Archives de catégorie : Android

600 millions d’utilisateurs d’un téléphone Samsung en danger ?

Plus de 600 millions d’utilisateurs de téléphones portables Samsung ont été touchés par un risque de sécurité important. Samsung S3, S4, S5 et S6 touchés par une vulnérabilité dans un clavier pré-installé qui permet à un pirate d’exécuter du code à distance.

Intéressant ! Après la diffusion de faille et bug visant le téléphone portable d’Apple, l’iPhone, voici venir la faille pour le concurrent direct de la grosse pomme, la famille des Samsung S. Cette faille a été découverte par le chercheur Ryan Welton de la société américaine de NowSecure. Samsung a été alerté en décembre 2014.

Compte tenu de l’ampleur du problème, NowSecure a aussi notifié le CERT américain afin de faire corriger le problème rapidement (CVE-2015-2865). L’équipe de sécurité de Google Android a elle aussi été mise dans la boucle. L’attaque permet de récupérer la connexion GPS, brancher caméra et micro, installer en cachette des applications malveillantes, lire les messages (SMS, MMS, Mails, …). Bref, une petite cochonnerie.

Samsung n’a rien dit, mais propose depuis début de 2015 un correctif. Impossible de savoir si les opérateurs ont suivi la même mouvance sécuritaire… mais particulièrement pratique pour espionner une cible précise. A la lecture de la liste ci-dessous, qui ne concerne que des opérateurs américains, il y a de forte chance que votre téléphone soit toujours un espion en puissance dans votre poche.

Malheureusement, l’application du clavier défectueux ne peut pas être désinstallé. Côté solution : ne pas utiliser de wifi non sécurisé (utilisez un VPN, INDISPENSABLE NDLR)… ou changez de téléphone.

Galaxy S6      Verizon  Non corrigée
Galaxy S6       AT & T   Inconnu
Galaxy S6       Sprint   Non corrigée
Galaxy S6       T Mobile Inconnu
Galaxy S5       Verizon  Inc9nnu
Galaxy S5       AT & T   Inconnu
Galaxy S5       Sprint   Inconnu
Galaxy S5       T Mobile N8n c2rrigée
Galaxie S4       Verizon  Inconnu
Galaxie S4       AT & T   Inconnu
Galaxie S4       Sprint   Inconnu
Galaxie S4       T Mobile Inc8nnu
Galaxy S4 Mini  Verizon  Inconnu
Galaxy S4 Mini  AT & T   Non corrigée
Galaxy S4 Mini  Sprint   Inconnu
Galaxy S4 Mini  T Mobile Inc9nnu

Merci à @dodutils pour l’alerte.

56 millions de données exposées par des applications de smartphones

Des chercheurs de l’Université Allemande de Darmstadt annoncent que les développeurs d’applications prennent la sécurité des données par dessus la jambe.

Leurs applications auraient exposé 56 millions de données en utilisant les services de Google, Amazon et Facebook. L’équipe de chercheurs a testé 750.000 applications Android et iOS. Ils ont utilisé les services d’identité « fédérés » afin de s’authentifier plus simplement, plus rapidement, entre leurs différents appareils. Sauf qu’il semble y avoir un gros problème. L’équipe a trouvé des données, y compris les adresses mails, mots de passe, et les dossiers de santé, se promenant entre les connexions. Autant de données qui pourraient être exposées à des yeux indiscrets, et les comptes respectifs compromis si les jetons d’authentifications étaient  capturés. « Les développeurs d’applications utilisent des bases de données dans le cloud, explique les étudiants. Ils stockent  les données des utilisateurs, mais apparemment ignorent les recommandations de sécurité des données que recommandent pourtant les fournisseurs cloud

Les pirates ont besoin, cependant, d’extraire la clé de l’application et/ou exploiter une connexion sans fil non sécurisée, pour agir. Les sociétés qui hébergent ont besoin de beaucoup moins ! (The Register)

Planter Skype à coup de http://:

Planter le Skype d’un correspondant et l’empêcher de redémarrer la machine, simple comme un message de 8 signes.

Nous avions vu, la semaine dernière, comment une commande mal interprétée dans certains iPhone, utilisant une version iMessage boguée (L’ensemble des iPhone n’était pas sensible à ce bug comme on a pu le lire un peu partout, NDLR).

Cette fois, prenons Skype avec une vulnérabilité bien plus gênante. Que vous soyez sous iOS, Android, Windows (sauf Windows 8.1) ou Mac, le fait d’envoyer le message  » http://:  » à un correspondant fait planter son outil de communication en ligne. Plus gênant encore, le chercheur russe qui est tombé sur ce bug, s’est rendu compte que le « code » continué le blocage de Skype si le message n’était pas effacé par l’émetteur. La solution, réinstaller l’outil de Microsoft dans sa nouvelle version. La rédaction s’est amusée à bloquer ses propres Skype sous MAC (OS X 10.10.3) ou Windows (Skype 7.3.0.101). Ca fonctionne malheureusement que trop bien. Imaginez les entreprises, utilisatrices de ce moyen de conversation. Lors d’un rendez-vous important, plus possible de communiquer. Bref, mise à jour obligatoire !

Connexions wifi gratuites : Sécuriser vos surfs cet été avec un VPN

Vous allez partir en vacances, profiter de connexions wifi gratuites, ou proposées par un hôtel, un camping, un restaurant ? Pensez à vous équiper d’un VPN qui protégera vos connexions et mots de passe tout en préservant votre anonymat sur le serveur utilisé.

Connexions wifi gratuites ? Faut-il encore vous parler de protection de vos machines (tablettes, smartphones, ordinateurs) quand vous partez en vacances, à l’étranger ? Faut-il vous rappeler la dangerosité d’une connexion wifi libre, gratuite (ou non), publique ? Avec les congés qui s’approchent à grands pas, il est bon de penser à s’équiper d’un VPN. Ainsi, le réseau wifi que vous utiliserez n’aura pas la possibilité de lire (volontairement ou non, NDR) les mots de passe que vous venez de taper, les mots doux que vous venez de diffuser, les documents et sites Internet que vous consultez.

Plusieurs possibilités s’offrent à vous. D’abord avec les Français de chez No Limit VPN. Pratique et rapide, ils proposent une possibilité d’essayer gratuitement leur service, histoire de vous familiariser avec cette sécurité indispensable. Ils utilisent un chiffrement 128 bits et 256 bits qui rend votre trafic Internet impossible à lire pour un malveillant. Plusieurs protocoles sont disponibles (PPTP, L2TP et OpenVPN) afin de vous permettre de choisir votre niveau préféré de cryptage. Compter entre 2.49 et 3.99€ par mois (selon la durée, NDR).

