Archives de catégorie : Social engineering

Collusion des applications : Nouvelle menace sur mobile

Collusion des applications – Le retard des mises à jour logicielles des applications mobiles offre de nouvelles opportunités pour les cybercriminels.

Le dernier rapport d’Intel Security, intitulé ‘McAfee Labs Threats Report : June 2016’, détaille la tendance de la collusion des applications mobiles, en expliquant comment les cybercriminels manipulent les applications mobiles pour orchestrer des attaques contre les propriétaires de smartphones.

Ce type de comportement a été observé par le McAfee Labs d’Intel Security dans plus de 5 000 versions des 21 applications étudiées, destinées au grand public, tels que le streaming vidéo, la surveillance santé, la planification de voyage, etc. Le constat est alarmant : l’échec des utilisateurs à faire régulièrement des mises à jour essentielles de leurs applications augmente le risque de détournement des smartphones par les cybercriminels à travers les anciennes versions des applis.

Considérée depuis plusieurs années comme une menace théorique, la collusion des applications mobiles tire parti des capacités de communication inter-applicatives inhérentes aux systèmes d’exploitation mobiles. Ces systèmes d’exploitation intègrent de nombreuses méthodes permettant d’isoler des applications au sein de sandbox, de limiter leurs capacités et de contrôler les autorisations à un niveau granulaire. Malheureusement, les plateformes mobiles comprennent également des protocoles documentés permettant aux applications de communiquer entre elles à travers les frontières des sandbox. Dans ce cadre, la collusion des applications peut se servir des capacités de communication inter-applicatives à des fins malveillantes.

Trois types de menaces qui peuvent résulter de la collusion des applications mobiles

Le vol d’informations : une application avec un accès à des informations sensibles ou confidentielles collabore volontairement ou involontairement avec une ou plusieurs autres applications pour envoyer des informations en dehors des limites du dispositif/matériel. Le vol d’argent : une application envoie des informations à une autre qui peut exécuter des transactions financières ou faire un appel API pour parvenir à des objectifs malveillants similaires. L’abus de services : une application contrôle un service système et reçoit des informations ou des commandes à partir d’une ou plusieurs autres applications pour orchestrer une variété d’activités malveillantes.

La collusion applicative mobile requière au moins deux applications pouvant communiquer entre elles. D’un côté, une application qui dispose de la permission d’accéder à une information ou à un service restreint et de l’autre côté, une application sans cette autorisation, mais qui elle bénéficie d’un accès extérieur au dispositif. Les deux applications peuvent potentiellement exposer le smartphone au risque d’une collusion, que ce soit volontairement ou involontairement suite à une fuite de données accidentelle ou à une inclusion d’un kit de développement de logiciels malveillants ou d’une bibliothèque de malwares. Ces applications peuvent utiliser un espace partagé (fichiers lisibles par tous) pour échanger des informations sur les privilèges accordés et déterminer lequel est positionné de manière optimale pour servir de point d’entrée aux commandes à distance.

« L’amélioration des méthodes de détection entraîne les cybercriminels à redoubler d’efforts en matière de fraude », déclare Vincent Weafer, Vice-Président du McAfee Labs d’Intel Security. « Il n’est pas surprenant de voir qu’ils ont développés de nouvelles ruses pour déjouer la sécurité mobile avec de nouvelles menaces qui tentent de se cacher à la vue des utilisateurs. Notre objectif est de rendre l’ancrage des applications malveillantes au sein des appareils personnels plus difficile. Cela passe notamment par le développement d’outils et de techniques plus intelligents en mesure de détecter la collusion des applications mobiles. »

Le rapport ‘McAfee Labs Threats Report : June 2016’ s’inscrit dans une démarche proactive visant à développer de nouveaux outils et à automatiser les outils existants pour détecter toute collusion inhérente aux applications mobiles. Une fois identifiée, cette nouvelle typologie de menace peut être bloquée en s’appuyant sur des technologies de sécurité mobile. Afin de minimiser le risque et l’impact de la collusion, l’étude encourage les utilisateurs à adopter une approche plus consciencieuse. Cela implique notamment que l’usager se soucie de télécharger des applications uniquement depuis des sources fiables, en évitant celles intégrant de la publicité, et surtout de maintenir le système d’exploitation et le logiciel applicatif à jour.

Les principales tendances recensées au 1er trimestre en matière de menaces

Ransomware. Le nombre de nouveaux échantillons de ransomwares a augmenté de 24 % ce trimestre en raison de l’arrivée continue de nouveaux cybercriminels peu qualifiés dans ce domaine. Cette tendance est le résultat de l’adoption généralisée des kits d’exploitation pour le déploiement de logiciels malveillants.

Mobile. Les nouveaux échantillons de logiciels malveillants sur mobile ont augmenté de 17 % sur le trimestre par rapport au trimestre précédent. En un an, le nombre d’échantillons de logiciels malveillants sur mobiles a augmenté de 113 %, à raison d’une hausse de 23 % d’un trimestre à l’autre.

Mac OS malware. Les logiciels malveillants ciblant l’OS de Mac ont augmenté rapidement au premier trimestre, principalement en raison d’une augmentation de l’adware VSearch. Bien que le nombre absolu d’échantillons à destination de Mac OS demeure encore faible, son volume a augmenté de 68 % par rapport au trimestre précédent et de 559 % en un an.

Macro malware. Cette menace poursuit la croissance amorcée en 2015, avec une augmentation de 42 % par rapport au trimestre passé. Une nouvelle version de macro malware continue d’attaquer les réseaux d’entreprise principalement via des campagnes de spams sophistiquées qui tirent profit de l’information recueillie grâce à l’ingénierie sociale pour paraître légitime.

Gamut botnet. Le botnet Gamut s’est avéré être le botnet de spam le plus productif au premier trimestre, augmentant son volume de près de 50 %. Les campagnes de spam les plus courantes font l’éloge de solutions miracles pour devenir riche ou pour perdre du poids rapidement. Kelihos, le botnet le plus prolifique au cours du dernier trimestre 2015 est relayé à la quatrième place au premier trimestre 2016.

Le cheval de Troie : Pinkslipbot. Également connu sous le nom Qakbot, Akbot ou QBOT, ce cheval de Troie, lancé en 2007, fait partie des logiciels malveillants les plus nuisibles en mesure de subtiliser des informations d’identification bancaire, des mots de passe, des mails et des certificats numériques. Il a fait son retour en 2015 renforcé de fonctionnalités de contre-analyse et de capacités de chiffrement multicouches lui permettant de contrecarrer les efforts des chercheurs pour le disséquer et l’annihiler. Le rapport précise également son mécanisme d’exfiltration des données ainsi que sa capacité de mise à jour automatique.

Data Security Confidence : Se protéger des pirates ? Les entreprises doutent

Data Security Confidence – Une nouvelle étude révèle que la plupart des entreprises doutent de leur capacité à protéger leurs données en cas de cyberattaque.

Malgré l’augmentation du nombre de cyberattaques et la perte ou le vol de 3,9 milliards de registres de données depuis 2013, de nombreuses entreprises continuent d’avoir confiance dans l’efficacité du périmètre mis en place pour les protéger. Ceci est l’une des nombreuses conclusions mises en exergue par la troisième édition annuelle du Data Security Confidence Index publié par Gemalto.

Sur les 100 décideurs informatiques français interrogés, 39% déclarent que leurs systèmes de défense informatique (pare-feu, IDPS, antivirus, filtres de contenu, détecteurs d’anomalies, etc.) permettraient d’interdire très efficacement l’accès des personnes non autorisées au réseau. Cependant, 72 % disent ne pas être en mesure d’assurer la protection de leurs données si ces systèmes de défense venaient à être compromis. Ils étaient 51% dans ce cas en 2015 et 70% en 2014. En outre, 81% pensent que les utilisateurs non autorisés sont capables d’accéder au réseau, voire, pour 18% des interrogés, de l’infiltrer dans sa totalité.

« Ce rapport montre le fossé existant entre la perception et la réalité en ce qui concerne l’efficacité du périmètre de sécurité », souligne Jason Hart, VP et CTO de Gemalto pour la protection des données. « Même si l’époque de la prévention des cyberattaques est révolue, un grand nombre d’entreprises continuent de placer le périmètre de protection au cœur de leurs stratégies sécuritaires. Les professionnels doivent à présent changer leur façon de penser et ne plus chercher à prévenir les attaques, mais comprendre que ces dernières sont inévitables, et qu’ils doivent avant tout s’assurer de protéger les données ainsi que les utilisateurs qui y ont accès. »

Data Security Confidence

Même si le périmètre de sécurité reste prioritaire, il n’est pas suffisant. Toujours selon cette étude, 87% des décideurs informatiques français déclarent avoir ajusté leur stratégie en matière de sécurité après avoir été victimes d’une cyberattaque sophistiquée, un pourcentage qui était de 82% en 2015 et de 41% en 2014. D’autre part, 83% ont déclaré avoir augmenté le budget alloué à leur périmètre et 87% pensent que l’argent a été investi dans les technologies les plus adaptées.

Malgré les efforts qui continuent à être portés sur le périmètre de sécurité, les résultats de ce Data Security Confidence Index sont révélateurs des défis que les entreprises rencontrent en matière de vol de données. 82% des personnes interrogées en France indiquent que leur entreprise a fait l’objet d’un vol de données au cours des cinq dernières années. Plus d’un quart (32%) disent en avoir fait l’expérience depuis les 12 derniers mois, avec le même nombre de décideurs IT (30%) déclarant la même fréquence en 2015. Cela suggère que les entreprises n’ont pas réussi à limiter le nombre d’attaques, et ce malgré l’investissement réalisé au niveau du périmètre de sécurité.

« Alors que les entreprises pensent utiliser à bon escient leur budget sécurité, il est clair que les protocoles de sécurité employés ne répondent plus aux nouvelles exigences en la matière. Même si s’assurer de la robustesse de leur périmètre reste une priorité, elles doivent à présent adopter une approche multidimensionnelle en cas d’attaque. En ayant recours à des outils tels que le chiffrement de bout en bout et l’authentification à deux facteurs sur leur réseau et dans le cloud, elles seront capables de protéger l’ensemble de leur structure, ainsi que les données, ressources clés de l’entreprise, » conclut Hart.

Devenir maître dans l’art de protéger sa vie privée sur le net

Vol de ses données personnelles – Plusieurs sources ont révélé récemment la mise en vente sur le web de plus de 117 millions de profils d’utilisateurs LinkedIn dérobés en 2012. Ce type d’actualité rappelle que personne n’est à l’abri d’un vol de ses données personnelles qui risquent d’être utilisées à des fins illicites. Cette question est d’autant plus cruciale à l’heure où le nombre de logiciels malveillants, ransomwares et autres virus explose. Aujourd’hui, 67 % des Français sont soucieux quant à la protection de leurs informations personnelles sur internet et 83 % d’entre eux sont hostiles à la conservation de ces données (Source : Institut CSA).

Vol de ses données personnelles -Malgré cette méfiance, dans un monde où l’utilisation d’Internet est devenue omniprésente, les utilisateurs ont tendance à exposer très facilement leur vie privée et leurs données personnelles – parfois par paresse ou par mégarde, mais souvent par manque d’information. Il existe cependant des moyens simples et efficaces de limiter ces risques.

Michal Salat, Threat Intelligence Manager chez Avast, commente : « Les sphères privées et professionnelles se fondent de plus en plus, poussant fréquemment les utilisateurs à accéder à leurs plateformes de travail depuis des terminaux personnels ou à utiliser leurs appareils professionnels à la maison par exemple. Or, en adoptant ces comportements, les internautes exposent davantage leurs données personnelles.« 

Vol de ses données personnelles

Pour éviter que cela n’arrive, les utilisateurs doivent d’abord se protéger des menaces extérieures à leur appareil en commençant par créer un mot de passe ou un code PIN sur les écrans et les applications mobiles, limitant ainsi l’accès aux données en cas de perte ou de vol. Mais encore faut-il qu’il soit suffisamment compliqué pour ne pas être déchiffré trop facilement. C’est pourquoi il est recommandé d’utiliser des mots de passes complexes – combinant lettres, chiffres, caractères spéciaux et majuscules – et qui ne reprennent pas non plus des informations personnelles facilement accessibles en ligne, telle que la date de naissance ou le prénom de ses enfants. Il est également important de changer ses codes régulièrement.

Il faut garder en tête que les cybercriminels sont à l’affût de la moindre faille à exploiter pour récolter des gains et cherchent très souvent à récupérer des informations bancaires. C’est pourquoi les internautes doivent à tout prix éviter de sauvegarder leurs coordonnées bancaires dans leurs terminaux, quels qu’ils soient. A titre d’exemple, beaucoup d’utilisateurs PayPal ont perdu de grosses sommes d’argent lorsque des hackers ont réussi à se connecter à leurs PC via un compte TeamViewer piraté et se sont servi des identifiants enregistrés pour transférer l’argent depuis les comptes PayPal.

Les utilisateurs doivent redoubler de vigilance face à un email leur demandant des informations sur leur compte bancaire et se souvenir que les établissements dignes de confiance ne feront jamais de telles requêtes par mail. Il est par ailleurs vivement déconseillé d’ouvrir des fichiers inconnus joints dans un email, car le phishing est l’un des moyens les plus largement utilisés par les hackers pour introduire un virus dans un terminal. Une fois celui-ci compromis, ils peuvent accéder aux informations personnelles ou chiffrer ces données et demander une rançon à la victime pour les rendre de nouveau accessibles.

