Google a alerté la communauté sur une exploitation active de la vulnérabilité CVE-2024-43093, découverte dans le framework Android. Cette vulnérabilité permet aux attaquants d’accéder de manière non autorisée aux répertoires sensibles « Android/data », « Android/obb » et « Android/sandbox » ainsi qu’à leurs sous-répertoires. Bien que les détails spécifiques des attaques n’aient pas encore été rendus publics, Google souligne que l’exploitation reste limitée à des cibles précises.
Outre cette vulnérabilité, Google a mis en lumière la CVE-2024-43047, une autre faille critique exploitée activement. Celle-ci est associée aux chipsets Qualcomm et résulte d’une erreur d’utilisation après libération (use-after-free) dans le processeur de signal numérique (DSP), menant potentiellement à une corruption de la mémoire. Cette vulnérabilité a été confirmée par les chercheurs de Google Project Zero ainsi que par Amnesty International le mois dernier.
Bien que Google n’ait pas encore clarifié si les deux vulnérabilités pouvaient être exploitées conjointement pour créer une chaîne d’attaques, la possibilité qu’elles soient utilisées à des fins d’espionnage ciblant des membres de la société civile est évoquée.
La vulnérabilité CVE-2024-43093 est la deuxième faille critique du framework Android activement exploitée cette année, suivant de près la CVE-2024-32896, corrigée cet été. Initialement, cette dernière affectait uniquement les appareils Pixel, mais il a été révélé plus tard qu’une plus large gamme d’appareils Android était concernée.
Google introduit une innovation dans la sécurité des navigateurs avec Device Bound Session Credentials (DBSC), une fonctionnalité destinée à renforcer la sécurité des sessions en ligne en liant les cookies d’authentification à un appareil spécifique. Cette approche vise à neutraliser les tentatives de vol de cookies, souvent utilisées pour contourner l’authentification multifacteur.
La nouvelle fonctionnalité, Device Bound Session Credentials, crée un lien cryptographique entre les cookies d’authentification et l’appareil de l’utilisateur. Ce processus s’appuie sur la puce Trusted Platform Module (TPM) pour générer une paire de clés publique et privée unique à chaque session. Les cookies ainsi sécurisés ne peuvent être utilisés sur aucun autre appareil, ce qui invalide les tentatives de vol.
Fonctionnement technique
Lorsqu’une session est établie via DBSC, le serveur effectue des vérifications périodiques de la clé privée pour s’assurer qu’elle n’a pas été déplacée ou copiée vers un autre appareil. Ces clés sont stockées de manière sécurisée et sont inaccessibles en dehors de l’appareil original, ce qui garantit que même en cas de vol de cookies, les attaquants ne pourront pas accéder aux comptes utilisateurs.
Kristian Monsen, ingénieur de l’équipe anti-abus de Google Chrome, souligne que DBSC pourrait révolutionner la sécurité en ligne en rendant le vol de cookies pratiquement inutile. Cette fonctionnalité contraint les attaquants à opérer localement, facilitant ainsi la détection et l’élimination des logiciels malveillants par les solutions antivirus et les protections d’entreprise.
Actuellement en phase de prototype, DBSC peut être activé par les utilisateurs avancés pour des tests en modifiant les paramètres sous chrome://flags/. Cette phase expérimentale permet à Google de peaufiner la technologie avant son déploiement à grande échelle.
Sécurité et confidentialité des utilisateurs
DBSC garantit que chaque session est isolée grâce à des clés uniques. Les serveurs n’interagissent qu’avec la clé publique, et ne peuvent donc ni identifier, ni suivre les utilisateurs à travers plusieurs sessions. De plus, les utilisateurs peuvent révoquer les clés à tout moment, ajoutant une couche supplémentaire de contrôle sur leur vie privée.
La fonctionnalité DBSC est prévue pour être intégrée dans environ 50% des ordinateurs de bureau équipés de Chrome dans un premier temps. Son intégration complète promet de renforcer significativement la sécurité pour tous les utilisateurs de Chrome, aussi bien dans un cadre privé que professionnel. « Nous travaillons également déjà pour proposer cette technologie à nos clients Google Workspace et Google Cloud afin de leur offrir une couche supplémentaire de sécurité des comptes », ajoute Monsen.
Google a publié de nouveaux correctifs pour Android, éliminant un total de 38 failles.
Début mars 2024, Google a mis en place 38 correctifs corrigeant son outil Android. Deux vulnérabilités affectant le composant Système ont été classées comme critiques. Ces derniers portent les identifiants CVE-2024-0039 et CVE-2024-23717.
Tout d’abord, ils sont dangereux pour les utilisateurs d’Android 12, 12L, 13 et 14. Grâce à CVE-2024-0039, les attaquants peuvent exécuter du code malveillant à distance, et CVE-2024-23717 permet une élévation des droits dans le système d’exploitation.
Dans l’avis officiel, Google indique que « La plus dangereuse des vulnérabilités corrigées réside dans le composant système. Cela peut conduire à l’exécution de code à distance sans qu’il soit nécessaire d’obtenir des droits supplémentaires sur le système. »
Les développeurs ont corrigé les deux failles critiques avec la publication de la première partie des mises à jour Android de mars. 11 lacunes supplémentaires ont été corrigées. Huit vulnérabilités sont contenues dans le composant Framework, et trois autres dans le même système. Tous ces problèmes comportent un degré de risque élevé et peuvent conduire à une élévation de privilèges, à une divulgation d’informations et à une interruption de service (DoS).
La deuxième partie de l’ensemble de correctifs – niveau de correctif de sécurité 2024-03-05 – comble 25 trous dans les composants AMLogic, Arm, MediaTek et Qualcomm. De plus, Google a signalé avoir éliminé plus de 50 vulnérabilités dans les smartphones Pixel.
L’auteur des chevaux de Troie Android CypherRAT et CraxsRAT s’est révélé être un pirate syrien nommé EVLF.
Selon un rapport publié récemment par Cyfirma, CypherRAT et CraxsRAT sont des chevaux de Troie conçus pour attaquer les utilisateurs Android, permettant à l’opérateur d’accéder à distance à l’appareil mobile de la victime. Des logiciels malveillants permettant à l’attaquant de contrôler la caméra du smartphone, de suivre la localisation de l’utilisateur et d’écouter à l’aide du microphone.
L’auteur de CypherRAT et CraxsRAT propose ces malwares à d’autres cybercriminels selon le modèle « malware-as-a-service » (MaaS). Environ une centaine de malfaiteurs ont acquis une licence à vie pour utiliser ces chevaux de Troie au cours des trois dernières années.
Le pirate syrien EVLF, suspecté d’être le créateur de ces chevaux de Troie, gère une boutique en ligne où les deux malwares sont disponibles depuis septembre 2022.
CraxsRAT, par exemple, est conçu pour que l’opérateur puisse contrôler l’appareil mobile infecté depuis un ordinateur Windows. De plus, l’auteur continue d’améliorer le cheval de Troie en fonction des demandes des clients. Des options permettent de personnaliser et d’obscurcir [cacher] la charge utile, à choisir l’icône, le nom de l’application et les fonctionnalités. Il est même possible de définir des autorisations individuelles que le malware demandera au système d’exploitation. (Cyfirma)
Une entreprise américaine, en collaboration avec une société de détection de fraude, est actuellement confrontée à des accusations portées par une organisation européenne de défense des droits numériques. Ils se serviraient de milliards de données de téléphones portables sans autorisation.
Ces allégations soutiennent que les lois sur la confidentialité ont été violées par la collecte et le transfert de données cellulaires de la moitié de la population mondiale, utilisées ensuite pour établir des scores personnalisés de fiabilité pour chaque individu. Cette affaire, déposée auprès de l’Autorité belge de protection des données par le Centre européen pour les droits numériques (noyb), met en cause BISC, une société de télécommunications opérant avec plus de 500 opérateurs mobiles dans plus de 200 pays, TeleSign, une entreprise spécialisée dans l’intelligence artificielle et la prévention de la fraude, ainsi que leur société mère, Proximus.
Les accusations portées contre BISC et TeleSign font suite à un article paru en mars 2022 dans le journal Le Soir, qui révélait que le fournisseur de télécoms collectait des données sur l’activité téléphonique des clients et les partageait secrètement avec TeleSign. Ces données incluaient des informations telles que le type de technologie utilisée pour passer des appels ou des SMS, la fréquence et la durée des appels.
Grâce à l’utilisation d’un algorithme sophistiqué, TeleSign attribue ensuite à chaque utilisateur des « scores de confiance » qui sont prétendument utilisés par des géants de l’industrie tels que Microsoft, Salesforce et TikTok pour décider si les utilisateurs doivent être autorisés à créer des comptes.
Classement par activité téléphonique !
Cependant, lorsque certains plaignants ont demandé l’accès à leurs propres données conformément au Règlement général sur la protection des données (RGPD) de l’Union européenne, ils ont découvert qu’ils avaient effectivement été classés par TeleSign en fonction de leur activité téléphonique. Dans un exemple cité dans la plainte, l’un des plaignants s’est vu attribuer un niveau de risque qualifié de « moyen-faible« .
Bien que le RGPD autorise certaines concessions en matière de protection de la vie privée, notamment dans le cadre de la détection des fraudes et des utilisations malveillantes des réseaux et services, la plainte soutient que l’étendue de l’activité de TeleSign et de BISC est injustifiée. Selon les plaignants, « le transfert systématique et massif de tous les numéros de téléphone à TeleSign pour qu’il puisse attribuer une note à chaque numéro n’est pas proportionné ». Ils estiment que cela revient à surveiller tous les utilisateurs dont les communications passent par BISC, alors que la conservation systématique de telles données à des fins policières et judiciaires n’est autorisée que dans des cas très précis.
Violation du RGPD ?
De plus, les plaignants allèguent que ce système de classement viole l’interdiction du RGPD de profiler les individus à l’aide d’algorithmes prédictifs. En effet, la loi interdit « le traitement automatisé de données à caractère personnel… pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des facteurs concernant les performances au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les mouvements de cette personne physique« .
En outre, la plainte souligne que les transferts de données de BISC à une société basée en Californie exposent potentiellement les informations des citoyens européens aux forces de l’ordre américaines, ce qui soulève des préoccupations supplémentaires quant à la protection de la vie privée des utilisateurs.
Un porte-parole de TeleSign a répondu à la plainte en affirmant que l’entreprise avait mis en place un programme de confidentialité des données, conformément aux réglementations mondiales telles que le RGPD et la loi californienne sur la protection des consommateurs. L’entreprise affirme également revoir en permanence ses politiques et pratiques internes pour se conformer à l’évolution du paysage réglementaire.
Le Centre européen pour les droits numériques demande à l’autorité belge des données d’agir en faveur des plaignants. Ils réclament l’arrêt des transferts de données de BISC et le traitement des données par TeleSign. De plus, ils demandent une amende pouvant atteindre 236 millions d’euros (257,4 millions de dollars), correspondant à 4 % du chiffre d’affaires annuel de Proximus, conformément au RGPD et la législation européenne.
Le géant russe des télécommunications, Rostelecom, a annoncé son projet de fournir aux responsables gouvernementaux russes des téléphones portables équipés du système d’exploitation Aurora, une alternative nationale aux logiciels occidentaux.
Selon Kirill Menchov, vice-président senior de Rostelecom, le gouvernement russe est en pourparlers avec la société pour l’acquisition potentielle de jusqu’à 2 millions d’appareils mobiles fonctionnant sur le système d’exploitation Aurora au cours des trois prochaines années. Cette annonce intervient le même jour où le Service fédéral de sécurité (FSB) russe a accusé les services de renseignement américains d’avoir piraté « des milliers de téléphones Apple » dans le but d’espionner des diplomates russes.