Même type de service pour VyprVPN. Logiciels très simple d’utilisation, fonctionnant sous Mac OS X, Windows 7, 8, Vista, Linux, ou encore sur les smartphones iOS et Android. 52 serveurs dans le monde (de la Suisse à la Pologne, en passant par la Colombie, le Vietnam ou encore la Canada). Des tarifs allant de 5 à 10€ par mois selon les options, dont Chameleon qui permet de cacher votre utilisation d’un VPN. A noter une option totalement gratuite, une nouveauté chez VyprVPN.

Troisième possibilité, ma préférée, Hide My Ass ! Une société basée dans des îles ensoleillées. Leur proposition, contourner les restrictions en ligne pour accéder à du contenu uniquement disponible à l’étranger, Netflix and Co. Accédez aux sites Web de votre pays lorsque vous êtes à l’étranger, et contournez la censure du gouvernement ou au travail et accédez à des sites comme Facebook, Gmail et YouTube. Le plus économiquement intéressant avec son option annuelle (5€ par mois, NDR).

Bref, des outils indispensables.

 

Coesys mGov : les services gouvernementaux à l’aide d’un téléphone portable

Gemalto lance une solution sécurisée basée sur la carte d’identité électronique et le téléphone NFC pour accélérer l’adoption de l’eGovernment.

Gemalto, spécialiste de la sécurité numérique, annonce le lancement de Coesys mGov, une solution d’authentification mobile pour accéder aux services gouvernementaux en ligne à l’aide d’une carte nationale d’identité sans contact et un téléphone NFC. Cette technologie permet la mise en place de programmes nationaux d’identité sécurisée. Coesys mGov est simple d’utilisation et très pratique pour les citoyens, puisqu’elle permet d’accéder à tous les services grâce à un système d’authentification unique (« Single Sign On »).

Avec Coesys mGov, les citoyens utilisent leur téléphone comme moyen d’authentification et de signature dans un environnement de confiance, pour accéder à un large éventail de services gouvernementaux en ligne. Ces services englobent la santé et le social, la famille, l’emploi et les retraites ou encore l’assurance-maladie. Coesys mGov englobe également les applications associées au permis de conduire, les services municipaux et la citoyenneté, et même le vote en ligne sécurisé et confidentiel.

Coesys mGov aide les gouvernements et les autorités publiques à déployer leurs programmes numériques mobiles en complément de leurs projets d’identité. Les autorités peuvent ainsi répondre aux besoins de sociétés connectées d’aujourd’hui et accroître considérablement l’utilisation des services gouvernementaux en ligne. En outre, le système est suffisamment souple pour renforcer une stratégie d’identification et de sécurité numérique déjà en place. Par exemple, le niveau d’authentification peut être adapté à la nature des services en ligne offerts.

Pour simplifier davantage la vie des utilisateurs, lorsqu’elle est utilisée avec LinqUs Mobile ID de Gemalto, Coesys mGov permet de créer une identité dérivée sécurisée dans la carte SIM ou dans tout autre élément sécurisé du téléphone mobile, ou bien dans le cloud.

« La convergence des appareils mobiles compatibles NFC et l’explosion du nombre de nouveaux programmes nationaux d’identité ouvrent la voie à une nouvelle ère de services innovants axés sur les besoins du citoyen », commente à DataSecurityBreach.fr Frédéric Trojani, vice-président exécutif des Programmes gouvernementaux de Gemalto. « Cette solution extrêmement pratique associe la sécurité et la fiabilité des cartes nationales d’identité électroniques et la simplicité d’utilisation du téléphone portable – une combinaison idéale pour une adoption rapide par tous les citoyens ».

Un malware se glisse sur Google Play sous les traits de l’appli Dubsmash

Jan Piskacek, analyste spécialiste des malwares sur mobile chez Avast Software, a récemment découvert une application malveillante sur Google Play appelée « Dubsmash 2 », un « porn clicker » qui circule en arrière-plan des systèmes infectés, favorisant l’ouverture de sites pornographiques et de leurs annonces publicitaires. En outre, l’application lancerait YouTube – s’il est installé sur le mobile de l’utilisateur – et lirait les vidéos.

L’éditeur a averti Google qui a immédiatement supprimé l’application. Toutefois, avant son retrait de Google Play, l’application a pu être téléchargée entre 100 000 et 500 000 fois. Il est donc probable qu’elle soit encore présente sur le système de certains utilisateurs. L’analyste spécialiste des malwares sur mobile, Jan Piskacek, explique à DataSecurityBreach.fr que « De Lena Dunham à Hugh Jackman, toutes les vedettes utilisent Dubsmash, septième application la plus populaire disponible sur Google Play selon le classement actuel et déjà téléchargée plus de 10 millions de fois. Elle permet aux utilisateurs de choisir un son parmi une sélection proposée, d’enregistrer une vidéo d’eux en train de doubler le son choisi et de la partager avec leurs amis via les réseaux sociaux. Cette application, largement adoptée par les adolescents et les célébrités, a également suscité l’intérêt des développeurs de programmes malveillants« .

Une fois l’application « Dubsmash 2 » installée par les utilisateurs persuadés de télécharger la version 2.0 de leur application préférée, aucun indice ne permet de confirmer sa présence sur le terminal. Elle génère en effet à la place une icône intitulée « Réglages IS » très semblable à la véritable icône des réglages sur Android. Il s’agit là d’une ruse courante utilisée par les auteurs de malwares, afin de rendre plus difficile l’accès à l’application à l’origine des problèmes causés. Les activités malveillantes peuvent alors être déclenchées de deux manières différentes : soit via le lancement de « Réglages IS », soit via une interface qui détecte la connectivité du terminal à internet et lance l’application automatiquement si l’utilisateur ne l’a pas fait lui-même.

En s’infiltrant insidieusement, le hacker peut également désactiver le démarrage des services à distance et agir sans que l’utilisateur ne s’aperçoive qu’une action malveillante est en cours sur son terminal. Le pirate peut ainsi télécharger une liste de liens renvoyant vers des sites pornographiques divers à partir d’un lien URL crypté et stocké dans l’application ; ce dernier lance ensuite une vidéo via l’application YouTube installée sur le terminal.

Cette technique aurait permis au pirate de gagner de l’argent via un système de clics sur plusieurs publicités présentes sur les sites pornographiques. Il est probablement passé par un faux système de rémunération au clic contracté avec les annonceurs pensant que leurs publicités étaient diffusées sur de vrais sites. L’application « Dubsmash 2 » est sans danger pour l’utilisateur et moins sophistiquée que les autres familles de malwares tels que Fobus ou Simplocker. Toutefois, elle rappelle que malgré les mesures de protection mises en place par Google pour éviter cela, on trouve encore sur Google Play des applications indésirables qui s’installent insidieusement sur les systèmes, à l’insu des utilisateurs.

Samsung s5 : biométrie piratée !

Des chercheurs de la société FireEye viennent de mettre à jour une faille importante dans la sécurité des Samsung Galaxy S5. Un hacker se connectant au téléphone (même avec le niveau d’accès le plus faible) sera capable d’en extraire les données biométriques, soit une copie de l’empreinte digitale de l’utilisateur.

