Archives de catégorie : Phishing

Google lance device bound session credentials pour sécuriser chrome

Google introduit une innovation dans la sécurité des navigateurs avec Device Bound Session Credentials (DBSC), une fonctionnalité destinée à renforcer la sécurité des sessions en ligne en liant les cookies d’authentification à un appareil spécifique. Cette approche vise à neutraliser les tentatives de vol de cookies, souvent utilisées pour contourner l’authentification multifacteur.

La nouvelle fonctionnalité, Device Bound Session Credentials, crée un lien cryptographique entre les cookies d’authentification et l’appareil de l’utilisateur. Ce processus s’appuie sur la puce Trusted Platform Module (TPM) pour générer une paire de clés publique et privée unique à chaque session. Les cookies ainsi sécurisés ne peuvent être utilisés sur aucun autre appareil, ce qui invalide les tentatives de vol.

Fonctionnement technique

Lorsqu’une session est établie via DBSC, le serveur effectue des vérifications périodiques de la clé privée pour s’assurer qu’elle n’a pas été déplacée ou copiée vers un autre appareil. Ces clés sont stockées de manière sécurisée et sont inaccessibles en dehors de l’appareil original, ce qui garantit que même en cas de vol de cookies, les attaquants ne pourront pas accéder aux comptes utilisateurs.

Kristian Monsen, ingénieur de l’équipe anti-abus de Google Chrome, souligne que DBSC pourrait révolutionner la sécurité en ligne en rendant le vol de cookies pratiquement inutile. Cette fonctionnalité contraint les attaquants à opérer localement, facilitant ainsi la détection et l’élimination des logiciels malveillants par les solutions antivirus et les protections d’entreprise.

Actuellement en phase de prototype, DBSC peut être activé par les utilisateurs avancés pour des tests en modifiant les paramètres sous chrome://flags/. Cette phase expérimentale permet à Google de peaufiner la technologie avant son déploiement à grande échelle.

Sécurité et confidentialité des utilisateurs

DBSC garantit que chaque session est isolée grâce à des clés uniques. Les serveurs n’interagissent qu’avec la clé publique, et ne peuvent donc ni identifier, ni suivre les utilisateurs à travers plusieurs sessions. De plus, les utilisateurs peuvent révoquer les clés à tout moment, ajoutant une couche supplémentaire de contrôle sur leur vie privée.

La fonctionnalité DBSC est prévue pour être intégrée dans environ 50% des ordinateurs de bureau équipés de Chrome dans un premier temps. Son intégration complète promet de renforcer significativement la sécurité pour tous les utilisateurs de Chrome, aussi bien dans un cadre privé que professionnel. « Nous travaillons également déjà pour proposer cette technologie à nos clients Google Workspace et Google Cloud afin de leur offrir une couche supplémentaire de sécurité des comptes », ajoute Monsen.

Tendances des campagnes de phishing : les pirates aiment le mardi !

Dans le paysage évolutif de la cybersécurité, des chercheurs ont miss en évidence des tendances dans le comportement des cybercriminels, en particulier en ce qui concerne les campagnes de phishing par courrier électronique.

Des spécialistes ont identifié les tendances dominantes dans le domaine des campagnes de phishing par email pour l’année 2023. Ils ont observé que le mardi est devenu le jour favori des cybercriminels pour lancer des attaques de phishing, avec un constat que près de 98 % des malwares identifiés dans ces emails étaient dissimulés dans des pièces jointes, majoritairement sous forme d’archives .rar et .zip.

L’analyse révèle que le début de semaine, et particulièrement le mardi avec 19,7 % du volume total d’emails malveillants, est le moment choisi par les attaquants pour intensifier l’envoi d’emails de phishing. Le volume d’envois diminue progressivement après le mercredi, atteignant son niveau le plus bas le dimanche avec seulement 7,1 % des emails malveillants envoyés.

Les pièces jointes restent le vecteur principal de transmission de malwares, présentes dans 98 % des cas. En revanche, l’utilisation d’emails contenant des liens malveillants est en légère réduction, représentant un peu plus de 1,5 % des cas l’année dernière. Ceci est expliqué par le fait que télécharger un malware depuis un site externe ajoute une étape visible supplémentaire qui peut être détectée par les dispositifs de sécurité classiques.

La taille des pièces jointes malveillantes varie, mais celles pesant entre 512 Ko et 1 Mo sont les plus courantes, représentant plus de 36 % des envois de phishing. Les formats d’archive .rar, .zip et .z sont les plus utilisés pour regrouper les malwares, contenant principalement des fichiers exécutables au format PE.

On note également une baisse de l’utilisation des documents bureautiques comme vecteurs de malwares, avec une diminution notable de la part des fichiers au format .xls et .doc, ce qui suggère une diminution de l’efficacité de cette méthode due à l’amélioration des mesures de sécurité de Microsoft Office.

Parmi les malwares les plus fréquemment trouvés dans les emails malveillants de 2023, on retrouve le logiciel espion Agent Tesla, ainsi que les malwares de type FormBookFormgrabber et Loki PWS.

Une évolution qui apparait aussi dans la qualité des courriels piégés, qui exploitaient auparavant des sujets d’actualité et étaient le fait de cybercriminels professionnels ou de groupes sophistiqués. Des courriers électroniques de plus en plus conçus pour voler des données pouvant être vendues ou utilisées dans le cadre d’attaques ciblées contre des organisations.

Le paysage du phishing en 2023 : une année record

1,76 milliard de courriels pirates diffusés en 2023. Les pages piégées aux couleurs de Facebook ont explosé.

Dans le monde numérique en constante évolution, le phishing continue de représenter une menace significative pour les entreprises et les individus. Le rapport annuel sur le phishing de l’entreprise française Vade, dévoile des statistiques alarmantes qui soulignent l’ampleur et la sophistication croissantes des attaques de phishing au cours de l’année 2023.

La société a analysé 197 000 pages de phishing associées à des courriels uniques, révélant ainsi les tendances et les tactiques employées par les cybercriminels. L’une des conclusions les plus frappantes est la hausse spectaculaire des escroqueries sur les médias sociaux, notamment sur Facebook, où plus de 44 000 sites de phishing ont été identifiés, constituant près d’un quart de toutes les URL de phishing répertoriées cette année.

Le phishing sur les médias sociaux en forte hausse

Le secteur des médias sociaux est celui qui a connu la plus forte croissance annuelle du nombre d’URL de phishing (+110 %). Facebook n’est pas le seul réseau à contribuer à cette hausse : Instagram (9e cette année), WhatsApp (13e) et LinkedIn (23e) y ont aussi joué un rôle dans cette augmentation. Cette multiplication des menaces de phishing intervient alors que les revenus publicitaires de ces réseaux ne cessent de grimper et que les entreprises comptent de plus en plus sur eux pour vendre leurs produits et services, diffuser leurs campagnes marketing et recruter des talents.

Le rapport indique également que les attaques de phishing ont atteint un niveau record en 2023, avec plus de 1,76 milliard d’URL de phishing envoyées dans le monde. Parmi les 20 marques les plus fréquemment usurpées, six sont françaises, démontrant l’impact global et local de cette menace. Facebook, avec une augmentation de 74 % du nombre de sites de phishing uniques le ciblant, occupe la première place du classement pour la troisième année consécutive, suivi de près par des géants technologiques tels que Microsoft, Google, et Netflix.

Microsoft, Google et Netflix dominent les marques du cloud usurpées lors d’attaques de phishing

Avec les médias sociaux, le monde du cloud est le seul secteur à enregistrer une augmentation du nombre d’URL de phishing uniques en 2023. Cette hausse est principalement due à Microsoft (2e), Google (11e) et Netflix (19e). La popularité de Microsoft et Google auprès des hackers ne se dément pas, à l’image de l’intérêt que suscitent leurs plateformes Microsoft 365 et Google Workspace.

Cette année, Microsoft a annoncé avoir dépassé les 382 millions de licences payantes au 3e trimestre 2023. De son côté, Google compte plus de 9 millions d’organisations abonnées à Google Workspace. Ces deux suites restent une cible privilégiée pour les auteurs de phishing.

Les auteurs de phishing ne se contentent pas d’imiter les grandes marques ; ils exploitent également des services légitimes pour contourner les solutions de sécurité email, rendant la détection et la prévention encore plus difficiles. De plus, l’émergence des marketplaces de Phishing-as-a-Service (PhaaS) témoigne de la professionnalisation et de la commercialisation de ces activités malveillantes.

Le secteur des services financiers reste le plus touché par l’usurpation d’identité, avec 64 009 URL de phishing uniques recensées, représentant 32 % du total mondial. Cette prévalence souligne la nécessité pour les entreprises et les individus de rester vigilants et d’adopter des solutions de sécurité robustes pour se protéger contre ces attaques de plus en plus sophistiquées. (Vade)

Hameçonnage : Les banques contraintes de rembourser, la Banque de France intervient

Le phishing est une menace croissante qui expose de nombreux Français à des fraudes bancaires. Malgré les protections légales en place, les banques ont souvent échappé à leurs obligations de remboursement, ce qui a conduit la Banque de France à prendre des mesures. Cet article examine les recommandations récentes de la Banque de France et souligne l’importance pour les banques de respecter les droits des victimes de phishing. Il met également en évidence les décisions de justice favorables aux clients et appelle à une vigilance accrue de la part des consommateurs et des entreprises.

Les recommandations de la Banque de France pour le remboursement des victimes de phishing

La fraude par phishing a connu une augmentation significative ces dernières années, exposant de nombreux utilisateurs de cartes bancaires à des risques financiers. Consciente de ce problème, la Banque de France, à travers son « Observatoire de la sécurité des moyens de paiement », a émis des recommandations claires le 16 mai 2023 pour garantir le remboursement des victimes de phishing par les banques. Ces recommandations insistent sur le respect du droit applicable et soulignent que les clients victimes de phishing doivent être remboursés, à moins qu’une négligence grave de leur part ne puisse être démontrée.

Le phishing est une méthode de fraude sophistiquée qui trompe les utilisateurs en les incitant à divulguer leurs informations bancaires personnelles par le biais de courriels non sollicités. Les fraudeurs se font passer pour des institutions financières légitimes en créant des sites web qui ressemblent à ceux des banques. Ils incitent les destinataires à mettre à jour leurs informations de compte en prétextant un problème technique ou une mise à jour nécessaire. Une fois que les victimes ont partagé leurs données personnelles, les fraudeurs peuvent accéder à leur compte bancaire et détourner des fonds en utilisant de faux ordres de paiement.

