ; ne pas débrancher l’antivirus lors d’un jeu en ligne.

Cyber-attaque, Cybersécurité, escroquerie, ID, Identité numérique, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Securite informatique, Social engineering

Les auteurs de Fireball arrêtés

Un commentaire

Le logiciel malveillant Fireball a infiltré plus de 250 millions d’ordinateurs. Onze personnes soupçonnées d’être derrière cet outil pirate arrêtées.

La police Chinoise vient d’arrêter 11 présumés pirates informatiques auteurs de l’infiltration de plus de 250 millions d’ordinateurs. Les personnes sont soupçonnées d’avoir développé des logiciels malveillants nommés Fireball. Parmi les dispositifs infectés, 20% appartiennent à de grands réseaux d’entreprises dans divers pays. Le programme malveillant Fireball a été découvert il y a deux mois par des chercheurs de la société Proofpoint.

Fireball avait pour mission de se cacher dans les ordinateurs et d’afficher des publicités dans les navigateurs. Pour piéger les internautes, les pirates passaient par un éditeur de logiciels Chinois, Rafotech. Les publicités affichés, rapportaient de l’argent aux pirates à chaque diffusion. Les 11 personnes arrêtées travaillaient pour Rafotech. Les pirates informatiques auraient gagné 80 millions de yuans (Plus de 10 928 290 millions d’euros) avec leur campagne de logiciels malveillants, rapporte le Beijing Youth Daily. Au moment de la découverte de Fireball, les chercheurs ont trouvé 25,3 millions d’appareils infectés en Inde, 5,5 millions d’appareils aux États-Unis, 24,1 millions au Brésil, 16,1 millions au Mexique, 13,1 millions en Indonésie.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, DDoS, IOT, Leak, Mise à jour, Patch, Piratage, Securite informatique

Devil’s Ivy : une vulnérabilité aux dizaines de millions d’objets connectés

Devil’s Ivy, un bug récemment découvert affecte des dizaines de millions de périphériques connectés de part le monde.

La problématique du piratage informatique, de la mise à jour des objets connectés ne fait que commencer. Suite à la découverte par la Senrio Labs d’une vulnérabilité qui concernerait potentiellement une dizaine de millions d’objets connectés, la question se pose encore aujourd’hui. Que va-t-il se poser le jour [demain, NDR] ou les objets connectés se compteront par milliard ? Le bug a été découvert dans le code gSOAP  (Simple Object Access Protocol). Pour faire simple, une gSOAP est une série d’outils qui permettent aux objets connectés de parler et de se faire comprendre sur Internet.

Genivia, la société qui gère gSOAP, annonce avoir plus d’un million de téléchargements, et possède comme client IBM, Microsoft, Adobe ou encore Xerox. « Il est probable que des dizaines de millions de produits – produits logiciels et périphériques connectés – sont affectés par Devil’s Ivy dans une certaine mesure », déclarent les chercheurs de chez Senrio « Nous avons nommé la vulnérabilité Devil’s Ivy car, comme la plante, il est presque impossible de la tuer et elle se propager rapidement grâce à la réutilisation du code« .

Si l’impact de la vulnérabilité Devil’s Ivy est relatif, elle ne permettrait « que » de voir le flux vidéo ou d’interdire l’accès au flux vidéo des caméras concernées, celle-ci montre néanmoins l’importance du risque qui peut en découler et l’intérêt pour les pirates d’identifier des vulnérabilités similaires. « Du fait de l’industrialisation de ces objets et de leur sécurité, une fois une vulnérabilité identifiée, un groupe de malveillants peut très rapidement l’utiliser à des fins d’espionnage, de destruction » souligne Vincent Lavergne, Expert chez F5 Networks. L’internet des objets (IoT) offre un effet de levier sans précédent pour constituer très rapidement un nid conséquent de BotNets, comme ce fût le cas avec Miraï. Miraï ne comportait qu’une centaine de milliers de caméras de vidéo surveillance dans son portefeuille pirate.

Devil’s Ivy

« Dans le cas de cette vulnérabilité, les objets concernés étant déjà déployés, il va être difficile de mettre en place une action corrective à grande échelle pour combler la vulnérabilité. Et c’est l’un des principaux défis de l’IoT : comment gérer la réponse aux incidents pour ce type d’équipement ?  L’internet des objets introduit en effet de nouvelles problématiques pour la sécurité et beaucoup d’entre elles mériteraient des analyses approfondies ou une collaboration entre industriels afin de définir une approche optimale à long terme. La conception et l’implémentation de systèmes IoT vont venir empiler des protocoles, des couches techniques complexes et des programmes qui souffrent parfois de failles de sécurité. On met ainsi le doigt sur le manque de maturité des standards autour de l’internet des objets et d’un cadre de meilleures pratiques à respecter par les développeurs. Chacun se positionne en effet avec ses interfaces, ses plateformes, ses protocoles et – inévitablement – ses vulnérabilités. » termine Vincent Lavergne.

Un exploit utilisant l’idée du Devil’s Ivy entraînerait une exécution de code à distance – dans le boîtier de la caméra – et donc d’accéder à un flux vidéo, ou de couper ce dernier. Étant donné que des caméras de vidéo surveillance sont destinées à sécuriser quelque chose, le danger est réel. Le constructeur de caméra Axis a déclaré que ce problème était présent dans 249 de ses modèles, à l’exception de trois anciens models.

Android, backdoor, Cyber-attaque, Cybersécurité, Patch, Piratage, Smartphone, Social engineering, Téléphonie

CopyCat : 14 millions de terminaux Android infectés, 1 million de revenus en 2 mois

La Research Team de Check Point vient d’identifier un tout nouveau malware – CopyCat – qui a infecté 14 millions de terminaux Android, dont 8 millions ont subi un « rootage », ce qui permet à l’attaquant d’obtenir des accès système qu’un utilisateur lambda ne possède pas (contrairement à un administrateur par exemple). 