Cette révélation démontre une nouvelle fois que les systèmes d’identification biométriques grand public peuvent être piratés. En janvier, les hackers Chaos Computer Club avaient réussi à reconstituer l’empreinte digitale du ministre de la défense allemand. Sur le papier, la biométrie est un bon moyen de prévenir l’usurpation d’identité et les fraudes associées. On peut vous voler vos mots de passe mais pas vos empreintes digitales ou votre œil. Soit. Mais on constate bien que l’authentification biométrique est aussi piratable.

Ce qui pose problème, c’est qu’une fois piratées, les données biométriques ne peuvent être modifiées. Vous ne pouvez pas changer votre empreinte digitale ou rétinienne comme un mot de passe, et vous n’avez pas envie que n’importe qui en prenne possession. Une fois que vos empreintes digitales seront dans la nature (sans forcément que vous soyez prévenu), vous serez en risque si votre empreinte digitale est la porte d’entrée vers vos données personnelles ou professionnelles.

On a beau nous annoncer la mort du mot de passe chaque semaine dans la presse technologique, il a encore de beaux jours devant lui !

Ce n’est en réalité pas tout à fait un hasard si le mot de passe s’est imposé depuis des décennies comme un « standard de fait ». Un peu comme le clavier AZERTY que beaucoup ont cherché à remplacer, il a survécu pour l’instant aux nombreuses innovations qui ont cherché à le remplacer. C’est en effet une technologie peu coûteuse, non brevetée, qui peut être utilisée de manière anonyme et qui permet de gérer la grande majorité des connexions sécurisées sur le web. Surtout lorsqu’une faille de sécurité est découverte, vous pouvez changer vos mots de passe pour vous assurer que vos données sont en sécurité. Ca n’est pas le cas avec la biométrie !

Employés correctement, les mots de passe sont sécurisés. Ils doivent être différents pour chaque site et composés de caractères alphanumériques choisis aléatoirement. Il est par ailleurs nécessaires de les changer régulièrement. Si vous respectez ces règles et stockez vos mots de passe sous forme cryptée, vous êtes en sécurité. Le vrai sujet ce sont moins les mots de passe que la manière dont nous les gérons. Le cerveau humain n’en est pas capable et c’est pourquoi il doit être suppléé par un outil comme Dashlane.

Les récents développements dans l’authentification en ligne sont très intéressants, notamment pour améliorer les méthodes d’authentification fortes combinant différents facteurs et utilisées pour des données très sensibles. Le mot de passe est cependant le standard de fait de l’authentification en ligne. Pour être en sécurité sur le web dès aujourd’hui, et non pas demain, la seule solution est de renforcer la sécurité de ses mots de passe. (Guillaume Desnoes, responsable des marchés européens de Dashlane / Forbes)

 

Une puce dans la main pour pirater des smartphones

Nous avions la puce dans le bras pour rentrer en boîte de nuit, voici venir la puce NFC dans la main pour pirater des téléphones portables.

Seth Wahle est un chercheur en sécurité informatique et technologie sans fil qui a de la suite dans les idées. Il vient de se lancer dans un projet qui demande quelques connaissances en couture et charcuterie.

Il s’est implanté une puce NFC sous la peau de sa main afin de tester son système d’interception de données. Dans sa main gauche, entre le pouce et l’index, du matos acheté sur le site chinois AliBaba. Pour 40 dollars, le voilà avec un outil de 888 bytes de mémoire. Dorénavant, sa main n’a qu’à effleurer un téléphone dont le NFC est branché. Un contact qui lance une page web qui exécute le téléchargement d’un programme comme il l’a expliqué au journal Forbes. Il faut cependant que le téléphone ne soit pas trop protégé pour accepter le téléchargement et l’installation de l’outil pirate.

Il présentera son projet à Miami, du 15 au 17 mai prochains, lors d’un hackfest local.

Une application mal sécurisée peut générer une perte de 30% du CA

Les entreprises ont changé leur stratégie de fidélisation clients. Actuellement, elles optent pour le développement d’applications mobiles qui « captent » le client.  Toutefois, si l’application est mal sécurisée, il en découle une perte d’utilisateurs et d’image corporative très difficile à récupérer, entraînant également des coûts élevés.

Immergées en pleine campagne promotionnelle, de nombreuses entreprises développent des applications comme stratégie de fidélisation  clients. Toutefois, si cette App présente des failles et provoque des problèmes de lenteur, de distribution de malware ou cesse de fonctionner, elle sera tout simplement éliminée du téléphone portable. Ceci peut générer, selon les données récoltées par Zeedsecurity, une perte d’opportunité d’affaires pouvant représenter jusqu’à 30 % du CA.

Un utilisateur consulte son téléphone portable entre  40 et 70 fois par jour

Selon différentes études de neuromarketing, on estime qu’un utilisateur consulte son smartphone entre 40 et 70 fois par jour. Ceci en fait un excellent canal de communication et de fidélisation. Catalogues de points, présentation de collections de mode, nouveaux lancements de produits…, les entreprises utilisent les applications pour smartphones et tablettes dans le but d’augmenter le taux de conversion et de fidélisation clients.

Les cyber-attaques sur des dispositifs mobiles ont augmenté de 80% en 2014

Cependant, comme il est souligné par Zeedsecurity, chaque année le nombre de cyber-attaques sur les dispositifs mobiles augmente, obligeant ainsi les entreprises du secteur à renforcer le niveau de sécurité de leurs serveurs hébergeant une ou des applications. « Le nombre d’attaques de serveurs hébergeant des applications pour dispositifs mobiles ont augmenté d’environ 80%  l’année dernière et on estime que ces attaques vont croître de façon exponentielle en 2015« , commente à DataSecurityBreach.fr Joel Espunya, Membre Fondateur de Zeedsecurity,  il ajoute également « Avec une seule attaque sur un serveur, les hackers ont accès à des bases de données importantes  d’utilisateurs dont ils peuvent retirer des informations d’une grande valeur« . Un serveur est un bon distributeur de virus et de malware et pourra être  utilisé ultérieurement pour des attaques mieux individualisées.

Une attaque malveillante d’application est beaucoup plus grave qu’une attaque d’un site internet

Durant une campagne, les effets d’une attaque malveillante sur le serveur d’une application mobile, impacteront plus lourdement les résultats, que lors d’une attaque sur le site web de l’entreprise. Quand un utilisateur pense qu’il a été attaqué à travers son App, non seulement il émet un commentaire négatif  auprès de  ses 10 ou 15 amis les  plus proches, mais   80%  d’entre eux émettent aussi un  commentaire sur les réseaux sociaux, sur les forums ou dans les commentaires dédiés à la propre App sur le store. Ce marketing viral propage très rapidement une image négative de l’entreprise et de son produit avec les  conséquences financières qui en résultent. Zeed Security

13 adwares ont réussi à s’infiltrer dans Google Play

Malheureusement, il convient de reconnaître que même les systèmes de validation d’applications des stores officiels ne sont pas parfaits. Lookout a détecté 13 nouveaux cas, ou applications, renfermant des adwares dans Google Play. Certains comportent des caractéristiques s’apparentant à celles des codes malveillants et se font même passer pour Facebook ; une fois installés il est alors difficile de les supprimer du smartphone.