Selon les recommandations de la Banque de France, les banques sont tenues de rembourser les victimes de phishing. Le droit des opérations de paiement prévoit une protection solide pour les utilisateurs de cartes bancaires. Lorsqu’une opération non autorisée est effectuée après que des tiers aient obtenu les informations d’identification du titulaire du compte, la banque doit immédiatement rembourser le client afin de rétablir le solde du compte comme s’il n’y avait pas eu d’opération non autorisée.

Toutefois, les pertes liées à des opérations de paiement non autorisées ne peuvent être imputées au client que s’il a fait preuve d’une négligence grave dans la sécurisation de ses données personnelles. Il incombe à la banque de prouver cette négligence et cela ne peut être déduit simplement du fait que les informations de paiement ou les données personnelles du client ont été utilisées frauduleusement.

La Banque de France a souligné ces principes importants dans son communiqué, car dans la pratique, de nombreuses banques ont cherché à éviter les remboursements en accusant leurs clients de faute.

Les décisions de justice favorables aux clients et l’appel à la vigilance

Malgré les tentatives des banques de se soustraire à leurs responsabilités, certaines victimes de phishing ont réussi à obtenir justice grâce à des recours judiciaires. Les tribunaux ont régulièrement statué en faveur des clients, soulignant que les banques ne peuvent pas simplement imputer la responsabilité à leurs clients en se basant sur des éléments tels que le piratage de l’adresse e-mail ou la connaissance de la signature du titulaire du compte par des pirates, car ces informations peuvent être facilement obtenues par des fraudeurs habiles.

De plus, les décisions judiciaires ont mis en évidence l’obligation des banques de garantir l’inviolabilité de leurs plateformes et de prévenir toute opération frauduleuse permettant l’accès aux données personnelles et confidentielles des clients, y compris les informations figurant sur les cartes de code. Ainsi, les banques doivent assumer la responsabilité de prouver la sécurité de leurs systèmes, plutôt que de mettre en doute la négligence de leurs clients.

La Banque de France rappelle également l’importance de la vigilance tant pour les consommateurs que pour les entreprises. Il est crucial de renforcer les mesures de sécurité et de sensibilisation pour prévenir les attaques de phishing. Les utilisateurs de services bancaires en ligne doivent être attentifs aux courriels non sollicités et aux sites web suspects. Il est essentiel de ne jamais divulguer d’informations personnelles ou bancaires en réponse à de telles communications.

En réponse aux recommandations de la Banque de France, les établissements bancaires sont tenus de renforcer leurs systèmes de sécurisation des plateformes pour s’assurer du consentement et de la protection des titulaires de comptes lors des opérations de paiement. Cela inclut des mesures telles que l’authentification à deux facteurs, des systèmes de détection d’activité suspecte et des alertes de sécurité pour les utilisateurs.

En conclusion, l’hameçonnage reste un défi majeur pour les utilisateurs de services bancaires en ligne. Les recommandations de la Banque de France visent à garantir le remboursement des victimes de phishing par les banques, en mettant l’accent sur le respect du droit applicable. Les décisions de justice ont également soutenu les droits des clients et rappelé aux banques leur obligation de sécurité. En restant vigilants et en renforçant les mesures de sécurité, les consommateurs et les entreprises peuvent contribuer à lutter contre cette forme de fraude et à protéger leurs informations personnelles et financières.

2,4 milliards de dollars de pertes à cause du phishing en 2021 selon le FBI

Avec près de 40% des plaintes pour des escroqueries en ligne portant sur le phishing, le FBI révèle dans son Internet Crime Report annuel* que ce type d’attaque a atteint les 2,4 milliards de dollars de dommages en 2021. Les cybercriminels passent par les mails pour diriger les internautes sur de faux sites et les inciter à partager des informations personnelles ou professionnelles.

Si dans son rapport le FBI accorde une attention toute particulière aux mails professionnels des entreprises provenant des États-Unis ou qui y sont actives, le montant mondial total est par conséquent encore plus élevé car il s’agit d’un problème qui touche tous les internautes.

Ces risques peuvent alors être préjudiciables aux marques et sites qui vont voir leur image dégradée à cause d’une perte de confiance de la part de l’internaute après une mauvaise expérience.

Par conséquent, garantir aux utilisateurs qu’ils sont bien sur un site authentifié va, d’une part, les protéger dans leur démarche, mais également les rassurer. Une manière complémentaire pour les entreprises de renforcer la relation client à travers une expérience consommateurs sans risque et de gagner en e-réputation en instaurant une réelle confiance avec les clients. 

Si des indices et un peu d’attention permettent de déjouer cette arnaque courante : vérification de l’orthographe, l’URL du site en question, site certifié d’un label ; un manque de vigilance peut vite arriver et engendrer le vol de ses données.

Hameçonnage du compte d’un employé de GoDaddy

Le phishing, ça n’arrive pas qu’aux autres. Un employé de la société GoDaddy, entreprise spécialisée dans les noms de domaine, se fait piéger par un hameçonnage. Le pirate en profite pour modifier des pages de clients.

Voilà un piratage qu aurait pu faire de gros dégâts dans les mains d’un pirate informatique « professionnel ». Il y a quelques jours Un employé de la société GoDaddy, un fournisseur de noms de domaine (Registar), s’est fait piéger par un hameçonnage. A la suite de ce phishing, le pirate en a profité pour usurper un client du registar.

Une fois l’employé usurpé, autant dire que la cible n’était pas n’importe qui, le malveillant le pirate a modifié six DNS de plusieurs sociétés, dont Escrow.com. GoDaddy n’a pas précisé le nombre d’adresse web impactées par la fraude. Le pirate, un Malaisien, a modifié l’affichage des sites. Une modification possible via le remplacement des DNS d’origine d’un serveur légitime vers un serveur malveillant. Il aurait pu afficher une fausse page de collecte de données ou intercepter les courriels.

Le pirate a été contacté par téléphone. Se dernier a avoué que son attaque avait débuté par son hameçonnage. GoDaddy a assuré aux clients du fait que seuls les domaines appartenant à l’entreprise elle-même étaient compromis et que toutes les données des clients étaient totalement sécurisées.

Selon le FBI, les attaques BEC auraient coûté 26 milliards de dollars aux entreprises

Les attaques BEC auraient coûté 26 milliards de dollars aux entreprises entre juin 2016 et juillet 2019.

Plus de 99% des cyberattaques requièrent une action humaine pour se propager. Les attaques BEC reposent sur l’engagement des individus et les cybercriminels s’appuient sur la psychologie humaine en demandant des réponses urgentes à des sollicitations pour des virements ou l’envoi de données confidentielles, simulant souvent un besoin commercial immédiat mais fictif. Pour réduire les chances de succès de telles attaques, les entreprises doivent prendre des mesures rapidement, en sensibilisant leurs employés et en déployant des solutions qui placent l’individu au cœur de leur stratégie de sécurité.

Les BEC et les EAC (des attaques BEC lancées à partir de comptes internes compromis appartenant à des cadres – et donc plus difficiles à détecter) représentent des armes de choix car elles sont peu coûteuses et nécessitent plus de recherche que les infrastructures d’envoi.

L’envoi d’emails frauduleux est peu coûteux. Les messages n’exigent pas de logiciels malveillants coûteux ; pourtant, les attaques elles-mêmes sont très efficaces, entraînant des milliards de dollars de pertes.

E-mails frauduleux

L’exploitation du canal email par le biais de messages hautement personnalisés et conçus par ingénierie sociale permet aux cybercriminels d’usurper facilement l’identité d’un employé ou d’un partenaire de confiance. La prévalence et l’efficacité des stratégies de phishing et de vols d’identifiants alimentent également les attaques EAC, ouvrant aux attaquants un canal interne pour mettre en œuvre leurs cyberattaques.

« Ces systèmes d’ingénierie sociale vont devenir de plus en plus répandus et difficiles à identifier, à détecter et à combattre. Il est essentiel que les entreprises privilégient une approche de cybersécurité centrée sur les personnes qui protège toutes les parties (employés, clients et partenaires commerciaux) contre le phishing, la fraude par email, le vol d’identifiants et les attaques par force brute. » indique  Loïc Guézo de Proofpoint.

Des défenses à plusieurs niveaux au niveau de la périphérie du réseau, de la passerelle de messagerie, du cloud et des points d’accès, ainsi qu’une solide formation des utilisateurs afin d’offrir la meilleure défense contre ces types d’attaques.

D’autant plus malicieuses : le phishing n’est pas un virus. Le type de logiciel malveillant que détectent les antivirus par exemple.

Direction Hong Kong… mais pas que !

Sur la base des données financières, les banques situées en Chine et à Hong Kong restent les principales destinations des fonds frauduleux. Toutefois, le Federal Bureau of Investigation constate une augmentation du nombre de transferts frauduleux vers le Royaume-Uni, le Mexique et la Turquie.

Les statistiques BEC / EAC suivantes ont été rapportées à l’IC3 et proviennent de sources multiples. Notamment des données d’IC3 et de plaintes internationales en application de la loi, ainsi que des informations transmises par des institutions financières entre octobre 2013 et juillet 2019:

Les statistiques suivantes ont été rapportées dans les plaintes déposées par les victimes auprès de la CI3 entre juin 2016 et juillet 2019:

Incidents nationaux et internationaux: 166,349
Perte de dollars exposée aux niveaux national et international: $26,201,775,589
Les statistiques BEC / EAC suivantes ont été rapportées dans les plaintes des victimes déposées auprès de l’IC3 entre octobre 2013 et juillet 2019:
Total des victimes américaines: 69,384
Perte totale en dollars exposés aux États-Unis: $10,135,319,091
Total non-U.S. victims: 3,624
Perte totale en dollars exposés en dollars américains: $1,053,331,166
Les statistiques suivantes ont été rapportées dans les plaintes déposées par les victimes auprès de la CI3 entre juin 2016 et juillet 2019:
Total des bénéficiaires financiers américains: 32,367
Destinataire financier américain total exposé perte en dollars: $3,543,308,220
Total des bénéficiaires financiers non américains: 14,719
Total des pertes financières en dollars des bénéficiaires financiers autres que les États-Unis: $4,843,767,489

(FBI)

Les cyberattaques ciblant Android en hausse

Les analystes de G DATA ont comptabilisé plus de 3,2 millions de nouvelles applications malveillantes à la fin du troisième trimestre 2018. Cela représente une augmentation de plus de 40 % par rapport à la même période en 2017. Les cybercriminels se concentrent sur les appareils mobiles, en particulier sous le système d’exploitation Android. La raison : huit personnes sur dix dans le monde utilisent un appareil Android.