Cette cyberattaque a permis aux cybercriminels de récolter 1,5 millions de dollars, en deux mois, grâce à de la publicité malveillante. CopyCat utilise une toute nouvelle méthode pour générer et voler des revenus issus de la publicité.
Le logiciel malveillant, baptisé CopyCat par les chercheurs utilise une nouvelle technique pour générer et voler des revenus publicitaires. Alors que les utilisateurs infectés par CopyCat sont principalement en Asie du Sud-Est, CC a touché plus de  280 000 utilisateurs d’Android aux États-Unis.
CopyCat est un logiciel malveillant entièrement développé avec de vastes fonctionnalités, y compris des dispositifs d’enracinement, l’établissement de la persistance et l’injection de code dans Zygote – un démon responsable du lancement d’applications dans le système d’exploitation Android – qui permet aux logiciels malveillants de contrôler toute activité sur le périphérique.
CopyCat est une vaste campagne qui a infecté 14 millions d’Android dans le monde, et piégeant 8 millions d’entre eux, dans ce que les chercheurs décrivent comme un taux de réussite sans précédent. Les chercheurs de Check Point estiment que le malware a généré 1,5 million de dollars pour le groupe derrière la campagne.
backdoor, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Paiement en ligne, Patch, Piratage, ransomware, ransomware, Securite informatique

La cyberattaque Petya attribuée au groupe TeleBots

2 commentaires

La cyberattaque dite « Petya » pourrait être attribuée au groupe TeleBots. Il existe des similitudes entre les nombreuses campagnes menées contre l’Ukraine, l’amélioration des outils utilisés par le cyber-groupe entre décembre 2016 et mars 2017 et la menace Diskoder.C (Petya).

Petya ne serait pas un ransomware mais une attaque du groupe TeleBots à l’encontre de l’Ukraine ! « La cyberattaque de 2016 menée contre les institutions financières ainsi que le développement d’une version Linux du malware KillDisk par TeleBots, ont attiré l’attention des chercheurs. En parallèle, le nombre croissant d’attaques contre les systèmes informatiques que connaît l’Ukraine nous ont fait pointer du doigt le groupe TeleBots, » déclare Anton Cherepanov, Senior malware researcher chez ESET.

Le mode opératoire du groupe TeleBots est l’utilisation systématique du malware KillDisk qui réécrit les extensions de fichiers des victimes. L’obtention d’une rançon n’est donc pas leur objectif principal, car les fichiers cibles ne sont pas chiffrés, mais réécrit. Si l’évolution du malware contient de nouvelles fonctions, comme le chiffrement ou l’ajout de leurs coordonnées, l’objectif de KillDisk n’est toujours pas de récolter de l’argent.

Entre janvier et mars 2017, TeleBots a compromis une société d’édition de logiciels en Ukraine, utilisant alors des tunnels VPN pour accéder aux réseaux internes de plusieurs institutions financières. Au cours de cette campagne, les cybercriminels ont utilisé tout un arsenal d’outils en Python, SysInternals PsExec et des logins de session Windows volés pour déployer un nouveau ransomware. Il fut détecté comme Win32/Filecoder.NKH et fut suivi par une version pour Linux, détecté comme Python/Filecoder.R.

TeleBots a ensuite lancé un nouveau malware le 18 mai 2017 : Win32/Filecoder.AESNI.C (également appelée XData). Ce ransomware s’est principalement diffusé en Ukraine via une mise à jour du logiciel financier M.E.Doc, largement utilisé en Ukraine.

Le malware se déploie juste après l’exécution du logiciel, ce qui lui permet de se répandre automatiquement à l’intérieur d’un réseau compromis. Bien qu’ESET ait mis à la disposition un outil de déchiffrement pour la plateforme Windows, cette attaque ne fut pas très médiatisée.

Le 27 juin 2017, l’épidémie de ransomwares de type Petya (Diskoder.C) ayant compromis de nombreux systèmes notamment en Ukraine, a permis de montrer la capacité du malware à remplacer le MBR par son propre code malveillant, code qui a été emprunté au ransomware Win32/Diskoder.Petya : c’est pourquoi certains chercheurs ont nommé cette menace ExPetr, PetrWrap, Petya ou NotPetya.

Cependant, contrairement au ransomware original Petya, les auteurs de Diskcoder.C ont modifié le code MBR de telle sorte que la récupération de fichiers ne soit pas possible, malgré l’affichage des instructions de paiement. Une fois le malware exécuté, il tente de se propager à l’aide de l’exploit Eternablue, en s’aidant de la backdoor DoublePulsar. Il s’agit de la même méthode utilisée par le ransomware WannaCry.

Le malware est également capable de se diffuser de la même manière que le ransomware Win32/Filecoder.AESNI.C (XData), en utilisant Mimikatz, pour obtenir des mots de passe, puis en exécutant SysInternals PsExec. En outre, les attaquants ont mis en place une troisième méthode de diffusion à l’aide d’un mécanisme WMI.

Ces trois méthodes ont été utilisées pour diffuser les ransomwares, cependant et contrairement à WannaCry, l’exploit EternalBlue utilisé par le malware Diskoder.C cible uniquement des ordinateurs ayant un adressage interne.

Lier TeleBots à cette activité permet de comprendre pourquoi les infections se sont étendues à d’autres pays que l’Ukraine. ESET a analysé les connexions VPN entre les employés, les clients et les partenaires mondiaux de l’éditeur ainsi que le système interne de messagerie et d’échange de documents. Tout cela a permis aux cybercriminels d’envoyer des messages aux victimes (spearphishing). Les pirates ayant eu accès au serveur légitime de mise à jour ont diffusé des mises à jour malveillantes automatiquement (aucune interaction avec l’utilisateur ne fut nécessaire).

« Avec une infiltration si poussée dans l’infrastructure de l’éditeur du logiciel M.E.Doc et de sa clientèle, les pirates disposaient des ressources nécessaires pour diffuser Diskoder.C. Bien qu’il y eut des dommages collatéraux, cette attaque a permis de démontrer la connaissance approfondie de leur cible par les pirates. D’autre part, l’amélioration du kit d’exploit EternalBlue le rend encore plus sophistiqué, ce à quoi devront faire face les acteurs de la cybersécurité dans les prochaines années, » conclut Anton Cherepanov.

 

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle, ransomware, Securite informatique

Failles de sécurité : responsables de la sécurité des systèmes d’information, pourquoi faire l’aveugle ?

Selon une enquête réalisée par ServiceNow, 90 % des responsables de la sécurité des systèmes d’information français déclarent que les failles de données dont ils ont connaissance ne sont pas traitées. Les RSSI augmentent l’efficacité de leur réponse aux incidents de sécurité en automatisant les tâches de sécurité et en hiérarchisant les menaces en fonction du risque pour l’entreprise.

Une nouvelle enquête menée par ServiceNow, the enterprise Cloud company, auprès de 300 responsables de la sécurité des systèmes d’information (RSSI — Chief Information Security Officer, CISO) du monde entier souligne la nécessité d’adopter une nouvelle approche pour répondre à l’augmentation du nombre de menaces qui pèsent sur la sécurité des données, ainsi qu’à la hausse de leur coût. Selon cette étude intitulée « The Global RSSI Study: How Leading Organizations Respond to Security Threats and Keep Data Safe », 90 % des RSSI français indiquent que les failles de données détectées ne sont pas traitées (80 % au niveau mondial) et 68 % déclarent pour leur part éprouver des difficultés à hiérarchiser les menaces en fonction du risque qu’elles représentent pour l’entreprise.