Les pirates parviennent à créer des e-mails d’hameçonnage très sophistiqués notamment grâce à la collecte d’informations personnelles publiques disponibles sur le web – accessibles sur les réseaux sociaux par exemple. Il est alors essentiel pour l’utilisateur de poster le moins d’informations possibles sur Internet ou de s’assurer que celles-ci sont en mode privé. Il est également crucial de supprimer ses comptes s’ils ne sont plus utilisés, car bien qu’abandonnés, ces profils restent en ligne et des personnes malintentionnées pourraient usurper l’identité de l’internaute ou nuire à sa réputation en ligne en utilisant des informations sensibles contre lui.

La protection de la vie privée et des données personnelles (vol de ses données personnelles) implique une modification du comportement des internautes à commencer par de meilleures méthodes de gestion de mots de passe, une vigilance accrue sur leur utilisation d’Internet et des informations personnelles partagées publiquement – comme sur les réseaux sociaux. Au-delà des bonnes pratiques, il existe des solutions qui répondent aux problématiques liées à la vie privée. Cependant face aux menaces, il n’appartient qu’à nous de nous discipliner et de tout mettre en œuvre pour protéger nos données personnelles.

Piratage d’utilisateurs de TeamViewer : la faute aux utilisateurs

Un nombre conséquent d’utilisateurs de TeamViewer se sont plaints du piratage de leur compte. La société américaine indique que les utilisateurs sont responsables… de leur négligence.

De nombreuses sociétés Internet comme Reddit ont dû modifier les mots de passe de certains de leurs utilisateurs, 100.000 pour Reddit, à la suite du piratage massif des données de Myspace, LinkedIn… Pourquoi ? Les utilisateurs exploitaient le même mot de passe sur différents supports numériques. Autant dire du pain béni pour les pirates. Parmi les victimes, le fondateur de Facebook. Lui, il cherchait doublement les ennuis, son mot de passe n’était rien d’autre que « dadada« . Bref, à force de penser que cela n’arrive qu’aux autres, le danger vous tombera dessus, un jour ou l’autre, et plus rapidement que vous pourriez le penser.

TeamViewer, l’outil qui permet de se connecter sur un ordinateur, à distance, vient d’alerter ses utilisateurs. Un grand nombre de clients TeamViewer s’étaient plaints du piratage de leur compte. L’entreprise a utilisé le terme de « négligence » pour définir les récents problèmes.

TeamViewer a mis en place, la semaine dernière, un nouveau système de sécurité pour renforcer les connexions : la double authentification. Le porte-parole de TeamViewer a indiqué que le développement des outils de sécurité avait commencé, il y a quelques semaines, lorsque les premiers rapports de vols de compte ont émergé du web.

Espionnage : Facebook et le microphone de votre appareil mobile

Facebook a fermé les rumeurs selon lesquelles il utilise le microphone de votre appareil mobile pour écouter les conversations afin de mieux cibler les annonces publicitaires qu’il commercialise.

Microphone de votre appareil mobile utilisé par Facebook ? Dans un communiqué publié le 2 Juin, Facebook a déclaré qu’il « n’utiliser pas le microphone de votre téléphone mobile pour analyser et diffuser des annonces publicitaires ou pour changer ce que vous voyez dans les nouvelles diffusées par RSS. » La compagnie explique de montrer que des annonces basées sur les intérêts des utilisateurs et d’autres informations diffusées par les utilisateurs. Facebook répond directement aux allégations formulées par Kelli Burns, professeur de communication à l’Université de Floride du Sud. Burns pensait que Facebook avait secrètement mis sur écoute les conversations de ses utilisateurs. Si l’idée est loin d’être farfelue, après tout Google enregistre bien votre voix lors de l’utilisation de la recherche vocale, Facebook réclame un accès au micro pour enregistrer le son des vidéos. C’est l’utilisateur qui lui donne l’autorisation. A noter que des appareils tels que l’Echo d’Amazon ou encore certaines nouvelles télévisions connectées écoutent, non stop leurs utilisateurs.

Le ransomware : une histoire de business criminel

Le ransomware est un modèle économique criminel, et non un problème de malware.

L’Unité 42 publie sa dernière analyse en date sur les ransomware, qui représentent l’une des cybermenaces les plus sérieuses auxquelles sont aujourd’hui confrontées les entreprises aux quatre coins du monde. Véritable modèle économique, le ransomware, ou rançongiciel, se révèle extrêmement efficace pour enrichir les cybercriminels tout en causant un préjudice opérationnel significatif aux entités touchées. Il ne fait pas de distinction entre ses victimes, sévit partout dans le monde et frappe les principaux marchés verticaux. Petites structures, grandes entreprises, particuliers : tous sont des cibles potentielles.

Si les rançongiciels existent, sous diverses formes, depuis plusieurs décennies, les criminels en ont perfectionné les principaux aspects au cours de ces trois dernières années. Résultat : les nouvelles familles de malware se sont multipliées, rendant cette technique particulièrement redoutable, et de nouveaux acteurs prennent aujourd’hui part à ces procédés très lucratifs.

Pour mener à bien une attaque de ce type, un pirate doit se conformer à la procédure suivante :
1.     Prendre le contrôle d’un système ou d’un équipement.
2.     Empêcher le propriétaire de l’équipement contrôlé d’y avoir accès, en partie ou en totalité.
3.     L’avertir que l’accès à son équipement lui sera restitué, moyennant le versement d’une rançon, et lui préciser les modalités de règlement de celle-ci.
4.     Accepter le paiement effectué par le propriétaire de l’équipement.
5.     Restituer au propriétaire un accès intégral à son équipement une fois le paiement perçu.

Si le pirate néglige l’une de ces étapes, il ne parviendra pas à ses fins. Bien que le concept de ransomware existe depuis plusieurs décennies, la technologie et les techniques requises pour s’acquitter de ces cinq étapes à grande échelle étaient encore inaccessibles il y a quelques années. La déferlante d’attaques imputables à l’exploitation de cette procédure a eu des répercussions sur les entreprises du monde entier qui, pour nombre d’entre elles, n’étaient pas préparées à les esquiver.

Multiplication des plates-formes
Les rançongiciels ont d’ores et déjà migré de Windows à Android, et un cas sous Mac OS X a été recensé. Aucun système n’est à l’abri de ce genre d’attaques, et tout équipement susceptible d’être détourné pour faire l’objet d’une demande de rançon sera une cible à l’avenir. Ce phénomène s’affirmera encore avec l’essor de l’Internet des objets (IoT). Si un pirate est en mesure d’infecter un réfrigérateur connecté à Internet, peut-être est-il plus délicat de monnayer cette intrusion. Pourtant, le modèle économique du ransomware peut s’appliquer à ce cas de figure, et plus largement, à partir du moment où le pirate est en mesure de s’acquitter des cinq étapes citées pour mener à bien ce type d’attaque. Une fois le réfrigérateur infecté, le pirate en question pourrait parfaitement désactiver à distance le circuit de refroidissement et ne le réactiver qu’en contrepartie d’un petit pécule versé par la victime.

Rançons très élevées
Dans le cadre d’attaques mono systèmes de type ransomware, des rançons allant de 200 à 500 $ sont exigées, mais les montants peuvent être nettement plus élevés. Si des pirates réalisent avoir compromis un système stockant de précieuses informations, et que l’entité infectée a les moyens de payer, ils reverront à la hausse le montant de leurs exigences. Nous avons d’ores et déjà constaté ce phénomène avec plusieurs attaques ultra-médiatisées dirigées contre des hôpitaux en 2016 : les rançons acquittées dépassaient largement les 10 000 $.

Attaques ciblées avec demande de rançon
Une intrusion ciblée sur un réseau s’avère intéressante pour un pirate à plus d’un titre. La revente ou l’exploitation d’informations dérobées est une technique usuelle, mais qui nécessite souvent une infrastructure « back-end » supplémentaire et des préparatifs pour pouvoir les monnayer. Les attaques ciblées avec ransomware représentent un réel potentiel pour ces pirates susceptibles de ne pas savoir comment autrement monétiser leur intrusion. Une fois le réseau infiltré, rien ne les empêche d’isoler des fichiers très lucratifs, bases de données et systèmes de sauvegarde, puis de crypter simultanément l’ensemble de ces données. De telles attaques, qui font appel au logiciel malveillant SamSa, ont d’ores et déjà été observées et se sont révélées très rentables pour les adversaires les exécutant.

Football : Euro 2016 et sécurité informatique

Euro 2016 – Les événements sportifs mondiaux ont toujours constitué un terrain de chasse idéal pour les cybercriminels. L’Euro 2016, qui débute le 10 juin prochain, ne devrait pas déroger à la règle.

Euro 2016 – Voici quelques éléments clés à retenir, amateur de football, de l’Euros 2016 ou non. Se méfier du spam et autre fausses « bonnes affaires » (places pour assister aux matchs à des prix défiant toute concurrence, par exemple). Ces mails peuvent contenir une pièce jointe infectée contenant un malware accédant au PC et interceptant les données bancaires des internautes lorsqu’ils font des achats en ligne. Ils peuvent également contenir un ransomware, qui verrouille et chiffre les données contenues dans le PC et invite les victimes à verser une rançon pour les récupérer.

Détecter les tentatives de phishing (vente de tickets à prix cassés voire gratuits, offres attractives de goodies en lien avec l’évènement,…) en vérifiant l’URL des pages auxquelles le mail propose de se connecter et en ne communiquant aucune information confidentielle (logins/mots de passe, identifiants bancaires, etc.) sans avoir préalablement vérifié l’identité de l’expéditeur.

Être prudent vis à vis du Wi-Fi public pour éviter tout risque de fuite de données, par exemple en désactivant l’option de connexion automatique aux réseaux Wi-Fi. Les données stockées sur les smartphones circulent en effet librement sur le routeur ou le point d’accès sans fil (et vice-versa), et sont ainsi facilement accessibles.

Redoubler de vigilance vis-à-vis des mails invitant à télécharger un fichier permettant d’accéder à la retransmission des matchs en temps réel. Il s’agit en réalité de logiciels malveillants qui, une fois exécutés, permettent d’accéder aux données personnelles stockées dans le PC (mots de passe, numéro de CB, etc.) ou utilisent ce dernier pour lancer des procédures automatiques comme l’envoi de mails massifs. (TrendMicro)

25 bases de données piratées diffusées sur la toile

25 bases de données piratées diffusées sur Internet par un pirate. De la promo vente sur le dos de millions d’internautes. Des Français concernés.

Le 18 mai dernier, un pirate informatique a décidé de diffuser sur Internet 25 bases de données piratées. Les cibles de ce malveillant numérique courent de 2014 à 2016. J’ai pu constater de nombreuses informations de Français enregistrées dans les bases de données volées aux sites 000webhost, Vodaphone, SnapChat, BlackHatWorld pour ne citer qu’eux.

La plus récente des BDD concerne le site LinuxMint, piraté en 2016. Le pirate a diffusé les contenus non pas par beauté du geste, il n’y en a aucun dans tous les cas, mais par intérêt économique. D’abord il diffuse son compte Bitcoin, histoire de s’attirer les donateurs, mais aussi les clients qui pourraient lui commander d’autres données, via les informations qu’il garde en secret, dans son ordinateur. Il met aussi en pâture des bases de données qu’il n’a plus besoin. Des millions de datas ponctionnées, vidées, revendues dans le black market, depuis des semaines.

Ransomwares : règles pour ne pas finir chiffré

Le ransomware est un logiciel malveillant qui infecte les équipements connectés, les réseaux et les centres de données. Ces derniers ne peuvent plus être utilisés tant qu’une rançon n’a pas été payée pour débloquer les systèmes infectés. Des attaques qui se sont démultipliées ces derniers mois.

Le ransomware existe depuis au moins 1989, à l’époque où le cheval de troie “PC Cyborg” cryptait des dossiers sur un disque dur et forçait les utilisateurs à payer 189 $ pour les récupérer. Depuis, les attaques de type ransomware sont devenues beaucoup plus sophistiquées, ciblées, et bien sûr lucratives. Même si ce protéger est dès plus simple (réflexion, éducation, anticipation), les attaques ont démontré que les internautes n’étaient toujours pas prêts face à un courriel mystérieux.

L’impact et la toxicité d’un ransomware sont difficiles à évaluer, car de nombreuses sociétés choisissent tout simplement de payer pour récupérer leurs données, une démarche qui n’est pas toujours la plus pertinente. Un rapport portant sur la campagne liée au ransomware Cryptowall v3, datant d’octobre 2015 et réalisé par la Cyber Threat Alliance, estimait que le coût engendré par cette seule attaque d’envergure ressortait à 325 millions de dollars.

Un ransomware utilise des modi operandi différents. Un crypto ransomware peut contaminer un système d’exploitation au point d’empêcher l’équipement de démarrer. D’autres ransomware vont crypter un lecteur ou un ensemble de fichiers et de dossiers. Certaines variantes, particulièrement malveillantes, disposent d’un minuteur qui déclenche la suppression des fichiers jusqu’au paiement de la rançon. Quelle que soit la variante, les ransomware exigent le règlement d’une rançon afin de débloquer ou libérer les systèmes informatiques, fichiers ou données verrouillés ou chiffrés.

Comment est-on infecté ?