Au cours du mois dernier, un certain nombre de rapports portant sur les adwares détectés dans Google Play ont été publiés. Au début du mois de février, des investigateurs ont constaté trois cas d’adwares qui ne commençaient à se comporter de façon malveillante, en présentant intempestivement à leurs victimes des publicités, que 30 jours après leur installation. De plus, ils forçaient les utilisateurs à ouvrir des pages Web dont le contenu pouvait s’avérer dangereux. À la fin du même mois, ces investigateurs ont découvert 10 autres cas d’adwares dont les comportements étaient similaires.

Deux familles d’adwares appelés HideIcon et NotFunny se sont cachées parmi les 13 nouveaux cas détectés par Lookout. Au total, selon les chiffres de téléchargement divulgués par Google, ces logiciels ont été téléchargés entre 130 000 et un demi-million de fois. Découvrons à présent ces dernières menaces en date :

HideIcon
Nombre de cas détectés : 1
HideIcon présente effectivement des caractéristiques s’apparentant aux logiciels malveillants car, une fois installé sur le smartphone, il fera exactement ce que son nom suggère : il cachera l’icône. Cela peut ne pas sembler dramatique, toutefois il est nettement plus difficile de supprimer une application sur votre smartphone si vous ne savez pas qu’elle y est installée. Après avoir caché son icône, des variantes d’HideIcon forceront l’affichage intempestif de publicités sur l’écran de l’utilisateur, ce qui pourra perturber son expérience. L’application ne semble proposer aucune modalité de service ni aucune valeur ajoutée pour l’utilisateur. Cheetah Mobile a été le premier à détecter cet adware en janvier. Google a supprimé cinq applications douteuses l’abritant, et pourtant HideIcon a réussi à s’infiltrer dans le système de Google Play via une autre application. Comment s’est-il présenté ? L’application prétend être un jeu de carte accompagné de ses consignes de jeu telles que reprises dans Google Play. Au moment de sa suppression par Google, 1 000 à 5 000 téléchargements avaient déjà été effectuées.

NotFunny
Nombre de cas : 12
NotFunny comporte deux parties: un « injecteur » et une « charge utile » ou le logiciel malveillant lui-même. L’injecteur se cache dans des applications de type « application gratuite de sonneries de Noël », des applications de fonds d’écran, des applications de faux pointeur, et d’autres encore. Quand une victime télécharge une de ces applications et la lance, l’injecteur l’invite à télécharger la charge utile. Cette application de charge utile prétend être Facebook, fait apparaître une icône Facebook sur l’écran d’accueil du smartphone et demande à l’utilisateur de lui accorder un certain nombre d’autorisations, dont notamment l’accès à ses informations personnelles, aux services payants, à ses messages et à sa position. Une fois l’installation terminée, la charge utile cache son icône. Comme la plupart des logiciels publicitaires, la charge utile force l’affichage de publicités intempestives sur le smartphone, ce qui peut perturber l’expérience de l’utilisateur. Le code est assez rudimentaire et n’indique pas qu’un adversaire sophistiqué se cache derrière la menace

Lookout a trouvé 12 cas différents de NotFunny dans Google Play, en provenance d’un certain nombre de comptes de développeurs différents. Nous ne savons pas si une ou plusieurs personnes sont derrière lesdits comptes. Les thèmes des applications parmi lesquelles nous l’avons trouvé allaient des « changeur de voix amusants » aux outils qui changent prétendument votre widget de batterie en une cigarette allumée.

Il est facile d’imaginer qu’une personne ayant récemment fait l’acquisition d’un nouveau smartphone se décide à télécharger de nouvelles applications amusantes, comme les susnommées, afin de personnaliser son expérience utilisateur. Après que Google ait retiré un premier groupe d’applications, le développeur en a téléchargé à nouveau deux autres, cette fois sans l’adware. On peut donc penser que le développeur avait inséré le logiciel douteux dans l’application sans en connaître ses propriétés malveillantes ou qu’il n’avait pas compris les règles de Google. Bien sûr, il se peut aussi que le développeur se soit rendu compte qu’il ne s’en tirerait pas si facilement.

Peut-on faire confiance au Google Play ?
En un mot, oui. Il faut que tous les membres du secteur joignent leurs forces afin d’être en mesure d’assurer la sécurité d’un marché d’applications, et Google travaille avec diligence avec les entreprises de sécurité pour s’assurer de la qualité des applications mises à disposition dans Google Play. Quand une application malveillante se glisse cependant aux travers des mailles du filet, Google la supprime le plus rapidement possible. À dire vrai, la bataille de la sécurité pour garantir la sûreté de nos appareils se mène sur plusieurs fronts.

Précautions à prendre pour optimiser sa sécurité
Lisez les avis des autres utilisateurs avant de télécharger une application. Si la majorité dit : « Cette application n’arrête pas d’afficher des pubs ! » ou tout autre commentaire négatif, doutez de la légitimité de l’application

Téléchargez des applications créées par des développeurs réputés ou de confiance. Si vous avez des doutes quant à une application, cherchez à en savoir plus sur son développeur

Assurez-vous d’installer une application de sécurité qui peut détecter les menaces telles que les logiciels publicitaires avant que ceux-ci ne vous perturbent

Lisez attentivement les autorisations que l’application vous demande avant de l’installer.

Supprimer un adware
Si une application a caché son icône, vous pouvez procéder de deux façons pour la désinstaller de votre appareil Android. Supprimez-la dans le menu des paramètres :

1. Accédez au menu des paramètres de votre appareil sous Android
2. Sélectionnez « Applications » ou « Gestionnaire d’applications »
3. Recherchez l’application que vous souhaitez désinstaller et appuyez dessus
4. Sélectionnez « Désinstaller »

Sinon, vous pouvez directement la désinstaller depuis Google Play :

1. Accédez à l’application Google Play
2. Appuyez sur l’icône de menu
3. Accédez à « Mes applications »
4. Appuyez sur l’application en question
5. Sélectionnez « Désinstaller »

Plus de 4500 nouveaux fichiers malveillants chaque jour sur Android

Le Mobile Malware Report G DATA du second semestre 2014 fait état d’une croissance soutenue des dangers ciblant Android : 796 993 fichiers malveillants ont été détectés durant la période.

Au total, 1,5 million de codes dangereux sur Android ont été analysés en 2014. Une croissance qui reflète le fort intérêt pour la plateforme. Selon l’institut IDC, 80% des systèmes d’exploitation utilisés dans le monde seraient sous Android.