Ces lacunes ont un coût : 14 % des RSSI français (13 % au plan mondial) déclarent avoir vécu au cours des trois dernières années une importante faille de sécurité ayant eu un impact important sur l’image ou les finances de leur entreprise. Les processus manuels, le manque de ressources et de talents, ainsi que l’impossibilité de hiérarchiser les menaces grèvent l’efficacité de la réponse aux incidents de sécurité. Résultat, les RSSI augmentent l’automatisation des tâches de sécurité pour répondre et remédier aux failles de sécurité avec une plus grande efficacité.

« En France, les RSSI consacrent de plus en plus de temps à prévenir et détecter des failles de sécurité, mais notre étude souligne que c’est sur la réponse à apporter qu’ils devraient se concentrer », a déclaré Matthieu de Montvallon, Directeur Technique de ServiceNow France. « L’automatisation et l’orchestration de la réponse aux incidents de sécurité constituent le chaînon manquant qui empêche les RSSI d’accroitre de façon significative l’efficacité de leurs programmes de sécurité ».

Principales conclusions de l’étude menée en France via la réponse de responsables de la sécurité des systèmes d’information

· seulement 18 % des RSSI interrogés considèrent que leur entreprise lutte très efficacement contre les failles de sécurité (19 % à l’échelle mondiale) ;

· ce sont les clients qui souffrent le plus de ces lacunes : seulement 38 % des RSSI — en France et dans le monde — pensent protéger les données de leurs clients de façon très efficace contre les failles de sécurité ;

· environ un cinquième des RSSI français (22 %) déclare que les processus manuels entravent la capacité de leur entreprise à détecter des failles de sécurité et à y faire face ; 26 % d’entre eux imputent cette difficulté au manque de ressources ;

· seulement 4 % des RSSI français estiment que leurs employés disposent des compétences nécessaires pour hiérarchiser avec succès les menaces qui pèsent sur la sécurité, contre 7 % au plan mondial.

Au sein du panel couvert par cette enquête, un petit groupe (11 % à l’échelle mondiale et 14 % en France) de « leaders dans la lutte contre les incidents de sécurité » affiche une tendance différente en ce sens où ils souhaitent :

· automatiser un pourcentage supérieur d’activités de sécurité, en incluant des tâches plus avancées telles que les rapports de tendances ;

· hiérarchiser les réponses aux alertes de sécurité en fonction du niveau de risque pour l’entreprise ;

· et nouer des relations plus étroites avec la DSI et autres services de l’entreprise.

Cybersécurité, Justice, Mise à jour, Patch

Lutte contre le terrorisme, Google montre les dents ?

Le géant américain de l’Internet Google annonce renforcer sa lutte contre le terrorisme… un diffusant des vidéos contre la radicalisation.

Google vient d’annoncer dans le Financial Times, via la bouche de Kent Walker, qu’il allait renforcer sa lutte contre le terrorisme. Google et Youtube ont été montrés du doigt après la diffusion de vidéos de propagande terroriste. Google et Youtube ont donc décidé de renforcer leurs règles, dernièrement, face aux vidéos violentes ou déplaisants à leurs annonceurs. Bilan, des dizaines de Youtubeurs se retrouvent aujourd’hui avec des montants publicitaires divisés par 10. La grande majorité n’ont plus droit à la publicité pour diverses raisons.

Côté « terrorisme », Google a donc annoncé dans le journal économique, donc lu par les annonceurs, quatre nouvelles règles. « Nous ne sommes pas les seuls à procéder depuis des années déjà à l’identification et à la suppression de contenus qui enfreignent notre façon de faire. La vérité embarrassante, c’est qu’il nous faut bien reconnaître que nous devons en faire plus« , confirme Kent Walker dans le Financial Times.

Quatre nouvelles règles donc : d’abord plus d’experts humains qui pourront juger de la pertinence, ou non, d’une vidéo. Google annonce l’embauche de 50 personnes supplémentaires ; les robots, avec l’apprentissage des machines de contrôle ; un « logo » avertissement qui sera accolé aux vidéos de groupes religieux. Les vidéos resteront, mais elles n’auront pas de publicité. Dernier point, des vidéos anti propagande seront diffusées pour combattre la radicalisation.

A noter que la semaine dernière, Facebook a annoncé la création d’une team anti terroristes (150 personnes) et un partenariat avec Google pour participer à cette lutte.

Chiffrement, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

Gemalto et Dessmann améliorent la sécurité du verrouillage intelligent

Verrouillage intelligent : Gemalto, société spécialisée dans la sécurité numérique, fournit une connectivité sécurisée et fiable à la nouvelle plate-forme de verrouillage intelligent de Dessmann. La nouvelle solution du fabricant mondial de serrures intelligentes et de coffres-forts intègre les modules d’identification de machine (MIM) et les éléments sécurisés (Secure Element – SE) de Gemalto, permettant aux utilisateurs de verrouiller et de déverrouiller des portes avec leurs smartphones ou de créer des porte-clés numériques utilisables sur plusieurs serrures.

Cette solution de verrouillage intelligent offre une sécurité accrue par rapport aux verrous traditionnels. L’application mobile peut être utilisée pour créer des clés virtuelles de rechange ou temporaires à distance et simplifier ainsi les services de colocation. La solution est capable, par exemple, de suivre et de savoir qui a débloqué une porte récemment. Cette dernière envoie également instantanément des notifications si une porte est forcée et peut déclencher automatiquement l’alarme intégrée dans le verrou.

Le marché de la serrure intelligente est amené à se développer rapidement ses prochaines années. Selon l’étude Transparency Market Research, sa croissance annuelle moyenne atteindra 18,3%, ce qui entraînera une augmentation substantielle de la valeur marchande, passant de 226,7 millions de dollars US en 2016 à 1,01 milliard de dollars d’ici 2024. En raison de la hausse du niveau de vie et des préoccupations liées à la sécurité physique et à la sureté, la région Asie-Pacifique devient rapidement un marché cible pour l’industrie de la serrure intelligente.

« La sécurité est au cœur de toute technologie innovante de verrouillage intelligent et demeure essentielle pour nous. Nous sommes constamment à l’affût d’une technologie complémentaire qui puisse améliorer la sécurité de nos produits et services », déclare ZHU Zhiling, PDG de Dessmann. « Gemalto dispose d’un catalogue de solutions et d’expertise dont nous avons besoin pour notre nouvelle serrure intelligente. Nous avons été immédiatement convaincus par la capacité du groupe à fournir des solutions de sécurité  de bout en bout ainsi qu’une feuille de route de la future connectivité optimisée pour l’IoT, comme LTE Cat NB-IoT ».