À la fin du troisième trimestre, les analystes de G DATA ont recensé près de 3,2 millions de nouvelles applications malveillantes Android sur l’année, soit en moyenne 11 700 nouveaux dangers par jour. Il s’agit d’une augmentation de plus de 40 % par rapport à la même période de l’année précédente. En termes de sécurité, Android doit également lutter contre les équipements obsolètes. Dès 2017, Google a réagi avec le Project Treble, une fonctionnalité sous Android 8 qui permet une distribution plus rapide des mises à jour. Mais Android 8 est pour le moment dans un peu moins d’un appareil sur cinq – plus d’un an après son lancement en août 2017. Quant à la version actuelle 9, sa diffusion est inférieure à 0,1 % du parc.

Distribuer plus rapidement les mises à jour de sécurité

L’une des clés d’une meilleure protection réside dans la distribution rapide de mises à jour de sécurité. Selon « The Verge », depuis cet été Google oblige contractuellement les fabricants de smartphones sous Android à fournir des mises à jour de sécurité pour au moins deux ans. En détail, les appareils doivent recevoir au moins quatre mises à jour de sécurité Google au cours de la première année. Au cours de la deuxième année, les fabricants doivent assurer une fréquence de mise à jour qui permet de protéger les appareils des vulnérabilités datant de plus de 90 jours.

Un contrat qui comporte toutefois certaines limites. Seuls les smartphones de 100 000 utilisateurs concernés. En outre, l’accord ne s’applique qu’aux équipements mis sur le marché à partir de février 2018, avec une certaine tolérance admise jusqu’au 31 janvier 2019.

Le risque des logiciels espions

Les fonctionnalités étendues des logiciels espions ciblant le système Android sont une source d’incertitude. Ces codes malveillants rivalisent de techniques pour accéder au contenu des appareils. Dernièrement, les analystes de G DATA détaillaient le fonctionnement d’un trojan capable de lire les conversations WhatsApp. Les Smartphones contenant un nombre croissant d’informations sensibles, les attaquants ont bien compris l’intérêt de ces types de codes malveillants.

Virus Bulletin : Google parle d’Android

Lors de la conférence Virus Bulletin qui s’est tenue à Montréal en octobre, des chercheurs de Google ont fait deux présentations qui montrent que la sécurisation de la plateforme Android est un défi quotidien. L’analyste Maddie Stone a par exemple présenté une application malveillante qui déploie un niveau inhabituellement élevé de techniques pour ne pas être détecté par les systèmes automatisés de Google.

L’expert en sécurité Łukasz Siewierski a quant à lui présenté une campagne de logiciels malveillants préinstallés sur les smartphones Android. Selon son analyse, le malware était déjà installé pendant la phase de développement. G DATA a traité d’un sujet similaire lors du Virus Bulletin 2015 et pour la première fois en 2014.

Nouvelle vague de phishing détectée. 550 millions de mails bloqués

Grâce à sa technologie prédictive basée sur une intelligence artificielle, Vade Secure a découvert début janvier une vague d’attaque de phishing d’un nouveau genre. Habituée à des mails usurpant l’identité de banques, de fournisseurs d’accès internet ou de grands noms de la grande distribution en ligne, dans le but de voler les identifiants de connexion de la victime, la société  a détecté en janvier une nouvelle vague de phishing frappant la France.

Représentant un volume mondial cumulé de 550 millions de mails sur le premier trimestre 2018, cette nouvelle vague d’arnaque se présente sous la forme d’un mail marketing proposant un coupon de réduction ou la participation à un concours en ligne. Cet mail usurpant des marques de la grande distribution, de services de streaming en ligne ou bien encore d’opérateurs télécoms géolocalise la victime et adapte son discours en fonction de la langue. Cf. les captures d’écran ci-dessous.

Sébastien Gest, Tech Evangéliste de Vade Secure explique : « La finalité de cette attaque réside dans le fait de voler les coordonnées bancaires de la victime à la suite d’un quizz dans le but de gagner le fameux coupon réduction ». 

Quelle est la nouveauté dans cette attaque ? 

Habituellement les pages de phishing sont hébergées sur des sites internet piratés. Ce n’est pas ici le cas, les adresses IP, les serveurs et les noms de domaines semblent loués et donc légitimes. Après analyse, le coût de l’infrastructure engagée par les pirates semble très important, pouvant se chiffrer à plusieurs dizaines de milliers d’euros. Afin de brouiller les outils de détection, les pirates ont utilisé en série des outils permettant de raccourcir les URL dans le but de masquer l’adresse de destination du lien. Cette technique a été utilisée en chainant plusieurs centaines d’URL entre elles.

Du fait de ces différentes techniques de nombreuses solutions basées sur des technologies de réputation ne détectent pas cette nouvelle vague, qui nécessite des techniques avancées d’analyse des liens et du contexte de la menace pour être bloquée.

Quelques conseils à destination des particuliers :

o    Ne jamais cliquer sur un lien si la sollicitation vous semble suspecte.

o    Si vous avez un doute allez sur isitphishing.ai et entrez l’adresse pour valider si la page est une page légitime ou une page de phishing.

o    Toujours être vigilant devant un mail même si la marque vous semble familière.

o    Une entreprise ne demandera jamais vos identifiants par mail. ​

Cyber incidents en entreprise : les attaques par e-mails continuent de causer les dégâts les plus importants

Le nouveau rapport sur les interventions suite à un cyber incident montre que les boîtes mails constituent le maillon faible de la cyber sécurité des entreprises. Ces dernières éprouvent des difficultés à détecter rapidement et avec précision les incidents de sécurité.

Selon un nouveau rapport publié par F-Secure, plus d’un tiers des cyber incidents de sécurité informatique sont initiés par des mails de phishing ou des pièces jointes malveillantes reçus par les employés d’une entreprise. Ce nouveau rapport présente les conclusions des enquêtes conduites par F-Secure sur les interventions menées suite à un cyber incident et offre un aperçu des véritables modes opératoires des pirates informatiques.

21 % des cyber incidents analysés par F-Secure dans ce rapport font suite à des attaques ciblant les services web utilisés par les entreprises. Il s’agit du mode d’attaque le plus fréquemment utilisé par les pirates mettre la main sur les données d’une organisation. Toutefois, le phishing et les pièces jointes malveillantes totalisaient, ensemble, environ 34 % des attaques. Pour Tom Van de Wiele, Principal Security Consultant chez F-Secure, les attaques par e-mail constituent donc le plus gros danger pour les organisations.

« L’exploitation des vulnérabilités logicielles est typique des attaques opportunistes mais les intrusions informatiques via e-mail sont bien plus fréquentes. Les pirates disposent de tout un éventail d’attaques par e-mail. Elles remportent un franc succès, puisque la plupart des entreprises utilisent les e-mails pour leurs communications », explique Tom Van de Wiele. « Il convient de toujours réfléchir à deux fois avant de cliquer sur une pièce jointe ou sur un lien… mais la pression professionnelle l’emporte souvent sur le bon sens. Les pirates comprennent et exploitent cette logique. »

Cyber incident

● Les organisations sont touchées à la fois par des attaques ciblées et opportunistes, dans des proportions égales
● Les violations de données menées par des acteurs internes à la structure représentaient un cinquième des incidents de sécurité
● Dans près de 80% des cas, les experts en cyber sécurité ont été contactés après une alerte cyber sécurité de l’entreprise.
● Après s’être introduit sur le réseau d’une entreprise, les pirates procèdent le plus souvent à une diffusion de malware (surtout à des fins financières, à des fins d’espionnage, ou pour maintenir un accès ultérieur au réseau)
● 13 % des enquêtes ont révélé des faux positifs

Sur ce dernier point, pour Tom Van de Wiele, les entreprises détectent de trop nombreux faux positifs. « Trop d’organisations éprouvent des difficultés à détecter avec précision les cyber incidents. Elles ne disposent pas de capacités de détection précises. Nous sommes souvent appelés à enquêter sur des activités suspectées à tort. Parfois, il nous est demandé d’intervenir et nous découvrons un simple problème informatique. Ces faux positifs épuisent les ressources de l’entreprise et détournent l’attention des vrais problèmes. »

Le rapport recommande aux entreprises d’améliorer leurs capacités de détection et d’intervention, en investissant, par exemple, dans une solution de détection ou un service d’intervention pour les postes de travail.

Cybercriminalité 2017 : personne n’est épargné

Cybercriminalité : 6 mois après la publication de ses prédictions pour l’année 2017, ESET® revient sur les tendances essentielles. La multiplication des attaques sur mobiles et IoT, la prise de contrôle des infrastructures critiques, la protection de la vie privée des utilisateurs, les cybermenaces sur le secteur de la santé et l’élargissement des cyberattaques aux gamers. En voici un extrait.

Cybercriminalité et mobiles ! Sur la plateforme Android, de janvier à mai 2017, 255 failles de sécurité ont été découvertes. Il s’agit de près de la moitié du nombre total de failles de l’année 2016. Pour les codes malicieux, 300 nouveaux échantillons de malwares Android sont découverts en moyenne chaque mois […]. De plus, 224 failles de sécurité ont été signalées en mai 2017 sur la plateforme iOS, soit 63 de plus qu’en 2016. Parmi elles, 14% sont considérées comme critiques.

Les infrastructures critiques de type SCADA

Cybercriminalité et l’augmentation et la sophistication d’attaques sur des infrastructures critiques. Le malware Industroyer découvert par ESET au mois de juin en est un parfait exemple. […] ESET précise que les infrastructures critiques ne se limitent pas aux réseaux électriques. À l’ère du numérique, elles englobent de plus en plus les systèmes d’ingénierie tels que les chaînes d’approvisionnement et Internet lui-même.

Protéger la vie privée des utilisateurs, un enjeu mondial

2018 protègera davantage les données des utilisateurs. Grâce au RGPD (GDPR en anglais), ils pourront jouir de leur droit à l’oubli et supprimer/gérer les informations les concernant. Parallèlement, la Chine a également adopté une nouvelle loi […]. Ainsi, de nombreux efforts sont faits à l’échelle internationale afin de légiférer les droits des utilisateurs concernant leur vie privée.