Depuis longtemps, la Russie accuse les États-Unis de mener une « surveillance mondiale« , tout comme les Américains accusent la Russie de faire de même avec un espionnage étatique à peine voilé. Selon les médias russes, en mars dernier, l’administration présidentielle russe a demandé à ses employés de remplacer leurs iPhones par des smartphones d’autres marques fonctionnant sur un système d’exploitation différent.
Une histoire de gros sous !
Le Kremlin aurait également annoncé à cette époque qu’il achèterait de nouveaux téléphones sécurisés pour ses employés afin de faciliter la transition loin des technologies américaines. L’année dernière, le gouvernement russe avait également recommandé à ses employés de cesser d’utiliser des services étrangers tels que Zoom et WhatsApp pour les communications officielles, les incitant plutôt à se tourner vers des plates-formes nationales telles que VK pour la messagerie et TrueConf pour la visioconférence.
Dans un communiqué, le FSB a affirmé qu’Apple ne protégeait pas la confidentialité des données des utilisateurs et coopérait avec les services de renseignement américains pour espionner les Russes, une accusation démentie par Apple.
Le système d’exploitation russe Aurora, basé sur Linux, a été développé par Rostelecom en 2016, principalement pour une utilisation commerciale et gouvernementale. En 2020, le président russe Vladimir Poutine a demandé son extension aux établissements de santé et d’éducation.
Selon le site Web d’Aurora, ce système d’exploitation donne aux utilisateurs un contrôle total sur le traitement des données et se conforme aux directives de sécurité du gouvernement russe.
Les efforts de la Russie pour promouvoir sa technologie nationale reflètent également l’impact des sanctions imposées à Moscou en raison de la guerre en Ukraine, qui ont entraîné un exode massif des entreprises technologiques du pays.
« La Russie a besoin de son propre écosystème mobile, car les sanctions peuvent affecter tous les développements occidentaux« , a déclaré Menshov aux médias russes l’année dernière. « Les systèmes d’exploitation américains ont déjà restreint l’accès aux applications mobiles russes critiques, désactivé la possibilité d’effectuer des paiements avec des cartes bancaires russes et interrompu la monétisation.«
Cependant, Aurora « est complètement indépendante de toute influence étrangère et est prête à évoluer« , a-t-il ajouté.
Selon Rostelecom, le système Aurora est actuellement utilisé par le gouvernement russe ainsi que par diverses entreprises liées à l’État, telles que le service postal national, la compagnie ferroviaire publique et des sociétés énergétiques.
Depuis son lancement en 2016, plus de 500 000 appareils fonctionnant sous le système Aurora ont été produits en Russie, selon Menchov. Le coût de développement d’Aurora devrait atteindre environ 6 milliards de dollars d’ici 2030.
Les initiatives visant à promouvoir la technologie nationale en Russie reflètent la volonté du pays de réduire sa dépendance aux produits et services occidentaux, en particulier après les sanctions imposées en raison du conflit en Ukraine. Les autorités russes sont de plus en plus préoccupées par la sécurité des données et la confidentialité des communications, et cherchent à développer des solutions domestiques pour garantir leur souveraineté numérique.
Alors que le gouvernement russe cherche à renforcer l’utilisation du système d’exploitation Aurora, cette décision pourrait avoir des conséquences sur l’industrie des télécommunications et de la technologie en Russie, ainsi que sur les relations avec les sociétés étrangères. Il reste à voir comment cette transition vers un écosystème mobile national se déroulera et quels seront les défis et les opportunités qui en découleront.
Un nouveau logiciel malveillant du nom de FleckPe aurait déjà infiltré plus de 620 000 appareils Android.
Des experts ont identifié un nouveau malware appelé Fleckpe. Il aurait infiltré plus de 620 000 appareils Android via le Google Play Store. Ce malware, se faisant passer pour un logiciel légitime, a pour objectif de générer des paiements non autorisés et d’inscrire les utilisateurs à des services payants.
Les contributeurs de Fleckpe gagnent de l’argent en prélevant un pourcentage des frais d’abonnement mensuels ou uniques des propriétaires d’Android qui ont été infectés.
Les experts de la société Kaspersky notent que le logiciel malveillant est actif depuis 2022, mais qu’il n’a été détecté que récemment. Les chercheurs ont identifié 11 applications transformées en cheval de Troie dans le Google Play Store se faisant passer pour des éditeurs d’images, des photothèques, des fonds d’écran, etc.
Toutes ces applications ont été supprimées de la boutique officielle. Cependant, les attaquants pourraient héberger d’autres programmes qui n’ont pas encore été détectés. Lorsque Fleckpe est lancé, il décode une charge utile cachée contenant du code malveillant et communique avec un serveur de commande et de contrôle (C&C) pour envoyer des données sur l’appareil infecté.
Les développeurs ont récemment modifié la bibliothèque native pour déplacer le code d’abonnement, laissant la charge utile pour interagir avec les notifications et modifier l’affichage des pages Web.
En Croatie, le développeur de NetWire RAT, Mario Žanko, a été arrêté et l’infrastructure du malware a été saisie par les autorités.
Mario Žanko, 40 ans, est un informaticien recherché par le FBI depuis des années. Il faut dire aussi que son logiciel pas comme les autres a permis d’orchestrer des dizaines de milliers de piratages de part le monde. L’outil en question, un cheval de Troie baptisé NetWire RAT (Remote Access Trojan). Des centaines de pirates utilisent cet outil d’espionnage comme vous pourrez le lire plus bas.
L’opération internationale, à laquelle ont participé le FBI et les forces de l’ordre de nombreux pays, dont la Croatie, la Suisse et l’Australie, a conduit à l’arrestation du créateur du malware. Les autorités ont saisi son site web (World Wired Labs) ainsi que du serveur d’hébergement.
Vendu comme outil pour entreprise
En 2012, Netwire était vendu, comme je vous le montre dans ma capture écran datant de cette époque, comme un logiciel d’entreprise, ayant pour mission d’augmenter la productivité de la société acquéreuse. « NetWire fournit une collection intégrée d’utilitaires d’administration au sein d’une interface centralisée pour la gestion à distance des serveurs, postes de travail, ordinateurs de bureau et ordinateurs portables Windows, Linux et Solaris. Une interface intuitive et simple offre un accès simplifié aux versions personnalisées des utilitaires d’administration, dont beaucoup ont été considérablement améliorés pour offrir des performances supérieures, des fonctionnalités supplémentaires et une facilité d’utilisation. » dixit le service marketing de l’époque.
Seulement, l’outil va très vite être détourné. Il va devenir le cheval de Troie le moins cher du marché, et le plus utilisé. Les licences allaient de 10$ à 1200 dollars par mois, les pirates avaient en main un outil particulièrement efficace. Le mandat d’arrêt contre l’auteur du Netwire RAT a été émis le 3 mars 2023.
Quelques jour plus tard, dans le cadre d’une opération internationale coordonnée, le développeur a été arrêté en Croatie. Le FBI a confisqué le nom de domaine, la police suisse a saisi le serveur hébergeant le site.
La presse Croate a révélé que son auteur, Mario Žanko (40 ans), originaire de Sinja, passera les prochains jours en garde à vue à Remiteče, afin de ne pas influencer les potentiels témoins. Les enquêteurs ont trouvé plus de 650 000 dollars américains, et 268 615 euros sur des comptes bancaires.
L’enquête a débuté à l’automne 2020. Le FBI a acheté une licence NetWire et tiré les ficelles durant trois mois pour remonter à l’auteur. Pas bien compliqué, son adresse Gmail était accessible depuis 2012.
Des pirates Nigérians adeptes de Netwire
Cela peut paraître drôle et moins pathétique que ce à quoi nous sommes habitués. Mais des pirates nigérians ont été actifs dans des attaques visant des entreprises de transport en Amérique du Nord, en Europe et au Moyen-Orient. Les détails concernant les attaquants ont été révélés par les chercheurs de Proofpoint, qui ont étudié en profondeur les formes et les méthodes du groupe TA2541 pendant plusieurs années. Selon les experts, les pirates ciblent exclusivement les industries de l’aérospatiale, de l’aviation, de la défense, de la fabrication et du transport. Le groupe est actif depuis au moins 2017 et a utilisé des sujets liés à l’aviation, aux transports et aux voyages pour infecter des cibles avec divers chevaux de Troie d’accès à distance (RAT), dont Netwire.
Toujours la même méthode : des courriels de phishing contenant des pièces jointes Word activées par macro pour déployer des charges utiles malveillantes. Ils ont une tactique et s’y tiennent, et apparemment cela fonctionne puisque le groupe se comporte de la même manière depuis 5 ans.
Toutefois, dans les attaques récentes, le groupe a commencé à utiliser fréquemment des liens vers des services nuagiques (cloud), notamment Google Drive, OneDrive, GitHub, Pastetext et Sharetext. Les URL de Google Drive récemment découvertes ont conduit à un fichier VBS malveillant conçu pour recevoir des charges utiles provenant d’autres plateformes. Les attaques utilisent également des scripts PowerShell et Windows Management Instrumentation (WMI) pour interroger les produits de sécurité que l’attaquant tente de désactiver. TA2541 recueille également des informations sur le système avant d’installer des RAT et envoie généralement plus de 10 000 messages à la fois pendant l’attaque.
Les experts estiment que le groupe n’est pas très compétent, car il utilise des familles de logiciels malveillants populaires de 2017 accessibles au public. Mais récemment, les attaquants ont privilégié AsyncRAT, NetWire, Parallax et WSH RAT aux côtés de Revenge RAT, vjw0rm, Luminosity Link, njRAT.
L’objectif ultime des attaquants reste inconnu à l’heure actuelle.
Un groupe de chercheurs a développé une attaque d’écoute pour les appareils Android qui peut reconnaître le sexe et l’identité d’un appelant, et même faire la distinction entre des propos privés.
L’attaque par canal latéral, baptisée EarSpy, vise à explorer de nouvelles possibilités d’écoute clandestine en capturant les lectures des capteurs de mouvement causées par la réverbération des haut-parleurs dans les appareils mobiles. Des chercheurs en sécurité de cinq universités américaines ont démontré comment des applications malveillantes peuvent également écouter sans avoir accès au microphone.
Comment ? Les smartphones modernes utilisent de puissants haut-parleurs stéréo qui produisent une bien meilleure qualité sonore et des vibrations plus fortes. De même, les appareils modernes utilisent des capteurs de mouvement et des gyroscopes plus sensibles, capables d’enregistrer même les plus petites résonances des haut-parleurs.
Identification à l’oreille !
L’identification du sexe de l’appelant sur le OnePlus 7T variait de 77,7 % à 98,7 %, la classification de l’identification de l’appelant variait de 63,0 % à 91,2 % et la reconnaissance vocale variait de 51,8 % à 56,4 %. Une chose qui peut réduire l’efficacité d’une attaque EarSpy est le volume que les utilisateurs choisissent pour leurs haut-parleurs. Un volume plus faible peut empêcher l’écoute clandestine par cette attaque de canal latéral.
La reconnaissance vocale – c’est-à-dire l’évaluation de ce qui a été dit – est encore trop imprécise à 56,42 % pour enregistrer complètement les conversations. Cependant, les chercheurs en sécurité supposent que cette tâche pourrait également être maîtrisée avec l’utilisation de meilleurs algorithmes – jusqu’à présent, ce sujet n’a fait qu’effleurer la surface.
Détection de plusieurs applications malveillantes sur Google Play. De fausses applications qui volent des logins et des mots de passe d’utilisateurs de Facebook. Plus de 5,8 millions d’installations.
Un éditeur photo nommé Processing Photo. Il a été propagé par son développeur chikumburahamilton, ce malware a été installé plus de 500 000 fois.