Un ransomware peut être inoculé de différentes manières, mais, le plus souvent, il prend la forme d’un fichier infecté joint à un email. Par exemple, aujourd’hui, vous avez peut-être reçu un email prétendument envoyé par votre banque. Il comporte le bon logo, des liens URL vers votre véritable banque et votre nom. Le message vous indique qu’une activité suspecte a été détectée sur votre compte bancaire, et que vous devez installer le fichier joint à l’email afin de vérifier vos codes d’accès à votre compte en ligne. Ces vérifications semblent légitimes, mais il s’agit, en réalité, d’une attaque par phishing.

Vous le savez : aucune banque ne se permettrait d’envoyer un fichier à installer, surtout s’il s’agit de vérifier vos identifiants d’accès bancaire. En réalité, le document joint est vérolé par un ransomware dont l’objectif est de s’installer sur votre système d’exploitation si vous cliquez dessus.

Les documents joints aux emails ne constituent néanmoins pas les seuls leviers de contamination. Le téléchargement “drive-by” en est un autre : l’utilisateur visite un site web infecté et télécharge furtivement un logiciel malveillant qui s’installe à l’insu de l’utilisateur. Le ransomware se propage également via les réseaux sociaux ou les applications web de messagerie instantanée. Enfin, récemment, ce sont des serveurs web vulnérables qui ont été exploités pour servir de point d’entrée vers le réseau d’une entreprise.

Comment ne pas se faire piéger ?

Voici dix conseils pour protéger vos données et celles de votre entreprise des ravages d’un ransomware.

1.       Mettre en place une stratégie de sauvegarde et de restauration. Sauvegardez vos données régulièrement et stockez-les offline, sur un équipement autre que celui que vous utilisez.

2.       Utilisez des outils professionnels de sécurité email et web, capables d’analyser les documents joints aux emails, les sites web visités, les fichiers infectés par des logiciels malveillants, et qui peuvent bloquer des publicités potentiellement dangereuses, ainsi que l’accès à des sites et réseaux sociaux qui ne présentent aucun intérêt dans le cadre du travail. Ces outils doivent intégrer les fonctionnalités d’une sandbox de manière à ce qu’un fichier, nouvellement identifié ou non reconnu, puisse être exécuté et analysé dans un environnement sécurisé et cloisonné.

3.       Faites en sorte que vos systèmes d’exploitation, équipements et logiciels soient patchés et à jour.

4.       Assurez-vous que vos équipements, antivirus réseau, systèmes de prévention d’intrusion et outils antimalware bénéficient des mises à jour les plus récentes.

5.       Si possible, utilisez une liste d’applications qui empêchera les applications non conformes d’être téléchargées ou exécutées.

6.       Segmentez votre réseau en zones de sécurité, pour empêcher une infection présente dans une zone de se propager à d’autres.

Établissez et appliquez des autorisations et privilèges d’accès, de manière à ce qu’un nombre restreint d’utilisateurs présente le potentiel de contaminer les applications métiers, les données ou les services critiques.

8.       Établissez et mettez en vigueur une politique de sécurité qui va encadrer le BYOD (Bring your Own Device), afin d’inspecter et de désactiver les dispositifs non conformes à vos exigences de sécurité (absence d’anti-malware, signatures antivirales périmées, systèmes d’exploitation non patchés, etc.).

9.       Déployez des outils d’analyse post-incident pour analyser, suite à une attaque, l’origine de la menace, le délai de présence (et donc de nocuité) du logiciel malveillant au sein de votre environnement, la suppression réelle de la menace de chaque équipement et garantir que cette mésaventure ne peut se reproduire.

10.   ESSENTIEL: ne comptez PAS sur vos collaborateurs pour assurer la sécurité de votre entreprise. Même s’il est important de les sensibiliser davantage à la sécurité aux travers de formations (afin qu’ils apprennent à ne pas télécharger de fichiers, cliquer sur des pièces jointes à des emails suspects ou sur des liens internet non sollicités). L’être humain reste le maillon faible de votre chaîne de sécurité, et vous devez en tenir compte.

En effet, pour nombre de vos collaborateurs, cliquer sur des documents joints et faire des recherches sur Internet font partie de leur travail. Il est difficile d’être toujours méfiant. D’autre part, les attaques de type phishing sont devenues très convaincantes. Une attaque par phishing ciblée se sert de données disponibles en ligne et de profils sur les réseaux sociaux pour personnaliser son approche. Notons également qu’il est humain de cliquer naturellement sur une facture inattendue à régler, ou sur un message d’alerte provenant de votre banque. Enfin il ressort de nombreuses études que les utilisateurs ont le sentiment qu’assurer la sécurité est le travail de quelqu’un d’autre, mais certainement pas le leur.

Que faire si vous êtes contaminé ?

Si vous disposez d’une sauvegarde récente de vos données : vous pouvez effacer le contenu de votre équipement et procéder à la restauration.

1. Signalez le délit

Une recherche rapide en ligne vous mènera vers le site où signaler les cybercrimes dans votre pays ou région. En Europe, vous pouvez localiser le site de signalement des cybercrimes de votre pays à cette adresse.

2. Payer une rançon ne constitue pas une garantie

Payer une rançon ne garantit pas la restitution des fichiers. Les escrocs, en revanche, perçoivent les fonds et, dans certains cas, disposent des informations bancaires de leur victime. De plus, décrypter des fichiers ne signifie pas que le phénomène de contagion lié au logiciel malveillant a été éradiqué.

3. Faites appel à des experts

De nombreux systèmes d’exploitation, logiciels et solutions de sécurité sont fournis pas des acteurs qui comptent dans leurs équipes des experts capables de vous prodiguer des conseils sur la manière de réagir en cas d’infection. Des sociétés de services peuvent également vous proposer de réaliser des expertises post-incident et accélérer la reprise suite à un tel sinistre.

4. Prévoyez un plan B

Que faire si vos systèmes informatiques ou réseaux sont indisponibles ? Disposez-vous d’un plan de secours ? Pouvez-vous assurer le bon déroulement des opérations, même en mode restreint, pendant le processus de restauration ? Connaissez-vous le coût horaire subi par votre entreprise en cas d’indisponibilité système ? Ce coût est-il intégré à votre budget informatique ? Autant d’informations qui doivent être prises en compte dans votre politique de sécurité.

Bref, la cybercriminalité est une entreprise à but lucratif générant des milliards de revenus. Avec le même objectif que la plupart des entreprises, les cybercriminels sont très motivés quand il s’agit de trouver des moyens de s’enrichir. Mais contrairement aux entreprises, la fin justifie les moyens. Les cybercriminels misent sur des subterfuges, l’extorsion de fonds, des attaques, des menaces et des techniques d’ingénierie sociale pour accéder à vos données critiques et vos ressources.

Le ransomware n’est guère nouveau mais son récent essor, sa sophistication et sa rapidité de frappe soulignent une tendance orientée à la hausse et une volonté d’identifier de nouveaux moyens d’escroquer les particuliers et les entreprises qui sont en ligne.

Maintenant, plus que jamais, la sécurité n’est pas juste un élément à rajouter à votre métier. Elle est devenue indispensable pour mener vos opérations. Faites en sorte d’établir des partenariats avec des experts en sécurité qui comprennent que la sécurité ne se résume pas à activer un boîtier dans un centre de données. Il s’agit, au contraire, d’un ensemble de technologies intégrées et collaboratives, associé à une politique de sécurité efficace et à une approche par étapes qui prend en compte les phases de préparation, de protection, de détection, de réaction et d’apprentissage.

Les solutions de sécurité doivent pouvoir partager leurs informations de veille sur les menaces et neutraliser rapidement toute menace à l’échelle de votre environnement multisite. Elles doivent être intégrées au cœur de votre réseau et vous protéger de manière transparente et sur le long terme, à mesure que votre réseau évolue et se développe. Ces solutions doivent savoir s’adapter rapidement lorsque de nouvelles menaces apparaissent et, bien sûr, ne pas ralentir vos activités métiers au quotidien. (Guillaume Lovet, expert en cybercriminalité chez Fortinet)

Facebook is watching you : système biométrique efficace

Depuis 2010, Facebook propose à ses utilisateurs un système de reconnaissance faciale qui permet de gagner du temps dans le « taguage » des personnes qui sont sur les photos. Sous couvert d’une nouvelle fonctionnalité, c’est un véritable dispositif biométrique qui a été mis en œuvre car il permet d’identification d’un individu à partir d’une simple photographie de son visage.

En Californie, trois utilisateurs ont reproché au réseau social n°1 d’avoir « secrètement et sans leur consentement » collecté des « données biométriques dérivées de leur visage ». Ces plaintes ont été jugées recevables par le juge James Donato qui « accepte comme vraies les allégations des plaignants » et juge « plausible » leur demande.

Au sein de l’Union européenne, le danger a rapidement été perçu s’agissant du système de reconnaissance faciale de Facebook qui l’a suspendu en 2012. Mais aux Etats-Unis, bien moins vigilants, cette fonctionnalité a perduré et il apparait bienvenu que la Justice y réagisse enfin. Facebook a constitué des profils qui répertorient les caractéristiques du visage de ses utilisateurs, leur cercle d’amis, leurs goûts, leurs sorties, etc. Avec plus de 3 milliards d’internautes dans le monde, cela revient à ce qu’environ 28% de la population ait un double virtuel rien que sur Facebook.

Facebook is watching you : Reconnaissance faciale, intelligence artificielle et atteinte aux libertés
Eu égard à leur grand potentiel discriminatoire, les données biométriques sont strictement encadrées par la loi du 6 janvier 1978 puisque d’après son article 25, une autorisation préalable de la Commission nationale de l’informatique et des libertés est indispensable pour  mettre en œuvre des « traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ». Cela regroupe l’ensemble des techniques informatiques qui permettent d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales.

Les conditions générales d’utilisation de Facebook ne sont pas donc pas conformes à la législation française sur les données personnelles, notamment s’agissant de la condition de consentement préalable, spécifique et informé au traitement des multiples données à caractère personnel collectées. Mais le géant de l’internet ne répond qu’à l’autorégulation. Par opposition à la règlementation étatique, la régulation n’entend prendre en compte que la norme sociale, c’est-à-dire l’état des comportements à un moment donné. Si la norme sociale évolue, alors les pratiques de Facebook s’adapteront.

Vers une remise en cause mondialisée des abus de Facebook ?
L’affaire pendante devant les Tribunaux met en lumière le manque de réactivité des américains face aux agissements de Facebook. C’est seulement au bout de 5 années que la Justice s’empare de la question des données biométriques à l’initiative de simples utilisateurs, alors même qu’une action de groupe à l’américaine d’envergure aurait pu être engagée pour mettre sur le devant de la scène les abus de Facebook.

Néanmoins, « mieux vaut tard que jamais » et l’avenir d’une décision répressive  ouvre la porte vers de nouveaux horizons pour l’ensemble des utilisateurs. En effet, Facebook prend comme modèle pour toutes ses conditions générales d’utilisation à travers le monde la version américaine de « licencing ». Plus Facebook se verra obligé dans son pays natal à évoluer pour respecter les libertés individuelles des personnes inscrites, plus on s’éloignera du système tentaculaire imaginé par Mark Zuckerberg qui n’est pas sans rappeler celui imaginé par Georges Orwell dans son roman 1984.

Par Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II). Il est le fondateur du cabinet d’avocats ACBM.

Générer un mot de passe indéchiffrable, possible ?

A l’occasion de la Journée du Mot de Passe, les meilleurs conseils aux utilisateurs pour éviter que leurs codes secrets ne soient découverts.

Le 5 mai était la Journée Mondiale du Mot de Passe. Une idée marketing lancée par des éditeurs de solution de sécurité informatique. Pour marquer cette date d’une pierre blanche, plusieurs éditeurs ont analysé les habitudes des utilisateurs. Avast Software par exemple propose des recommandations pour créer et protéger des mots de passe indéchiffrables.

Créer des mots de passe fiables et les modifier fréquemment
Une actualité ponctuée d’histoires comme celles de la faille d’Ashley Madison, le site de rencontres extra-conjugales, démontre que les gens n’utilisent pas correctement leurs mots de passe. Les utilisateurs ne créent pas de codes assez fiables et il est certain qu’ils ne les changent pas régulièrement – même face au risque de voir leurs données sensibles et leurs potentielles frasques exposées, ou leur mariage brisé. Les utilisateurs créent des mots de passe facilement déchiffrables souvent par manque d’information ou par paresse, en témoigne la liste des codes les plus souvent utilisés compilée par les chercheurs. Dans le top 10 :

1.       123456
2.       123456789
3.       password
4.       101
5.       12345678
6.       12345
7.       Password1
8.       qwerty
9.       1234
10.      111111

Cette liste comprend les mots de passe les plus simples, tels que 123456, password, et qwerty. D’autres se retrouvent plus bas dans la liste comme iloveyou (#19) ou trustno1 (#57) – une ironie pour un code figurant dans la liste des mots de passe les plus populaires. « Certains pensent qu’une liste de mots de passe seuls qui fuite en ligne n’est pas un problème – cependant, environ 50 % de ces mots de passe étaient associés à une adresse mail, déclare le chercheur d’Avast Michal Salat. Nous savons que les gens utilisent les mêmes combinaisons de mails et de mots de passe pour différents comptes. C’est pourquoi si un hacker connait le mot de passe de votre profil Ashley Madison, il connaitra également celui de votre Facebook, Amazon, eBay, etc. »

Comment créer des mots de passe fiables ?