La santé, secteur cible numéro 1

La transformation digitale du secteur de la santé attiret les cybercriminels. Doit-on s’inquiéter du traitement de nos données par les professionnels de santé ? […] En 2017, certains hôpitaux européens notamment du Royaume-Uni (dont 48 services de santé publics) ont dû suspendre leurs services et quelques dispositifs médicaux suite à l’infection de leurs systèmes par des malwares.

L’industrie du jeu vidéo

Les ressources, informations et profils des joueurs sont devenus de plus en plus précieux. Outre les trafics internationaux de comptes volés appartenant à des joueurs et l’obtention de monnaie virtuelle de manière frauduleuse […] ESET a découvert un nouveau type de ransomware, le rensenware : au lieu d’exiger une rançon financière pour récupérer les fichiers chiffrés, il demande à la victime de jouer à un jeu vidéo japonais jusqu’à obtenir un score élevé, le niveau « lunatic ».

Forte augmentation des faux comptes sur les réseaux sociaux

Rapport trimestriel sur les menaces cyber : le Quarterly Threat Summary pour le dernier trimestre 2016. On y retrouve l’analyse des tendances en matière de menaces emails, mobiles et sur les réseaux sociaux. Il permet également de visualiser de manière globale les changements importants apparus en 2016 dans le paysage des menaces.

Les attaques de phishing sur les médias sociaux ont augmenté de 500% entre début 2016 et fin 2016. Parmi ces attaques on retrouve le « angler phishing » par le biais duquel les pirates interceptent les données personnelles des utilisateurs en détournant les services client. Au quatrième trimestre, le « angler phishing » est apparu le plus fréquemment dans les domaines des services financiers et des divertissements.

Les comptes frauduleux sur les réseaux sociaux ont augmenté de 100% du troisième au quatrième trimestre 2016. Ces comptes frauduleux ont été utilisés entre autres pour du phishing, du spam, de la distribution de malwares. À cette fin, les chercheurs de Proofpoint ont observé une augmentation de 20% du contenu de type spam sur Facebook et Twitter de trimestre en trimestre.

4500 applications mobiles associées aux Jeux olympiques d’été de Rio et à ses sponsors étaient jugées risquées ou malveillantes. Les menaces à la fois sur mobile et réseaux sociaux profitent fréquemment des événements majeurs et phénomènes populaires ; Les applications à risques qui peuvent potentiellement diffuser des données volées sont monnaie courante sur les deux plates-formes mobiles majeures.

Le nombre de nouvelles variantes de ransomwares a été multiplié par 30 par rapport au quatrième trimestre 2015. Une grande majorité de ces variantes est lié à Locky, mais leur nombre continue de croître rapidement. Cerber, CryptXXX et d’autres étaient également importants, distribués à la fois par e-mail et par exploit kit.

L’arnaque au faux président chutait à 28% en décembre alors que son son pic le plus important était de 39% en août. En parallèle, l’adoption à DMARC a augmenté de 33% lors du troisième trimestre 2016. Les entreprises sont de plus en plus agressives dans leur gestion des attaques BEC (Business Email Compromise), tout comme les auteurs de ces attaques qui adaptent leur méthode, en employant des techniques toujours plus efficaces. À la fin du dernier trimestre, il est clair que les acteurs de BEC s’étaient aperçus que les emails de spoofing envoyés au Directeur Financier par l’adresse mail du PDG étaient moins efficaces que ces mêmes messages adressés aux employés. Le rapport de ProofPoint est accessible ici.

Près de la moitié des français n’achèterait pas à une entreprise piratée

78 % des français souhaitent plus de condamnations et des sanctions plus sévères envers les cyber criminels qui volent les données personnelles.

F5 Networks a présenté dernièrement les résultats d’une étude sur les attitudes des français face au piratage. L’étude révèle que les français prennent conscience des problèmes liés au piratage – avec 47 % qui affirment qu’ils n’ouvriraient pas de compte, ne partageraient pas de données ou n’achèteraient pas à une entreprise déjà piratée par le passé (50 % en UK – 51 % en Allemagne).

Même si 49 % des français changent parfois ou à chaque fois leur mot de passe si une entreprise dans laquelle ils possèdent un compte a été piratée, nous sommes encore 17 % à ne jamais changer nos mots de passe après le piratage d’une entreprise dans laquelle nous possédons un compte (8 % en UK – 9 % en Allemagne).

https://twitter.com/zataz/status/783060182205161472

Les motivations des pirates
Selon les français, les pirates sont principalement motivés par le fait de gagner de l’argent grâce au vol de données personnelles (60 %), suivi par la possibilité de souligner des failles dans l’entreprise et les solutions de sécurité (9 %) puis de dérober des secrets d’affaires (8 %). Nous sommes également près de 60 % à penser que les pirates deviennent plus professionnels (72 % en UK – 64 % en Allemagne) et 22 % à penser que les employés ne reçoivent pas des formations appropriées en matière de cybersécurité.

A qui la faute ?
Les français sont partagés : 39 % d’entre eux pensent que la responsabilité doit être attribuée aux solutions de sécurité elles-mêmes, alors que 37 % pensent que l’équipe IT et sécurité est responsable, si l’entreprise est victime d’une cyber attaque. Alors que les britanniques et les allemands sont plus tranchés : ils sont respectivement 52 % et 53 % à penser que la responsabilité doit être attribuée à l’équipe IT et sécurité. 49 % des français estiment également que les entreprises ne prennent pas assez de mesures pour elles-mêmes et leurs clients afin de se protéger contre les cyber criminels, comparativement à 61 % en Angleterre et 46 % en Allemagne. « Les individus pensent de plus en plus qu’il est de la responsabilité des entreprises de mener la lutte contre les cyber criminels et de s’assurer qu’elles protègent les données de leurs clients. Alors que les consommateurs doivent améliorer leur comportement en ligne en pensant à la sécurité, la protection des données reste la responsabilité de l’entreprise », pense Gad Elkin, directeur de la sécurité EMEA chez F5 Networks.

Que faire ?
Lorsque l’on demande aux consommateurs comment les entreprises doivent-elles améliorer leur façon de se protéger contre les hackers, “Investir dans les technologies de sécurité” arrive en première position dans les trois pays (61 %), suivi par “une meilleure éducation des consommateurs sur la menace” et ”partager leurs (les entreprises) connaissances sur la menace” en troisième position.

Et si les français pouvaient tous pirater…
Si l’étude a également permis de révéler que près d’un français sur 5 place les hackers du côté « des bons » (contre seulement 1 britannique sur 10), ils sont 37 % à citer les banques et 22 % le secteur public, parmi leurs victimes – s’ils pouvaient pirater pour une raison ou une autre (voler des données, découvrir des secrets d’affaires ou gagner de l’argent) sans aucune conséquence.

« Les chiffres de l’étude montrent que l’ensemble des consommateurs à travers l’Europe sont disposés à quitter un prestataire pour choisir un concurrent non piraté. La cyber sécurité devient donc un avantage concurrentiel pour les entreprises et non plus seulement un centre de coûts – et celles-ci doivent trouver comment améliorer leurs propres défenses d’une part, et comment éduquer les consommateurs sur les risques informatiques d’autre part. »

L’état du spam et du phishing au premier trimestre 2016

Une étude sur le spam et le phishing au premier trimestre 2016 montre que le nombre de spams contenant des pièces jointes malveillantes ont augmenté de 50 % au cours des trois premiers mois de 2016.

Bitdefender, spécialiste des solutions de sécurité informatique souligne quelques tendances de fond au cours du premier trimestre 2016. Les spammeurs utilisent des techniques d’attaque de plus en plus pointues et ciblées contrairement à l’envoi en masse de spam, chose courante ces dernières années. Les services de partage de fichiers et de stockage dans le Cloud sont devenus des cibles privilégiées par les pirates pour diffuser des codes malveillants. VBS Downloader, Upatre, Andromeda et JS Downloader ont été les downloaders les plus bloqués par Bitdefender. Ce type de logiciel malveillant est intégré dans des pièces jointes. Une fois installé, le programme télécharge différents malware sur les systèmes infectés. Au premier trimestre 2016, une pièce jointe sur sept contenait un ransomware. Les extensions de fichier les plus utilisées sont les archives (Zip, Rar, etc.), ce qui démontre une volonté d’échapper aux filtres Antispam. Le format ZIP dissimule des fichiers Javascript dans 95% des cas et reste le  moyen de diffusion essentiel du ransomware Locky.

En ce qui concerne le phishing, les modèles d’attaques impliquant les services de partage et de stockage en ligne ont détrôné les secteurs de la vente et du paiement en ligne, traditionnellement prisés des cybercriminels.  Au cours du premier trimestre 2016,  les services les plus touchés étaient Apple, Paypal et Google.

Dans les prochains mois, il est fort probable que les tentatives de spear-phishing, les chevaux de Troie et les ransomwares tendront à augmenter en raison des réussites récentes (et lucratives) de fuite de données sensibles utilisant les identifiants de responsables gouvernementaux, de chefs d’états ou, des personnalités politiques etc. par les cybercriminels. Les évènements internationaux majeurs tels que les élections présidentielles américaines, les Jeux Olympiques, le soutien à des œuvres humanitaires par exemple, constituent autant d’opportunités à exploiter par les cybercriminels.

Campagne de fraude ciblant les utilisateurs American Express

On n’apprend jamais des erreurs des autres, en tout cas, c’est qu’il faut croire après le nombre élevé d’utilisateurs American Express victimes de la plus récente attaque de phishing.

Les attaques de phishing ciblées deviennent de plus en plus difficiles à détecter. Voilà pourquoi il est important de toujours redoubler de vigilance dans la vérification d’adresses des expéditeurs, même si elles peuvent sembler venir de sources sûres. Dans l’escroquerie American Express, les pirates ont envoyé des e-mails en se faisant passer pour la société, et en reproduisant un modèle fidèle de mail de l’entreprise,  ils sont allés jusqu’à créer un faux processus de configuration, pour installer une « clé personnel de protection personnel American Express.

Les e-mails frauduleux exhortent les clients à créer un compte pour protéger leur ordinateur contre les attaques de phishing -quelle ironie !-. Lorsque les utilisateurs cliquent sur le lien dans le mail, la page vers laquelle ils sont redirigées, leur demande des informations privées telles que le numéro de sécurité sociale, date de naissance, nom de jeune fille de la mère, date de naissance, e-mail et tous les détails de leurs cartes American Express, y compris les codes et la date d’expiration.

L’augmentation massive des attaques de ce type devrait sensibiliser les utilisateurs à ne jamais répondre à des e-mails suspects, mais il est toujours difficile de distinguer le vrai du faux, surtout si l’utilisateur n’est pas doué en informatique ou s’il ne maitrise pas bien l’Internet.