Au cours du second semestre 2014, le nombre de nouveaux malware pour Android a augmenté de 6,1% comparé au premier semestre de la même année. Avec un total de 1,5 million de nouveaux logiciels malveillants, l’année 2014 connait une croissance de 30% comparée à l’année 2013.

Évolution des malwares ciblant Android depuis 2011
Les boutiques alternatives d’applications sont des vecteurs de codes nuisibles. Mais en fonctions des pays, les utilisateurs ne sont pas tous exposés de façon égale aux dangers. Les experts G DATA ont analysés plusieurs plateformes et les résultats montrent que les boutiques européennes et américaines
proposent moins d’applications dangereuses que les boutiques chinoises ou russes. Sur certaines plateformes chinoises, près d’une application sur quatre est infectée par un code malveillant ou un programme potentiellement indésirable (PUP).

En 2014, G DATA découvrait un spyware intégré dans le micrologiciel (firmware) du smartphone Star N9500. En mars de cette année, c’est le modèle Mi4 du fabricant Xiaomi, commercialisé en Allemagne, qui est en cause. En localisant ce téléphone pour le marché allemand par la mise à jour de son firmware, l’importateur y a intégré un programme d’espionnage qui envoie des données utilisateurs sur des serveurs distants. Volontaire ou non, cette intégration pose le problème des canaux de distribution peu traçables empruntés par certains matériels importés de Chine. (MMB)

Sikur dévoile son Smartphone à haute sécurité

La société brésilienne Sikur a lancé le forfait GranitePhone et un système d’exploitation conçu afin d’éviter les fuites d’informations. Les premières unités de l’appareil seront disponibles sur le marché au cours du premier trimestre 2015.

Sikur a présenté lors du MWC2015 un nouveau smartphone. L’appareil a été spécifiquement conçu pour échanger des informations confidentielles et sensibles, sans affecter sa vitesse et son efficacité. Le GranitePhone, dont le lancement a eu lieu à Barcelone, est le fruit d’années de recherche dans le domaine de la défense nationale, gouvernementale et de la communication des multinationales. Il garantit la confidentialité des appels privés, messages, documents et de la messagerie instantanée. L’appareil possède toutes les caractéristiques d’un smartphone de pointe sans risque de fuite d’informations ni perte de données professionnelles.

La sécurité est un problème qui préoccupe les dirigeants et institutions gouvernementales du monde entier.  Une enquête menée par le Ponemon Institute en 2014, a montré que 60 % des sociétés interrogées ont déjà traité plusieurs cas de fuites de données au cours des deux dernières années. « Au début, nous pensons que nous allons d’abord servir les gouvernements et les entreprises. Ensuite, plus les particuliers vont se rendre compte de la valeur des informations qu’ils partagent, telles que leurs habitudes de consommation et leur localisation géographique, cela changera et un nouveau marché des consommateurs s’ouvrira à nous » prédit à DataSecurityBreach.fr Cristiano Iop Kruger, PDG de Sikur.

Le GranitePhone offre de haut niveaux de cryptage, de contrôle pour les entreprises et de gestion de l’appareil. Par exemple, en cas de perte ou de vol, vous pouvez vous connecter à distance sur le nuage de Sikur et y détruire toutes les informations contenues sur le portable.  À l’avenir, une boutique d’applications proposera des applications de sécurité exclusivement testées et homologuées par Sikur. Contrairement aux autres solutions de sécurité, le GranitePhone ne se limite pas seulement à proposer des solutions d’application encryptées. Le forfait application fait partie du matériel intégré, puisque l’appareil à à « sécurité intrinsèque » a été conçu pour protéger toutes les couches internes du dispositif, visant à combler toutes les lacunes de protection de la vie privée pouvant entraîner le vol, la divulgation ou l’espionnage de données.

Face à la demande importante des sociétés et des gouvernements pour des projets de sécurité et de protection en Amérique latine, au Moyen-Orient et aux États-Unis, le premier lot d’appareil devrait être disponible au cours du premier trimestre 2015.

Le téléphone sécurisé BlackPhone… pas si secure que ça

Une faille sérieuse découverte dans le téléphone portable ultra sécurisé BlackPhone. Le smartphone qui protège des écoutes peut être infiltré !

Un hacker australien a découvert comment piéger la sécurité, pourtant très poussée, du téléphone BlackPhone. L’appareil permet de chiffrer les appels et les contenus qu’il diffuse. Du moins, ça c’était avant. Avant qu’un bidouilleur découvre qu’avec un simple SMS envoyé à l’application « Silent » il était possible d’exécuter un code malveillant et de prendre la main sur le téléphone. Une injection découverte en une semaine par Mark Dowd. Le fabricant du BlackPhone annonce une rustine pour son matériel. Un téléphone qui coûte 550€. (Register)

Des portes dérobées découvertes dans des terminaux Android

DeathRing et CoolReaper, des portes cachées installées dans des téléphones Android. Ils ont pu toucher des millions d’utilisateurs.

Palo Alto Networks a révélé des informations sur une porte dérobée présente sur des millions de terminaux mobiles Android vendus par Coolpad, l’un des plus gros fabricants de Smartphones basé en Chine. Baptisée « CoolReaper », cette porte dérobée expose les utilisateurs à d’éventuels actes de malveillance et semblerait avoir été installée et conservée par Coolpad malgré les objections des clients.

Il arrive fréquemment que les fabricants d’équipements installent des logiciels sur le système d’exploitation mobile Android de Google pour doter les appareils Android de fonctionnalités et de possibilités de personnalisation supplémentaires. Certains opérateurs de téléphonie mobile installent même des applications permettant de recueillir des données sur les performances des appareils. Mais d’après l’analyse détaillée de l’Unité 42 – l’équipe d’analyse des menaces de Palo Alto Networks – CoolReaper ne se contenterait pas de collecter simplement des données d’utilisation de base. Son fonctionnement s’apparenterait davantage à celui d’une véritable porte dérobée permettant d’accéder aux appareils Coolpad. Coolpad semblerait également avoir modifié une version du système d’exploitation Android pour rendre cette porte dérobée quasi invisible pour les programmes d’antivirus.

Découvert par le chercheur Claud Xiao de Palo Alto Networks, CoolReaper a été identifié sur 24 modèles de téléphones vendus par Coolpad et pourrait, si l’on en croit les données commerciales de Coolpad accessibles au public, impacter plus de 10 millions d’utilisateurs.