Il n’y a pas de meilleure occasion que le 5 mai pour commencer à changer ses habitudes et protéger ses codes. Voici quelques conseils pour garder un mot de passe fiable et sécurisé. Je vais être honnete avec vous, si vous ne prenez pas 5 minutes pour réfléchir à votre sécurité et à la bonne gestion de vos précieux, passez votre chemin !

Domus tutissimum cuique refugium atque receptaculum sit

·         Créer des mots de passe longs et complexes. Il suffit de reprendre une phrase d’un livre que vous aimez. N’oubliez pas d’y placer quelques chiffres, majuscules et signes de ponctuations.
·         Utiliser un mot de passe différent pour chaque compte. Lors de les conférences, je fais sortir les clés des participants. Une clé pour chaque porte (voiture, boite aux lettres, maison, bureau…). En informatique, il faut la même régle pour ses mots de passe.
·         Ne pas partager ses mots de passe. C’est peut-être une proposition idiote au premier abord, mais combien de fois, lors d’ateliers que je propose dans les écoles, j’entends le public m’expliquer avoir partager avec son ami, son voisin… sa clé wifi !
·         Changer ses mots de passe régulièrement. Pour mon cas, il change tous les 35 jours. Je ne suis pas à l’abris du vol d’une base de données dans les boutiques, sites… que j’utilise.
·         Utiliser un gestionnaire de mot de passe pour mémoriser ses mots de passe ? Je suis totalement contre. Il en existe beaucoup. Mais faire confiance à un outil dont on ne maîtrise ni le code, ni la sécurité, me parait dangereux. Beaucoup d’utilisateurs y trouvent un confort. L’ensemble de vos mots de passe sont regroupés dans une solution informatique qui chiffre les données. Un seul mot de passe est requis pour utiliser n’importe quel compte sauvegardé. Bref, vaut mieux ne pas perdre ce précieux cerbére !
·         Verrouiller son matériel avec un mot de passe. Les systèmes existent. utilisez les. Je croise bien trop d’ordinateur s’ouvrant d’une simple pression sur la touche « Entrée ».
·         Activer la double-authentification ou l’authentification forte. Indispensable aide. Téléphone portable, sites Internet, Facebook, Twitter… La double authentification renforce l’accès à vos espaces. En cas de perte, vol, piratage de votre précieux. Sans la double authentification, impossible d’accèder à vos données.

De son côté TeamViewer rappele aussi qu’il est déconseillé de fournir des informations personnelles identifiables : Utiliser plusieurs mots de passe forts peut impliquer quelques difficultés de mémorisation. Aussi, afin de s’en souvenir plus facilement, beaucoup d’utilisateurs emploient en guise de mot de passe des noms et des dates qui ont une signification personnelle. Les cyber-délinquants peuvent cependant exploiter des informations accessibles publiquement et des comptes de réseaux sociaux pour trouver ces informations et s’en servir pour deviner les mots de passe.

Social Engineering : les cybercriminels profitent de la nature humaine

Les cybercriminels profitent de la nature humaine, révèle l’édition 2016 du rapport Data Breach Investigations Report de Verizon.

L’édition 2016 du rapport Data Breach Investigations Report de Verizon montre que les cybercriminels recourent à des schémas d’attaques familiers et exploitant les failles de la nature humaine, notamment à travers des méthodes de phishing et de ransomware.

Plusieurs tendances remarquées les années précédentes se stabilisent et restent valables, parmi lesquelles :

  • On retrouve des motivations financières ou d’espionnage dans 89% de toutes les attaques
  • Dans la plupart des cas, ce sont des vulnérabilités connues et non corrigées qui sont exploitées, alors que des correctifs existent et sont disponibles depuis des mois voire des années. Les 10 vulnérabilités connues les plus fréquentes se retrouvent dans 85% des cas de compromissions réussies.
  • 63% des compromissions de données avérées sont imputables à l’utilisation de mots de passe volés, faciles à deviner ou de mots de passe par défaut qui n’ont pas été modifiés
  • 95% des cas de compromissions et 86% des incidents de sécurité ont été perpétrés en suivant l’un ou l’autre des neuf scénarios recensés comme les plus fréquents
  • Les attaques par ransomware augmentent de 16% par rapport à 2015
  • Il est navrant de constater que des mesures de défense pourtant basiques font toujours défaut dans de nombreuses entreprises

« Les entreprises, forces de sécurité et organisations gouvernementales font preuve d’une volonté forte de devancer les cybercriminels, et le Data Breach Investigations Report revêt pour cela une importance croissante », commente Chris Formant, président de Verizon Enterprise Solutions. « Les contributions et collaborations rassemblées au sein du DBIR, apportées par des organisations du monde entier, sont plus que jamais nécessaires pour bien appréhender l’état des menaces. Et la compréhension est la première étape de l’action. »

Les pratiques de phishing de plus en plus préoccupantes

Les pratiques de phishing, qui font qu’un utilisateur reçoit un e-mail qui lui apparaît légitime de la part d’une source frauduleuse, se sont nettement intensifiées par rapport à l’an dernier. Ce qui est alarmant, c’est que les messages de phishing ont été ouverts dans 30% des cas, contre 23% dans le rapport 2015, et que dans 13% de ces cas le destinataire a aussi ouvert la pièce jointe ou cliqué sur le lien délétère, provoquant l’activation du malware et ouvrant ainsi les portes aux cybercriminels.

Ces dernières années, le phishing était le scénario d’attaque privilégié du cyber espionnage. Il s’est maintenant généralisé, au point d’entrer dans la composition de 7 des 9 scénarios d’incidents les plus fréquents recensés dans l’édition 2016 du rapport. Cette technique d’une grande efficacité présente de nombreux avantages, dont un délai de compromission très court et la possibilité de cibler des individus et des entreprises spécifiques.

A la liste des erreurs humaines s’ajoutent celles commises par les entreprises elles-mêmes. Ces erreurs, labellisées dans la catégorie « Erreurs diverses », constituent le scénario n°1 des incidents de sécurité dans le rapport de cette année. Dans 26% des cas, ces erreurs impliquent l’envoi d’informations sensibles à la mauvaise personne. Mais on trouve aussi d’autres types d’erreurs de la même catégorie : pratiques inappropriées de destruction des informations internes, mauvaise configuration des systèmes IT, et perte ou vol d’actifs de la société, comme les PC portables et smartphones.

La nature humaine : la base d’une attaque informatique

« On peut dire qu’un sujet central est commun aux constatations de ce rapport : l’élément humain », déclare Bryan Sartin, directeur exécutif de l’équipe Verizon RISK à DataSecurityBreach.fr. « Malgré les avancées de la recherche en sécurité informatique et la disponibilité d’outils et de solutions de cyber détection, nous continuons de déplorer les mêmes erreurs depuis plus de dix ans. Alors que faire ? »

Les chercheurs spécialistes de la sécurité de Verizon soulignent aussi la grande rapidité avec laquelle les cybercriminels perpétuent leurs attaques. Dans 93% des cas, il faut à peine quelques minutes à des hackers pour compromettre des systèmes, et dans 28% des cas ils parviennent à exfiltrer des données en quelques minutes seulement.

Comme pour l’édition 2015 du rapport DBIR, les compromissions de terminaux mobiles et d’objets de l’Internet des objets (IoT) ne sont pas très représentées.  Mais le rapport signale qu’il existe bien des tentatives visant à démontrer la faisabilité de ces compromissions (proof of concept), et que ce n’est qu’une question de temps avant qu’une compromission à grande échelle se produise qui impacte les mobiles et terminaux IoT, ce qui signifie que les entreprises ne doivent pas relâcher leur vigilance en termes de protection des smartphones et des objets de l’IoT.

Il est important de noter également que les attaques d’applications Web sont devenues le vecteur n°1 des cas de compromissions de données, et que 95% des compromissions d’applis Web avaient des motivations financières.

Progression de l’attaque en trois volets

L’édition 2016 du rapport alerte sur le risque d’être victime d’un nouveau type d’attaque en trois volets qui se répète avec une grande régularité. De nombreuses entreprises ont fait les frais de telles attaques :

  • La nature humaine – Envoi d’un e-mail de phishing avec un lien pointant vers un site web malveillant ou une pièce jointe infectée
  • Un malware est téléchargé sur le PC de la victime et il ouvre la voie à d’autres malwares utilisés pour rechercher des informations secrètes et confidentielles à usurper (cyber espionnage) ou pour chiffrer des fichiers en vue de demander une rançon. Très souvent, le malware vole les identifiants d’accès à diverses applications au moyen d’enregistreurs de frappe.
  • Les droits d’accès dérobés servent à s’infiltrer davantage et perpétrer de nouvelles attaques : se connecter à des sites web de tiers, de banque en ligne ou de e-commerce, par exemple.

« L’objectif est de comprendre le mode opératoire des cybercriminels », déclare Bryan Sartin à datasecuritybreach.fr. « C’est en maîtrisant les scénarios des attaques que nous pourrons mieux les détecter, les prévenir et y répondre. » Téléchargez le rapport.

Cybersécurité & Génération Z : entre confiance et insouciance

Entre confiance et insouciance – Une enquête menée par l’APSSIS auprès d’un panel d’adolescents montre comment la génération Z, omni connectée par nature, envisage la notion de confidentialité, en particulier s’agissant de ses données personnelles de santé. Entre confiance et insouciance, les adolescents redessinent certainement les contours de la confidentialité et seront peut-être les futurs clients connectés et dociles des mutuelles et assureurs 3.0.

L’APSISS, l’Association pour la Promotion de la Sécurité des Systèmes d’Information de Santé, publie les résultats d’une enquête réalisée auprès d’adolescents sur leur relation avec la protection des données, en particulier les données liées à leur santé.

Menée sur un panel de 204 jeunes scolarisés en classe de seconde, l’enquête a permis de dégager plusieurs enseignements qui viennent bouleverser notre vision de la notion de confidentialité.

Relation à Internet : entre confiance et insouciance
Plus de la moitié des adolescents interrogés déclarent faire confiance à Internet. Et, ils sont nombreux à utiliser leur propre identité pour s’y afficher et à y livrer des informations personnelles. Pourtant, « découvrir des photographies de la maison familiale sur des réseaux sociaux n’amuse pas les parents », confie Damien Bancal, spécialiste du cybercrime et contributeur de l’enquête APSSIS. « La majorité des parents ne savent pas que leurs enfants n’ont pas un, mais des espaces Facebook. (…) Le record, pour une jeune Lilloise de 12 ans : 14 comptes différents. »

Et si 32 % des jeunes interrogés déclarent avoir déjà été confrontés à des problèmes sur Internet (vol de données, harcèlement, confidentialité), ils restent néanmoins attirés par les plateformes de partage, comme le montre la croissance de l’usage des réseaux tels que Snapchat, Pinterest, Instagram…. 88 % d’entre eux, savent en outre que toutes les données qu’ils publient sont conservées sur Internet, et ils sont 62% à penser que cela ne pose aucun problème.

« Il est d’ailleurs intéressant de leur demander s’ils savent où sont stockées leurs données sauvegardées par leur montre connectée », s’amuse Damien Bancal. « Les adolescents (…) pensaient que ces informations n’étaient stockées qu’à leur poignet ».

Les données de santé moins sensibles que les données bancaires !
Selon les adolescents interrogés, les données bancaires et de santé ne font pas l’objet du même enjeu de protection. En effet, 77,5% estiment que leurs données de santé sont moins importantes que leurs données bancaires. « Est-ce parce qu’ils sont habitués à partager de nombreuses informations personnelles via leurs applications, sans trop se soucier des risques, et certains qu’elles sont protégées, qu’ils n’envisagent pas la même nécessité de protection pour leurs informations médicales ou de bien être ? », s’interroge Vincent Trély, Président de l’APSSIS.

Par ailleurs, 79% des adolescents du panel se disent plutôt d’accord avec le principe de partager leurs données de santé, avec leur mutuelle ou leur assureur au travers des applications et objets connectés qui les collecteront et ce, dans la perspective d’obtenir des tarifs adaptés à leur cas particulier.

entre confiance et insouciance : La notion de confidentialité remise en question
Il y a ceux qui font confiance au médecin (45 répondants) et à l’Etat (27 répondants) pour se charger du problème de confidentialité des données, et les autres, à la fois inquiets (76 répondants) et qui ignorent comment fonctionnent Internet et les applications collectant leurs données (84 répondants). Ce qui se cache derrière les applications qu’ils utilisent, notamment en termes de gestion de la vie privée, cela ne les intéresse pas (57 répondants). « Globalement, ils semblent peu curieux d’en savoir plus », note Vincent Trély. « Une fois l’inquiétude passée, c’est le service rendu par l’application qui prévaut ».

« Les conclusions de cette étude doivent nourrir notre réflexion et apporter quelques paramètres issus du réel à la conception traditionnelle que nous avons de la confidentialité. Le deal sera simple : la mise à disposition des données est par principe acquise, en fonction du bénéfice qu’apportera l’application collectrice. Nous serons tracés, géo localisés et nos données intimes seront agrégées par des plates-formes privées, mais nous serons d’accord. Car le retour sur investissement nous sera favorable. Il est également certain que la nouvelle génération prendra conscience de la valeur de ses données personnelles et décidera de les monnayer… Après tout, si la matière, ce sont les données, il serait bien légitime de rémunérer leur production » analyse Vincent Trély, Président de l’APSSIS. Pour recevoir l’étude complète : secretaire@apssis.com

Fraude au président : 2 millions de dollars volés, il attaque ses associés

Fraude au président : 2 millions de dollars volés à un ancien employé de Lehman Brothers, une banque d’investissement multinationale.