Des applications App Lock Keep du développeur Sheralaw Rence, App Lock Manager éditée par Implummet col et Lockit Master du développeur Enali mchicolo, ces programmes malveillants permettent de configurer une limitation d’accès aux appareils Android et aux logiciels installés sur les appareils. Ces malwares ont été téléchargés au moins 50 000, 10 et 5 000 fois respectivement.
Un utilitaire destiné à optimiser le fonctionnement d’appareils Android – Rubbish Cleaner du développeur SNT.rbcl qui a été téléchargé plus de 100 000 fois.
Des programmes d’astrologie Horoscope Daily du développeur HscopeDaily momo et Horoscope Pi du développeur Talleyr Shauna. La première application a été installée plus de 100 000 fois et la deuxième plus de 1000 fois. Un programme de fitness Inwell Fitness du développeur Reuben Germaine, qui a connu plus de 100 000 installations.
Stealers
Un éditeur d’image PIP photo diffusé par le développeur Lillians. Les différentes versions de ce programme sont détectées comme Android.PWS.Facebook.17 et Android.PWS.Facebook.18. Cette application a été téléchargée plus de 5 millions de fois.
Dès que les experts de Doctor Web ont rapporté le problème à Google Inc., une partie des applications malveillantes ont été retirées mais au moment de la sortie de cette publication, certaines d’entre elles restent encore disponibles en téléchargement.
De plus, l’étude de ces stealers a montré l’existence d’une version antérieure d’un de ces malwares, propagée via Google Play sous couvert de l’éditeur photo EditorPhotoPip. Bien qu’il ait été retiré du catalogue, il restait disponible en téléchargement sur les sites d’agrégateurs d’applications.
Les applications étaient pleinement opérationnelles, ce qui devrait affaiblir la vigilance de leurs victimes potentielles. Pour accéder à toutes leurs fonctions, ainsi que pour prétendument désactiver la publicité, les utilisateurs étaient invités à se connecter à leurs comptes Facebook. Certaines applications contenaient des publicités, ce qui pouvait également affaiblir l’attention des utilisateurs et les pousser à exécuter une action proposée par les pirates. Si l’utilisateur acceptait la proposition et qu’il cliquait sur le bouton, il voyait un formulaire standard de saisie de login et de mot de passe.
Paramètres nécessaires pour voler des noms d’utilisateur et mots de passe
Il faut noter que les champs de saisie sont authentiques. Les Trojans utilisent un mécanisme spécialisé pour tromper leurs victimes. Après avoir reçu les paramètres d’un des serveurs de contrôle, les pirates téléchargent la page légitime de Facebook https://www.facebook.com/login.php dans WebView. Dans cette même WebView, ils téléchargent JavaScript depuis leur serveur qui intercepte les données d’authentification saisies. Ensuite, le JavaScript, en utilisant les méthodes fournies via JavascriptInterface, transmet les logins et les mots de passe volés aux applications, qui à leur tour les envoient au serveur des pirates. Une fois qu’une victime était connectée à son compte, les Trojans volaient également les fichiers cookies de la session d’authentification pour les envoyer aux pirates.
L’analyse de ces programmes malveillants a montré qu’ils ont tous reçu les paramètres nécessaires pour voler des noms d’utilisateur et mots de passe des comptes Facebook. Cependant, les attaquants sont en mesure de changer facilement les paramètres et de donner la commande de télécharger la page d’un service légitime ou d’utiliser un formulaire de saisie contrefait publié sur un site de phishing. Ainsi, les chevaux de Troie peuvent être utilisés pour voler des noms d’utilisateur et mots de passe de n’importe quel service. Le programme malveillant Android.PWS.Facebook.15 qui est une modification antérieure, est identique aux autres, mais il comprend également la sortie des données vers un fichier log dans la langue chinoise, ce qui peut indiquer son origine.
Une étude révèle une nouvelle tactique furtive utilisée par des applications malveillantes sur le Google Play Store consistant à cliquer automatiquement et sournoisement sur les annonces publicitaires pour générer du profit.
Cette technique furtive récemment découverte utilise des publicités intégrées – stratégiquement positionnées au-delà de la zone d’écran visible d’un appareil mobile – pour lancer un processus automatisé de clic publicitaire qui génère furtivement des revenus pour des acteurs à risque.
Deux applications populaires (IDEO Note et Beauty Fitness) présentes sur le Google Play Store.
Elle compte plus de 1,5 million de téléchargements à elles deux. Elles ont un comportement trompeur découvert par Symantec.
Les utilisateurs de téléphones mobiles affectés peuvent voir leur batterie s’épuiser. Les performances ralenties. Une augmentation de l’utilisation des données mobiles en raison de visites fréquentes sur les sites publicitaires.
L’application bloc-notes et l’app de mise en forme sont codées avec l’outil légitime développé à l’origine pour protéger la propriété intellectuelle des créations sous Android.
Cela explique également la capacité du développeur à rester sur le Play Store. Sous le radar pendant près d’un an avant détection. (étude)
Les rançongiciels pour Android sont peut-être en baisse depuis 2017, mais ils n’ont pas disparu pour autant. Des chercheurs ont récemment découvert une nouvelle famille de logiciels de rançon, Android/Filecoder.C. En utilisant les listes de contacts des victimes, il tente de se propager par SMS en envoyant des liens malveillants.
Ce nouveau ransomware tout d’abord distribué ses liens malveillants via des fils de discussion sur la thématique pornographique du site Reddit. Le profil d’utilisateur utilisé a été signalé par ESET, mais est toujours actif à l’heure actuelle. La campagne a également brièvement ciblé le forum « XDA developers », destiné aux développeurs Android ; Après avoir été alertés, les opérateurs ont retiré les messages malveillants.
La campagne que nous avons découverte est de faible envergure et plutôt amateur. De plus, le logiciel lui-même est défectueux — surtout en ce qui concerne le chiffrement. Tous les fichiers peuvent être récupérés sans payer de rançon. Cependant, si ses auteurs corrigent les failles et que la distribution prend de l’ampleur, ce nouveau logiciel de rançon pourrait devenir une menace sérieuse.
Ce malware se distingue par son mécanisme de diffusion. Avant de commencer à chiffrer les fichiers de sa victime, il envoie un lot de SMS aux contacts de la victime, les incitant à cliquer sur un lien malveillant menant au fichier d’installation du rançongiciel. « En théorie, cela peut conduire à un afflux d’infections — d’autant plus que le message peut être envoyé en 42 langues. Heureusement, même les utilisateurs les moins sensibilisés doivent remarquer que les messages sont mal traduits. Certaines versions n’ont même aucun sens ! », explique Lukáš Štefanko de che ESET.
Outre son mécanisme de diffusion, Android/Filecoder.C présente quelques anomalies dans son chiffrement. Il exclut les grandes archives (plus de 50 Mo) et les petites images (moins de 150 Ko), et sa liste des types de fichiers à cibler contient de nombreuses entrées sans rapport avec Android, tout en n’ayant pas certaines extensions typiques pour ce système. En fait, cette liste semble provenir du célèbre ransomware WannaCry.
Il y a aussi d’autres éléments intrigants : contrairement aux logiciels de rançon Android classiques, Android/Filecoder.C n’empêche pas l’utilisateur d’accéder à l’appareil en verrouillant l’écran. De plus, la rançon n’est pas prédéfinie, mais créée dynamiquement en utilisant l’ID utilisateur attribué au moment de l’infection. Ce processus se traduit par un montant de rançon aléatoire compris entre 0,01 et 0,02 BTC.
Il s’agit d’une pratique inédite, probablement destinée à attribuer les paiements aux victimes. « Cette tâche est généralement résolue en créant un portefeuille Bitcoin unique pour chaque victime. Mais ici l’attaquant n’utilise qu’un seul portefeuille Bitcoin », observe Lukáš Štefanko.
Olvid, un nouvel outil de sécurisation de vos conversations. Mission : chiffrer vos messages mobiles sans risque de fuite de données !
Depuis quelques jours nous testons Olvid, un outil dédié aux smartphones (Android, iOS). Mission d’Olvid, permettre de communiquer avec ses collègues, proches, familles en mode chiffré.
Une application lancée en décembre 2018 sous l’impulsion de deux docteurs en cryptographie : Thomas Baignères et Matthieu Finiasz.
Olvid est sous la « protection » d’Agoranov, un incubateur fondé par l’ENS, Paristech, Dauphine Université Paris, Sorbonne Université, Inria et sponsorisé par le Ministère de l’enseignement supérieur, de la recherche et de l’innovation, l’Île de France, la Mairie de Paris et le Fonds social européen de l’Union européenne. A noter que Matthieu Finiasz est enseignant pour ENSTA-ParisTech.
Olvid
Il existe déjà de nombreux outils tels que Whatsapp (à bannir), Telegram (méfiance, on ne connait pas le code source et il semble exister une master key), Signal, … Olvid annonce être différent. Aucune trace sur les serveurs. Pas de fuite de données, pas d’espionnage, pas de données personnelles, anonymat complet. La versoin 0.7.3 pour Android ne dépasse pas les 6Mo.
Sécurisé, oui mais …
Bon, pour être très honnête, l’espionnage reste possible dans la mesure ou un logiciel espion a été installé dans votre appareil, à l’image de Cerberus. Mais le problème viendrait de la non maîtrise de votre téléphone, pas d’Olvid.
En ce qui concerne les communications, plus de risque. Le chiffrement rend illisible les conversations. « Contrairement à l’intégralité des autres messageries, la sécurité de vos communications ne dépend plus d’un serveur. explique les fondateurs de cet outil. Notre serveur se fait hacker ? Peu importe… la sécurité des communications est préservée. »
A tester sans attendre
L’outil réclame quatre informations nom, prénom, société et votre poste au sein de cette société. Vous pouvez, bien évidement mettre ce que bon vous semble. Une fois les données enregistrée, l’application produit un QRCode. Une information à transmettre à vos contacts par mail. Votre correspondant, qui doit installer sur son smartphone Olvid, photographie le QRCode reçu, si ce dernier reçoit l’invitation via un courriel lu sur un ordinateur. Un lien permet d’accéder directement au répertoire Olvid.
Aucun numéro de téléphone, adresse mail ne sont réclamés. Bref, seuls vos contacts autorisés connaissent votre présence dans l’outil.
Olvid est gratuite pour le moment. La bonne occasion de le tester (Android / iOS).
FIDO2 : Une authentification sécurisée sans mot de passe pour plus de 800 millions de dispositifs Windows 10 actifs
L’Alliance FIDO annonce que Microsoft a obtenu la certification FIDO2 pour Windows Hello. Tout appareil compatible fonctionnant sous Windows 10 est ainsi désormais certifié FIDO2 dès sa sortie, une fois la mise à jour de Windows 10 de mai 2019 effectuée. Les utilisateurs de Windows 10 peuvent désormais se passer des mots de passe stockés de manière centralisée et utiliser la biométrie ou les codes PIN Windows Hello pour accéder à leurs appareils, applications, services en ligne et réseaux avec la sécurité certifiée FIDO.
FIDO21 est un ensemble de normes qui permettent de se connecter facilement et en toute sécurité à des sites Web et à des applications via la biométrie, des appareils mobiles et/ou des clés de sécurité FIDO. La simplicité de l’expérience utilisateur de FIDO2 s’appuie sur une sécurité cryptographique forte qui est largement supérieure aux mots de passe, protégeant les utilisateurs contre le phishing, toutes les formes de vols de mots de passe et les attaques par rejeu (replay attack). Pour en savoir plus sur FIDO2, rendez-vous sur : https://fidoalliance.org.