« Le monde adopte les technologies digitales à un rythme sans précédent, avec des maisons intelligentes qui sont en train de devenir la nouvelle clé de voûte de la vie connectée. Nous espérons que les verrous intelligents connectés feront partie intégrante de la vie quotidienne dans un avenir proche « , affirme Suzanne Tong-Li, Vice-Présidente de la Chine et de la Corée pour les Services Mobiles et l’IoT chez Gemalto. «Notre gamme complète de solutions et services IoT sécurisés aide les fabricants à atteindre le plus haut niveau de confiance pour les consommateurs, ce qui est essentiel pour les services comme les clés virtuelles ».

Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Securite informatique

Microsoft corrige 94 vulnérabilités via une mise à jour massive

Microsoft vient de publier les patches pour résoudre 94 vulnérabilités, dont 27 corrigent des problèmes d’exécution de code à distance (RCE) donnant à l’attaquant le contrôle à distance des machines ciblées. Il s’agit d’une mise à jour massive qui résout deux fois plus de vulnérabilités qu’au cours des deux derniers mois.

La priorité absolue va à la vulnérabilité CVE-2017-8543 qui, selon Microsoft, est actuellement exploitée en mode aveugle. Les attaquants peuvent contrôler totalement l’ordinateur ciblé en envoyant une requête SMB au service de recherche Windows. Sont concernés : Windows Server 2016, 2012, 2008 ainsi que des systèmes bureautiques comme Windows 10, 7 et 8.1. Cette vulnérabilité étant actuellement utilisée pour mener des attaques, nous recommandons aux entreprises d’appliquer les patches dès que possible. Autre vulnérabilité en cours d’exploitation, CVE-2017-8464 elle permet de prendre le plein contrôle d’une machine par le biais d’une exécution de code à distance via l’icône de raccourci LNK (Windows).

Microsoft a également publié l’avis de sécurité 4025685 qui concerne aussi des plateformes plus anciennes en raison d’un risque d’exploitation élevé.

Autre priorité élevée, CVE-2017-8527, la vulnérabilité qui affecte le moteur de rendu graphique de Windows et déclenchée lors de la consultation d’un site Web pirate conçu à l’aide de polices malveillantes. Similaires au problème de police évoqué ci-dessus, les vulnérabilités CVE-2017-8528 et CVE-2017-0283 peuvent être déclenchées lorsque des utilisateurs consultent du texte Unicode encodé dans un but malveillant. Les deux problèmes entraînent une prise de contrôle complète de la machine ciblée.

Il est conseillé aux entreprises qui utilisent Outlook de corriger CVE-2017-8507, l’une des vulnérabilités permettant d’envoyer des emails malveillants et de prendre le contrôle complet d’un système lorsque ces emails sont consultés depuis Outlook. Les vulnérabilités Office CVE-2017-0260 et CVE-2017-8506 peuvent être déclenchées suite à l’ouverture de documents Office malveillants. Elles doivent donc être corrigées dès que possible car Office est un vecteur assez simple à exploiter pour lancer des attaques de type ingénierie sociale.

Les patches pour Microsoft Edge et IE résolvent de nombreux problèmes d’exécution de code à distance (RCE) tandis que les vulnérabilités CVE-2017-8498, CVE-2017-8530 et CVE-2017-8523 revêtent une importance toute particulière car elles ont été divulguées publiquement mais aucune attaque n’a encore été observée à ce jour. Parmi les autres problèmes d’exécution de code à distance résolus par la mise à jour de juin citons les vulnérabilités CVE-2017-0291 et CVE-2017-0292 PDF pour Windows.

En résumé, nous avons affaire à une mise à jour de sécurité importante et qui résout un nombre deux fois plus élevé de vulnérabilités qu’au cours des deux derniers mois. La vulnérabilité SMB CVE-2017-8543 activement exploitée ainsi que d’autres problèmes affectant les polices, Outlook, Office, Edge et IE vont pleinement occuper les administrateurs système et les équipes de sécurité. (Publié par amolsarwate dans The Laws of Vulnerabilities)

Base de données, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Mise à jour, Paiement en ligne, Patch, Piratage

SIG : Attaque contre la billetterie d’un club de basket Français

2 commentaires

Un pirate informatique s’est attaqué à la billetterie web du club de basket SIG de Strasbourg. Bilan, plus possible d’acquérir sa place pour la finale Pro A.

Quelles étaient les motivations du pirate informatique ayant visé la billetterie du basket club de Strasbourg, le SIG ? Mettre la main sur les données des supporters ? Ou tout simplement perturber le fonctionnement de la billetterie du club pour empêcher les fans du SIG de venir supporter leur club ? Toujours est-il que, comme l’explique La Dernière Nouvelles d’Alsace, l’ouverture de la billetterie pour le match 3 de la finale de Pro A contre Chalon s’est retrouvée retardée par ce qui semble être une attaque DDoS, ou une injection SQL trop violente. Bilan, le système c’est mis en panne et a généré un message qui a empêchait les fans d’acheter leurs places : « Erreur de communication avec le serveur d’authentification ».

Afin de refuser tout comportement frauduleux la vente a été suspendue. Cette cyber-attaque n’a eu et n’aura aucune incidence sur la sécurité de vos paiements confirme le SIG Strasbourg.

Android, Cybersécurité, IOT, Mise à jour, Patch, Sécurité, Smartphone, Téléphonie

Des publicités malveillantes détectées sur Android

Publicités malveillantes dans votre smartphone ! Il y a quelques jours, l’équipe du Threatlabz Zscaler a identifié une application Android se téléchargeant d’elle-même à partir de publicités postées sur des forums. Le malvertising est un problème qui ne cesse de prendre de l’ampleur. Ces publicités se retrouvent principalement sur des sites SSL à visée malveillante. Sur l’un de ces forums baptisé « GodLike Productions », les visiteurs se sont plaint d’une application se téléchargeant automatiquement mais leurs messages ont été supprimés ou ignorés par les administrateurs permettant à la situation de se perpétuer. Dans ce cas particulier, l’App se présente sous la forme d’une « mise à jour sécurité » afin que l’utilisateur termine son installation.

Une fois le package APK téléchargé et installé, l’application se présente sous le nom de « KS Clean », une application de nettoyage Android. L’application affiche ensuite un faux message de mise à jour système où la seule option possible est de cliquer sur le bouton « OK » forçant ainsi l’usager à accepter le message.

Dès que ce dernier accepte, le malware lance l’installation d’un autre APK nommé Update. Lorsqu’elle est ouverte, l’App Update demande les droits d’administration. Une fois les droits obtenus, il est impossible de désinstaller l’application de l’appareil car un utilisateur ne peut pas supprimer une app ayant des droits d’administration. Habituellement, il est possible de retirer les privilèges à l’application dans les paramètres mais dans ce cas de figure, l’app se fait passer pour un récepteur Android pour garder ses privilèges.