Ce qui est bien avec le public dit « en col blanc » est qu’il n’écoute pas. On pourrait penser, à la suite des centaines de piratages médiatiques qu’une banque d’affaire, et donc ses employés, sont au fait de la sécurité informatique. Je les vois ses « stages » coutant des milliers d’euros de sensibilisation. Sensibilisations effectuées, dans la plupart des cas, par des gens qui ne connaissent du terrain numérique, que les heures de bureau qu’ils lui allouent.

Bref, normalement, un phishing et une fraude au président, cela ne doit plus exister chez nos banquiers. Le cas de Robert Millard, ancien codirigeant de la banque d’investissement multinationale Lehman Brothers a de quoi faire sourire. L’homme de « pouvoir » et « d’argent » a fait un virement de 1.938.000 dollars pour un achat d’appartement qu’il était en train d’orchestrer. Une jolie studette à 20 millions de dollars, à New York. Sauf que le virement a été effectué à destination d’un arnaqueur. L’escroc a piraté l’agence immobilière de Millard, son compte mail AOL et l’avocat en charge de son immobilier. Personne n’avait remarqué que le nom de l’avocat avait été mal orthographié.

Bilan, le « banquier » volé attaque en justice ce qu’il considère comme les coupables, ses anciens associés, afin de récupérer 200.000 dollars qu’il n’a pu retrouver.

Les agences immobilières sont aussi de belles cibles pour les pirates informatiques. Si vous êtes en train d’acquérir un bien, méfiez-vous de cette demande de changement d’adresse pour le virement bancaire. Je vous expliquais, en mars, comment les professionnels du FoVI, la fraude aux virements bancaires, visaient aussi les locataires de maison et d’appartements en faisant détourner les loyers.

Pendant ce temps…

… nous pourrions penser que les internautes sont maintenant habitués à ne plus cliquer sur n’importe quoi. Qu’ils ont entendu parler des ransomwares. Bref, ils se sont informés sur ces logiciels malveillants de rançonnage, ils sont donc sécurisés. A première vue… non ! Le département de la police de Newark, dans le New-Jersey s’est retrouvé fort dépourvu quand la bise numérique fut venue. Un ransomware activé et les machines des policiers prisent en otage. « Le service de police a indiqué  qu’il n’y avait aucune preuve d’une quelconque violation de données et que l’attaque n’a pas perturbé la prestation des services d’urgence aux citoyens« . Aucunes informations sur les informations chiffrées et à savoir si les données prises en otage ont été retrouvées.

43 heures de communications pirates pour la Ville de Solignac

La commune de Solignac se fait pirater son standard téléphonique. Aucun employé ne s’était rendu compte du problème. L’opérateur va réagir après avoir découvert 43 heures de communications pirates durant le week-end de Pâques.

Que dire ? Les petites et moyennes communes ne prennent pas leur sécurité informatique au sérieux. Le silence est d’or, l’excuse du droit de réserve a bon dos… Le dos de l’argent et des données des contribuables s’envolant à coups de piratages, fuites de données, ransomwares, phreaking…

C’est d’ailleurs du phreaking, piratage dans la téléphonie, qui vient de toucher une commune de la région de Limoges. La Direction Générale de la mairie de Solignac a été alertée par l’opérateur Orange d’un étrange comportement de sa ligne téléphonique. Le pirate est un malin, 43 heures d’appels téléphoniques illicites sur le dos des finances de la ville, entre le samedi après-midi et la nuit du lundi au mardi du week-end de Pâques.

Les phreakers sont particulièrement bien organisés. Je peux en croiser, dans certains blackmarkets,  proposant ce type de service. Durant ces trois jours, 283 appels à destination de l’Azerbaïdjan, le Pakistan, le Liberia, la Somalie,  les Iles Falkland, les Maldives et Haïti. Bref, plusieurs dizaines de milliers d’euros envolés.

Du piratage de standard téléphonique qui n’est pourtant pas une nouveauté. Malheureusement, je croise trop de chefs de service aux égos surdimensionnés, aux titres ronflants et à l’incapacité de gérer l’informatique, la sécurité, ou simplement la communication sur ce type de méfait. Je ne parle même pas des budgets qui se réduisent comme peau de chagrin et des employés territoriaux devenus responsables informatiques par l’effet du Saint-Esprit (comprenez le piston). Je ne généralise pas, mais mes constatations me font dire que cela ne s’arrange pas. En novembre 2015, 43 000 € de détournement téléphonique au Conseil Départemental des Deux-Sévres ; 15 000 à la commune de Pessac, 15 000 pour la commune de Licques… et ici, je ne parle que des cas connus.

Communications pirates : ce que dit la loi

Pour les pirates, la loi est claire : piratage, escroquerie, … entre 5 et 7 ans de prison et jusqu’à 350000 euros d’amende. Pour l’entreprise impactée, il est dorénavant possible de se retourner contre le prestataire de service, l’entreprise qui a pris en charge l’installation du standard. Une jurisprudence condamne les intégrateurs dans la mesure où ces derniers n’ont pas informé et formé leurs clients.

Porn Account : 270000 amateurs de pornos piratés

Un internaute a tenté de revendre les données de 270 000 amateurs de sites pornographiques dans le blackmarket. Le business du Porn Account pour les nuls !

Vous avez peut-être entendu à la radio et lu dans la presse généraliste ce piratage de données ayant visé 270 000 amateurs de sites pornographiques. Un piratage qui a débuté via l’attaque par injection SQL de plusieurs sites pour adultes appartenant au groupe Paper Street Media.

Le pirate a expliqué avoir contacté l’entreprise pour « discuter ». Soyons clair, il a tenté de leur soutirer de l’argent en proposant la faille qui lui a permis d’extraire les informations des clients (IP, mail, mots de passe…).

Paper Street Media n’a pas répondu dans le sens de l’internaute. Bilan, l’adolescent a mis en vente, dans le blackmarket, la base de données volée pour 360 euros. Pourquoi revendre les données dans le BM ? Tout simplement pour que les professionnels du porn account puissent sauter sur l’occasion.

Dans cette même boutique qui aurait servi au pirate à revendre cette base de données [je n’ai pas retrouvé le vendeur], d’autres « commerçants » proposent des accès « piratés » aux sites interdit au – de 18 ans de Paper Street Media pour 9 $. Je vous laisse faire l’addition. Nous sommes très très loin des 360 euros réclamés ! « Je peux me faire entre 300 et 500 dollars par semaine » m’indique un de ces vendeurs de Porn Account croisé dans une boutique spécialisée.

Un pirate russe revend des milliers de comptes du site Naughty America.

A noter que j’ai pu consulter [ci-dessus] un document diffusé par un autre pirate informatique. Ce dernier, il est russe, a mis la main sur 150 000 comptes clients du site pornographique Naughty America. Un injection SQL, une backdoor (shell) dans le serveur et les comptes clients ont fini dans les mains du pirate.

Pendant ce temps…

… le groupe hôtelier Trump est de nouveau piraté. Des logiciels d’espionnage ont été retrouvés dans les ordinateurs des hôtels Trump situés à New York, Toronto et Honolulu. Même type d’attaque vécue en juillet 2015. Cela donne une idée de la gestion de la sécurité informatique de ce groupe. Les pirates visaient les identités et les données bancaires.

En ce qui concerne les numéros de CB, pas besoin d’être intelligent pour comprendre l’intérêt. Achats de produits dématérialisés qui seront revendus moitié prix [blanchir l’argent détourné]… En ce qui concerne les informations dédiées aux identités : fraude bancaire [ouverture de compte], usurpation d’identité, …

Une tentative de piratage oblige une entreprise de transport à fermer ses serveurs

L’autorité des transports publics australienne, qui gère trains, bus et ferries, a du fermer ses sites web et serveurs informatiques internes à la suite d’une tentative de piratage.

Une tentative de piratage a mis en panique totale l’autorité des transports publics australienne. Une tentative malveillante suffisamment sérieuse, à première vue, pour obliger la compagnie à fermer l’accès de l’intégralité de ses sites Internet et serveurs informatiques internes. Bilan, les clients ne pouvaient plus accéder aux informations liées aux bus, trains et bateaux. Les employés ne pouvaient plus utiliser leur compte mail. « Les lignes téléphoniques ne sont pas affectées » annonce la société sur son fil Twitter !

Une fausse société revendait des identifiants de connexion à des Chinois

Identifiants de connexion – Les identifiants et les mots de passe d’environ 18 millions d’utilisateurs d’Internet Japonais retrouvés dans un serveur mis en place par une fausse société. Elle revendait les connexions à des Chinois.

La Nicchu Shinsei Corp., basée dans le quartier de Toshima Ward de Tokyo semblait être une PME nippone comme toutes les autres. Sauf qu’elle fournissait à des Chinois des moyens de se connecter à Internet en usurpant les identités des clients originaire du pays du soleil levant.

La police locale a trouvé sur un serveur informatique de cette entreprise, pas moins de 18 millions de japonais piratés. Nicchu Shinsei Corp. fournissait un serveur de relais pour des accès illicites. 18 millions de données (ID, Mot de passe), ainsi que 1,78 millions de données Twitter, Rakuten… Le nombre de victimes dans cette affaire récente fait de ce piratage le plus grand cas de vol d’informations au Japon. Sur le serveur, un programme automatique tentait illégalement d’accéder aux espaces ainsi compromis.

Des pirates Chinois seraient derrière cette « installation ». Un piratage qui ressemble comme deux goutes d’eau à celui vécu, en 2014. Ici aussi, une autre société avait permis d’intercepter 5.928.290 millions de données personnelles. (Japan News)

Partage de fichiers et phishing

Le partage de fichiers devient le service le plus ciblé par le phishing. Près d’une URL malveillante sur cinq utilise un service de partage de fichiers.

Le phishing via les services de partage de fichiers a explosé au cours des trois derniers mois, classant ainsi les services Cloud de distribution de fichiers en tête de liste des secteurs les plus ciblés par des actions malveillantes, selon une étude de Bitdefender.

À l’échelle mondiale, le partage de fichiers est davantage utilisé pour propager les arnaques de phishing que les achats en ligne et les services de paiement, qui sont les couvertures traditionnellement favorisées par les hackers. Près d’une URL malveillante sur cinq utilise un service de partage de fichiers pour infecter les utilisateurs avec des malwares, comme le montrent ces dernières données Bitdefender.

Le manque d’innovation de cette technique est compensé par sa facilité d’utilisation et la popularité des services de partage de fichiers entre particuliers. L’an dernier, Dropbox a atteint la barre des 400 millions d’utilisateurs ayant stocké 35 milliards de fichiers Microsoft Office, tandis que Google Drive en hébergeait 190 millions en 2014.

Il est également important de noter que les services de partage de fichiers et de stockage dans le Cloud ne disposent pas des fonctions de sécurité pour filtrer les contenus illicites. Les pirates profitent de cette lacune pour dissimuler leurs fichiers infectés par des malwares, sans laisser de trace.

Par exemple, Dropbox n’examine pas les fichiers détenus dans les dossiers privés des utilisateurs. Cependant, ce service a réussi à mettre en place un système basé sur le hachage qui reconnaît le contenu protégé par des droits d’auteur. Cela permet de générer automatiquement une empreinte pour les fichiers stockés. Celle-ci est ensuite comparée avec une liste des empreintes de fichiers protégés par un copyright et les contenus sont bloqués uniquement si les utilisateurs essaient de les partager avec des contacts externes. Sans grande surprise, Dropbox se place au 4e rang des marques les plus usurpées, après PayPal, Apple et Google.

Une attaque typique suit globalement ce procédé : l’utilisateur reçoit un e-mail en apparence authentique, l’invitant à cliquer sur un lien intégré afin d’afficher un document en pièce jointe. Ce lien redirige l’utilisateur vers une page de phishing hébergée sur le nom de domaine du fournisseur. La page en question demande les informations d’identification de l’utilisateur, puis les capture pour envoyer ces données aux cybercriminels via un SSL. Si les certificats SSL s’assurent que les données sur un site Web sont présentées de manière sécurisée, ils ne garantissent pas que le site lui-même soit sécurisé. C’est pourquoi les pirates en profitent : ils achètent des certificats SSL bon marché et les utilisent sur des sites de phishing pour se faire passer pour des sites légitimes.

En général, les cybercriminels ne se limitent pas à vouloir dérober uniquement de simples identifiants de service de stockage en ligne ; les URL malveillantes peuvent, par exemple, pousser les utilisateurs à télécharger des crypto-ransomwares à leur insu. Dans ce cas, les conséquences sont beaucoup plus graves car les nouvelles générations de ransomwares peuvent prendre le contrôle des fichiers stockés par ces services d’hébergement en ligne. La plupart des sites de phishing sont hébergés aux États-Unis.

« Le phishing reste un vecteur d’attaque très efficace, responsable d’une part de plus en plus élevée d’incidents provoquant des fuites de données, touchant aussi bien les particuliers que les entreprises », déclare Bogdan Botezatu, Analyste Senior chez Bitdefender. Le phishing est une technique encore très efficace et dont la proportion connaît des niveaux sans précédent comme l’a récemment souligné l’IRS (Internal Revenue Service) aux États-Unis avec une augmentation de +400% d’e-mails et de messages faussement légitimes, envoyés en 2015.