« Il est naturel que les fabricants d’équipements sous Android préinstallent des logiciels qui offrent des fonctionnalités et permettent de maintenir leurs applications à jour. Mais la porte dérobée évoquée dans ce rapport dépasse le cadre que connaissent les utilisateurs : elle permet à Coolpad de prendre le contrôle complet des équipements affectés, de rendre le logiciel invisible pour les antivirus et expose les utilisateurs à la merci d’actes de malveillance. Nous encourageons vivement les millions d’utilisateurs Coolpad susceptibles d’être concernés par CoolReaper d’inspecter leurs appareils pour y rechercher l’éventuelle porte dérobée et prendre les mesures appropriées pour protéger leurs données. » – Ryan Olson, directeur de la recherche au sein de l’Unité  42 chez Palo Alto Networks

Contexte et effets de CoolReaper
L’intégralité des résultats de l’analyse de CoolReaper figure dans le rapport de l’Unité 42, « CoolReaper : The Coolpad Backdoor » préparé par Claud Xiao et Ryan Olson qui paraît aujourd’hui. Dans ce rapport, Palo Alto Networks publie également la liste des fichiers à vérifier sur les terminaux Coolpad susceptibles d’indiquer la présence de la porte dérobée CoolReaper. Comme l’ont observé les chercheurs, CoolReaper est capable d’effectuer chacune des tâches suivantes, avec un potentiel de dangerosité pour les données sensibles des utilisateurs ou des entreprises. Un pirate malintentionné pourrait par ailleurs exploiter une vulnérabilité découverte sur le système de contrôle (back-end) de CoolReaper.

CoolReaper est capable de télécharger, installer ou activer n’importe quelle application Android sans autorisation ou notification de l’utilisateur ; effacer des donnés utilisateur, désinstaller des applications existantes ou désactiver des applications système ; informer les utilisateurs d’une fausse mise à jour OTA (Over-The-Air) qui, au lieu de mettre à jour le terminal, installe des applications indésirables ; envoyer ou insérer des messages SMS ou MMS arbitraires sur le téléphone ; transmettre à un serveur Coolpad des informations concernant le terminal, sa localisation, l’utilisation des applications, l’historique des appels et des SMS.

Prise en compte par Coolpad
L’Unité 42 a commencé à observer ce que l’on a baptisé CoolReaper suite aux nombreuses réclamations publiées sur les forums Internet par des clients de Coolpad en Chine. Au mois de novembre, un chercheur qui travaillait avec le site Wooyun.org a identifié une vulnérabilité sur le système de contrôle back-end de CoolReaper. Cette découverte a permis de comprendre que Coolpad contrôlait lui-même le backdoor présent dans le logiciel. Un site d’information chinois, Aqniu.com, a par ailleurs signalé l’existence de la porte dérobée et ses pratiques abusives dans un article paru le 20 novembre 2014. Au 17 décembre 2014, Coolpad n’a toujours pas répondu aux nombreuses demandes d’assistance de Palo Alto Networks. Les informations de ce rapport ont également été transmises à l’équipe de sécurité Android de Google.

De son côté Lookout découvre un logiciel malveillant pré-chargé dans des smartphones. DeathRing est un cheval de Troie chinois, préinstallé sur toute une série de smartphones parmi les plus populaires en Asie et en Afrique. Bien que sa détection ne soit pas plus fréquente qu’un autre logiciel malveillant, nous le considérons menaçant, notamment de par sa présence sur les smartphones dès leur sortie d’usine, et car il a été détecté aux quatre coins de la planète.

Autre particularité de ce malware, sa méthode de distribution. Pour la seconde fois en 2014, c’est en pré-chargeant le malware directement dans la chaîne d’approvisionnement que DeathRing atteint sa cible. Nous n’arrivons pour le moment pas à déterminer à quelle étape de la chaîne d’approvisionnement DeathRing est installé sur les smartphones. Nous savons toutefois que, pour de nombreux portables, il est installé dans le répertoire système le rendant extrêmement difficile à éradiquer. Il n’est malheureusement pas possible aux prestataires de services de sécurité de supprimer ce logiciel malveillant car il est installé dans le répertoire système des portables.

Recommandations

·         Vérifiez la provenance du téléphone que vous achetez.
·         Téléchargez une application de sécurité comme celle de Lookout, qui sert de première ligne de défense pour votre portable. Si vous découvrez qu’un tel logiciel malveillant est pré-chargé sur votre portable, demandez à vous faire rembourser.
·         Consultez régulièrement votre facture téléphonique afin de détecter les frais suspects.

Énorme faille de confidentialité découverte dans les réseaux de téléphonie mobile

Deux chercheurs allemands, spécialisés dans la sécurité informatique, ont découvert ce qui semble être un cas grave de fuite concernant les téléphones portables.

D’après Tobias Engel et Karsten Nohl, la faille pourrait permettre à des criminels et des agences de renseignement d’espionner les appels téléphoniques privés et les messages texte transmis via les réseaux cellulaires.

Le problème apparaît dans le système de signal 7 (SS7), un réseau mondial de télécommunications dont vous n’avez très certainement jamais entendu parlé. Sept permet aux opérateurs de téléphonie de faire transiter les messages et les SMS à travers le monde. Le Washington Post a rapporté que les chercheurs ont découvert des trous de sécurité dans certaines des fonctions SS7 normalement utilisées. SS7 a été conçu dans les années 1980. Il est évident que ce dernier soit criblé de vulnérabilités qui portent atteinte à la vie privée des milliards d’utilisateurs de cellulaires de part le monde.

Les failles peuvent permettre de localiser les appelants, n’importe où dans le monde, écouter les appels, les enregistrer. Il serait également possible de frauder les utilisateurs, ainsi que les opérateurs de téléphonie mobile en utilisant certaines fonctions SS7. Deux commandes semblent être particulièrement intéressantes.

La première pourrait permettre de détourner un téléphone portable en interceptant les appels qu’il reçoit. Une sorte de Man-in-middle. Avec un tel système en place, les appels peuvent être enregistrés secrètement. Deuxième commande, un pirate situé à proximité de sa cible pourrait utiliser des antennes radio pour intercepter les appels et les SMS traversant la zone « d’écoute ». Il faut une clé temporaire SS7 pour déchiffrer les communications enregistrées.

La semaine dernière, Nohl a mis ses découvertes en pratique en démontrant le danger à un sénateur allemand en déchiffrant ses SMS.

Pour se protéger, il est fortement conseillé d’utiliser des outils tels que FaceTime (Apple), Signal (Whisper System) ou RedPhone qui permettent d’avoir une communication sécurisée sur un canal non sécurisé.

Logiciels espions dans la derniere mise à jour Galaxy Note de Samsung

Mais que viennent donc faire là Cookie Jam, Drippler et RetailMeNot dans la nouvelle mise à jour de T-Mobile concernant les Galaxy Note 4 de chez Samsung. Les applications sont avides d’informations… sans que les propriétaires des smartphones soient alertés.

Voilà qui commence à faire beaucoup. Après la disparation de musique non acquise sur iTunes dans des iPod, Apple ayant décidé de faire le ménage sans que les utilisateurs ne puissent rien dire, voici le débarquement de logiciels « sniffeurs » d’informations dans les Galaxy Note 4 Samsung commercialisés par T-Mobile.