Toutefois, dès la réception d’un e-mail inattendu de sa banque, d’une société de carte de crédit ou autre institution demandant de cliquer sur un lien, de confirmer un paiement ou de fournir ses données privées, il convient d’appeler la compagnie d’abord. Mieux vaut prévenir que guérir.

Que faire lorsque l’utilisateur clique par inadvertance sur un mauvais lien ?
– Quitter la fenêtre et se déconnecter de l’internet. Si l’ordinateur est infecté, cela va empêcher le malware de se propager à d’autres périphériques du réseau.
– Toujours sauvegarder ses données sur un périphérique externe car il est possible d’avoir à redémarrer le système ; sinon, toutes les données seront perdues
– Bien sûr, avoir une solution de sécurité afin d’être prévenu de toute activité anormale affectant le système.

Partage de fichiers et phishing

Le partage de fichiers devient le service le plus ciblé par le phishing. Près d’une URL malveillante sur cinq utilise un service de partage de fichiers.

Le phishing via les services de partage de fichiers a explosé au cours des trois derniers mois, classant ainsi les services Cloud de distribution de fichiers en tête de liste des secteurs les plus ciblés par des actions malveillantes, selon une étude de Bitdefender.

À l’échelle mondiale, le partage de fichiers est davantage utilisé pour propager les arnaques de phishing que les achats en ligne et les services de paiement, qui sont les couvertures traditionnellement favorisées par les hackers. Près d’une URL malveillante sur cinq utilise un service de partage de fichiers pour infecter les utilisateurs avec des malwares, comme le montrent ces dernières données Bitdefender.

Le manque d’innovation de cette technique est compensé par sa facilité d’utilisation et la popularité des services de partage de fichiers entre particuliers. L’an dernier, Dropbox a atteint la barre des 400 millions d’utilisateurs ayant stocké 35 milliards de fichiers Microsoft Office, tandis que Google Drive en hébergeait 190 millions en 2014.

Il est également important de noter que les services de partage de fichiers et de stockage dans le Cloud ne disposent pas des fonctions de sécurité pour filtrer les contenus illicites. Les pirates profitent de cette lacune pour dissimuler leurs fichiers infectés par des malwares, sans laisser de trace.

Par exemple, Dropbox n’examine pas les fichiers détenus dans les dossiers privés des utilisateurs. Cependant, ce service a réussi à mettre en place un système basé sur le hachage qui reconnaît le contenu protégé par des droits d’auteur. Cela permet de générer automatiquement une empreinte pour les fichiers stockés. Celle-ci est ensuite comparée avec une liste des empreintes de fichiers protégés par un copyright et les contenus sont bloqués uniquement si les utilisateurs essaient de les partager avec des contacts externes. Sans grande surprise, Dropbox se place au 4e rang des marques les plus usurpées, après PayPal, Apple et Google.

Une attaque typique suit globalement ce procédé : l’utilisateur reçoit un e-mail en apparence authentique, l’invitant à cliquer sur un lien intégré afin d’afficher un document en pièce jointe. Ce lien redirige l’utilisateur vers une page de phishing hébergée sur le nom de domaine du fournisseur. La page en question demande les informations d’identification de l’utilisateur, puis les capture pour envoyer ces données aux cybercriminels via un SSL. Si les certificats SSL s’assurent que les données sur un site Web sont présentées de manière sécurisée, ils ne garantissent pas que le site lui-même soit sécurisé. C’est pourquoi les pirates en profitent : ils achètent des certificats SSL bon marché et les utilisent sur des sites de phishing pour se faire passer pour des sites légitimes.

En général, les cybercriminels ne se limitent pas à vouloir dérober uniquement de simples identifiants de service de stockage en ligne ; les URL malveillantes peuvent, par exemple, pousser les utilisateurs à télécharger des crypto-ransomwares à leur insu. Dans ce cas, les conséquences sont beaucoup plus graves car les nouvelles générations de ransomwares peuvent prendre le contrôle des fichiers stockés par ces services d’hébergement en ligne. La plupart des sites de phishing sont hébergés aux États-Unis.

« Le phishing reste un vecteur d’attaque très efficace, responsable d’une part de plus en plus élevée d’incidents provoquant des fuites de données, touchant aussi bien les particuliers que les entreprises », déclare Bogdan Botezatu, Analyste Senior chez Bitdefender. Le phishing est une technique encore très efficace et dont la proportion connaît des niveaux sans précédent comme l’a récemment souligné l’IRS (Internal Revenue Service) aux États-Unis avec une augmentation de +400% d’e-mails et de messages faussement légitimes, envoyés en 2015.

Si un employé est victime d’un e-mail de phishing, il peut compromettre à son insu l’ensemble du réseau de l’entreprise, y compris les comptes bancaires, mots de passe du système informatique et identifiants professionnels. Le spear-phishing (phishing personnalisé visant un utilisateur) est efficace parce qu’il est crédible. C’est pourquoi il est conseillé aux utilisateurs d’éviter de trop partager leurs données personnelles sur les plates-formes publiques et de ne pas ouvrir de liens et de fichiers provenant de sources inconnues.

eBay : une inquiétante faille révélée

EBay alerté au sujet d’une vulnérabilité de sa plateforme de vente en ligne qui permet à des cybercriminels de diffuser des campagnes de phishing et des logiciels malveillants.

eBay, le géant de la vente aux enchères et du commerce électronique en ligne, possède des bureaux dans plus de 30 pays et plus de 150 millions d’utilisateurs actifs dans le monde. L’entreprise ayant une clientèle importante, il n’est donc pas surprenant qu’elle soit la cible de nombreuses cyberattaques.

Check Point, éditeur de solution de sécurité informatique, a découvert une grave vulnérabilité dans la plateforme de vente en ligne d’eBay. Cette vulnérabilité permet à un agresseur de contourner la validation de code d’eBay et de contrôler le code vulnérable à distance pour exécuter du code JavaScript malveillant auprès d’utilisateurs ciblés. Sans correction de cette faille, les clients d’eBay continueront d’être potentiellement exposés à des attaques de phishing et de vol de données.

Un agresseur pourrait cibler les utilisateurs d’eBay en leur envoyant une page légitime contenant du code malveillant. Lors de l’ouverture de la page, le code serait alors exécuté par le navigateur de l’utilisateur ou une application mobile, conduisant à plusieurs scénarios inquiétants allant du phishing jusqu’au téléchargement binaire.

Après avoir découvert la vulnérabilité, Check Point en a communiqué les détails à eBay le 15 décembre 2015. Cependant, le 16 janvier 2016, eBay a déclaré n’avoir prévu aucune correction de la vulnérabilité. La démonstration de la méthode d’exploitation est encore disponible en ligne.

Découverte de la vulnérabilité

Roman Zaikin, chercheur de Check Point, a récemment découvert une vulnérabilité qui permet à des pirates d’exécuter du code malveillant sur les appareils des utilisateurs d’eBay, à l’aide d’une technique non standard appelée « JSF**k ». Cette vulnérabilité permettrait à des cybercriminels d’utiliser eBay comme plateforme de phishing et de diffusion de logiciels malveillants.

Pour exploiter cette vulnérabilité, un agresseur a simplement besoin de créer une boutique eBay en ligne, et publier une description malveillante d’un article dans les détails de sa boutique. eBay empêche les utilisateurs d’inclure des scripts ou des iFrames en filtrant les balises HTML. Cependant, grâce à JSF**k, l’agresseur peut créer un code qui va charger du code JS supplémentaire depuis son serveur. Cela lui permet d’insérer du JavaScript qu’il peut contrôler et ajuster à distance, par exemple, pour adapter son attaque à un navigateur différent.

eBay n’effectue qu’une simple vérification, et ne supprime que les caractères alphanumériques des balises de script. La technique JSF**k permet aux agresseurs de contourner cette protection en utilisant un nombre très limité de caractères.

Comme on peut le voir, le message qui apparaît sur l’application eBay (plus précisément dans la boutique de l’agresseur sur le site eBay) incite l’utilisateur non averti à télécharger une nouvelle application mobile eBay en proposant une remise.

L’utilisateur qui appuie sur le bouton « Télécharger », téléchargera à son insu une application malveillante sur son appareil mobile.

« La méthode d’attaque fournit aux cybercriminels un moyen très facile de cibler les utilisateurs en leur envoyant un lien vers un produit très attrayant pour exécuter l’attaque. La principale menace est la diffusion de logiciels malveillants et le vol de données privées. Un agresseur pourrait également proposer une méthode de connexion alternative via Gmail ou Facebook pour détourner des comptes utilisateurs, » précise Oded Vanunu, responsable d’un groupe de recherche chez Check Point. « Check Point reste à l’affût des vulnérabilités dans les applications et les plateformes Internet courantes. En communiquant les menaces au fur et à mesure de leur découverte, nous protégeons l’avenir. »

Nagerfit, Plaquerfit, SauterFit, hackerFit !

Le piratage de données de clients des produits connectés FitBit se précise.

Pourquoi s’attaquer aux clients des montres et bracelets connectés FitBit ? Malheureusement, simple et facile. Une fois qu’un pirate a mis la main sur un compte, il peut tenter de piéger la société en se faisant envoyer un produit de remplacement encore sous garantie. Au pirate de trouver le moyen de se faire communiquer le produit qu’il revendra ensuite.

Depuis plusieurs semaines, la communauté Fitbit vibre. Des dizaines de clients font état d’une modification de leur page d’administration Fitbit. La société a confirmé le problème et annonce se pencher sur la chose. Des pirates qui ont, via cet accès, aux informations GPS, et toutes autres données sauvegardées sur les serveurs de la marque de produits high-tech pour sportifs.

Le pirate a changé les informations de connexion

D’après BuzzFeed, toujours le même pseudo caché derrière ces piratages annoncés : « threatable123 ». Un bot serait-il utilisé par le malveillant ou alors ce dernier est trop feignant pour se cacher ? Plusieurs clients reprochent à FitBit de faire la sourde oreille et de les accuser de ne pas avoir prêté attention à leurs identifiants de connexion. Alors attaque sur la base de données ou simple phishing ? A suivre…

Chantage informatique saveur Macaron

Une entreprise de Montmorillon piratée. Sa base de données volée. Les pirates ont tenté de faire chanter la PME spécialisée dans les Macarons.