Si un employé est victime d’un e-mail de phishing, il peut compromettre à son insu l’ensemble du réseau de l’entreprise, y compris les comptes bancaires, mots de passe du système informatique et identifiants professionnels. Le spear-phishing (phishing personnalisé visant un utilisateur) est efficace parce qu’il est crédible. C’est pourquoi il est conseillé aux utilisateurs d’éviter de trop partager leurs données personnelles sur les plates-formes publiques et de ne pas ouvrir de liens et de fichiers provenant de sources inconnues.

Quand le ver est dans la pomme : comment se protéger des ransomwares ?

Les utilisateurs Mac ne sont plus aussi sereins en ce qui concerne la sécurité de leurs données : la première attaque de ransomwares ciblant des terminaux Apple vient d’être répertoriée, confirmant la fin du mythe selon lequel les dispositifs de la célèbre enseigne à la pomme seraient épargnés par le fléau des cyber-attaques.

Bien qu’Apple ait pu identifier rapidement l’origine de l’infection et enrayer sa propagation, les entreprises prennent conscience de la multiplication des risques liés aux nombreux modèles de terminaux accédant à leur système d’information, créant par ce biais autant de nouvelles failles et potentielles vulnérabilités qui ne peuvent pas être ignorées.

Parmi les solutions proposées, la mise à jour des applications – et notamment celle incriminée dans le cadre de ce ransomware – est la première et la plus importante des étapes. Cette première ″cyber-extorsion″ à grande échelle témoigne de la sophistication et de l’accélération de la propagation de ransomware, affectant aussi bien les grandes que les petites entreprises. En général, le ransomware se propage par le biais d’emails d’hameçonnage contenant des pièces jointes corrompues, mais les téléchargements involontaires depuis des sites web ou des logiciels infectés peuvent également lui permettre de s’infiltrer dans le système, comme le prouve la récente attaque sur les périphériques Mac.

Les Mac étaient autrefois considérés comme étant immunisés contre les cyber-attaques, mais la croissance d’Apple au sein des entreprises a transformé les utilisateurs de Mac en une cible toute aussi intéressante que leurs homologues sur PC. La gestion des patchs reste l’un des moyens les plus efficaces de lutter contre les cyber-attaques, y compris dans le cadre de rançongiciels basés sur des programmes de chiffrement appelés ″cryptoransomware″. La mise à jour des correctifs permet en effet de réduire les vulnérabilités connues des logiciels et des réseaux, et ainsi de minimiser les zones d’intervention potentielles des cybercriminels.

Pour se protéger des ransomwares, au même titre que d’autres types de cyber-menaces, les entreprises doivent placer la gestion des patchs comme l’une des priorités de leur stratégie de sécurité, pour contrôler  à la fois les systèmes d’exploitation, Microsoft Office, les applications Adobe, les navigateurs web et les plug-ins de navigation. Grâce à des plateformes centralisées, incluant souvent des fonctionnalités d’automatisation, les entreprises sont aujourd’hui capables de répondre au défi de la multiplication des terminaux en leur sein et d’assurer ainsi la protection de leur système d’information – quels que soient les terminaux utilisés par leurs collaborateurs ou tiers. C’est uniquement à ce prix que les données peuvent être réellement protégées et que  la réputation de l’entreprise peut être préservée. (Par Benjamin DeRose, Directeur des Ventes SEMEA chez HEAT Software)

Malware : Steam Stealer cible des milliers de comptes de joueurs en ligne

Le secteur du jeu en ligne, qui représente un marché estimé à plus de 100 milliards de dollars, n’est pas seulement juteux pour les développeurs et les fabricants. Il l’est aussi pour les cybercriminels. « Steam Stealer » fait partie de ces malwares en constante évolution, responsable du piratage de comptes utilisateurs sur la célèbre plate-forme de jeu Steam. Ayant pour objectif de dérober des objets dans les jeux en ligne et des identifiants de comptes afin de les revendre ensuite au marché noir, ce malware est distribué à des cybercriminels selon le modèle MaaS (Malware as a Service) avec des tarifs extrêmement bas débutant à 30 dollars.

Steam est aujourd’hui l’une des plates-formes de divertissement multi-systèmes d’exploitation parmi les plus populaires. Exploitée par Valve, elle compte plus de 100 millions d’utilisateurs inscrits à travers le monde et propose en téléchargement plusieurs milliers de jeux disponibles. Son succès en fait donc une cible de choix pour les groupes de cyber escrocs, qui peuvent revendre les identifiants d’utilisateurs Steam pour 15 dollars pièce au marché noir. Selon les chiffres officiels récemment publiés par la plate-forme, 77 000 comptes Steam sont piratés et pillés tous les mois.

Un nouveau type de malware, connu sous le nom de « Steam Stealer », est le principal suspect du piratage de nombreux comptes utilisateurs de la plate-forme phare de Valve. Tous deux pensent que ce malware a été développé à l’origine par des cybercriminels russophones car ils ont découvert, sur plusieurs forums clandestins consacrés aux programmes malveillants, de nombreux indices linguistiques qui le laissent penser.

Steam Stealer opère selon le modèle MaaS (Malware as a Service) : il est proposé à la vente dans différentes versions, bénéficiant de fonctionnalités distinctes, de mises à jour gratuites, de manuels d’utilisation, de conseils personnalisés pour la distribution, etc. Alors que le prix de base des « solutions » pour ces types de campagnes malveillantes est habituellement de l’ordre de 500 dollars, les programmes « Steam Stealer » sont ridiculement bon marché, pouvant couramment s’acheter pour à peine 30 dollars, ce qui les rend extrêmement attrayants pour les cybercriminels en herbe du monde entier.

La propagation des malwares Steam Stealer passe principalement, mais pas exclusivement, par des sites Web contrefaits qui les diffusent ou encore par des techniques d’ingénierie sociale consistant à envoyer directement des messages aux victimes.

Une fois le malware implanté dans le système d’un utilisateur, il subtilise l’ensemble des fichiers de configuration de Steam. Il localise ensuite le fichier spécifique Steam KeyValue qui contient les identifiants de l’utilisateur, ainsi que les informations relatives à sa session. Forts de ces informations, les cybercriminels peuvent alors prendre le contrôle de son compte.

Au départ, le piratage de comptes de joueurs était un moyen simple pour les scripts kiddies de faire rapidement des profits en les revendant sur des forums occultes. Aujourd’hui, cependant, les criminels ont réalisé la véritable valeur marchante de ces comptes. Leurs opportunités résident désormais dans le vol et la vente d’objets acquis par les utilisateurs dans les jeux et pouvant valoir des milliers de dollars. Les cyberbandes organisées n’entendent tout simplement pas laisser passer un tel pactole.

Les experts de Kaspersky Lab ont dénombré près de 1 200 échantillons de malwares Steam Stealer différents, responsables d’attaques contre des dizaines de milliers d’utilisateurs à travers le monde. C’est particulièrement le cas en Russie et dans d’autres pays d’Europe de l’Est où la plate-forme Steam est très fréquentée.

La communauté des joueurs est devenue une cible très prisée des cybercriminels. Une évolution claire des techniques d’infection et de propagation ainsi que la complexité croissante des malwares eux-mêmes ont conduit à une recrudescence de ce type d’activité. Alors que les consoles sont toujours plus puissantes et que l’Internet des objets est à notre porte, ce scénario va se développer et gagner en complexité. Les développeurs ne doivent pas envisager la sécurité a posteriori mais l’intégrer en amont dans le processus de développement des jeux. « Nous sommes convaincus qu’une coopération avec l’ensemble des acteurs du secteur peut contribuer à améliorer cette situation« , sougline Santiago Pontiroli de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.

Pour s’en prémunir, les utilisateurs ont besoin d’une solution de sécurité à jour qui leur permette de s’adonner à leurs jeux favoris sans craindre de voir leur compte piraté. La plupart des produits de sécurité offrent un « mode jeu », de sorte que les joueurs ne sont pas dérangés par leurs notifications avant la fin de la partie en cours. Dans le but de protéger les comptes de ses propres utilisateurs, Steam a également pris plusieurs mesures de sécurité destinées à contrer les mécanismes de piratage.

Stopper la progression des pirates au cœur des systèmes informatiques

Systèmes informatiques – Selon une étude conduite récemment par le Club des experts de la sécurité de l’information et du numérique (Cesin), 81 % des entreprises et administrations françaises déclarent avoir subi une attaque au cours des douze derniers mois et 93 % ne font pas confiance à leurs outils informatiques, leurs fournisseurs et leurs hébergeurs.

L’erreur humaine, les vulnérabilités favorisées par la montée du cloud et la généralisation du BYOD dans les entreprises sont autant de facteurs de risques qui menacent la sécurité de leurs données et fragilisent la confiance des RSSI en leur capacité à contrôler l’ensemble des points d’accès du système d’information.

La plupart des attaques avancées commencent par des e-mails de phishing envoyés aux utilisateurs d’une entreprise qui ne disposent pas d’accès aux comptes d’administrateurs dits « à privilèges ou hauts-pouvoirs » par défaut. Ces derniers, permettant d’accéder à l’ensemble des données de l’entreprise et de prendre le contrôle des systèmes, sont la première cible des cyberattaques. Ainsi, les comptes disposant de privilèges d’administration locaux représentent un important vecteur d’attaque car ils se trouvent sur chaque terminal et sur chaque serveur de l’environnement. En outre, les comptes d’utilisateurs individuels qui y résident et disposent de privilèges d’administration contribuent à accroître la surface d’attaque. En moyenne, dix emails1 suffisent aux pirates informatiques pour parvenir à leurs fins et introduire un malware au sein des systèmes. Ces programmes malveillants très sophistiqués, lorsqu’ils ont pénétré le réseau, exploitent des machines, dérobent des données, capturent les informations d’identification des comptes à hauts pouvoirs ou endommagent des systèmes. L’erreur étant fondamentalement humaine, tout le monde est susceptible de se faire piéger au moins une fois par un email de phishing, que ce soit par manque d’attention ou par curiosité, ce qui confirme une nouvelle fois que la menace se trouve aussi à l’intérieur. Il ne s’agit donc plus d’empêcher une intrusion dans un système avec un pare-feu, un anti-virus ou tout système de blocage à l’entrée du réseau, mais bien de stopper la progression des pirates déjà infiltrés à l’intérieur du réseau.

Systèmes informatiques

Il est par ailleurs difficile pour les équipes IT de faire un suivi détaillé de l’ensemble des applications et programmes présents dans les systèmes d’une organisation et d’en vérifier précisément la fiabilité. Partant du principe qu’une entreprise peut rassembler jusqu’à 20 000 applications métiers2, on peut facilement concevoir que des applications corrompues passent inaperçues et constituent des portes d’entrée dans les systèmes, et donc un accès direct aux données de l’entreprise. C’est là que la gestion des droits d’administration relatifs aux applications s’avère cruciale : ainsi, une entreprise peut intervenir sur les droits de l’utilisateur afin d’éviter les erreurs liées à la modification des configurations systèmes, à l’installation de programmes malveillants ou encore à l’accès et à la modification de comptes utilisateurs. Toutefois, révoquer tous les droits d’administration des utilisateurs oblige parfois les équipes IT à leur accorder de nouveau des privilèges pour effectuer certaines tâches au niveau des applications. Ces derniers, une fois accordés, sont rarement révoqués et s’accumulent au fil du temps, rouvrant ainsi une faille de sécurité liée à l’excès de droits d’administration ; supprimer ces droits pour les utilisateurs au niveau des points d’accès et des serveurs sans contrôler au préalable les programmes autorisés sur ces machines favorise l’introduction et l’exécution autonomes d’applications malveillantes au sein du réseau.

Pour relever ces défis, les organisations ont besoin d’outils flexibles, permettant d’automatiser la gestion des privilèges des administrateurs locaux et le contrôle des applications sur l’ensemble des périphériques et serveurs. En privilégiant la combinaison du contrôle d’application et du principe du « moindre privilège » pour développer une approche de sécurité équilibrée et organisée par couches, les organisations peuvent réduire la surface d’attaque et mieux se protéger contre les menaces ayant déjà pu infiltrer le système. Ainsi, les équipes de sécurité sont immédiatement alertées de potentielles tentatives d’attaques en cours, le tout sans perturber la productivité des employés, ni surcharger les services IT en charge de la sécurité. Si on considère qu’un pirate motivé parviendra toujours à s’introduire dans le système d’une entreprise, ces mesures bloqueront sa progression et l’empêcheront de naviguer des points d’entrée vers les serveurs pour prendre possession du réseau. (Par Jean-François Pruvot, Regional Director France chez CyberArk)

Sources:
1- Verizon, « 2015 Data Breach Investigations Report », page 13
2- Viewfinity, « IT Security’s 50 Shades of Grey Whitepaper », page 2

Malwares mobiles : le volume a triplé en 2015

Le volume de malwares ciblant les utilisateurs d’appareils mobiles a plus que triplé en 2015, comparé à 2014. Les menaces les plus dangereuses observées au cours de l’année dernière sont des ransomwares, c’est-à-dire des malwares capables d’obtenir le contrôle illimité d’un appareil infecté, ainsi que les voleurs de données, y compris les malwares financiers. Ces conclusions sont le résultat du travail de l’équipe de recherche antimalware de Kaspersky Lab, compilées dans son rapport annuel de virusologie.