Cette vidéo (activer les sous-titres en amont) montre la manière dont le téléphone se bloque lorsque la victime essaie de retirer les privilèges administrateur de l’application.

Cette App est capable de :

  • Lire/Ecrire l’historique
  • Installer/Désinstaller des fichiers système
  • Changer les permissions
  • Télécharger sans autorisation

L’application effraie l’utilisateur en lui faisant croire qu’il y a une faille de sécurité sur son appareil et qu’il doit faire une mise à jour pour éviter de perdre ses informations personnelles. Lorsqu’elle est installée, l’App ne peut plus être supprimée et le malware peut pousser des publicités même si une autre App est déjà lancée. Les utilisateurs Android peuvent prendre les mesures suivantes pour éviter d’être atteints par cette menace :

  • Ne pas cliquer sur des liens inconnus
  • Désactiver les « sources inconnues »
  • Désactiver le téléchargement automatique dans les navigateurs Android
Android, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Smartphone, Social engineering, Téléphonie

Dvmap : Un nouveau Trojan Android téléchargé 50 000 fois

Des experts ont découvert un nouveau Trojan peu commun, qui se propage via Google Play Store sous la forme d’un jeu.

Baptisé Dvmap, ce Trojan est non seulement capable d’obtenir les droits d’accès root de n’importe quel smartphone Android, mais il peut également prendre le contrôle de l’appareil en injectant un code malveillant dans la bibliothèque système (system library). Si l’attaque réussit, il supprime l’accès root, ce qui lui permet de ne pas être détecté. Ce Trojan a été téléchargé depuis Google Play plus de 50 000 fois depuis mars 2017.

Kaspersky Lab a signalé ce Trojan à Google, qui l’a depuis retiré de sa marketplace.

Pour contourner les contrôles de sécurité de la plate-forme, les créateurs du malware ont mis en ligne une application saine à la fin du mois de mars 2017. Ils l’ont ensuite mise à jour avec une version malveillante pendant une courte période, avant de remettre en ligne une version saine. En seulement 4 semaines, ils ont réalisé cette opération au moins 5 fois.

« Le Trojan Dvmap marque un nouveau développement des malwares Android. Le code malveillant s’injecte directement dans les bibliothèques système, où il est plus difficile à détecter et supprimer. Nous pensons avoir découvert le malware à un stade très précoce . Notre analyse montre que les modules malveillants rendent compte de leurs moindres mouvements aux attaquants et certaines techniques peuvent entrainer une panne des appareils infectés. Il n’y a pas de temps à perdre si nous voulons éviter une attaque de grande envergure, » explique Roman Unuchek, Senior Malware Analyst, Kaspersky Lab.

Pour en savoir plus, consultez le rapport complet de Kaspersky Lab : https://securelist.com/78648/dvmap-the-first-android-malware-with-code-injection/

Cloud, Cybersécurité, Entreprise, Mise à jour, Patch

Cloud Hybride : le meilleur du Cloud !

Avoir accès à ses données, partout dans le monde, quelle que soit l’heure, les entreprises ne peuvent plus s’en passer. Gagner en compétitivité, améliorer sa réactivité, bref gagner du terrain. Le cloud Hybride permet de garder cette longueur d’avance.

Mais qu’est-ce que le Cloud Hybride ? Le Cloud Hybride est la combinaison des environnements Cloud Privé et Cloud Public qui permet de répondre à toutes les exigences de l’entreprise.

De façon plus large, on parle maintenant d‘Hybrid IT : le choix d’une option technique, stratégique ou non, ne doit pas interdire de faire cohabiter d’autres options ou alternatives. C’est la condition nécessaire, pour les entreprises, de préserver leur flexibilité. Elles se préoccupent à juste titre de l’interopérabilité et de la réversibilité, ce qui les pousse souvent à se tourner vers des écosystèmes de partenariats efficaces et ouverts.

L’informatique hybride, la solution indispensable ?

Selon l’institut Gartner, l’informatique hybride transforme les architectures informatiques et le rôle de l’informatique elle-même. Elle est « le résultat de la combinaison et de l’utilisation simultanée de services internes et basés sur le Cloud pour répondre aux besoins informatiques d’une organisation, qui peuvent varier d’une application à l’autre. »

L’informatique hybride permet une réelle optimisation, – ajoute le Gartner – alors que dans les services antérieurs de Cloud computing, une telle flexibilité devait généralement être construite sur mesure, par entreprise.

Dans cette perspective, Gartner prévoit un changement majeur à venir. D’ici à 2020, 90% des organisations utilisant des services basés sur le cloud vont opter pour une infrastructure hybride. Les dépenses pour le Cloud computing hybride, en tant que services, devraient augmenter de 23,3 milliards de dollars à 68,4 milliards d’années d’ici à 2020

Le leader du secteur, Hewlett Packard Enterprise (HPE), propose des nouvelles solutions d’infrastructure hybride, notamment grâce à un nouveau type d’infrastructure composable (HPE Synergy), mais également des services d’accompagnement, et s’appuie sur un réseau de partenaires/prestataires de services (hébergeurs, datacenters, réseaux…) qui renforce l’efficacité du cloud, et permet de répondre aux besoins des entreprises, quelle que soit leur taille.

Les Service Providers, pilier important des solutions de Cloud hybride

La modernisation de l’informatique et sa capacité à « bouger » sont essentielles pour qu’une entreprise reste compétitive, efficace et sécurisée.

Dans ce contexte, il est clair que la DSI se modernise elle-même : elle sait anticiper, elle devient plus que jamais conseil, prestataire de services IT ou ‘broker de services », pour le grand bénéficie des métiers. C’est ainsi qu’elle s’active à pousser l’innovation attendue de la transformation digitale.

Le besoin de cartographier les attentes futures en matière d’IT et les partenaires potentiels pour la mise en place de solutions hybrides devient crucial.

Dans ce contexte, HPE soutient le projet Cloud28+, dont l’ambition est de proposer une plateforme de fédération de services Cloud au niveau mondial afin de faciliter la mise en relation entre fournisseurs de services, éditeurs et entreprises. Cloud28+ est une communauté qui regroupe aujourd’hui 427 membres à travers le monde et plus de 1 600 Services Cloud publiés.

Le pilotage : le nouveau défi du cloud hybride

Si le cloud aide à résoudre certains problèmes liés aux silos technologiques au sein des entreprises, la gestion de différents types de Clouds, voire de différents fournisseurs de services de Cloud crée une nouvelle complexité : le pilotage de l’ensemble pour assurer l’optimisation des coûts et l’application des règles de sécurité devient le nouveau défi à résoudre. Afin de résoudre celui-ci, des solutions de Cloud Management Platform (CMP) deviennent indispensables et peuvent être disponibles installées directement chez les clients ou hébergées chez fournisseurs de services. HPE peut vous aider à choisir la solution de CMP la plus adaptée à vos enjeux et votre contexte business, et vous accompagner dans son déploiement.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Patch

Règlement eiDAS, 2017 année charniére

Règlement eiDAS : 2017, une année charnière pour l’identification et la confiance numérique.