Les amateurs de Macarons connaissent l’artisan Rannou-Métivier. Cette entreprise familiale basée à Montmorillon, dans la région de Poitiers, est spécialisée dans cette petite gâterie sucrée qu’est le macaron. Des pirates informatiques ont jeté leur dévolu sur le site Internet de la société. Une faille SQL plus tard et les malveillants sont repartis avec la base de données [BDD].

Une BDD comprenant les informations clients : mails et mots de passe. « Notre service informatique a immédiatement réagi pour renforcer la sécurité du site. Cependant, des données ont déjà été volées » souligne dans le courriel envoyé aux clients de Rannou-Métivier. Les pirates ont réclamé de l’argent à la société. En contre partie, les voyous du web ne diffuseraient pas les informations collectées. Depuis, le chiffrement des sésames a été instauré, espérons juste que cela n’est pas un modeste format MD5 et que les pirates ne diffuserons pas les informations volées.

Une attaque qui démontre une fois de plus l’intérêt des base de données pour le blackmarket. Si cette derniére ne peut-être vendue, ce qui ne veut pas dire  que les données n’ont pas été diffusés dans le BM, les pirates n’hésitent plus à contacter les victimes pour « dealer » une rançon. L’année derniére, le groupe Rex Mundi s’était spécialisé dans ce type de chantage à la base de données clients. [La Nouvelle république]

Anonymous attaque la Turquie

Des hacktivistes proches de la mouvance des Anonymous ont annoncé un DDoS de 40Gbps à l’encontre de la Turquie en raison de la prétendue aide du pays à la secte de Daesh.

https://www.youtube.com/watch?v=0m9lzxXIDBU

Des internautes, signant sous le pseudonyme générique Anonymous, ont revendiqué la responsabilité d’une attaque massive DDoS de 40Gbps à l’encontre de serveurs DNS turcs, via NIC.tr – La raison annoncée de cette attaque, la Turquie soutiendrait Daesh/ISIS/ISIL en rachetant le pétrole volé par la secte.

Dans une vidéo mise en ligne par Anonymous, les hacktivistes indiquent que cette attaque contre les serveurs Turcs a été coordonnée lors de l’opération #OpISIS / #opTurkey. Les hacktivistes indiquent d’autres attaques à l’encontre du gouvernement Turc si ce dernier ne cesse pas son commerce avec les terroristes « Les attaques vont se poursuivre, nous ciblerons les aéroports, banques et militaires« .

Pendant ce temps, en Inde, des pirates informatiques qui semblent proche d’ISIL auraient réussi à détourner de l’argent des caisses d’une entreprise de Delhi. Somme qui s’est retrouvée dans sur le compte d’une association turque, associée à l’Etat Islamic. Un piratage qui aurait réussi via un courriel piégé. Un phishing, sauce ISIL ?

 

Comment un cybercriminel peut infiltrer votre réseau

La sécurité est plus que jamais une priorité pour les entreprises, contribuant activement à sa réussite. Les RSSI doivent désormais s’assurer que leurs projets en matière de sécurité IT sont en phase avec les objectifs de l’entreprise.

Nous sommes tous connectés à Internet, ce qui est très positif. Mais ce lien permanent implique que nous sommes tous au cœur d’un écosystème de grande envergure. Il est essentiel de comprendre que tout ce qui touche une organisation impactera également de nombreuses autres entreprises, et notamment ses partenaires. Ainsi, en cas de piratage d’une entreprise, ce sont des données personnelles identifiables qui sont détournées. Ces données peuvent être revendues à des spécialistes de l’usurpation d’identité ou constituer un terreau favorable aux attaques de phishing. Plus l’assaillant disposera d’informations sur vous, plus l’email qu’il vous enverra apparaîtra comme légitime et vous incitera à cliquer sur un lien malveillant.

Notons que les tactiques d’attaques actuelles sont similaires à celles d’il y a quelques années : récupération de mots de passe faibles, attaques de type phishing et téléchargement de logiciels malveillants à partir de sites web infectés ou de publicités malveillantes. Sauf qu’aujourd’hui, l’assaillant a gagné en furtivité et en efficacité lorsqu’il mène son attaque.

Penchons-nous, par exemple, sur les réseaux sociaux et les services en ligne. Nous sommes très nombreux à les utiliser, qu’il s’agisse de Facebook, de LinkedIn, ou encore des sites de rencontres en ligne. Les assaillants l’ont parfaitement compris et capitalisent sur la fibre émotionnelle de chacun. Ils établissent ainsi leur passerelle d’entrée vers les dispositifs des utilisateurs en s’aidant de ces sites et de techniques d’ingénierie sociale. Ainsi, si les méthodes d’ingénierie sociale restent les mêmes, les vecteurs et la surface d’attaque ont, en revanche, progressé. Parallèlement, ce sont les techniques de furtivité qui ont gagné en précision, avec des assaillants toujours plus aptes à se dissimuler. Se contenter d’utiliser les antivirus traditionnels n’est donc tout simplement plus suffisant.

Parmi les techniques utilisées, l’attaque de type phishing est la méthode principale pour s’immiscer au sein des réseaux d’entreprise.

Un email de phishing, conçu pour paraître le plus légitime possible, est envoyé avec un fichier joint ou une URL malveillante, et incitant l’utilisateur à ouvrir le fichier ou à cliquer sur l’URL. L’attaque par téléchargement furtif (ou drive–by attack) est une autre technique utilisée par les assaillants. Ces derniers piratent un site Web et y installent un script java malveillant qui redirigera l’utilisateur vers un autre site hébergeant un logiciel malveillant téléchargé en arrière-plan vers l’équipement de l’utilisateur. Dans le cas d’une attaque ciblée, les assaillants peuvent passer des mois à identifier les sites Web les plus consultées par les organisations ciblées, pour ensuite les infecter.

Le malvertising (publicité malveillante) compte également parmi les techniques utilisées. Cette attaque emprunte les codes des attaques drive-by, mais l’assaillant se focalisera sur l’infection des sites de publicités. Il devient possible d’infecter un seul de ces sites qui, à son tour, pourra infecter jusqu’à 1 000 autres sites Web. Ou l’art d’industrialiser son attaque.

Enfin, n’oublions pas l’attaque mobile. Nombre de ces attaques sont similaires à celles mentionnées plus haut, mais elles ciblent les dispositifs mobiles. Notons qu’il est possible d’infecter un dispositif mobile via un message SMS, ou à l’aide d’un logiciel malveillant qui se présente en tant qu’application ludique ou de contenu pour adultes.

Lorsque l’assaillant est rentré dans un réseau et qu’il réside sur le dispositif d’un utilisateur (ordinateur de bureau ou portable, équipement mobile), il doit désormais injecter de nouveaux logiciels malveillants et outils pour mener à bien sa mission. Généralement, les informations de valeur ne sont pas stockées sur les postes de travail, mais plutôt sur les serveurs et des bases de données. Voici donc un aperçu des étapes supplémentaires pouvant être mises en œuvre par un cybercriminel déjà présent dans le réseau:

Téléchargement d’autres outils et logiciels malveillants pour compromettre davantage le réseau.
Exploration du réseau pour identifier les serveurs hébergeant les données ciblées. Recherche du serveur Active Directory contenant tous les identifiants d’authentification, dans l’objectif de pirater ces données, véritable sésame pour le cybercriminel.
Une fois les données ciblées identifiées, recherche d’un serveur provisoire pour y copier ces données. Le serveur idéal est un serveur stable, à savoir toujours disponible, et disposant d’un accès sortant vers Internet.

Exfiltration furtive et lente de ces données vers les serveurs des assaillants, généralement déployés dans le cloud, ce qui rend la neutralisation des communications plus complexe.

Les cybercriminels présents au sein du réseau sur une longue durée pourront obtenir tous types d’informations disponibles puisque les données d’entreprise, dans leur grande majorité, sont archivées sous format électronique. Plus le cybercriminel est présent sur le réseau, plus il en apprend sur les processus et les flux de données de votre entreprise. L’attaque Carbanak qui a ciblé de nombreuses banques dans le monde en est la parfaite illustration. Lors de cette exaction, les cybercriminels sont remontés jusqu’aux ordinateurs des administrateurs ayant accès aux caméras de vidéosurveillance. Ils ont ainsi pu surveiller de près le fonctionnement du personnel bancaire et enregistrer tous les processus dans le détail. Ces processus ont été reproduits par les cybercriminels pour transférer des fonds vers leurs propres systèmes.

Comme déjà souligné, une brèche dans le réseau s’initie généralement par un simple clic d’un utilisateur sur un lien malveillant. Après avoir investi le poste de l’utilisateur piraté, l’assaillant commence à explorer le réseau et à identifier les données qu’il souhaite détourner. C’est dans ce contexte que la notion de segmentation de réseau devient essentielle. Cette segmentation permet de maîtriser l’impact d’un piratage puisque l’entreprise victime peut  isoler la faille et éviter tout impact sur le reste du réseau. D’autre part, elle permet de cloisonner les données sensibles au sein d’une zone hyper-sécurisée qui rendra la tâche bien plus complexe pour ceux qui souhaitent les exfiltrer. Pour conclure, gardons à l’esprit qu’il est impossible de protéger et de surveiller le réseau dans sa totalité, compte tenu de son périmètre étendu et de sa complexité. Il s’agit donc d’identifier les données les plus sensibles, de les isoler et de porter son attention sur les chemins d’accès vers ces données. [par Christophe Auberger, Directeur Technique France, Fortinet]

La menace du phishing plane sur les PME : trois étapes pour éviter le pire

Les attaques informatiques ciblant de grands groupes, comme TV5monde, font régulièrement la une des journaux. Selon le rapport 2014 PwC sur la sécurité de l’information, 117 339 attaques se produisent chaque jour au niveau mondial. Depuis 2009, les incidents détectés ont progressé de 66 %.

Ce type d’attaques, très répandue, cible en grande partie les PME. Selon un rapport de l’ANSSI, 77 % des cyber-attaques ciblent des petites entreprises. Les conséquences peuvent être désastreuses pour ces structures à taille humaine, n’ayant pas forcément la trésorerie suffisante pour assurer leur activité en attendant le remboursement de leur assurance. Le coût d’une attaque peut s’avérer très élevé et la crédibilité de l’entreprise visée peut également en pâtir. Suite à une attaque informatique du type « fraude au président », la PME française BRM Mobilier a ainsi perdu cet été 1,6 M€ et se trouve aujourd’hui en redressement judiciaire.