FIDO2
« Notre travail avec l’Alliance FIDO, le W3C et nos contributions aux normes FIDO2 ont été un élément déterminant dans l’engagement de Microsoft pour un monde sans mot de passe,confie Yogesh Mehta, Principal Group Program Manager, chez Microsoft Corporation. Windows Hello a été conçu pour s’aligner sur les normes FIDO2 et fonctionner avec les services Microsoft cloud ainsi que dans des environnements hétérogènes. L’annonce d’aujourd’hui boucle la boucle, permettant aux organisations et aux sites Web d’étendre l’authentification FIDO à plus de 800 millions de dispositifs actifs sous Windows 10».
Microsoft, l’un des leaders dans le domaine de l’authentification sans mot de passe, a fait de l’authentification FIDO un élément fondamental dans ses efforts visant à offrir aux utilisateurs une expérience de connexion transparente et sans mot de passe. En tant que membre du conseil d’administration de l’Alliance FIDO et l’un des principaux contributeurs au développement des spécifications FIDO2, Microsoft a proposé l’un des premiers déploiements FIDO2 du marché avec Windows Hello. L’entreprise prend en charge FIDO2 sur son navigateur Microsoft Edge et permet également la connexion au compte Windows avec les clés de sécurité FIDO.
Windows 10 prend en compte FIDO
La mise à jour Windows 10 de mai 2019 prend en charge l’authentification FIDO sans mot de passe via Windows Hello ou la clé de sécurité FIDO, sur Microsoft Edge ou les versions les plus récentes de Mozilla Firefox. Plus d’informations sont disponibles sur le blog de Microsoft.
« En tant que membre du conseil d’administration et contributeur clé au développement de FIDO2, Microsoft a été un ardent défenseur de la mission de l’Alliance FIDO qui est de faire évoluer le monde au-delà des mots de passe. Cette certification s’appuie sur la prise en charge de longue date par Microsoft des technologies FIDO2 sous Windows 10 et, par l’intermédiaire de l’écosystème Windows, donne la possibilité à ses clients et partenaires de bénéficier de l’approche de FIDO en matière d’authentification des utilisateurs, indique Andrew Shikiar, Directeur Marketing de l’Alliance FIDO. FIDO2 est désormais pris en charge par les systèmes d’exploitation et les navigateurs Web les plus utilisés au monde, ce qui permet aux entreprises, aux fournisseurs de services et aux développeurs d’applications d’offrir rapidement une expérience d’authentification plus simple et plus forte à des milliards d’utilisateurs dans le monde.»
FIDO2 et les navigateurs
En plus de Microsoft Edge, FIDO2 est également supporté par les principaux navigateurs Web Google Chrome et Mozilla Firefox (avec, en avant-première, la prise en charge par Apple Safari). Android a également été certifié FIDO2, ce qui permet aux applications mobiles et aux sites Web de tirer parti des normes FIDO sur plus d’un milliard d’appareils compatibles Android 7.0+. En outre, plusieurs produits certifiés FIDO2 ont été annoncés en vue d’appuyer la mise en œuvre.
Les fabricants d’appareils qui souhaitent bénéficier d’une certification prête à l’emploi et afficher le logo FIDO Certified sur leurs appareils Windows 10 doivent consulter le nouvel accord relatif à l’utilisation de la marque et des services de l’Alliance FIDO.
Reborn 3, le plus récent navigateur Opera pour Mac, Windows et Linux comprend dorénavant un portefeuille Crypto, un explorateur Web 3 et un VPN gratuit. Reborn 3 est conçu pour donner aux gens un sentiment de contrôle sur leur vie en ligne et un aperçu du Web de l’avenir.
Pari osé pour les Norvégiens de chez Opera. Le navigateur concurrent de Chrome, Firefox et autre Edge, pour ne citer qu’eux, devient le premier navigateur sur ordinateur à inclure un portefeuille Crypto natif et un navigateur Web 3. Des nouveautés pour les 24 ans d’existence du navigateur.
Blockchain
D’abord, cette nouvelle fonctionnalité permet aux gens d’effectuer des transactions et d’interagir avec l’Internet du futur basé sur une blockchain. Egalement connu sous le nom de Web 3. En fournissant également un VPN gratuit, les utilisateurs restent en sécurité.
« Le Web a transformé nos vies. Nous sommes maintenant en ligne en permanence. Mais plus nous passons de temps en ligne, plus nous avons besoin d’outils qui nous aident à contrôler la sécurité et la confidentialité de notre vie numérique « , explique Krystian Kolondra, vice-président exécutif d’Opera,responsable des navigateurs à Data Security Breach. « Avec cette mise à niveau majeure, nous faisons le premier pas vers le Web 3, le nouveau Web, où les utilisateurs ont le contrôle. Nous pensons que chaque navigateur en 2019 devrait être prêt pour le Web 3. »
Naviguez sur le Web 3 sur votre PC, signez des transactions avec votre smartphone
Ensuite, le portefeuille Crypto du navigateur Opera se synchronise avec le portefeuille Crypto du navigateur Opera pour Android. Cela signifie que les clés de portefeuille ne quittent jamais les smartphones.
En pratique, chaque fois qu’ils ont besoin de s’identifier sur un site Web 3 ou de signer une transaction sur la blockchain, vous recevrez une notification sur le téléphone. La fonction Porte-monnaie Crypto devrait également être ajoutée au navigateur iOS d’Opera, Opera Touch, prochainement.
Un service VPN plus rapide pour plus de sécurité et de confidentialité
Pour conclure avec ce Reborn 3, la demande de services VPN ne cesse de croître. Actuellement, un tiers des utilisateurs de VPN à travers le monde utilisent cette solution avec l’intention de rester anonyme sur le Web. Opera est le seul éditeur à fournir un VPN rapide et gratuit. Le VPN illimité du navigateur améliore la confidentialité en ligne des utilisateurs et améliore leur sécurité lorsqu’ils utilisent des réseaux publics auxquels ils ne font pas confiance.
Enfin, le VPN du navigateur établit un tunnel sécurisé et chiffré qui protège les données de tiers. Il permet de cacher leur position géographique aux sites Web. Le service VPN du navigateur est également un service sans journal, ce qui signifie que les serveurs VPN n’enregistrent et ne conservent aucune donnée d’activité, tout cela pour protéger la vie privée des utilisateurs.
Les smartphones sont généralement fournis avec des applications préinstallées, dont certaines sont utiles et d’autres ne sont jamais utilisées. Un utilisateur ne s’attend toutefois pas à ce qu’une application préinstallée soit réellement dommageable pour sa vie privée et sa sécurité.
Check Point Research a récemment découvert une vulnérabilité dans l’une des applications préinstallées de Xiaomi, l’un des plus importants fabricants de téléphones mobiles au monde, qui avec près de 8 % de parts de marché en 2018, se classe troisième sur le marché de la téléphonie mobile. Ironiquement, l’application de sécurité préinstallée « Guard Provider », qui est censée protéger les téléphones contre les logiciels malveillants, expose les utilisateurs à des attaques.
En raison de la nature non sécurisée du trafic réseau entre Guard Provider et les différents SDK utilisés par l’application, un pirate pourrait se connecter au même réseau wifi que la victime et déclencher une attaque de type Man-in-the-Middle. Des failles dans les communications entre les différents SDK permettraient au pirate d’injecter n’importe quel logiciel malveillant de son choix, par exemple pour dérober des mots de passe ou surveiller les activités de l’utilisateur, un logiciel rançonneur ou tout autre type de logiciel malveillant. Pour plus de détails techniques, veuillez consulter Check Point Research.
Comme toutes les applications préinstallées telles que Guard Provider, ce type d’application est présent sur tous les appareils mobiles et ne peut être supprimé. Conformément à sa politique de communication responsable, Check Point a notifié Xiaomi, qui a publié un correctif peu de temps après.
Les avantages et les inconvénients des SDK
Un kit de développement logiciel (SDK) est un ensemble d’outils de programmation permettant aux développeurs de créer des applications pour une plate-forme spécifique. Dans le cas des appareils mobiles, les SDK mobiles permettent aux développeurs de gagner du temps en leur évitant d’avoir « à réinventer la roue » et d’améliorer la stabilité du back-end pour les fonctionnalités qui ne sont pas liées au cœur de leur application.
À mesure que le développement de SDK s’accroit, de nouvelles opportunités d’apporter de meilleures fonctionnalités à leurs utilisateurs se présentent aux développeurs d’applications.
Mais lorsque de plus en plus de codes tiers s’ajoutent à une application, les efforts pour maintenir la stabilité de son environnement de production, protéger les données des utilisateurs et contrôler les performances, deviennent beaucoup plus complexes.
SDK fatigue
On emploie le terme « d’usure par SDK » (de l’anglais « SDK fatigue ») pour décrire cette utilisation accrue de plusieurs SDK au sein de la même application, qui rend l’application plus vulnérable à des problèmes de plantage, de virus, de logiciels malveillants, de failles de confidentialité, de consommation d’énergie, de ralentissement et bien d’autres problèmes.
Les inconvénients cachés de l’utilisation de plusieurs SDK au sein d’une même application résident dans le fait qu’ils partagent tous le contexte et les autorisations de l’application. Ces principaux inconvénients sont :
Un problème dans un SDK compromettant la protection de tous les autres.
Les données de stockage privées d’un SDK ne peuvent pas être isolées et sont donc accessibles à un autre SDK.
Selon un rapport récent, l’utilisation de plusieurs SDK dans une seule application est beaucoup plus courante qu’on ne le pense. Plus de 18 SDK sont implémentés en moyenne dans la même application. Ce faisant, les développeurs exposent les entreprises et les utilisateurs à des dangers potentiels qui peuvent être exploités par les pirates pour perturber le fonctionnement normal des appareils.
2 + 2 n’est pas toujours = à 4
Le personnel de sécurité informatique d’une entreprise n’est pas censé connaître les tenants et les aboutissants des kits de développement logiciel (SDK) utilisés pour créer les applications que les employés installent éventuellement sur leurs appareils. Il est cependant important de savoir que la façon dont les applications sont développées peut comporter des risques pour la sécurité. On pourrait supposer que les éléments utilisés dans une application de sécurité sont sécurisés, mais comme le montre la vulnérabilité dans les applications préinstallées de Xiaomi, c’est loin d’être le cas.
Les développeurs et les entreprises doivent également comprendre qu’un élément sécurisé associé à un autre élément sécurisé dans une application sur un téléphone ne signifie pas nécessairement que l’ensemble restera sécurisé lorsque ces deux éléments seront mis en œuvre conjointement.
La seule défense contre ces menaces cachées et obscures consiste à garantir que le parc d’appareils mobiles de votre entreprise est protégé contre les attaques de type Man-in-the-Middle.
Des chercheurs découvrent dans le Google Play Store le premier malware Android capable de remplacer le contenu du presse-papier de l’appareil infiltré. De type « Clipper », ce code malveillant très spécifique cible les utilisateurs des crypto monnaies Bitcoin et Etherum, et il a pour objectif de rediriger les fonds transférés depuis le portefeuille (le « wallet ») de la victime vers celui du criminel en changeant l’adresse de destination au moment où celui-ci est copié-collé.
« Cette découverte montre que de tels Clippers capables de détourner des fonds ne sont plus réservés aux environnements Windows ou à des forums Android de seconde zone. Désormais, tous les utilisateurs Android doivent s’en méfier », explique Lukáš Štefanko, le chercheur ESET à l’origine de cette découverte.
Ce nouveau Clipper profite du fait que bon nombre d’utilisateurs de crypto monnaies entrent rarement manuellement les adresses de portefeuilles, car elles représentent souvent de longues et fastidieuses chaînes de caractères. Ils préfèrent copier l’adresse depuis un document, puis la coller dans le wallet. Et c’est à ce moment, lorsque l’adresse est encore dans le presse-papier Android, que le malware est capable de la remplacer par une autre, appartenant au criminel.