Grâce au règlement eIDAS (Règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques), l’Union européenne se distingue comme la première région mondiale à disposer d’un cadre juridique pour les transactions numériques transnationales visant à renforcer la confiance des échanges électroniques. Cela constitue un défi autant qu’une promesse dans un marché qui rassemble plus de 500 millions d’habitants. La mise en place de l’eIDAS, qui a débuté en 2015 avec une phase d’accompagnement et de précision des modalités d’application de ce règlement, s’échelonnera sur une période de 5 ans.

2017 sera une année charnière, marquée par les premières notifications des schémas d’identités numériques par des Etats membres au sein de l’Union européenne. C’est aussi une année importante pour le développement des services de confiance numérique qualifiés en Europe, le régime de transition cessant dès juillet prochain.

Un des aspects les plus novateurs et aussi des plus attendus du règlement est la possibilité d’accéder à de nombreux services presque partout en Europe, avec la même identité numérique nationale, qu’elle soit publique ou privée à condition que celle-ci soit officialisée par les autorités du pays où elle est actuellement utilisée. Les entreprises pourront également bénéficier de règles communes pour la reconnaissance mutuelle des signatures électroniques, des cachets ou des certificats numériques en s’appuyant sur un réseau de prestataires de confiance qualifiés, permettant de réduire les barrières aux transactions numériques et d’augmenter l’adoption de nouveaux services à travers les frontières.

Le Règlement de la confiance numérique, eIDAS introduit ainsi des bénéfices et des avancées sur le plan national pour presque tous les Etats membres. Un point important car la volumétrie des échanges numérique à l’intérieur des Etats reste pour l’instant largement supérieure à celle des flux transfrontières de l’UE. Concrètement, le dialogue initié par les acteurs économiques nationaux pour s’adapter aux exigences du règlement peut amener des améliorations significatives en particulier dans 4 domaines :

  1. 1.   1. Le renforcement d’une identité numérique nationale pour pouvoir s’authentifier avec fiabilité et signer numériquement
  1.  2. La modernisation de l’architecture des échanges numériques
  1. 3.  3.L’accélération du déploiement des services numériques utilisables. Cette démarche peut aussi favoriser une meilleure complémentarité et des synergies dans l’usage des infrastructures numériques entre secteur public et privé.
  1. 4.  4. La mise en place des signes de reconnaissance d’une confiance qualifiée assurant une garantie pour des échanges électroniques formels, caractéristique essentielle pour que les utilisateurs tirent pleinement avantage des services proposés.

Les citoyens et résidents pourront maintenant bénéficier de la reconnaissance aisée du nouveau label européen de confiance, instauré par le règlement dans le but de signaler les prestataires de services qualifiés. Ce label augmente la transparence du marché et apporte une présomption de valeur légale permettant de s’assurer de la sécurité maximale juridique et technique des échanges réalisés ou des services utilisés.

Les entreprises devront donc disposer de solutions compatibles avec le règlement eIDAS et les actes d’implémentation qui en découlent, afin de se mettre en conformité et ainsi bénéficier de solutions éprouvées.

Si vous souhaitez approfondir le sujet, vous trouverez ci-dessous le communiqué complet proposé par Gemalto : Règlement eIDAS : 2017 l’année charnière pour l’identification numérique

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Mise à jour, Paiement en ligne, Patch

Sécuriser son achat sur Internet : nouvelle version de la technologie Verified by Visa

Sécuriser son achat sur Internet ! Visa lance une nouvelle version de la technologie Verified by Visa pour sécuriser et simplifier davantage les paiements en ligne

Sécuriser son achat sur Internet ! Visa annonce l’amélioration prochaine de son service Verified by Visa, une solution globale conçue pour rendre les paiements en ligne plus sûrs en s’assurant que ces paiements soient effectivement réalisés par le titulaire du compte Visa. La nouvelle version apportera aux institutions financières et aux commerçants des données de transaction enrichies permettant une meilleure authentification des consommateurs, réduisant ainsi les cas de fraude pour les achats effectués à partir d’un navigateur Internet fixe ou mobile, d’une application ou d’un objet connecté. Dans le cadre de cette mise à jour, Visa renforce ses systèmes pour soutenir
3-D Secure 2.0, la nouvelle génération de la plateforme de sécurité créée par Visa et servant de socle technologique au service Verified bv Visa.

Grâce à la mise à jour de 3-D Secure 2.0, les émetteurs de moyen de paiement Visa et les commerçants auront plus d’options pour personnaliser le processus d’authentification et rendre l’expérience d’achat toujours plus rapide et ergonome. Bref, Sécuriser son achat sur Internet deviendra plus efficace encore. En construisant un canal de partage d’informations en temps réel et collaboratif, Visa améliore le transfert de données entre commerçants et émetteurs qui accèdent ainsi accès à une masse d’informations inédite relative aux transactions (type d’appareil, adresse de livraison…),  et peuvent vérifier en temps réel l’identité de leurs clients avec davantage d’exactitude. Les études montrent que la durée de règlement des paniers d’achat peut être réduite de 85% avec le nouveau système, et qu’il pourrait y avoir jusqu’à 70%  de diminution du taux d’abandon de panier.

Sécuriser son achat sur Internet

« Les technologies d’authentification ont énormément évolué depuis l’époque des bandes magnétiques et des signatures, tout comme notre manière de payer : d’où le besoin d’innovation pour assurer la sécurité des achats. La grande majorité des Européens utilise aujourd’hui un appareil mobile pour effectuer des paiements, mais la fraude et les problèmes de sécurité restent le frein numéro un à l’adoption, » remarque Mike Lemberger, Senior Vice President, Product Solutions Europe, Visa.