Les chiffres clés du paysage des menaces mobiles 2015 :
·         884 774 nouveaux programmes malicieux ont été détectés, soit trois fois plus qu’en 2014 (295 539).
Le nombre de Trojans bancaires mobiles a diminué à 7 030, alors qu’ils étaient 16 586 en 2014.
·         94 344 utilisateurs uniques ont été attaqués par un ransomware mobile, soit cinq fois plus qu’en 2014 (18 478).

Explosion du nombre de ransomwares
2015 a été l’année des ransomwares. Une fois un appareil infecté, l’application malicieuse le bloque grâce à une fenêtre pop-up annonçant que l’utilisateur a commis un acte illégal. Pour débloquer son appareil, il doit payer une rançon pouvant aller de 12$ à 100$.

La part d’utilisateurs de produits Kaspersky Lab pour mobiles attaqués par un ransomware est passée de 1,1% à 3,8% entre 2014 et 2015. 156 pays sont concernés par ces attaques, avec en haut de la liste la Russie, l’Allemagne et le Kazakhstan. Le malware Trojan-Ransom.AndroidOS.Small et sa modification, Trojan-Ransom.AndroidOS.Small.o étaient les plus actifs en Russie et au Kazakhstan. Small.o a été le ransomware mobile le plus répondu et détecté l’année dernière. Le nombre de modifications d’applis de ransomware a été multiplié par 3,5, prouvant que les fraudeurs voient un intérêt toujours plus grand à gagner de l’argent grâce au chantage.

En 2016, les malwares vont probablement gagner en complexité et le nombre de modifications va augmenter, augmentant en parallèle le nombre de zones géographiques touchés.

Quand les malwares prennent les pleins pouvoirs (et droits d’accès)
Près de la moitié des 20 plus importants Trojans de 2015 étaient des programmes malicieux diffusant des publicités intrusives sur des appareils mobiles. Les plus répandus l’année dernière étaient les Trojans Fadeb, Leech, Rootnik, Gorpro et Ztorg. Les fraudeurs derrière ces programmes ont utilisé toutes les méthodes à leur disposition pour les propager, à travers des bannières web malicieuses, des faux jeux et d’autres applications légitimes publiées dans des marketplaces légitimes. Dans certains cas, ils étaient présentés comme des logiciels légitimes préinstallés sur l’appareil.

Certaines de ces applis ont la capacité de s’approprier des “super” droits d’accès ou l’accès root. Cela permet aux cyber criminels de disposer de possibilités quasi infinies de modifier les informations stockées sur l’appareil de leur victime. Si l’installation est réussie, il devient presque impossible de supprimer le malware, même après un reset aux paramètres d’usine. Les malwares mobiles pouvant s’octroyer l’accès root sont connus depuis 2011, avec un pic de popularité l’année dernière auprès des cyber criminels. Cette tendance devrait se confirmer en 2016.

Mettre son argent en sécurité
Les Trojans bancaires sont de plus en plus complexes, en dépit d’une diminution du nombre de modifications. La mécanique de ces applis malicieuses n’a pas changé : après avoir infiltré l’appareil ou le système d’un client, le malware se superpose à la page ou à l’application d’une banque. Cependant, l’échelle à laquelle ces malwares peuvent être utilisés s’est accrue en 2015. Maintenant, les cyber criminels peuvent attaquer les clients de douzaines de banques situées dans des pays différents en utilisant un seul type de malware, alors que par le passé ils auraient utilisé des applications malicieuses capables d’attaquer un seul établissement bancaire, voire deux, dans quelques pays. Un exemple d’application aux victimes multiples est le Trojan Acecard, qui dispose d’outils pour attaquer plusieurs douzaines de banques et de services web.

« Avec l’avènement des technologies mobiles, les cyber criminels sont entrés dans une logique de monétisation qui transcende les plates-formes. C’est pourquoi il n’y a rien de surprenant à enregistrer un accroissement de l’activité des ransomwares et autres malwares sur mobiles.  Certains utilisateurs pourraient être tentés de payer, mais cela ne fait que renforcer le modèle des criminels sans aucune garantie de récupérer ses données ou les pleins pouvoirs sur son appareil. Pour limiter les risques, la prudence et la prévention restent encore et toujours la meilleure des protections. » explique Tanguy de Coatpont, directeur de Kaspersky Lab France.

Alerte sur la croissance considérable du malware mobile
Même son de cloche pour Intel Security qui vient de publier un nouveau rapport, intitulé ‘McAfee Labs Threat Report’, sur l’évolution du paysage des menaces ciblant les environnements mobiles.

Tandis qu’historiquement, les cybercriminels concentraient principalement leurs efforts sur les attaques de postes fixes et de PC portables, Intel Security pointe du doigt l’augmentation spectaculaire du nombre de malwares sophistiqués ciblant aujourd’hui les appareils mobiles. L’étude indique qu’au cours des 6 derniers mois, 3 millions d’appareils ont été touchés uniquement par des malwares qui se propagent via les AppStores.

En outre, il a été constaté une nouvelle augmentation de 24 % d’échantillons de malwares mobiles au cours du dernier trimestre 2015 par rapport au trimestre précédent. Parmi les autres chiffres : 37 millions d’échantillons de malware mobile identifié par Intel Security au cours de 6 derniers mois. Plus d’1 million d’URL redirigeant vers des sites malveillants ont été enregistrées sur 4 millions de dispositifs mobiles. Plus de 155 % de ransomwares en 2015 par rapport à l’année passée. 780 millions d’accessoires connectés dans le monde d’ici 2018, là où il en était recensé 500 millions en 2015. « Les appareils mobiles prennent une place prépondérante dans la vie numérique des consommateurs, notamment dans l’usage de services sensibles (banques, achats, etc.). Il est important de veiller à la mise en place d’une protection anti-malware efficace afin de mieux sécuriser les données des utilisateurs », précise John Giamatteo, vice-président chez Intel Security. « Intel Security est très impliqué dans la lutte contre les menaces mobiles, y compris à travers sa collaboration avec des constructeurs grand public, telle que Samsung, pour les aider à mieux intégrer la sécurité en native au sein de leurs produits et permettre aux consommateurs de surfer dans un monde connecté en toute sécurité ».

Infection des entreprises, +20 % en 1 mois

Les menaces qui pèsent sur les réseaux des entreprises s’aggravent de jour en jour : le risque d’infection par des logiciels malveillants augmente de 17 %, tandis que le nombre de familles de logiciels malveillants actives augmente de 25 %, en un mois seulement.

Un spécialiste de solutions informatique liée à la sécurité, vient de mettre en exergue la gravité des menaces qui pèsent sur les réseaux des entreprises. Entre le constat effectué en novembre et décembre 2015, le risque d’infection des entreprises par des logiciels malveillants a augmenté de 17 %, tandis que le nombre de familles de logiciels malveillants actives a augmenté de 25 %. Ce qui montre l’importance de la menace grandissante, Infection en hausse en aussi peu de temps… Sur 142 pays, la France est au 59ème rang des pays les plus exposés au risque en décembre 2015. Les dernières attaques du  ransomware locky en sont malheureusement un bel exemple.

L’entreprise a pu collecter ces informations détaillées sur les menaces grâce à sa ThreatCloud World Cyber Threat Map, qui recense des cyberattaques du monde entier en temps réel. Ainsi, Check Point a identifié plus de 1 500 familles de logiciels malveillants différentes au cours du mois de décembre, contre 1 200 le mois précédent. La tendance souligne clairement le niveau de menace croissant auquel les entreprises font face pour protéger leur réseau.

Comme les mois précédents, l’infection Conficker reste le type de logiciel malveillant le plus répandu, représentant 25 % de toutes les attaques connues durant cette période, soit nettement plus que Sality en seconde position, qui représentait 9 % des attaques. Conficker, et la variante Necurs en troisième position, sont spécialisés dans la désactivation des services de sécurité pour rendre les réseaux plus vulnérables, les compromettre encore plus, et les utiliser pour déclencher des attaques DDoS et d’envoi de spam.

Le top dix des familles de logiciels malveillants représentait 60 % de toutes les attaques reconnues de décembre, les trois principales étant :

1.       Conficker – 25 % de toutes les attaques reconnues à lui seul. Les machines infectées par Conficker sont contrôlées par un botnet. Il désactive également les services de sécurité, laissant les ordinateurs encore plus vulnérables à d’autres infections.

2.       Sality – Virus permettant d’effectuer des opérations à distance et de télécharger des logiciels malveillants supplémentaires dans les systèmes infectés par son opérateur. Son objectif principal est de rester actif dans un système pour le télécommander et installer d’autres logiciels malveillants.

3.       Necurs – Utilisé comme porte dérobée pour télécharger des logiciels malveillants sur des machines infectées et désactiver leurs services de sécurité pour échapper à toute détection.

L’étude a également identifié les logiciels malveillants mobiles les plus répandus au cours de décembre 2015, et précise de nouveau que les attaques contre les appareils Android sont plus courantes que pour iOS. Le top trois des logiciels malveillants mobiles était :

Xinyin – Un cheval de Troie de fraude aux clics qui cible principalement des sites publicitaires chinois.
AndroRAT – Un logiciel malveillant capable de se déguiser en application mobile légitime et de s’installer à l’insu des utilisateurs, permettant à un pirate de contrôler entièrement des appareils Android à distance.
Ztorg – Un cheval de Troie utilisant les privilèges root pour télécharger et installer des applications sur des téléphones mobiles à l’insu de leurs utilisateurs.

Nathan Shuchami, Head of Threat Prevention déclare : « L’augmentation du nombre de logiciels malveillants actifs au cours de décembre souligne la gravité des menaces qui pèsent sur les réseaux et les données confidentielles des entreprises. Par conséquent, les entreprises devraient placer la cybersécurité au premier rang de leurs priorités pour 2016, tandis que les cybercriminels continuent de trouver de nouvelles façons d’attaquer les réseaux, afin d’être tout aussi résolus à se protéger. »

Des attaques qui peuvent largement être bloquées par des services tels qu’AltoSpam et autres services de filtre anti-spam.

Les dirigeants ne sont pas en phase sur la façon de lutter contre les cybercriminels

Selon les résultats de l’étude C-Suite d’IBM : les dirigeants ne sont pas en phase sur la façon de lutter contre les cybercriminels. Éducation et engagement sont nécessaires pour mettre les dirigeants au niveau du nouvel environnement de sécurité.

La division sécurité d’IBM et l’Institut IBM for Business Value (IBV) publient aujourd’hui les résultats d’une étude réalisée auprès de plus de 700 dirigeants qui met en lumière leur confusion concernant leurs véritables ennemis cyber et la façon de les combattre efficacement.

La nouvelle étude, Securing the C-Suite, Cybersecurity Perspectives from the Boardroom and C-Suite est basée sur des entretiens avec des dirigeants de 28 pays et de 18 secteurs industriels concernant la cybersécurité dans l’entreprise. L’étude n’a pas pris en compte les responsables de la sécurité des systèmes d’information (RSSI), afin d’obtenir une image fidèle de ce que les dirigeants pensent de la cybersécurité. Si sur le papier, la cybersécurité est considérée comme une préoccupation majeure pour 68% des dirigeants1, et que 75% pensent qu’une stratégie globale de sécurité est importante, l’étude révèle que les dirigeants clés doivent être plus engagés auprès des RSSI, au-delà de la stratégie en matière de sécurité, et avoir un rôle plus actif.

L’une des principales conclusions de l’étude est que 70% des dirigeants pensent que les individus malveillants constituent la plus grande menace pour leur entreprise. Selon un rapport des Nations Unies2, la réalité est que 80% des cyberattaques sont réalisées par des réseaux criminels hautement organisés au sein desquels les données, les outils et l’expertise sont largement partagés. L’étude C-Suite révèle un large éventail d’ennemis : 54% des  dirigeants reconnaissent que les réseaux criminels sont un sujet de préoccupation mais leur ont donné un poids à peu près égal aux individus malveillants (50%).

Plus de 50% des PDG s’accordent à dire qu’une collaboration est nécessaire pour lutter contre la cybercriminalité. Ironiquement, seulement 1/3 des chefs d’entreprise a exprimé sa volonté de partager à l’extérieur ses informations sur les incidents liés à la cybersécurité survenus dans leur entreprise. Cette situation est un frein à la collaboration coordonnée au niveau de l’industrie, alors même que les groupes de pirates partagent de mieux en mieux l’information en temps quasi réel sur le Dark Web. Les PDG soulignent également que les organisations externes doivent faire davantage ; une surveillance accrue du gouvernement, une augmentation de la collaboration dans l’industrie, un partage de l’information transfrontalière – cette dichotomie doit être résolue.

«Le monde de la cybercriminalité est en pleine évolution, mais de nombreux dirigeants n’ont pas mis à jour leur compréhension des menaces », a déclaré Caleb Barlow, Vice-Président, IBM Security. « Bien que les RSSI et le Conseil d’administration puissent aider à fournir les conseils et des outils appropriés, les dirigeants en marketing, ressources humaines et finances, quelques-uns des départements les plus exposés et les plus fournis en données sensibles, devraient s’impliquer de façon plus proactive dans les décisions de sécurité avec les RSSI. »

En fait, les départements marketing, ressources humaines, et finances représentent des cibles de choix pour les cybercriminels car ils gèrent les données clients et employés parmi les plus sensibles, avec les données financières de l’entreprise et les informations bancaires. Dans l’étude, environ 60% des directeurs financiers, DRH, et directeurs marketing reconnaissent volontiers qu’ils, et par extension leurs divisions, ne sont pas actifs dans la stratégie et l’exécution de la politique de cybersécurité de l’entreprise. Par exemple, seuls 57% des DRH ont déployé une formation à la cybersécurité pour les employés, première étape pour que ces derniers s’engagent en la matière.