Les premiers Clippers sont apparus dans l’écosystème Windows en 2017. En 2018, les chercheurs découvraient même trois applications de ce type sur le site de téléchargement downolad.cnet.com, l’une des plateformes de téléchargement le plus populaire au monde. En août de la même année apparaissait le premier Clipper pour Android. Distribué que sur des forums de piratage underground. Depuis, il est présent sur de nombreuses places de marché alternatives (des « App Stores » non-officiels).
Cependant, à ce stade, les utilisateurs qui se cantonnaient au Google Play Store officiel n’avaient rien à craindre… jusqu’à aujourd’hui !
Mais tout a changé depuis cette découverte par les chercheurs du premier Clipper pour Android sur le store Android officiel. « Nous avons heureusement détecté ce malware peu de temps après qu’il ait été introduit sur la plateforme. Nous avons immédiatement alerté l’équipe sécurité de Google, qui l’a rapidement supprimé », explique Lukáš Štefanko.
Ce Clipper découvert par les équipes ESET imite un service légitime appelé MetaMask, qui permet de faire fonctionner des applications Ethereum décentralisées dans un navigateur, sans nécessiter un nœud complet. MetaMask existe sous la forme d’un plugin pour les navigateurs Chrome et Firefox pour ordinateurs desktops, mais il n’a pas de version mobile.
« Il y a manifestement de la demande pour une version mobile de MetaMask, et les criminels le savent. C’est pour cela qu’ils ont décidé d’y répondre en imitant ce service sur le Google Play Store » explique Lukáš Štefanko.
Si d’autres malwares ont par le passé déjà tenté de détourner des crypto monnaies de la sorte, ils le faisaient de manière relativement grossière, en dirigeant leurs victimes vers de faux formulaires contrôlés par l’attaquant. « Mais avec un Clipper installé sur son téléphone, la fraude devient extrêmement simple : ce sont les victimes elles-mêmes qui envoient, malgré elles, directement les fonds au criminel ! », précise Lukáš Štefanko.
Cette découverte d’un malware de type Clipper sur le Google Play Store officiel devrait servir de rappel aux utilisateurs Android qu’il est impératif de respecter les bonnes pratiques de sécurité élémentaires.
Pour se protéger de tels malwares Android, nous vous conseillons
Mettez votre appareil régulièrement à jour et utilisez une solution de sécurité fiable
Cantonnez-vous au Google Play Store officiel pour télécharger vos applications mobiles (malgré cette découverte, il demeure largement plus sûr que les plateformes non officielles)
Consultez toujours le site web officiel du développeur de l’application que vous vous apprêtez à télécharger, et recherchez-y un lien vers la véritable application sur le Google Play Store. Si le site officiel ne mentionne aucune application mobile, considérez avec précaution toute application que vous auriez trouvé via le moteur de recherche du Store
Vérifiez avec attention chaque étape de tout processus qui implique des informations sensibles, notamment les manipulations de fonds (virtuels ou non !). Et lorsque vous utilisez le presse-papier, prenez le temps de contrôler que ce qui a été collé correspond bien à ce que vous avez copié.
Google a corrigé une faille critique dans son système d’exploitation Android. La faille permettait à un pirate d’envoyer un fichier image PNG spécialement conçu pour pirater un périphérique cible.
PNG dangereux ?! Le nombre total de problèmes critiques corrigés en ce mois de février 2019 est de 11. Le géant de la technologie a traité un total de 42 problèmes, dont 30 ont été classés comme graves.
Parmi les failles, trois vulnérabilités critiques CVE-2019-1986, CVE-2019-1987 et CVE-2019-1988 corrigées.
Elles affectent des millions d’appareils Android exécutant des versions du système d’exploitation Google, allant d’Android 7.0 Nougat à la dernière Android 9.0 Pie. Google a corrigé les trois vulnérabilités du projet Open Source Android (AOSP) dans le cadre de ses mises à jour de sécurité Android en ce mois de février 2019. Même si Google a corrigé les failles, chaque fournisseur devra distribuer le correctif pour ses modèles et ce processus sera long, très long !
Les chercheurs de Google n’ont pas fourni de détails techniques sur les failles, le géant de la technologie a seulement indiqué que les mises à jour de sécurité traitaient une « faille de dépassement de mémoire tampon », « d’erreurs dans SkPngCodec » et de vulnérabilités dans certains composants générant des images PNG.
Pour finir, selon l’avis de sécurité publié par Google, la plus grave des trois vulnérabilités pourrait permettre la création d’une image piégée, au format PNG. Image malveillante qui peut exécuter du code arbitraire sur les appareils Android vulnérables. Les experts ont souligné qu’un attaquant pourrait exploiter cette faille en incitant les victimes potentielles à ouvrir un fichier image PNG malicieusement conçu sur leur Android.
Un chercheur en sécurité révèle que la société Voxox a exposé des dizaines de millions de SMS en le stockant sur un serveur cloud non protégé.
Voxox est une société de communication VoIP. Une sorte de Skype allemand. Voxox a oublié les bases de la sécurité du cloud. Bilan, ce fournisseur de services vocaux et SMS a exposé des données sensibles telles que les codes 2FA, les mots de passe en texte clair, les numéros de téléphone, les codes de réinitialisation de mot de passe, les notifications d’expédition et les codes de vérification à un accès public. C’est un chercheur en sécurité basé à Berlin, Sébastien Kaul, qui a découvert la faille via le moteur de recherche spécialisé dans la sécurité informatique, Shodan. La base de données de messages SMS identifiée par Kaul est facilement accessible. Elle offre une vue presque en temps réel des informations transitant par la passerelle SMS de Voxox. Comment est-ce possible ? La société américaine n’a pas protégé son serveur … avec un mot de passe. No comment !
Avant sa fermeture, plus de 26 millions de messages texte stockés dans la base de données. Cependant, il semble tout à fait probable que le chiffre soit plus important. Le volume de messages étant énorme, chaque minute. Il est à noter que chaque enregistrement a été étiqueté et détaillé avec précision. Il incluait le numéro de contact du destinataire, le client Voxox qui avait envoyé le message et le contenu du message. (TechCrunch)
Les analystes de G DATA ont comptabilisé plus de 3,2 millions de nouvelles applications malveillantes à la fin du troisième trimestre 2018. Cela représente une augmentation de plus de 40 % par rapport à la même période en 2017. Les cybercriminels se concentrent sur les appareils mobiles, en particulier sous le système d’exploitation Android. La raison : huit personnes sur dix dans le monde utilisent un appareil Android.
À la fin du troisième trimestre, les analystes de G DATA ont recensé près de 3,2 millions de nouvelles applications malveillantes Android sur l’année, soit en moyenne 11 700 nouveaux dangers par jour. Il s’agit d’une augmentation de plus de 40 % par rapport à la même période de l’année précédente. En termes de sécurité, Android doit également lutter contre les équipements obsolètes. Dès 2017, Google a réagi avec le Project Treble, une fonctionnalité sous Android 8 qui permet une distribution plus rapide des mises à jour. Mais Android 8 est pour le moment dans un peu moins d’un appareil sur cinq – plus d’un an après son lancement en août 2017. Quant à la version actuelle 9, sa diffusion est inférieure à 0,1 % du parc.
Distribuer plus rapidement les mises à jour de sécurité
L’une des clés d’une meilleure protection réside dans la distribution rapide de mises à jour de sécurité. Selon « The Verge », depuis cet été Google oblige contractuellement les fabricants de smartphones sous Android à fournir des mises à jour de sécurité pour au moins deux ans. En détail, les appareils doivent recevoir au moins quatre mises à jour de sécurité Google au cours de la première année. Au cours de la deuxième année, les fabricants doivent assurer une fréquence de mise à jour qui permet de protéger les appareils des vulnérabilités datant de plus de 90 jours.
Un contrat qui comporte toutefois certaines limites. Seuls les smartphones de 100 000 utilisateurs concernés. En outre, l’accord ne s’applique qu’aux équipements mis sur le marché à partir de février 2018, avec une certaine tolérance admise jusqu’au 31 janvier 2019.
Le risque des logiciels espions
Les fonctionnalités étendues des logiciels espions ciblant le système Android sont une source d’incertitude. Ces codes malveillants rivalisent de techniques pour accéder au contenu des appareils. Dernièrement, les analystes de G DATA détaillaient le fonctionnement d’un trojan capable de lire les conversations WhatsApp. Les Smartphones contenant un nombre croissant d’informations sensibles, les attaquants ont bien compris l’intérêt de ces types de codes malveillants.
Virus Bulletin : Google parle d’Android
Lors de la conférence Virus Bulletin qui s’est tenue à Montréal en octobre, des chercheurs de Google ont fait deux présentations qui montrent que la sécurisation de la plateforme Android est un défi quotidien. L’analyste Maddie Stone a par exemple présenté une application malveillante qui déploie un niveau inhabituellement élevé de techniques pour ne pas être détecté par les systèmes automatisés de Google.
L’expert en sécurité Łukasz Siewierski a quant à lui présenté une campagne de logiciels malveillants préinstallés sur les smartphones Android. Selon son analyse, le malware était déjà installé pendant la phase de développement. G DATA a traité d’un sujet similaire lors du Virus Bulletin 2015 et pour la première fois en 2014.
Fraude dans les centres d’appels : Les secteurs des assurances, des banques et du commerce de détail sont les industries les plus ciblées par cybercriminels.
La Fraude dans les centre d’appels prendrait de l’ampleur selon une étude récemment sortie. La société Pindrop, spécialiste de la sécurité et de l’authentification vocales, annonce dans son rapport sur l’intelligence vocale (Voice Intelligence Report 2018) que la fraude vocale est en hausse. Entre 2016, où 1 appels sur 937 était une tentative de fraude, et 2017, 1 appel sur 638. Le taux global de fraude vocale a augmenté de 47%. Une tendance à la hausse de 113% par rapport à 2016. Au cours des quatre dernières années, le taux de fraude a ainsi grimpé de plus de 350%. Aucun signe de ralentissement se fait sentir ! Aux Etats-Unis, le centre de ressources sur le vol d’identité (Identity Theft Resource Centre) a détecté jusqu’à 1 300 cas de fuites de données. Des chiffres à prendre avec des pincettes. Un grand nombre de fuites reste inconnu. En outre, les fraudeurs sont devenus plus sophistiqués, tirant parti de l’approche du shopping omni-canal. Par exemple, un fraudeur peut utiliser l’ingénierie sociale pour réinitialiser un mot de passe sur le compte d’une victime, puis utiliser ce mot de passe pour commettre une fraude en ligne.
Pindrop Labs a récemment mené une enquête méticuleuse sur les Serveur Vocaux Interactifs (SVI) dans une entreprise du fortune 500. Il a ainsi découvert que l’activité suspecte sur les serveurs vocaux interactifs représentait l’indicateur principal de la fraude multicanal. En moyenne, une activité suspecte sur les SVI donne lieu à une tentative de transaction frauduleuse dans les 15 jours suivants. Pour plus de 85% des transactions frauduleuses provenant d’un SVI, le délai de mise œuvre ne dépassait pas 24 heures.
Assurance, Banque et Commerce de détail : les secteurs cibles des fraudeurs
Cet intervalle de temps dans l’activité est typique des fraudeurs qui peuvent utiliser les SVI pour vérifier les listes de comptes compromis achetés dans le black market. L’intention peut alors être d’affiner et de revendre cette liste. Cette activité aide les cybercriminels à tirer profit des fuites de données personnelles sans prendre le risque de commettre des fraudes.