« En soutenant le développement de la plateforme 3DS 2.0, nous sommes en mesure d’offrir un service d’authentification amélioré qui rend ces paiements à la fois plus rapides et mieux sécurisés. Cela permet aux e-commerçants européens de s’attaquer à l’enjeu stratégique des abandons de paniers. Cette mise à jour apporte également tous les outils nécessaires pour se conformer aux dispositions de la Directive Service de Paiement 2 (DSP2) pour les paiements par carte : un avantage majeur qu’il ne faudrait pas sous-estimer. »

Pour donner du temps aux émetteurs de moyens de paiement Visa et aux commerçants de tester, réaliser des pilotes et déployer les solutions, les règles actuelles s’appliquant aux tests commerçants pour les transactions utilisant 3-D Secure s’étendront jusqu’à la version mise à jour début avril 2019. Les commerçants et les émetteurs travaillent déjà à la mise en place de la nouvelle version et Visa prévoit son adoption à partir du deuxième semestre 2017. Visa collaborera avec ses clients et ses partenaires dans le monde entier pour accompagner le déploiement et l’utilisation des nouvelles solutions 3-D Secure 2.0, au service de la sécurité des paiements et d’un meilleur taux d’autorisation des transactions, pour assurer une expérience fluide et intuitive du paiement digital.

Cette nouvelle version ayant la capacité de fonctionner sur de multiples appareils (mobile, app, navigateur Internet), elle aidera à renforcer la protection des consommateurs, quels que soient le lieu et le mode de paiement choisi. L’étude Digital Payments 2016 de Visa, qui a interrogé plus de 36 000 consommateurs européens, révèle que trois fois plus d’entre eux effectuent régulièrement des paiements avec un appareil mobile par rapport à 2015 (54% contre 18%). Les améliorations permettront aussi l’intégration future de technologies de paiement dans l’Internet des Objets, alors que Gartner prévoit plus de 20,8 milliards d’objets connectés d’ici 2020. L’amélioration de l’authentification basée sur le risque atténuera les points de friction en réduisant les étapes supplémentaires de vérification, tels que les mots de passe statiques ou les codes PIN, lors d’un achat quel que soit le terminal utilisé.

Android, Cyber-attaque, Cybersécurité, escroquerie, ID, Identité numérique, Mise à jour, Particuliers, Patch, Piratage, Smartphone, Social engineering, Téléphonie

Judy : Potentiellement la plus grande campagne de malwares détectée sur Google Play

Les chercheurs de chez Check Point viennent de découvrir une nouvelle menace baptisée JUDY, passée sous le radar de la sécurité de Google Play.

Ce malware de publicité frauduleuse est contenu dans 41 applications d’une société Coréenne. Son principe est simple : il produit un grand nombre de clics sur de la publicité, et génère ainsi un revenu important pour les créateurs des applications malveillantes. Check Point estime le nombre de victimes entre 4,5 et 18 millions. Le code malicieux est présent sur Google Play depuis des années, mais il est impossible de savoir depuis quand exactement.

Les applications malveillantes ont atteint un écart étonnant entre 4,5 millions et 18,5 millions de téléchargements. Certaines des applications découvertes résident sur Google Play pendant plusieurs années, mais toutes ont été récemment mises à jour. On ne sait pas combien de temps existe le code malveillant dans les applications, d’où la diffusion réelle du malware reste inconnue.

Cyber-attaque, Cybersécurité, escroquerie, ID, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Social engineering

Les sous-titres de films dangereux sur le web ?

Un commentaire

Des chercheurs ont étudié un nouveau vecteur d’attaque, les sous-titres, menaçant des centaines de millions d’utilisateurs de lecteurs multimédias populaires, dont notamment VLC, Kodi (XBMC), Popcorn Time et Stremio.

En créant des sous-titres malveillants, qui sont ensuite téléchargés par les téléspectateurs, des agresseurs peuvent potentiellement prendre le contrôle total de tout appareil utilisant les plates-formes vulnérables.

« La chaîne d’approvisionnement des sous-titres est complexe. Il existe plus de 25 formats de sous-titres différents, tous dotés de fonctionnalités uniques. Un tel écosystème fragmenté, avec une sécurité limitée, signifie qu’il existe de multiples vulnérabilités qui pourraient être exploitées, ce qui en fait une cible extrêmement attrayante pour les agresseurs, » déclare Omri Herscovici, vulnerability research team leader chez Check Point. « Nous avons actuellement découvert que des sous-titres malveillants peuvent être créés et automatiquement diffusés à des millions d’appareils, en contournant les logiciels de sécurité et en donnant aux agresseurs un contrôle total sur les appareils infectés et les données qu’ils détiennent. »

L’équipe de recherche a découvert des vulnérabilités dans quatre des lecteurs multimédias les plus populaires, VLC, Kodi, Popcorn Time et Stremio, et a suivi les bonnes pratiques de communication responsable pour signaler les vulnérabilités. En exploitant les vulnérabilités de ces plates-formes, des pirates étaient en mesure d’utiliser des fichiers malveillants pour prendre le contrôle des appareils équipés de lecteurs de médias vulnérables.

Les sous-titres des films ou des émissions de télévision sont créés par une grande variété d’auteurs de sous-titres, et sont téléchargés sur des sites de partage tels que OpenSubtitles.org pour indexation et classement. Les chercheurs de Check Point ont également démontré qu’en manipulant l’algorithme de classement de ces sites, les sous-titres malveillants peuvent être automatiquement téléchargés par le lecteur multimédia, ce qui permet aux pirates d’exercer un contrôle total sur toute la chaîne d’approvisionnement des sous-titres sans nécessiter d’interaction de la part des utilisateurs.

Depuis que ces vulnérabilités ont été signalées, les quatre entreprises les ont corrigées. Stremio et VLC ont également publié de nouvelles versions de leurs logiciels intégrant cette correction. « Pour se protéger et minimiser le risque d’attaque, les utilisateurs doivent mettre à jour leurs lecteurs en streaming, » conclut M. Herscovici.

La dernière version de VLC publiée le 5 juin 2016 a été téléchargée plus de 170 millions de fois. Kodi (XBMC) compte plus de 10 millions d’utilisateurs uniques par jour et près de 40 millions d’utilisateurs uniques par mois. Aucune estimation actuelle n’existe quant aux utilisateurs de Popcorn Time, qui sont cependant estimés à des dizaines de millions. Check Point a des raisons de croire que des vulnérabilités similaires existent dans d’autres lecteurs multimédias.

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch

Sécurité informatique : six Faiblesses dans les installations Industrielles

FireEye annonce avoir identifié six faiblesses majeures que des individus mal intentionnés peuvent utiliser pour saboter le fonctionnement d’installations industrielles. Les entreprises industrielles telles que les fournisseurs d’électricité, les compagnies pétrolières et les industries lourdes investissent lourdement dans des systèmes de contrôle industriels (ICS) pour faire fonctionner des processus industriels de façon efficace, fiable et sûre. Sans les technologies présentes dans leurs usines, leur activité n’existerait pas. Mais les administrateurs, les dirigeants et les responsables de la sécurité n’ont souvent pas conscience que les technologies qui gèrent le moteur économique de leurs entreprises sont perméables à des attaques non détectées.