En mai dernier, le PMU a effectué un test grandeur nature en envoyant un faux email, proposant de gagner un cadeau, avec une pièce jointe piégée. Résultat : 22% des salariés ont téléchargé la pièce jointe et 6% ont cliqué sur le lien contenu dans l’email et renseigné leurs données personnelles.

Comment éviter que ce type de scénario ne vire à la catastrophe ?

1 – Connaitre le déroulé d’une attaque
Le phishing, également appelé hameçonnage, est une technique employée par les hackers pour obtenir des données personnelles, comme des identifiants ou des données bancaires. Le déroulement est simple : le hacker envoie un email en usurpant l’identité d’un tiers de confiance, comme un partenaire, un organisme bancaire, un réseau social ou encore un site reconnu. L’email contient une pièce jointe piégée ou un lien vers une fausse interface web, voire les deux. Si le subterfuge fonctionne, la victime se connecte via le lien, et toutes les informations renseignées via la fausse interface web sont transmises directement au cybercriminel. Autre possibilité : la pièce jointe est téléchargée et permet ainsi à un malware d’infester le réseau de l’entreprise.

2 – Comprendre la dangerosité d’une attaque pour l’entreprise
Pour les entreprises, le phishing peut s’avérer très coûteux. Il est bien évidemment possible que le hacker récupère les données bancaires pour effectuer des virements frauduleux. Puisque nous sommes nombreux à utiliser les mêmes mots de passe sur plusieurs sites, les informations recueillies sont parfois réutilisées pour pirater d’autres comptes, comme une messagerie, un site bancaire, ou autre. De trop nombreuses personnes utilisent les mêmes mots de passe sur plusieurs sites – il est aussi possible que le hacker réutilise les informations recueillies pour pirater une boite mail, ou un compte cloud. Le cybercriminel peut ainsi consulter l’ensemble de la boîte mail, ou des comptes de sauvegarde cloud, et mettre la main sur des documents confidentiels, comme des plans ou des brevets, pouvant nuire à l’entreprise.

Enfin, les hackers profitent du piratage des boîtes mails pour envoyer à tous les contacts un nouvel email de phishing. La crédibilité de l’entreprise peut ainsi être touchée et ses clients pourraient subir à leur tour des pertes.

3 – Se préparer et éduquer avant qu’il ne soit trop tard
Les emails de phishing ont bien souvent une notion « d’urgence », qu’il s’agisse d’une demande pressante de la part d’un organisme ou d’un partenaire, ou d’une participation à un jeu concours « express ». Le but étant bien évidemment de ne pas laisser le temps à la victime de prendre du recul.

Comprendre le procédé d’une attaque est la première étape pour organiser sa défense. Il faut donc éduquer les salariés et leur donner quelques astuces pour ne pas tomber dans le piège :
– faire attention aux fautes d’orthographe : bien que les emails de phishing soient de mieux en mieux conçus, on y retrouve régulièrement des erreurs de syntaxe ou d’orthographe.
– regarder l’adresse mail ou le lien URL : même lorsqu’un email ou une interface web est une parfaite copie de l’original, l’adresse de l’expéditeur ou l’URL n’est pas la bonne puisqu’elle ne provient pas du même nom de domaine.

Des salariés éduqués et conscients du danger sont le meilleur atout contre les cyber-attaques, en particulier contre le phishing. Mais, cela n’est pas suffisant, notamment sur les terminaux mobiles où nous avons tous tendance à être plus spontanés et donc, à adopter des comportement à risques. Data Security Breach propose des ateliers de formation à la Cyber Sécurité. (Par Marc Antoine Parrinello, Responsable Commercial Entreprises France)

Double authentification pour Facebook

Le site communautaire Facebook propose la double authentification. A utiliser sans modération !

Après les modes d’emplois pour mettre en place la double authentification pour Youtube, Google, Amazon, DropBox, voici venir la sécurité dédiée pour Facebook. La double authentification permet de créé un second mot de passe via votre téléphone portable, valable quelques secondes, en plus de votre identifiant de connexion de base. Bilan, si votre mot de passe est subtilisé, le pirate ne pourra pas l’utiliser. Il faut les deux identifiants pour accéder à votre compte.

Mode d’emploi double authentification Facebook

D’abord, connectez-vous à votre compte Facebook. Dans la partie « Paramètres« , option cachée dans le petit menu, en haut à droite, sur la droite du petit cadenas, cliquez sur « Générateur de code« . Votre téléphone vous fournira, via l’application Facebook, un second code à rentrer, en plus de votre mot de passe, lors de toutes connexions via un ordinateur ou appareil non connu. Par exemple, pour les joueurs et utilisateurs de PS4, Xbox One… Facebook vous communiquera un code, par SMS.

Il est possible d’utiliser l’application Authenticator de Google pour générer le précieux second mot de passe. Un code qui change toutes les 30 secondes. A noter que des sociétés Françaises telles que Gandi ou encore OVH utilisent aussi la double authentification pour protéger leurs clients.

La chasse aux phishings est ouverte

D’après le Ministère de l’Intérieur, 2 millions de Français touchés par un phishing en 2015.

Pour renforcer la lutte contre le phishing, le Ministère de l’Intérieur a signé ce jour, une convention de partenariat avec l’association Phishing Initiative, soutenue par Lexsi et Microsoft France. Cet accord vise à mutualiser les informations entre sa propre plateforme, PHAROS, et celle de Phishing Initiative qui a identifié de son côté plus de 150 000 adresses uniques de sites frauduleux visant la France depuis sa création en 2011.

Une convention commune pour renforcer la lutte contre le Phishing
En signant la convention de lutte anti-phishing, Catherine Chambon, sous-directeur de la lutte contre la cybercriminalité et Jérôme Robert, président de Phishing Initiative souhaitent renforcer la sensibilisation des internautes aux risques liés à cette malveillance majeure. « La complémentarité de nos actions rend évidente la nécessité d’un rapprochement et d’une coordination entre nos deux organisations », explique Jérôme Robert. « PHAROS et Phishing Initiative opèrent en effet tous deux des plateformes de signalement à destination du grand public. Il est par conséquent possible d’instaurer des conditions de partage de l’information de manière à optimiser d’une part, la recherche de données et d’autre part, la protection de l’internaute. »
Suite à la signature de cette convention et à l’engagement des parties prenantes, le Ministère de l’Intérieur et Phishing Initiative travailleront également à la rédaction d’un rapport commun et à l’élaboration d’un suivi des tendances au service de la protection des internautes.

Phishing Initiative et PHAROS : l’union des expertises
Elaborée et construite sous l’impulsion de Madame Catherine Chambon, Madame Valérie Maldonado, chef de l’OCLCTIC, Messieurs Jérôme Robert, Directeur Marketing, Vincent Hinderer, Expert Cybersécurité chez Lexsi, et Bernard Ourghanlian, directeur technique et sécurité de Microsoft, la convention a pour objectif d’augmenter le nombre d’URLs traitées et analysées.

Avec respectivement 60 000 et 30 000 URLs traitées depuis début 2015, Phishing Initiative et PHAROS unissent leurs forces pour protéger les internautes et rendre le web plus sûr. « L’association de nos dispositifs de lutte contre la fraude sur Internet représente une avancée majeure dans la protection des particuliers comme des entreprises » précise Bernard Ourghanlian de Microsoft France. « Face à la malveillance et à la fraude organisée, chaque citoyen et chaque entreprise est acteur d’un Internet plus sûr au bénéfice de tous. »

La Sous-Direction de la Lutte contre la Cybercriminalité (SDLC) a développé deux dispositifs destinés aux particuliers : la Plateforme d’Harmonisation d’Analyse et de Recoupement et d’Orientation des Signalements (PHAROS), lancée en janvier 2009, et Info-Escroqueries, une hotline téléphonique dédiée aux arnaques. PHAROS a notamment pour mission de recueillir et traiter les signalements de contenus et de comportements illicites détectés sur Internet.

Phishing Initiative, un programme de lutte européen
Cofinancé par le Programme de Prévention et de Lutte contre le Crime de l’Union Européenne, Phishing Initiative offre à tout internaute la possibilité de lutter contre les attaques d’hameçonnage en signalant de manière simple les liens lui paraissant suspects en un clic sur www.phishinginitiative.fr. Chaque signalement fait l’objet d’une analyse par les experts Lexsi qui, s’il se révèle frauduleux, est transmis aux partenaires de Phishing Initiative, notamment Microsoft. Ces derniers enrichissent alors leurs listes noires, de sorte que le lien frauduleux est bloqué par les principaux navigateurs Web (Edge, Internet Explorer, Chrome, Firefox et Safari).

Phishing Initiative en chiffres
A ce jour, plus de 400 000 adresses suspectes ont été signalées dans le cadre de la Phishing Initiative, dont plus de 300 000 uniques. Depuis le début de l’année 2015, 110 000 signalements ont déjà été transmis, représentant plus de 60 000 nouvelles adresses uniques. Parmi elles, plus de 35 000 URLs uniques ont été confirmées comme faisant partie d’une campagne de phishing, soit près de 120 adresses distinctes par jour. A noter que le temps médian nécessaire aux analystes pour catégoriser un nouveau cas signalé est de moins de 20 minutes. Microsoft rafraîchit sa liste noire toutes les 20 minutes au sein d’Internet Explorer et Edge, ce qui protège en moyenne les internautes en moins de 40 minutes suite à un signalement sur www.phishing-initiative.fr.

Des milliers d’internautes contribuent anonymement à ce projet chaque année et plusieurs centaines d’individus ont créé depuis la rentrée un compte personnel sur le site Phishing Initiative. Il leur permet désormais de signaler des URLs suspectes plus simplement et d’accéder à des informations, statistiques et services additionnels, relatifs notamment aux signalements effectués par leurs soins. Ces internautes peuvent, par exemple, suivre l’état du site en temps réel et demander à être prévenus du caractère frauduleux ou non d’une adresse ainsi soumise, mais surtout participer à la lutte anti-phishing et empêcher que d’autres internautes soient victimes de ce fléau.

Une idée à saluer, elle demande cependant, pour être vraiment efficace, plus de rapidité encore ! Comme peut le faire votre serviteur, alerter et montrer sur Twitter, en temps réel, une attaque phishing permet de familiariser l’internaute face à cet ennemi 2.0.

Qui protège le mieux ses données personnelles ?

La récente affaire Ashley Madison a démontré une nouvelle fois les nombreuses failles de nos systèmes informatiques et  la négligence des utilisateurs à confier leurs données personnelles à tous types de sites. Newmanity au travers de son étude a voulu étudier le comportement des français face à cette polémique et les résultats s’avèrent des plus surprenants !  Homme, femme, qui a le plus peur pour ses données personnelles ?