Une mise à jour, imposée par l’opérateur, en a profité pour installer sans que personne ne puisse dire « non », trois applications avec des autorisations incroyables… sans que le propriétaire du téléphone ne le sache. Cookie Jam, Drippler et RetailMeNot se sont retrouvés dans les smartphones. Les utilisateurs peuvent pas les effacer, ils se réinstallent dans la foulée.

Les logiciels malveillants ont été installés automatiquement après la mise à jour de T-Mobile. Parmi les autorisations autorisées, mais non validées par les clients : lire l’état du téléphone, l’identité, modifier, lire et supprimer le contenu de votre périphérique de stockage USB, modifier les paramètres de sécurité du système, télécharger des fichiers sans notification, voir toutes sortes de connexions et avoir accès complet au réseau… (Rick Farrow)

Detekt, le logiciel anti espion

Amnesty International a diffusé, ce 20 novembre, un outil permettant aux victimes d’espionnage de détecter les manœuvres de surveillance gouvernementales. L’utilisation et le commerce de technologies de surveillance des télécommunications se sont développés de manière exponentielle ces dernières années.

La Coalition contre l’exportation illégale de technologies de surveillance, dont Amnesty International est membre, estime que le commerce mondial des technologies de surveillance représente 4 milliards d’euros par an, et qu’il est en expansion. Detekt propose donc de voir si votre ordinateur, votre smartphone ou votre tablette sont surveillés. Le fonctionnement est assez simple. Plusieurs versions sont téléchargeables sur le site officiel de l’opération resistsurveillance.org. La version PC, par exemple, demande d’être exécutée en mode Administrateur, connexion web coupée. Attention, nous avons remarqué que les PC sous Windows 8.1 se retrouvaient avec un message d’alerte leur indiquant l’impossibilité d’utiliser Detekt.

1 – Télécharger Detekt
2 – Exécuter le logiciel en mode « Administrateur ».
3 – Choisissez la langue (le Français n’est pas présent).
4 – Cliquez sur le bouton « Scan ».
5 – Attendre entre 30 et 45 minutes.
6 – Découvrez si vous avez un espion dans votre machine.

Si un espion est découvert dans votre PC, dites vous qu’il est malheureusement trop tard. Nous ne pouvons que vous conseiller de changer d’ordinateur très rapidement. Ensuite, réfléchissez à comment le piège s’est installé dans votre machine (mail, liens, Facebook, Twitter clé USB, smartphone, baladeur mp3, …). Ne reconnectez plus cette machine au web. Bloquez son wifi/Bluetooth. Analysez les documents contenus dans la machine en question. Qu’est ce que le pirate/espion a pu intercepter, lire, copier, modifier. Alertez vos contacts. Il est préférable à ce niveau de crier au feu que d’attendre que tout le monde soit bruler pour s’inquiéter. N’hésitez surtout jamais à déposer plainte et alerter les autorités compétentes, surtout si vous êtes dans une entreprise.

Facebook sécurise WhatsApp à coup de chiffrement

L’outil de conversation WhatsApp chiffre dorénavant les messages diffusés par ses utilisateurs. Voilà une nouvelle qui a de quoi étonner. Non pas que Facebook soit considéré comme un pirate, mais plutôt comme un aspirateur de données.

WhatsApp, la messagerie rachetée par Facebook se lance dans la grande aventure du chiffrement qui transitent par ses bits. Facebook vient d’annoncer un chiffrement de bout-en-bout, comprenez que même Facebook ne possède pas les clés de lecture. Whisper Systems, développeur de TextSecure, considéré comme étant l’application de messagerie la plus sécurisée du moment, a aidé à la mise en place de cette protection qui doit permettre aux internautes de chiffrer leurs messages. Bilan, la derniére mise à jour de WhatsApp pour Android transporte cette sécurité. Les 600 millions d’utilisateurs de WhatsApp vont donc apprécier cette attention. Attention, elle ne chiffre que les messages textes.

TextSecure est une application de messagerie qui vous permet de vous réapproprier votre vie privée tout en communiquant facilement avec vos amis. Avec TextSecure, vous pouvez communiquer instantanément tout en évitant les frais de SMS, créer des groupes pour discuter en temps réel avec tous vos amis à la fois, et partager des pièces jointes, photos ou autres en toute confidentialité. Le serveur n’a jamais accès à vos communications et n’enregistre aucune donnée vous concernant. (The Verge)

 

Le ransomware mobile Koler cible aussi les PC

Mise au jour d’une partie cachée du programme malicieux qui a révélé au monde le ransomware Koler pour les appareils Android en avril 2014.

Cette partie inclut des ransomware utilisant les navigateurs et un exploit kit. Depuis le 23 juillet, le composant mobile de ce programme a été interrompu, et le serveur de commande et de contrôle a commencé à envoyer des commandes de désinstallation sur les mobiles des victimes. Cependant, le reste des composants sur PC  – incluant l’exploit kit – est toujours actif. Kaspersky Lab continue de surveiller ce malware, qui a été présenté pour la première fois par un chercheur en sécurité appelé Kaffeine.

Les criminels derrière ces attaques ont utilisé une technique inhabituelle pour scanner les systèmes des victimes et développer des ransomware personnalisés en fonction du lieu et du type d’appareil – mobile ou PC. L’infrastructure de redirection est l’étape qui suit, une fois que la victime a visité l’un des 48 sites pornographiques malicieux utilisés par les opérateurs de Koler. L’utilisation d’un réseau pornographique pour ce ransomware n’est pas anodin car les victimes ont souvent honte d’avoir visité ce type de contenu et sont prêtes à payer l’amende provenant de soi-disant ‘autorités’.

Les sites pornographiques en question redirigent es utilisateurs vers un hub central qui utilise Keitaro Traffic Distribution System (TDS) pour les rediriger une nouvelle fois. En fonction d’un certain nombre de critères, la seconde redirection peut déclencher trois scenarii différents :

–          L’installation du ransomware mobile Koler. Dans le cas où l’utilisateur utilise un appareil mobile, il est automatiquement redirigé vers l’application malicieuse. Mais il doit encore confirmer le téléchargement et l’installation de l’application – baptisée animalporn.apk – qui est en réalité le ransomware Koler. L’écran de l’appareil touché est alors bloqué et il est demandé à l’utilisateur de payer entre 100$ et 300$ pour le débloquer. Le malware affiche un message localisé émanant soi-disant de la police, ce qui le rend particulièrement crédible.

–          Redirection vers l’un des sites du navigateur ransomware. Un contrôleur spécial vérifie si (i) l’agent utilisateur émane de l’un des 30 pays touchés, (ii) l’utilisateur est ou non un utilisateur Android, et si (iii) la requête ne contient pas d’agent utilisateur Internet Explorer. Si la réponse est positive pour les trois, l’utilisateur voit apparaitre un écran similaire à celui qui apparait sur les mobiles. Dans ce cas, il n’y a pas d’infection, juste une fenêtre pop-up qui peut être évitée facilement grâce à la combinaison alt+F4.