Protocoles non authentifiés : Lorsqu’un protocole ICS n’est pas authentifié, n’importe quel ordinateur sur le réseau peut envoyer des commandes qui altèrent les processus industriels. Ceci peut mener à des processus incorrects, endommageant des biens, détruisant des équipements, blessant du personnel ou dégradant l’environnement. Matériels obsolètes: Les matériels des systèmes de contrôle peuvent être opérationnels depuis des décennies. Ils peuvent fonctionner de façon trop simpliste ou ne pas disposer de la puissance de traitement et de la capacité mémoire nécessaires pour gérer l’environnement de menaces qui caractérise les technologies  réseau d’aujourd’hui. Authentification des utilisateurs trop faible : Les faiblesses en matière d’authentification des utilisateurs dans les systèmes de contrôle traditionnels comprennent souvent des mots de passe statiques programmés en dur, des mots de passe faciles à craquer, des mots de passe stockés dans des formats facilement récupérables, et des mots de passe envoyés en clair. Un attaquant qui obtient ces mots de passe peut souvent interagir à sa guise avec les processus sous contrôle. Contrôles insuffisants de l’intégrité des fichiers : L’absence de ‘software signing’ permet aux attaquants d’abuser les utilisateurs, qui installent à leur insu des logiciels qui ne proviennent pas de leur fournisseur légitime. Elle permet aussi aux attaquants de remplacer des fichiers légitimes par des fichiers malicieux. Systèmes d’exploitation Windows vulnérables : Beaucoup de systèmes industriels fonctionnent souvent sous des systèmes d’exploitation Windows non patchés, ce qui les expose à des vulnérabilités connues. Relations avec des tiers (fournisseurs, partenaires…) peu ou mal documentées : Beaucoup de fournisseurs de systèmes de contrôle industriels peuvent ne pas connaître parfaitement les composants utilisés par des tiers, ce qui rend difficile pour eux d’informer leurs propres usagers des vulnérabilités sous-jacentes. Des assaillants au courant de ce manque d’information peuvent cibler un logiciel que l’industriel n’a même pas conscience d’utiliser.

Installations industrielles

Les sites industriels dépendent de plus en plus de systèmes connectés et de capteurs pour assurer leur bon fonctionnement, mais la cyber sécurité sur la plupart de ces sites n’est pas du tout ce qu’elle devrait être. Une compréhension claire des faiblesses communes aux environnements industriels aide les dirigeants et les responsables informatiques à aborder le sujet de la sécurité en toute connaissance de cause, à se poser les bonnes questions, et à investir à bon escient” déclare Sean McBride, Attack Synthesis Lead Analyst chez FireEye.

 

Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Vulnérabilités : Microsoft corrige son moteur de protection anti-Malware

Quelques heures avant la diffusion de son Patch Tuesday, Microsoft a publié une mise à jour urgente qui corrige une vulnérabilité au sein de son moteur de protection anti-Malware (Malware Protection Engine). Cette vulnérabilité critique permet à un attaquant de prendre le plein contrôle de la machine ciblée en envoyant tout simplement un courrier avec une pièce jointe malveillante. Lorsque le moteur de protection anti-malware analyse la pièce jointe, le code malveillant présent dans le fichier s’exécute et donne à l’attaquant un accès complet et total à l’ordinateur ciblé. L’attaque peut également être menée en envoyant le fichier par l’intermédiaire d’un message instantané ou en persuadant la victime de télécharger le fichier depuis un site Web. Il est absolument essentiel que les entreprises qui utilisent Microsoft Malware Protection Engine vérifient qu’elles disposent bien de la version 1.1.10701.0 ou supérieure. En outre, elles doivent vérifier si elles ont bien déployé le correctif pour la vulnérabilité CVE-2017-0290 qui vient d’être publié pour résoudre même problème.

Dans ce Patch Tuesday de mai, Microsoft publie des correctifs pour un total de 57 vulnérabilités. La priorité absolue va à la correction des vulnérabilités 0-Day activement exploitées. Au top de notre liste, le patch pour Office destiné à corriger la vulnérabilité CVE-2017-0261 qui est déclenchée lorsqu’un utilisateur ciblé ouvre un fichier Office contenant une image graphique déformée. Le fichier peut être envoyé par email ou tout autre moyen. Comme cette vulnérabilité est activement exploitée en aveugle et que les attaquants peuvent prendre le plein contrôle du système visé, elle doit être traitée de manière prioritaire.

La vulnérabilité CVE-2017-0222 se trouve également en haut de notre liste car elle affecte Internet Explorer dont les utilisateurs peuvent être compromis s’ils se rendent sur un site Web malveillant hébergé par des attaquants. Ce correctif est prioritaire car la vulnérabilité est actuellement exploitée en aveugle et les attaquants peuvent prendre le plein contrôle du système ciblé.

La priorité suivante revient à CVE-2017-0229, la vulnérabilité qui touche le navigateur Edge et qui a été divulguée publiquement avant la publication de ce Patch Tuesday. Grâce à cette faille, un attaquant peut prendre le contrôle total de la machine ciblée lorsqu’un utilisateur navigue sur des sites malveillants à l’aide d’Edge.

Ensuite, la priorité va à trois vulnérabilités critiques au sein du protocole SMB avec exécution de code à distance (CVE-2017-0277, CVE-2017-0278 et CVE-2017-0279) qui affectent les serveurs Windows ainsi que les postes de travail clients. Ce problème est lié à la manière dont le serveur Microsoft Server Message Block 1.0 (SMBv1) traite certaines requêtes. En effet, un attaquant parvenant à exploiter cette vulnérabilité pourrait exécuter du code sur la machine ciblée. Dans la plupart des cas, pour exploiter cette vulnérabilité, un attaquant non authentifié enverra un paquet malveillant au serveur SMBv1.

Microsoft a profité de ce Patch Tuesday pour publier des mises à jour pour Microsoft Edge et Internet Explorer 11 pour empêcher le chargement de sites protégés par l’algorithme SHA-1 et afficher un avertissement de certificat non valide. Ce changement impactera uniquement les certificats SHA-1 chaînés à un certificat racine faisant partie du programme de certificats racines de confiance Microsoft où le certificat de l’entité finale ou de l’autorité de certification intermédiaire s’appuie sur l’algorithme SHA-1. Les certificats SHA-1 installés manuellement dans les entreprises ou auto-signés ne seront pas concernés par cette mesure.

En résumé, la publication d’aujourd’hui permet de corriger 3 vulnérabilités activement exploitées ainsi que 4 vulnérabilités divulguées publiquement dont celles affectant le moteur de protection anti-logiciels malveillants Microsoft, Office, IE, Edge et le protocole SMB. Gardez également en mémoire que Microsoft a déprécié les certificats SHA-1 pour IE et Edge. (Publié par amolsarwate dans The Laws of Vulnerabilities)