On apprendre que la majorité des actifs Français déclarent faire plus attention à leurs données numériques dans le cadre personnel, plutôt que dans le cadre professionnel. Les hommes déclarent protéger davantage leurs données que les femmes. Les Français expriment plus de méfiance à l’égard des appareils mobiles (Smartphones, Tablettes) que des ordinateurs. La déconnexion des comptes est une habitude peu fréquente pour les Français

Une enquête réalisée auprès d’un échantillon de Français recrutés par téléphone puis interrogés par Internet les 31 août et 1er septembre 2015 a permis de se faire une petite idée de la protection des données. Un échantillon de 1183 personnes, représentatif de la population française âgée de 18 ans et plus. La représentativité de l’échantillon est assurée par la méthode des quotas appliqués aux variables suivantes : sexe, âge, profession du chef de famille et profession de l’interviewé après stratification par région et catégorie d’agglomération.

LES HOMMES PLUS MÉFIANTS QUE LES FEMMES

Selon les actifs français, les données numériques les plus préoccupantes sont celles issues d’une utilisation personnelle : 69% d’entre eux déclarent y être plus vigilants contre 28% dans le cadre professionnel. Et ce sont les femmes qui sont les moins regardantes (34%) sur la protection de leurs données dans le cadre personnelles contre 73% des hommes qui scrutent méticuleusement la moindre trace sur la toile ! Paradoxalement, les manipulations de base permettant de limiter les problèmes de sécurité en matière de données numériques sont encore assez peu utilisées. Par exemple, moins de 6 actifs sur 10 se déconnectent systématiquement de leur boite mail personnelle lorsqu’ils la consultent depuis le bureau, et cette proportion tombe à 48% lorsque l’utilisation se fait sur ordinateur personnel.

Que ce soit sur leur ordinateur personnel ou professionnel, moins de 4 Français sur 10 suppriment leurs données de navigation tous les jours ou au moins une fois par semaine. D’ailleurs, près de 3 actifs sur 10 ne suppriment jamais leur historique de navigation sur leur ordinateur professionnel. Des gestes pourtant simples qui permettraient une meilleures protection de la vie privée de tout un chacun.

Les appareils mobiles suscitent plus de méfiance

Près de la moitié des Français détenteurs d’équipements numériques n’en n’ont pas confiance, signe d’une certaine méfiance alors que les affaires de piratage de données personnelles (Orange, Ashley Madison…) font régulièrement la Une de l’actualité. Dans le détail, que ce soit à l’égard des ordinateurs personnels ou professionnels, les cadres et les femmes qui semblent être les plus confiants. A l’inverse, les hommes et les CSP ‘employés’ et ‘ouvriers’ sont nettement plus réservés.

Il est à noter que cette méfiance devient défiance lorsqu’il s’agit de tablettes ou de smartphones. Ces équipements mobiles sont marqués par le peu de confiance qui leur est accordé en matière de sécurité de données transmises : Seulement 37% des Français détenteurs d’une tablette numérique lui font confiance et à peine plus d’un tiers (34%), en ce qui concerne les possesseurs de smartphones. [l’étude complète]

Facebook ne corrige pas un problème de sécurité

Une vulnérabilité informatique vise le site Facebook, et ses utilisateurs. Un problème qui pourrait mal finir si le géant américain ne corrige pas rapidement.

En avril 2015, Reza Moaiandin, directeur technique pour Salt Agency, découvrait une faille de sécurité dans Facebook. La vulnérabilité pourrait permettre à un pirate de décrypter les identifiants des utilisateurs du portail communautaire. Pour que l’attaque fonctionne, Reza a utilisé des applications (API) proposées Facebook. Un problème qui semble sérieux. La fuite pourrait permettre de recueillir des millions de données personnelles d’utilisateurs (nom, numéro de téléphone, emplacement, images, …).

Facebook a été alerté en avril 2015, mais n’a toujours pas corrigé. Via cette faille, un malveillant peut alors communiquer avec le Facebook GraphQL et obtenir autant de détails que possible, en faisant passer l’ID de la cible, pourtant chiffrée, à la moulinette.

En utilisant un script maison, Reza a testé sa découverte. Bilan, la fuite de données est exponentielle et  risque de devenir un problème sérieux si aucune limite est mise en place par Facebook. « La communication avec ces API doit être pré-chiffrée, explique Reza, et d’autres mesures doivent être mises en place avant que cette faille ne soit découverte par quelqu’un de beaucoup plus dangereux. » Le chercheur indique avoir trouvé cette faille, par hasard !

Votre adresse mail vaut de l’or

300.000 adresses électroniques de Belges à 300 dollars. Plus de 1 million de mails de Français pour 400 $. Autant pour 600.000 Suisses. Le business des adresses mails ne connait pas la crise.

Le business du spam va bien, merci pour lui. Des sociétés se sont même spécialisées dans la commercialisation d’adresses électroniques « à haute valeur ajoutée » indique l’un d’eux. Dernier cas en date, la proposition de la « société » chinoise Weng Jiao. 102 pays proposés, plusieurs millions d’adresses électroniques disponibles, classées par régions, professions, …

Plusieurs millions d’adresses électroniques disponibles pour des spams.

Par exemple, 5 millions d’adresses mails « en vrac » coutent 999 dollars chez cet E-mail addresses databases service. L’acheteur souhaite cibler un pays précis, pas de problème : 358.868 adresses électroniques appartenant à des belges coutent 300 dollars. 1.393.935 million de mails made un France, 400 $. Vous visez des Suisses ? 641.143 mails pour 400 dollars.

La plus importante des BDD est celle de l’Allemagne, avec 3.678.748 pourriels possibles. La Russie, 2.006.321. Le Canada, l’Australie et les USA sont proposés à 1.288.691, 1.087.139 et 888.530 adresses à spammer. Le reste des pays, entre 1200 et 40.000 mails sont vendus entre 50 et 120 dollars. Le commerçant propose aussi de quoi envoyer les messages et les preuves de la diffusion.

Ces possibilités ont été volées dans des boutiques en ligne, des forums mal protégés ou par de simple phishing sous forme de faux jeux. L’important pour le vendeur, comme pour l’acheteur, qu’un humain soit bien présent derrière la missive. A noter que certaines arnaques permettent de valider ou non l’adresse. Le bouton/lien « Désinscription » – « Unsubscribe » assure aux vendeurs d’adresses que derrière l’arobase se cache bien un futur spammé. A noter que certains mots clés Google sont particulièrement efficace pour faire ressortir des bases de données mails du moteur de recherche américain. Bref, prudence quand vous vous inscrivez quelque part. Préférez une adresse unique par service, ainsi, en cas de vol/utilisation, il vous suffira de fermer le compte en question.

Faille dans Skype ? Microsoft vous invite à changer votre mot de passe

Un nombre indéterminé d’utilisateurs Skype harcelés par des messages frauduleux. Microsoft enquête et propose aux clients de son outil de communication de changer leur mot de passe.

Microsoft cherche comment des pirates informatiques, adeptes de spams publicitaires, peuvent bien s’inviter dans les comptes de ses utilisateurs Skype. Depuis des semaines, des publicités non sollicitées et des messages « malveillants » s’invitent dans des centaines de compte. Phishing ? Faille ? La firme de Redmond semble avoir du mal à trouver le problème.

Microsoft a conseillé aux utilisateurs de Skype de changer leur mot de passe. L’équipe Skype a déclaré, de son côté, qu’une enquête sur la question était « en cours ». A noter que plusieurs failles Skype existent depuis plusieurs mois, dont celle qui permet de retrouver l’ip derrière un pseudonyme, et vice-versa. Une possibilité que certains sites commercialisent. Les messages malveillants apparaissent sous forme de lien Google [goo*gl/92829Yj]

Piratage pour l’UCLA : 4,5 millions de patients dans la nature

La semaine dernière, dans l’émission 25 (Saison 4) de ZATAZ Web TV, je poussais un petit coup de gueule sur nos informations mal menée par les entreprises qui nous les collectent et par les pirates qui louchent dessus. Nouvel exemple en date, aux USA, avec le piratage de 4,5 millions de patients de l’UCLA, l’Hôpital de l’University of California.

Des pirates informatiques se sont invités dans le réseau hospitalier de l’Université de Californie, Los Angeles. Ils ont pu accéder à de nombreux ordinateurs et collecter pas moins de 4,5 millions de dossiers sensibles de patients, élèves, enseignants, personnels administratifs. Parmi les informations volées : Noms, information médicale, numéros de sécurité sociale, numéros d’assurance-maladie, ID de plan de santé, les dates d’anniversaires et les adresses physiques. Des informations « potentiellement » volées, selon l’université. Cela pourrait toucher toutes les personnes ayant visité – ou travaillé – dans les services médicaux de l’université UCLA. Un vaste secteur qui comprend quatre hôpitaux et 150 bureaux à travers le sud de la Californie. UCLA Santé a alerté le département de la justice américaine. L’attaque aurait été découverte voilà 2 mois, le 5 mai 2015. (Fox)

Piratage possible pour Walmart Canada

Le géant de la grande distribution Walmart enquête sur une possible fuite de données pour un espace web de sa filiale canadienne. Des données de cartes de crédits de clients dans les mains d’un pirate ?

60.000 clients pourraient être touchés par cette fuite potentielle. L’enquête, en cours, tente de découvrir le tuyau percé. Fuite, piratage, bug technique ? C’est un site tenu par partenaire commerciale de Walmart (www.walmartcanadaphotocentre.ca), PNI Digital Media/Staples Inc, qui aurait été la cible. « Nous avons été avertis d’un problème potentiel qui compromet les données liées aux cartes de crédit utilisées dans le site Web du Centre de la photo de Walmart Canada (…) La vie privée de nos clients est de la plus haute importance pour nous. Nous avons immédiatement entamé une enquête et nous communiquerons avec les clients qui sont concernés.« 

Le site a été coupé de l’Internet, l’application pour smartphone et tablette désactivée. A première vue, la base de données du Photo Centre de Walmart n’était pas connectée à Walmart.ca et Walmart.com. Cette enquête intervient au moment ou les groupes de grandes distributions canadiens se regroupent, se rachètent pour tuer une concurrence trop présente.

18 millions de canadiens ont utilisé le service de PNI digital pour imprimer des photos et créer des objets via leur site Internet. Le Bureau du vérificateur général du Canada a été alerté.