Les compagnies d’assurance connaissent le fort taux d’augmentation de fraude vocale, avec 36% de 2016 à 2017 et de 248% depuis 2015 ! Les banques arrivent en deuxième position. Les assurances, avec une augmentation de la fraude de 20% d’une année sur l’autre et une hausse record de 269% au cours des quatre dernières années ! Le secteur du commerce de détail les suit de près, avec une augmentation de 15% sur l’année et de 134% sur 4 ans. L’utilisation de la technologie vocale par les entreprises triplera au cours des douze prochains mois. Cependant, la révolution « Internet of ears » – qui désigne le phénomène par lequel de plus en plus d’objets connectés sont capable d’écouter ce qui se passe dans leur environnement et de répondre éventuellement à des instructions vocales – est bien parti pour être la plus grande menace.
Une menace grandissante
« Une des principales raisons pour lesquelles les taux de fraude augmentent est que la plupart des organisations luttent pour trouver le bon équilibre entre sécurité et service client. indique Vijay Balasubramaniyan, CEO et co-fondateur de Pindrop. Lorsque des mesures de sécurité traditionnelles plus strictes sont mises en place, ces mesures ont généralement un impact sur l’expérience client – souvent au détriment de l’organisation. La prolifération des technologies vocales continuera de mettre en danger la sécurité et l’identité des consommateurs. Actuellement, les fraudeurs peuvent facilement contourner les méthodes d’authentification existantes. Comme les entreprises adoptent les dernières technologies vocales pour la majorité des interactions avec leurs clients, il y aura un besoin parallèle de sécurité de premier ordre. »
Le rapport « Voice Intelligence Report 2018 » révèle que la voix synthétique est probablement l’une des technologies les plus excitantes aujourd’hui, et potentiellement la plus terrifiante pour la sécurité des données des consommateurs. Les entreprises utilisent déjà l’apprentissage automatique, ou machine learning, pour faire correspondre entre eux des dispositifs, des comportements et des voix. Cependant, les fraudeurs ont toujours une légère longueur d’avance. Ils utilisent l’apprentissage automatique pour créer des discours synthétiques, pour usurper des indentifications automatiques de numéros (ANI) et effectuer des appels automatisés pour attaquer en masse et pirater le SVI d’une organisation afin de vérifier les informations des comptes volés.
Le rapport sur les cybermenaces du 1er semestre 2018 montre une évolution des types de dangers. Si avec plus de 2 millions de nouveaux types de logiciels malveillants, la tendance est à la décroissance sur les malwares classiques, les attaques web dites « sans fichiers » explosent. Autre information notable du rapport : avec 7,5 attaques bloquées par mois et par utilisateur, G DATA situe la France au 8éme rang mondial de son indice de dangerosité.
Le développement de nouveaux types de logiciels malveillants a légèrement diminué au cours du premier semestre par rapport à l’année précédente. Au total, G DATA Security Labs a classé 2 396 830 nouveaux échantillons comme nocifs. En moyenne, environ 13 000 nouveaux échantillons de logiciels malveillants ont été détectés chaque jour, soit environ 9 par minute.
Le développement des familles de logiciels malveillants actuelles et leur utilisation sont soumis à de fortes fluctuations. Neuf des dix menaces les plus courantes pour les utilisateurs de PC au cours de l’année écoulée ne figurent plus parmi les dix principales menaces évitées au cours du premier semestre 2018.
Les codes utilisés changent, mais la manière dont ils sont diffusés se confirment mois après mois. Aujourd’hui, les attaques sont lancées pour la majorité à partir de sites Web, les attaquants délaissant la diffusion par fichiers exécutables.
Indice de dangerosité stable avec 3 attaques par mois par utilisateur
Le nombre de nouveaux spécimens de programmes malveillants apporte un premier niveau d’information, mais n’indique pas l’activité réelle de ces codes : un seul code aux méthodes de diffusion innovantes ou à la technicité supérieure peut causer plus de dégâts que des milliers. Pour définir cet indice de dangerosité, les attaques détectées chez les utilisateurs des solutions G DATA sont comptabilisées. La moyenne mondiale des attaques sur le premier semestre 2018 pour 1000 utilisateurs est de 94,29. Autrement dit, chaque jour dans le monde un utilisateur d’une solution G DATA sur 10 est confronté à une attaque bloquée. Cela représente en moyenne 18 attaques par utilisateur sur les 6 premiers mois de l’année 2018.
La France dans le top 10 avec 7,5 attaques par mois !
Avec 250 attaques bloquées pour 1000 utilisateurs, la France arrive en 8eme position de ce classement : chaque jour en France, un utilisateur d’une solution G DATA sur 4 est confronté à une attaque bloquée. Cela représente en moyenne 7,5 attaques bloquées par utilisateur par mois.
La grande tendance du cryptojacking
Durant le premier semestre, le Cryptojacking – minage des monnaies virtuelles à l’insu de l’internaute – se révèle être l’activité principale des cybercriminels. Sur les 6 premiers mois de l’année, les Cryptomineurs ont inondé le Web. 4 cryptomineurs sont dans le Top 10 mondial des codes nuisibles détectés par G DATA. Ils sont 5 dans le Top 10 français ! Cachés sur de nombreux sites Internet Web, ces cryptomineurs téléchargent des scripts sur l’ordinateur de l’utilisateur et minent des cryptomonnaies à l’insu de l’utilisateur. Face à la difficulté technique de miner des bitcoins (trop de ressources de calcul nécessaires), c’est le minage de Monero qui est maintenant privilégié.
Le Webassembly, aussi pour les malwares
Le standard bytecode Webassembly est généralement utilisé comme langage par les cryptomineurs pour s’intégrer dans les navigateurs Internet. Webassembly est un supplément à Javascript supporté par tous les navigateurs. Avec Webassembly, les développeurs web peuvent réaliser une exécution de code plus rapide dans le navigateur : une technologie idéale pour les cryptomineurs… Ce qui est nouveau, c’est que Webassembly n’est plus seulement utilisé dans les cryptomineurs. Il est aussi utilisé par les codes malveillants.
PUP ou Malware ?
Classer la dangerosité des codes a toujours été une tâche difficile. À partir de quel niveau d’ingérence, un logiciel publicitaire devient-il nuisible ? Cette question se pose également avec les cryptomineurs : il n’est pas toujours clair si les utilisateurs ont accepté ou non l’installation du mineur dans leur navigateur. Ce critère de dangerosité est représenté dans deux catégories de classement : Malware et PUP (programme potentiellement indésirable). Les chiffres globaux du 1er semestre montrent cette ambivalence : 3 cryptomineurs sont parmi le top 10 des malwares et 4 sont dans le top 10 des PUP.
Faits marquants du premier semestre
Forte croissance des attaques à l’escroquerie au support technique en juillet
Au mois de juillet, une série de scripts trojan spécialisés dans l’affichage de fausses alertes dans les navigateurs est arrivée à la cinquième position des dangers détectés. Sous prétexte d’infection, des fenêtres invitent l’utilisateur à contacter un support technique. À l’autre bout du fil, un arnaqueur attend sa victime…
L’arrivée poussive de Fortnite sur Android fut une aubaine pour les cybercriminels. Surfant sur cet engouement, de nombreuses fausses APK du jeu ont vu le jour. Vol d’identifiants et abonnement SMS coûteux étaient au programme pour les plus impatients. Piqué au vif pour ne pas avoir été choisi comme store officiel pour l’application, Google pointe publiquement la faille de sécurité (corrigée depuis) présente dans l’application officielle disponible chez l’éditeur EPIC.
Triout, un nouveau logiciel espion s’attaque aux appareils sous Android.
Triout, l’espion 2.0 ! Aucun système d’exploitation n’est à l’abri des logiciels malveillants. Les cybercriminels voudront toujours voler, espionner ou manipuler vos données. La prolifération des appareils Android – des smartphones aux tablettes et aux téléviseurs intelligents – ouvrent des nouvelles « voix » aux développeurs de logiciels malveillants. Ces appareils contiennent des micros, des caméras et un gps.
Premièrement, les chercheurs de Bitdefender identifient un nouveau logiciel espion Android, baptisé Triout. Trouvé avec une application reconditionnée, les capacités de surveillance de ce logiciel espion consiste à masquer sa présence sur l’appareil. Il va ensuite enregistrer des appels téléphoniques. Copier les SMS. Recoder les vidéos. Prendre des photos. Recueillir des coordonnées GPS.
Ensuite, il est intéressant de noter que Triout apparaît pour la première fois en Russie. La plupart des analyses/rapports proviennent d’Israël. La première apparition de l’échantillon date du 15 mai 2018, sur VirusTotal.
Enfin, l’analyse du logiciel espion indique que Triout a la capacité d’enregistrer chaque appel téléphonique. La conversation se retrouve sous la forme de fichier multimédia. L’information est communiquée au C&C avec l’identifiant de l’appareil. L’espion enregistre chaque SMS entrant (corps SMS et expéditeur SMS). Il a la possibilité d’envoyer tous les journaux d’appels. Chaque photo prise par l’appareil piégé, caméra avant ou arrière, est envoyée au C&C.
Une société de cybersécurité constate lors de ces trois derniers mois que les chevaux de troie ont atteint le haut de la pile des cyber casse-tête.
Cybersécurité – Le nombre de packs d’installation pour les services bancaires mobiles – permettant d’apporter des modifications qui aident les attaquants à éviter la détection par les solutions de sécurité – a atteint plus de 61 000. Cela représente un sommet historique ; Plus du triple par rapport au premier trimestre de 2018, et plus du double par rapport au premier trimestre de 2017.
Les Chevaux de Troie mobiles sont les malwares les plus impopulaires, créés pour voler de l’argent directement depuis les comptes en banque.
Les Etats-Unis, la Russie et la Pologne sont les 3 pays avec la plus grande proportion d’utilisateurs ciblés par les malwares bancaires mobiles.
Le Cheval de Troie Hqwar est la principale source de cette croissance, avec plus de la moitié des modifications enregistrées relatives à ce malware.
De tels chiffres pour les malwares bancaires mobiles peuvent s’expliquer par l’augmentation de l’intérêt pour les malwares mobiles de manière générale (+ 421 000 sur Q2).
61 045
C’est le nombre de chevaux de Troie bancaires mobiles enregistrés sur le 2e trimestre 2018. Le pic le plus haut jusqu’alors datait de Q4 2016 et n’atteignait pas 40 000.
351 913 075
URLs uniques reconnues comme malveillantes (+24% par rapport à Q1) par des composants antivirus web.
215 762
C’est le nombre de tentatives d’infections par malware ayant pour but de voler de l’argent.
962 947 023
Attaques malveillantes en provenance de ressources en ligne de 187 pays du monde repoussées par Kaspersky ce trimestre (+20% par rapport à Q1).
La société Apple est généralement considérée comme étant une marque fiable, proposant une sécurité accrue. Un ancien hacker de la NSA démontre une faille majeure dans macOS. Elle permet le contournement des mécanismes de sécurité !
Faille majeure pour Apple ! Lors des conventions de cybersécurité Def Con/Black Hat qui se sont tenues à Las Vegas, début août, Patrick Wardle, un ancien Ninja de la NSA, fondateur de la société DigitaSecurity, a présenté des exemples d’attaques visant les produits Apple, et plus précisément macOS.
D’abord, Patrick Wardle est aussi généreux que doué. Il a expliqué comment un pirate pouvait contourner la plupart des mécanismes de sécurité mis en œuvre par Apple pour protéger macOS.
Wardle explique que les logiciels malveillants peuvent échapper aux méthodes de sécurité en les ciblant au niveau de l’interface utilisateur.
Chez Apple, les avertissements et autres autorisations à la moindre action font partis de l’écosystème des produits de la firme Californienne. Un mécanisme de défense contre les clics indésirables.