Que peuvent faire les entreprises ?
Un nombre impressionnant de dirigeants interrogés, 94%, pensent qu’il y a une certaine probabilité pour que leur entreprise subisse un incident de cybersécurité significatif au cours des deux prochaines années. Selon l’étude d’IBM, 17% des personnes interrogées se sentent capables et prêtes à répondre à ces menaces. IBM a identifié des répondants exceptionnels, 17% de répondants classés «Cyber-Securisés», ce sont les dirigeants les plus préparés et capables de faire face aux menaces. Les dirigeants « Cyber-sécurisés » sont deux fois plus susceptibles d’avoir intégré la collaboration dans leur politique de cybersécurité et deux fois plus susceptibles d’avoir intégré la cybersécurité à l’ordre du jour des Conseils d’administration de façon régulière.

 Conseils « Cyber-Securisés» pour les entreprises :
• Comprendre le risque : Évaluer les risques liés à votre écosystème, analyser les risques de sécurité, développer l’éducation et la formation des employés et intégrer la sécurité dans la stratégie de risques de l’entreprise.

• Collaborer, éduquer et responsabiliser : Mettre en place un programme de gouvernance de la sécurité, accroître le pouvoir des RSSI, promouvoir et discuter régulièrement de la cybersécurité lors des réunions de direction, intégrer les dirigeants dans l’élaboration d’une stratégie de réponse aux incidents.

• Gérer les risques avec vigilance et rapidité : Mettre en œuvre une surveillance continue de la sécurité, tirer profit des analyses d’incidents, partager et utiliser les renseignements de sécurité pour sécuriser l’environnement, comprendre où les données numériques des entreprises se trouvent et élaborer des stratégies en conséquence, développer et appliquer les politiques de cybersécurité.

1.     “Redefining Boundaries: Insights from the Global C-suite Study.” IBM Institute for Business Value. November 2015.
2.     UNODC Comprehensive Study on Cybercrime 2013

2,3 millions de nouveaux dangers Android en 2015

Au niveau mondial, 66 % des détenteurs de smartphone utilisent un appareil sous Android. Cette domination du système de Google influe sur le nombre de dangers qui ciblent cette plateforme. En 2015, le chiffre record de 2,3 millions de dangers a été atteint, ce qui représente une augmentation d’environ 50% par rapport à l’année 2014. GDATA propose un aperçu des principaux dangers dans son Mobile Malware Report Q4/2015. Les experts sécurité de G DATA ont recensé 758 133 nouveaux programmes malveillants ciblant Android au cours du 4e trimestre 2015, ce qui représente une hausse de près de 32 % par rapport au trimestre précédent. Sur l’ensemble de l’année 2015, environ 2,3 millions de  nouveaux dangers ont ciblé les systèmes Android.

Citroni, le ransomware qui attaque les serveurs web

Les experts de Kaspersky Lab auraient découvert une nouvelle variante du ransomware CTB-Locker3 Baptisé Citroni / Onion, il s’attaque aussi aux serveurs web.

A l’origine, CTB-Locker est un malware de type ransomware qui chiffre des fichiers sur le disque dur de ses victimes avant de demander une rançon pour les déchiffrer. Il se démarque pour 3 raisons : Son taux d’infection très élevé ; son utilisation de Tor, des Bitcoins et de Elliptic Curve Cryptography et ses capacités multilingues.

Son objectif n’est plus d’encrypter le contenu des ordinateurs mais de s’attaquer aux serveurs web. Ici, les rançonneurs cherchent avant tout des sites web vulnérables, les attaquent pour y uploader du code et encryptent ensuite l’ensemble des fichiers qui y figurent. Ils modifient alors la page d’accueil de ces sites et y affichent des informations sur la façon de décrypter leur contenu. Ils incluent également des informations sur le montant de la rançon.

Les chercheurs ne savent pas encore comment CTB-Locker est déployé sur les serveurs web, mais il y a cependant un point commun sur plusieurs des serveurs attaqués : ils utilisent tous la plate-forme de blog WordPress. En pratique, les rançonneurs demandent moins de la moitié d’un bitcoin comme rançon, soit environ 150 $ US. Pour le moment, 70 serveurs encryptés dans 11 pays ont été repérés, avec une majorité de victimes aux États-Unis et en Russie. Pour le moment, aucun outil de désencryption n’est disponible, la seule façon de se débarrasser rapidement de cette menace étant de s’assurer de disposer d’une copie de sauvegarde des fichiers du serveur, le tout dans un endroit séparé.

Une attaque contre les smartphones Android via SMS

Durant plusieurs jours, de faux SMS ont tenté de piéger les utilisateurs de téléphones portables sous Android.

Étonnante attaque informatique découverte par une société belge. Un SMS annonçait la réception d’un fichier multimédia. Un message malveillant diffusé, ces derniers jours, à des milliers de propriétaires de téléphones portables sous Android. Les spécialistes de chez Heimdal n’indiquent pas si l’attaque a visé des populations particulières.

L’idée de cette tentative d’infiltration, inciter le lecteur du SMS à cliquer sur un lien. Le message « You have received a multimedia message from XXXXXX Follow the link XXXXX/mms.apk to view the message« . L’url renvoyait sur plusieurs serveurs piégés, comme mmsforyou. J’ai pu en découvrir plusieurs autres comme adobe-flash-player.

Derrière cette attaque, un fichier .apk, une application piégée. Elle installe une version de « TOR » sur le téléphone. Le code malveillant alerte ensuite son auteur, en Iran (sic!), via un simple message « Thank you« . D’après l’alerte, le pirate « peut alors le contrôler et faire ce qu’il veut.« 

Poseidon : un groupe de pirates informatiques opérant sur terre, dans les airs et en mer

Poseidon, une campagne de piratage ciblant des établissements financiers ainsi que des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et des groupes médias. La France visée par l’attaque.

L’équipe GREaT (Global Research & Analysis Team) de Kaspersky Lab annonce la découverte du groupe Poseidon, une menace avancée active dans des opérations internationales de cyber espionnage depuis au moins 2005. L’originalité de Poseidon est qu’il s’agit d’une entité commerciale, dont les attaques font appel à des malwares personnalisés, signés numériquement avec des certificats pirates et déployés dans le but de dérober des données sensibles aux victimes et de les racketter. En outre, le malware est conçu pour fonctionner spécifiquement sur les machines Windows en anglais et en portugais brésilien, une première pour une attaque ciblée.

Au moins 35 entreprises victimes ont été identifiées, les principales cibles étant des établissements financiers et des administrations, des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et d’autres réseaux de services collectifs, ainsi que des groupes médias et des agences de relations publiques. Les experts ont également détecté des attaques contre des sociétés proposant leurs services à des cadres supérieurs. Les victimes du groupe Poseidon se trouvent dans les pays suivants :

  • Etats-Unis
  • France
  • Kazakhstan
  • Emirats Arabes Unis
  • Inde
  • Russie

Cependant, la répartition des victimes penche très nettement vers le Brésil, où bon nombre d’entre elles réalisent des opérations via des joint-ventures ou des partenaires.

L’une des caractéristiques du groupe Poseidon réside dans l’exploration active des réseaux d’entreprise sur la base des noms de domaine. Selon le rapport d’analyse consulté par DataSecurityBreach.fr, Poseidon recourt à des e-mails de spear-phishing accompagnés de documents RTF/DOC, comportant généralement un appât sur le thème des ressources humaines, qui installent un fichier binaire malveillant dans le système cible lorsque le destinataire clique dessus. Un autre trait marquant est la présence de chaînes de caractères en portugais du Brésil. La prédilection du groupe pour les systèmes lusophones, comme le révèlent les échantillons, est une pratique inédite.

Une fois un ordinateur infecté, le malware rend compte à des serveurs de commande et de contrôle, avant d’entamer une phase complexe de déplacements latéraux à l’intérieur du réseau de l’entreprise. Cette phase fait souvent intervenir un outil spécialisé qui collecte automatiquement et systématiquement un grand nombre d’informations (identifiants, règles de sécurité, voire journaux système) afin de mieux cibler les attaques suivantes et d’assurer la bonne exécution du malware. De la sorte, les auteurs des attaques savent quelles applications et commandes utiliser sans alerter l’administrateur du réseau pendant leur exploration et leur exfiltration.

Les informations rassemblées sont ensuite exploitées par une organisation de façade pour racketter les entreprises victimes en les contraignant à engager Poseidon comme consultant en sécurité, sous peine de voir utiliser les informations dérobées dans une série de transactions louches au profit du groupe.

« Le groupe Poseidon est une équipe de vétérans intervenant sur tous les théâtres d’opérations : terre, air et mer. Certains de ses centres de commande sont implantés chez des fournisseurs d’accès Internet desservant des navires en mer, des connections sans fil ou encore des opérateurs classiques », commente Dmitry Bestuzhev, Directeur de l’équipe GREaT de Kaspersky Lab en Amérique latine. « En outre, plusieurs de ses implants présentent une durée de vie très courte, ce qui a permis à ce groupe de sévir aussi longuement sans se faire repérer. »

Le groupe Poseidon étant en activité depuis au moins 10 ans, les techniques de conception de ses implants ont évolué, ce qui complique pour de nombreux chercheurs la mise en corrélation des indicateurs et l’assemblage des pièces du puzzle. Cependant, en réunissant soigneusement tous les indices, en étudiant la signature de la menace et en reconstituant la chronologie des attaques, les experts ont pu établir vers la mi-2015 que des traces détectées précédemment mais non identifiées appartenaient bien à la même menace, c’est-à-dire le groupe Poseidon.

eBay : une inquiétante faille révélée

EBay alerté au sujet d’une vulnérabilité de sa plateforme de vente en ligne qui permet à des cybercriminels de diffuser des campagnes de phishing et des logiciels malveillants.

eBay, le géant de la vente aux enchères et du commerce électronique en ligne, possède des bureaux dans plus de 30 pays et plus de 150 millions d’utilisateurs actifs dans le monde. L’entreprise ayant une clientèle importante, il n’est donc pas surprenant qu’elle soit la cible de nombreuses cyberattaques.

Check Point, éditeur de solution de sécurité informatique, a découvert une grave vulnérabilité dans la plateforme de vente en ligne d’eBay. Cette vulnérabilité permet à un agresseur de contourner la validation de code d’eBay et de contrôler le code vulnérable à distance pour exécuter du code JavaScript malveillant auprès d’utilisateurs ciblés. Sans correction de cette faille, les clients d’eBay continueront d’être potentiellement exposés à des attaques de phishing et de vol de données.

Un agresseur pourrait cibler les utilisateurs d’eBay en leur envoyant une page légitime contenant du code malveillant. Lors de l’ouverture de la page, le code serait alors exécuté par le navigateur de l’utilisateur ou une application mobile, conduisant à plusieurs scénarios inquiétants allant du phishing jusqu’au téléchargement binaire.

Après avoir découvert la vulnérabilité, Check Point en a communiqué les détails à eBay le 15 décembre 2015. Cependant, le 16 janvier 2016, eBay a déclaré n’avoir prévu aucune correction de la vulnérabilité. La démonstration de la méthode d’exploitation est encore disponible en ligne.

Découverte de la vulnérabilité

Roman Zaikin, chercheur de Check Point, a récemment découvert une vulnérabilité qui permet à des pirates d’exécuter du code malveillant sur les appareils des utilisateurs d’eBay, à l’aide d’une technique non standard appelée « JSF**k ». Cette vulnérabilité permettrait à des cybercriminels d’utiliser eBay comme plateforme de phishing et de diffusion de logiciels malveillants.

Pour exploiter cette vulnérabilité, un agresseur a simplement besoin de créer une boutique eBay en ligne, et publier une description malveillante d’un article dans les détails de sa boutique. eBay empêche les utilisateurs d’inclure des scripts ou des iFrames en filtrant les balises HTML. Cependant, grâce à JSF**k, l’agresseur peut créer un code qui va charger du code JS supplémentaire depuis son serveur. Cela lui permet d’insérer du JavaScript qu’il peut contrôler et ajuster à distance, par exemple, pour adapter son attaque à un navigateur différent.

eBay n’effectue qu’une simple vérification, et ne supprime que les caractères alphanumériques des balises de script. La technique JSF**k permet aux agresseurs de contourner cette protection en utilisant un nombre très limité de caractères.

Comme on peut le voir, le message qui apparaît sur l’application eBay (plus précisément dans la boutique de l’agresseur sur le site eBay) incite l’utilisateur non averti à télécharger une nouvelle application mobile eBay en proposant une remise.

L’utilisateur qui appuie sur le bouton « Télécharger », téléchargera à son insu une application malveillante sur son appareil mobile.

« La méthode d’attaque fournit aux cybercriminels un moyen très facile de cibler les utilisateurs en leur envoyant un lien vers un produit très attrayant pour exécuter l’attaque. La principale menace est la diffusion de logiciels malveillants et le vol de données privées. Un agresseur pourrait également proposer une méthode de connexion alternative via Gmail ou Facebook pour détourner des comptes utilisateurs, » précise Oded Vanunu, responsable d’un groupe de recherche chez Check Point. « Check Point reste à l’affût des vulnérabilités dans les applications et les plateformes Internet courantes. En communiquant les menaces au fur et à mesure de leur découverte, nous protégeons l’avenir. »