Faille majeure
Ensuite, Wardle affirme qu’il est possible d’exploiter ces avertissements en modifiant la façon dont macOS convertit les clics de clavier en clics de souris. Étant donné que macOS interprète deux actions de la souris comme équivalant à cliquer sur OK, il est donc possible d’écrire une ligne de code supplémentaire pour éviter qu’un avertissement n’apparaisse à l’écran. En abusant des nombreuses interfaces de macOS, un code peut s’executer via un code malveillant qui permettra d’ignorer les avertissements. Wardles a baptisé cette action « Synthetic Click ». Des attaques que l’ancien hacker de la National Security Agency a expliqué lors de la Def Con via des attaques automatisées visant macOS Sierra.
Cependant, Wardle a déclaré que les exploits ne permettent pas à un pirate d’accéder initialement à un appareil Mac, mais qu’ils pourraient exploiter efficacement le sandboxing.
Une possibilité qui laisserait aux applicationx malveillantes de quoi obtenir des autorisations de niveau supérieur. De son côté, Apple a confirmé les correctifs adequates dans son nouveau OS, macOS Mojave.
Pour conclure, Patrick Wardle propose, via sa société, l’outil Do Not Disturb. Une application qui permet d’avertir le propriétaire d’un MacBook en cas d’accès non autorisé. L’application tourne sous iPhone.
Elle permet de surveiller votre ordinateur portable afin de détecter les événements ouverts et vous avertir en temps réel, via une photographie par exemple.
Le Global Threat Index pour le mois de juillet 2018 affiche le top 10 des virus et codes malveillants les plus répandus en France.
Ce dernier rapport virus et malware met en lumière l’augmentation des attaques ciblant l’IoT et la vulnérabilité des réseaux, comme en témoigne l’entrée dans le Top 10 des « Vulnérabilités les plus exploitées au monde » de 3 vulnérabilités en lien avec l’IoT : MVPower DVR router Remote Code Execution (5ème place), D_Link DSL-2750B router Remote Command Execution (7ème place) et Dasan GPON router Authentication Bypass (10ème place).
Au total, ce sont 45% des entreprises du monde entier qui ont été touchées par des attaques ciblant des vulnérabilités en lien avec l’IoT, contre 35% en juin 2018 et 21% en mai. Ces dernières permettent aux cybercriminels d’exécuter des codes malveillants dans le but d’obtenir le contrôle à distance de dispositifs cibles.
Point d’entrée facile
« Ces vulnérabilités, malwares et et virus offrent aux cybercriminels un point d’entrée facile dans les réseaux d’entreprise, ce qui leurs permet de propager un large éventail d’attaques « , a commenté Thierry Karsenti, vice-président technique Europe pour Check Point. « Une fois qu’un dispositif est compromis, il est très facile d’infiltrer d’autres dispositifs connectés. Il est donc essentiel que les entreprises se protègent efficacement et à tous les niveaux.«
Il est important de noter que Coinhive reste le « malware » le plus répandu dans le monde, avec un impact sur 19% des entreprises mondiales. Cryptoloot et Dorkbot se classent respectivement en deuxième et troisième position, avec un impact global de 7% chacun. Pour rappel, CoinHive n’a rien d’illégal. C’est son utilisation par des malveillants qu’il faut montrer du doigt.
Top 10 des virus et malwares
Nom du malware
Description
Impact mondial
Impact sur le pays
1 – Coinhive
Ce cheval de Troie est conçu pour effectuer l’extraction en ligne de la crypto-monnaie Monero lorsqu’un internaute visite une page Web. Le script java implanté utilise les ressources informatiques des utilisateurs finaux pour extraire de la monnaie cryptée.
18.60%
16.02%
2 – Roughted
Campagne de publicité malveillante à grande échelle, elle est utilisée pour diffuser divers sites Web et charges embarquées malveillants tels que des escroqueries, des logiciels publicitaires, des kits d’exploitation de vulnérabilité et les logiciels de rançon. Il peut être utilisé pour attaquer n’importe quel type de plateforme et de système d’exploitation, et utilise le contournement des bloqueurs de publicités pour attaquer de la manière la plus efficace.
5.85%
11.60%
3 – Cryptoloot
Ce malware utilise la puissance du processeur ou du GPU de la victime et les ressources existantes pour le crypto-mining, en ajoutant des transactions à la chaîne de blocage et en libérant de nouvelles devises. Similaire à Coinhive, ce programme est implanté sur des pages Web et utilise le pouvoir de traitement des internautes pour exploiter tous types de crypto-monnaies. 92829
6.92%
7.07%
4 – Conficker
Conficker est un virus / ver informatique qui cible le système d’exploitation Windows. Il exploite les vulnérabilités de l’OS pour voler des données telles que des mots de passe. Ainsi, il prend le contrôle des ordinateurs touchés, les transformant en « zombie ». Les ordinateurs contrôlés forment alors un réseau, utile aux hackers.
3.50%
4.09%
5 – Jsecoin
Ce mineur JavaScript peut être intégré à n’importe quel site Web. JSEcoin permet de lancer un mineur directement dans le moteur de recherche en échange d’une navigation Web sans publicité.
5.92%
3.76%
6 – Dorkbot
Dorkbot est un virus / ver basé sur un IRC conçu pour permettre l’exécution de code à distance, ainsi que le téléchargement de logiciels malveillants vers le système déjà infecté. Ce dernier permet de voler des informations sensibles et de lancer des attaques par déni de service. Il installe un rootkit en mode utilisateur pour empêcher l’affichage ou l’altération des fichiers et modifie le registre pour s’assurer qu’il s’exécute chaque fois que le système démarre. Il enverra des messages à tous les contacts de l’utilisateur infecté ou détournera un thread existant pour diffuser un lien renvoyant vers la copie du ver.
6.91%
2.98%
7 – Locky
Locky est un cheval de Troie ransomware qui cible la plate-forme Windows. Ce logiciel malveillant envoie des informations système à un serveur distant et reçoit une clé de cryptage permettant de crypter les fichiers présents sur le système infecté.
1.72%
2.10%
8 – Fireball
Fireball est un logiciel publicitaire largement distribué par la société chinoise de marketing numérique Rafotech. C’est un détourneur de navigateur qui change le moteur de recherche par défaut et installe des pixels de suivi, mais qui peut aussi servir à télécharger des logiciels malveillants.
3.02%
1.99%
9 – Nivdort
Appartenant à la famille de chevaux de Troie ciblant la plate-forme Windows,il est capable de recueillir des mots de passe et des informations sur le système ou les paramètres telles que la version Windows utilisée, l’adresse IP, la configuration du logiciel et l’emplacement approximatif. Certaines versions de ce malware sont aussi en mesure de collecter les frappes de touches afin de modifier les paramètres DNS. Nivdort se propage via des pièces jointes de courriers indésirables ou des sites Web malveillants.
2.57%
1.88%
10 – Andromeda
Repéré pour la première fois en 2011, Andromeda est un bot modulaire principalement utilisé comme porte dérobée afin de diffuser des logiciels malveillants supplémentaires sur les systèmes infectés. Il peut aussi être modifié dans le but de créer différents types de botnets.
6.35%
1.66%
10b – Ramnit
Ramnit est un ver qui se propage principalement par l’intermédiaire de disques amovibles et de fichiers téléchargés vers des services FTP publics. Le logiciel malveillant crée une copie de lui-même pour infecter le système.
Dixons Carphone : Une importante entreprise du Royaume-Uni face à une violation de données personnelles. Des infos financières de millions de clients compromises.
La société ciblée Dixons Carphone a reconnu la violation et a déclaré que les pirates avaient eu accès à 1,2 million de données personnelles et 5,9 millions de cartes de paiement à partir des systèmes de traitement de ses magasins Currys PC World et Dixons Travel. Dans un communiqué de presse [voir ci-dessus, NDR], le PDG de Dixons Carphone, Alex Baldock, a déclaré : « Nous sommes extrêmement déçus de tout ce bouleversement que cela pourrait vous causer. La protection des données doit être au cœur de nos activités« .
La société a également révélé que sur 5,9 millions de cartes de paiement, 5,8 millions de cartes sont protégées par des combinaisons de puce et de numéro d’identification, mais que 105 000 cartes basées en dehors de l’Union européenne ne sont pas protégées.
De plus, les 1,2 million d’enregistrements compromis contenaient des données personnelles de clients, notamment des noms, des adresses électroniques et des adresses. Cependant, l’entreprise affirme n’avoir aucune preuve que cette information a quitté ses systèmes ou a entraîné une fraude à ce stade.
Dixons Carphone est une importante société de distribution et de services de télécommunication et d’électricité avec des magasins dans toute l’Europe, notamment au Royaume-Uni, en Irlande, au Danemark, en Suède, en Norvège, en Finlande, en Grèce et en Espagne.
On ne sait pas comment la violation de données a eu lieu et qui est derrière elle depuis que les enquêtes sont en cours. Cependant, ce n’est pas la première fois que Dixons Carphone subit une violation de données aussi massive. En 2015, des pirates avait pu accéder aux données personnelles et bancaires de millions de clients de Carphone Warehouse lors d’une cyberattaque.
Des analystes d’une société américaine ont infiltré les deux principaux forums de l’EI sur le Deep & Dark web pour définir les plateformes de diffusion de contenus les plus populaires.
Entre janvier 2015 et décembre 2017, les analystes de Flashpoint ont infiltré et étudié les deux principaux forums de l’EI sur les réseaux du Deep & Dark web. Ces deux forums sont appelés « Forum 1 » et « Forum 2 » dans l’enquête présentée par Flashpoint. Les analystes de Flashpoint ont plus particulièrement analysé les liens URL partagés par les membres de ces deux forums – soit 290 000 liens sur le Forum 1 et 730 000 liens sur le Forum 2 (certains liens étant dupliqués sur les deux forums) – afin de définir les plateformes d’hébergement de contenus les plus populaires.
Archive.org, véritable « librairie » de l’Etat Islamique sur Internet
Comme le révèle le tableau ci-dessous, le site Archive.org est depuis plus de 3 ans, la plateforme d’hébergement de contenus extrémistes la plus utilisée par l’EI et ses partisans pour diffuser leur propagande. Archive.org est un site légitime qui est à l’origine un projet d’un spécialiste de l’intelligence artificielle du célèbre institut américain MIT et qui a pour objectif d’archiver le « Web » à l’intention des futures générations. Mais l’enquête de Flashpoint démontre que le site offre à l’Etat Islamique le meilleur moyen d’héberger des contenus sur la durée. En effet, même si certains contenus ont été effacés, de nombreux autres sont restés accessibles sur Archive.org durant les 3 ans de l’enquête.
Plusieurs célèbres plateformes sont également très populaires et positionnées en haut du top 10 des principales plateformes utilisées pour diffuser du contenu de propagande. Même si son utilisation a légèrement décliné entre 2015 et 2017, Youtube fait toujours parti du Top 5 de ces plateformes, tout comme Google. Il est tout de même à noter que même si Twitter et Youtube n’ont pas rendu public l’ensemble de leurs actions pour éradiquer les contenus extrémistes de leur plateforme, leurs efforts ont eu des résultats. Twitter a ainsi disparu du top 10 des plateformes les plus populaires.
D’après les messages récupérés par les analystes de Flashpoint sur les forums, le groupe EI semble regretter ce manque de présence sur Twitter. Dans un post publié sur le Forum 2 en janvier 2018, l’auteur d’un fil de discussion a partagé une capture d’écran d’un tweet qui déclarait, en langue arabe, que « l’une des plus grandes pertes de l’État islamique est la perte de ce que l’on appelait « Wilayat Twitter » (pouvant être traduit littéralement par « région administrative Twitter »).
Malgré cela, le groupe tente toujours en vain d’inciter ses partisans à revenir sur Twitter. Les analystes de Flashpoint citent par exemple un partisan de l’EI qui réagissait au tweet d’une capture d’écran soulignant la chute de l’utilisation de Twitter par l’EI, par un appel : « Nous vous demandons jour et nuit de revenir sur Twitter… »
Ce à quoi un autre partisan répondait (également traduit de l’arabe) : « Frère, cette tâche est impossible. J’ai moi-même eu plus de 120 comptes fermés sur Twitter. Parfois, trois comptes étaient fermés le même jour. Même si je n’étais pas aussi actif que d’autres comptes. Quelle est l’utilité d’un compte fermé une heure après son ouverture ? »
Telegram, un outil de diffusion efficace mais à l’audience trop limitée
L’enquête révèle que les unités médias de l’EI ont utilisé l’application de messagerie chiffrée Telegram de manière très efficace pour diffuser du matériel de propagande vers un public très ciblé. Néanmoins, la guerre de l’information leur impose de diffuser largement leurs messages pour qu’ils soient efficacement consommés par l’ensemble de leurs cibles (partisans, personnes vulnérables et radicalisables, voire même aux opposants de l’EI). Par conséquent, l’EI a besoin d’autres plates-formes pour diffuser la propagande.
L’un des principaux distributeurs de propagande de l’EI sur les réseaux, « Nashir News » a ainsi réalisé plusieurs tentatives pour s’implanter sur d’autres plates-formes, et encouragé les partisans à créer des comptes sur celles-ci pour redistribuer du contenu. Au cours de l’année 2017, le groupe a tenté d’établir des comptes sur Twitter et d’autres plateformes et agrégateurs de médias sociaux. En outre, le groupe a publié des messages via Telegram pour appeler les partisans à établir des comptes Twitter et à redistribuer du matériel de propagande. Malgré ces efforts, les comptes étaient généralement fermés dans les heures suivant leur ouverture.
Ken Wolf, Analyste Intelligence Senior de Flashpoint, l’un des principaux auteurs de l’enquête, explique : « Les géants mondiaux de la Tech sont confrontés au défi de la propagande extrémiste. Non content de voir leurs plateformes utilisées à des fins malveillantes, ils sont également sous le feu des critiques pour leur incapacité à éradiquer ce fléau. Depuis décembre 2017, plusieurs gouvernements européens ont annoncé des plans pour taxer les entreprises de la Tech qui n’éliminent pas le contenu extrémiste de leur site Web (UK, Allemagne, etc.). Des mouvements d’Hacktivisme attaquent également la présence de l’EI en ligne comme OpISIS qui signale, détourne ou prend le contrôle des comptes de propagande. Certains mouvements peuvent également représenter un risque pour les plateformes elles-mêmes comme ce fut le cas en 2015 lorsque le groupe AttackNodes a mis Archive.org hors service au moyen d’une attaque DDoS pour alerter sur les contenus de propagande que le site hébergeait ».
Ken Wolf conclut : « Même si la plupart des plateformes mettent en place des actions pour les stopper, ou qu’ils sont signalés, les djihadistes font preuve d’une grande adaptabilité et résilience dans leurs efforts pour distribuer leur propagande. Alors que la guerre continue et que l’Etat Islamique subi des pertes territoriales, Internet va certainement se développer encore plus pour diffuser le plus largement possible l’idéologie du groupe et pour élargir la base de soutien de l’EI. Pour ces raisons, accroitre l’efficacité des programmes visant à stopper la présence en ligne de l’EI doit être un objectif majeur pour lutter et vaincre l’Etat Islamique ».
Psychology of Passwords – 62% des internautes réutilisent le même mot de passe sur leur comptes personnels et professionnels ! Vous avez dit suicidaire ?
Psychology of Passwords – La gestion des mots de passe, voilà bien un casse tête omnis présent chez les utilisateurs. LastPass présente les résultats d’une nouvelle enquête mondiale baptisée « La psychologie des mots de passe : la négligence aide les pirates à prospérer ». Cette étude révèle que malgré des menaces croissantes et une sensibilisation accrue vis-à-vis des cas de piratage et de fuites de données, les comportements en matière de mots de passe restent largement inchangés. Les résultats de l’enquête montrent que bien que 91% des individus soient conscients du risque de sécurité lié au fait d’utiliser le même mot de passe pour plusieurs comptes, 59% d’entre eux continuent de le faire. Les comportements en matière de création, de changement et de gestion de mots de passe professionnels comme personnels n’évoluent donc pas aussi vite que les menaces de cybersécurité.
Menée auprès de 2 000 individus aux États-Unis, en Australie, en France, en Allemagne et au Royaume-Uni, cette enquête mondiale prouve qu’une connaissance accrue des meilleures pratiques de sécurité ne se traduit pas nécessairement par une meilleure gestion des mots de passe. Les résultats mettent également en évidence l’influence des différences régionales, générationnelles et de personnalité sur les comportements vis-à-vis des mots de passe.
• Psychology of Passwords – Des comportements inchangés malgré une montée en flèche des cybermenaces
Les comportements à risques constatés restent largement identiques à ceux enregistrés il y a 2 ans dans le cadre de la même étude : 53% des personnes interrogées affirment ne pas avoir changé leurs mots de passe durant les 12 derniers mois malgré l’annonce dans les médias de cas de piratages. En outre, bien que 91% des individus soient conscients du risque de sécurité lié au fait d’utiliser le même mot de passe pour plusieurs comptes, 59% d’entre eux le font encore systématiquement ou la plupart du temps.
• Psychology of Passwords – La peur de l’oubli : le principal motif de réutilisation des mots de passe
La plupart des répondants (59%) utilisent le même mot de passe sur plusieurs comptes. En outre, beaucoup continuent de s’en servir autant que possible (soit jusqu’à ce que leur service informatique exige le changement ou à cause d’un incident de sécurité). La peur de l’oubli est citée comme la principale raison de la réutilisation de mots de passe (61%), suivie par la volonté de connaître et de pouvoir contrôler tous ses mots de passe (50%).
• Psychology of Passwords – Avertissement aux équipes informatiques : les comportements vis-à-vis des mots de passe sont les mêmes au bureau et à la maison
La majorité des répondants (79%) auraient entre 1 et 20 comptes en ligne utilisés à des fins professionnelles et personnelles. Près de la moitié d’entre eux (47%) affirment réemployer des mots de passe identiques. Seuls 19% créent des combinaisons plus sécurisées pour leurs comptes professionnels. Enfin 38% ne réutilisent jamais des mots de passe professionnels à des fins personnels ou vice versa – ce qui signifie que 62% des répondants le font.
• Psychology of Passwords – Les personnalités de type A prennent les mots de passe avec sérieux
Le mauvais comportement des personnalités de type A découle de leur besoin d’avoir le contrôle, alors que les personnalités de type B ont une attitude plus décontractée à l’égard de la sécurité des mots de passe. Les répondants s’identifiant comme étant de Type A sont plus enclins que les personnalités de Type B à maîtriser la sécurité de leurs mots de passe : 77% d’entre eux réfléchissent sérieusement lors de la création de mots de passe, contre 67% des individus de Type B. En outre, 76 % des utilisateurs de Type A s’estiment informés des meilleures pratiques en la matière, contre 68% des utilisateurs de Type B.
• Psychology of Passwords – La prise de conscience de l’importance de la sécurité ne se concrétise pas forcément
Les données révèlent plusieurs contradictions, les répondants affirmant une chose, puis en faisant une autre : ainsi, 72% des personnes interrogées estiment connaître les meilleures pratiques en matière de mots de passe, mais 64% d’entre eux affirment que le plus important est de pouvoir s’en souvenir facilement. Parallèlement, bien que 91% des individus soient conscients du risque de sécurité lié au fait d’utiliser le même ou des mots de passe similaires pour plusieurs comptes, 59% d’entre eux le font encore systématiquement ou la plupart du temps.
« Les cybermenaces auxquelles les consommateurs et les entreprises doivent faire face sont de plus en plus ciblées et efficaces. Pourtant, il reste un net fossé entre ce que pensent les utilisateurs et leur volonté de passer à l’action», déclare Sandor Palfy, directeur technique chargé des solutions de gestion des identités et des accès chez LogMeIn. « Bien qu’ils semblent connaître les meilleures pratiques en la matière, les comportements des individus vis-à-vis de leurs mots de passe sont souvent de nature à exposer leurs informations aux cybercriminels. Quelques mesures simples suffisent pour améliorer ces pratiques et renforcer la sûreté des comptes en ligne, qu’ils soient personnels ou professionnels. »
Selon une étude, 33 % des adultes français consultent des sites pornographiques au moins 1 fois par jour. 40% d’entre eux ont déjà été contaminés par un virus informatique en visitant des sites pour adultes.
Une étude, réalisée en octobre 2017, sur les cyber-risques associés à la consultation de sites pornographiques vient de produire ses chiffres. Réalisée auprès de 1000 Français, cette étude Kaspersky révèle que 33 % des adultes consultent des sites pornographiques au moins 1 fois par jour, et ce pour une durée moyenne de 22 minutes par visite… soit l’équivalent de 4 jours par an ! Et cette pratique n’est pas sans risque : 40% contaminés par un virus informatique en consultant ces sites. Parmi les autres chiffres, 17% ignoraient que les smartphones et tablettes s’infectaient. 18 % croient protéger leur ordinateur en effaçant leur historique de navigation. 20 % pris en flagrant délit de consultation d’un site pour adultes. 23 familles de malwares Android ont été identifiées comme exploitant la pornographie.
Vous retrouverez la liste complète à la fin de cette brève. 21 % des personnes interrogées accusent leurs proches pour ne pas avoir à en assumer la responsabilité. 18 % protégés en utilisant un navigateur web en mode privé. 22 % reconnaissent consulter des sites pornographiques au travail.
Top 10 des virus informatiques
1. Le cheval de Troie : Sous couvert d’un programme d’apparence inoffensive, il véhicule une charge malveillante.
2. Le téléchargement « drive-by » : Il s’agit d’une méthode courante de propagation de malware. Les cybercriminels recherchent des sites web non sécurisés afin d’implanter un script malveillant dans le code de leurs pages.
3. Le détournement de clic : Cette méthode consiste à inciter un utilisateur à cliquer sur un objet sur une page web tout en lui faisant croire qu’il clique sur un autre.
4. Les bots Tinder : Ces programmes automatiques se font passer pour de véritables utilisateurs sur les sites de rencontre.
5. Le chat-phishing : Des cybercriminels fréquentent des sites de rencontre ou des forums, y encourageant les utilisateurs à cliquer sur des liens vers des forums de live sex et autres sites pornographiques.
Ransomware et pornware
6. Le ransomware : Les cybercriminels utilisent des « bloqueurs » pour interdire à la victime l’accès à sa propre machine, invoquant souvent la présence de « contenu pornographique illicite » en misant sur le fait que quiconque ayant consulté des sites pour adultes est moins enclin à se plaindre aux autorités.
7. Le vers : Ce type de programme se reproduit sans écrire son code dans d’autres fichiers. Au lieu de cela, il s’installe une fois sur la machine d’une victime puis recherche un moyen de se propager à d’autres.
8. Le pornware : Il peut s’agir d’un programme authentique mais aussi d’un adware installé par un autre programme malveillant et conçu pour afficher du contenu inapproprié sur la machine de la victime.
9. Le spyware : Logiciel d’espionnage qui permet à un pirate d’obtenir subrepticement des informations sur les activités en ligne de la victime et de les exfiltrer de sa machine.
10. Le faux antivirus : De prétendus logiciels antivirus exploitent la crainte des utilisateurs. Des malwares dans votre machine pendant le visionnage de contenus pornographiques.