–          Redirection vers un site web contenant Angler Exploit Kit. Si l’utilisateur navigue à partir d’Internet Explorer, l’infrastructure de redirection l’envoie vers des sites hébergeant Angler Exploit Kit, qui inclut des exploits pour Silverlight, Adobe Flash et Java. Pendant l’analyse, le code exploit était parfaitement fonctionnel. La charge utile (payload) était nulle, mais cela pourrait évoluer dans un futur proche.

Vicente Diaz, chercheur principal en sécurité chez Kaspersky Lab, explique : « L’un des points particulièrement intéressant de cette campagne est l’utilisateur d’un réseau de distribution. De douzaines de sites web générés automatiquement redirigent le trafic vers un hub central utilisant un système de distribution du trafic qui redirige une nouvelle fois les utilisateurs. Selon Kaspersky Lab, cette infrastructure démontre à quel point l’ensemble de la campagne est organisé et dangereux.  Les attaquants peuvent créer rapidement des infrastructures similaires grâce à un fonctionnement automatisé, tout en changeant le payload ou le type de cibles. Ils ont également pensé à la façon de monétiser au mieux l’ensemble en ciblant grand nombre d’appareils. »

Le payload mobile en chiffres
Près de 200 000 visiteurs ont été en contact avec le domaine mobile infecté depuis le début de la campagne. La majorité d’entre eux étaient basés aux US (80% – 146 650), suivi du Royaume-Uni (13 692), l’Australie (6 223), le Canada (5 573), l’Arabie Saoudite (1 975) et l’Allemagne (1 278). Europol et Interpol travaillent actuellement à savoir comment fermer l’infrastructure malveillante.

Conseils aux utilisateurs :
–       Gardez à l’esprit que la police ne diffuse jamais de message électronique demandant de l’argent donc ne payez pas ;
–       N’installez pas les applications que vous trouvez en surfant sur Internet ;
–       Ne visitez pas les sites web auxquels vous ne faites pas confiance ;
–       Utilisez une solution de sécurité fiable.

Piège autour de Clash of Clans

Clash of Clans, Bubble Witch, Boom Beach… des applications vidéo ludiques qui font un carton sur les smartphones et autres tablettes. Des jeux qui, mais ce n’est pas obligé, proposent de payer pour passer des niveaux, gagner de l’énergie, des bonus, … Bref, des jeux qui rapportent des centaines de milliers d’euros aux éditeurs. Les joueurs peuvent dépenser beaucoup, du moins pour les plus impatients. Des pirates ont trouvé le moyen de piéger ses joueurs impétueux en leur proposant de tricher, du moins les « gamerz » le pensent. Plusieurs sites, installés en Iran, tentent d’inciter les joueurs à télécharger des applications ayant pour mission de gagner plus, en jouant moins. « Clash-of-Clans Hack illimit gemmes » ; « BubbleWitch2 illimit bonus » ; … promettent les pirates. Derrière ces faux logiciels, de vrais pièges qui n’ont qu’une seule finalité, infiltrer les appareils des propriétaires. A noter que DataSecuityBreach.fr a repéré aussi des applis, toujours sur des sites Iraniens, proposant de télécharger des « followers-Instagram ».

Google ne protège toujours pas Gmail pour iOS

Vous avez un iPhone, un iPad ? Vous utilisez le service webmail de Google gMail ? Vous allez être heureux d’apprendre que le géant américain n’a toujours pas corrigé la faille qui permet d’intercepter les données qui transitent entre votre précieux et gMail.

L’alerte avait été lancée en février dernier par la société Lacoon Mobile Security. A l’époque, l’entreprise expliquait déjà que Google n’avait pas sécurisé les transmissions entre l’internaute et gMail. Bilan, il était possible de lire et modifier les communications normalement chiffrées. Etonnament, la faille a été corrigée sur Android, mais l’américain a « oublié » de faire de même pour les produits d’Apple. Bref, un pirate se mettant entre vous et la connexion, via une connexion wifi « gratuite » par exemple, n’aura aucun mal à intercepter et utiliser votre compte gMail. En attendant un correction, il est fortement déconseillé d’utiliser les applications gMail via une machine commercialisée par la grosse pomme.

Fuite de données via des smartphones d’occasion

L’éditeur AVAST Software, l’éditeur de solutions de sécurité, a récupéré facilement des données personnelles sur des smartphones d’occasion achetés en ligne, malgré la suppression des données par les consommateurs.

Sur les appareils d’occasion, il a été possible de récupérer plus de 40 000 photos, e-mail et SMS personnels et, dans certains cas, l’identité des vendeurs. « La quantité de données personnelles que nous avons récupérée sur les téléphones était incroyable. Nous avons trouvé de tout, d’un formulaire de prêt rempli à plus de 250 selfies de ce qui semble être le corps masculin du propriétaire précédent, » a déclaré Jude McColgan. « Nous avons acheté divers appareils Android à des vendeurs dans l’ensemble des États-Unis, et nous avons utilisé des logiciels de récupération couramment disponibles pour exhumer des informations personnelles se trouvant auparavant sur les téléphones. La leçon à en tirer est que même les données supprimées sur votre téléphone d’occasion peuvent être récupérées, à moins de les écraser complètement. » 20 smartphones d’occasion ont été analysés dont les propriétaires précédents avaient effectué une réinitialisation d’usine ou une opération de « suppression complète » sur leurs appareils. Malgré ces efforts, Plus de 40 000 photos enregistrées, plus de 750 e-mails et SMS et autres informations ont pu être récupérées.

« Plus de 80 000 smartphones d’occasion sont en vente quotidiennement sur eBay aux États-Unis. En même temps que leurs téléphones, les consommateurs peuvent ne pas être conscient du fait qu’ils vendent leurs souvenirs et leur identité. Les images, les e-mails et d’autres documents supprimés des téléphones peuvent être exploités pour le vol d’identité, le chantage ou même à des fins de harcèlement. Revendre votre téléphone usagé est une bonne façon de gagner un peu d’argent, mais il s’agit potentiellement d’une mauvaise façon de préserver votre vie privée, » a ajouté Jude McColgan. Il est recommandé aux consommateurs intéressé par la vente de leur appareil Android d’installer une application qui écrase les informations avant de revendre leur téléphone.

Des applis Google Play voleuses de données bancaires

Lookout a repéré cette semaine dans le Google Play store une application de banque en ligne clonée, conçue pour subtiliser les identifiants des utilisateurs, mais étrangement sans les mots de passe.

Nous avons aussitôt alerté Google qui a dans la foulée supprimé l’application concernée. Nous tenons à préciser que tous les utilisateurs de Lookout sont protégés contre cette menace. Le programme malveillant incriminé, baptisé « BankMirage », ciblait les clients de la banque israélienne Mizrahi. Les auteurs ont ainsi ajouté une sorte de surcouche à l’application légitime, proposant ensuite leur création de nouveau sur le Google Play store en la faisant passer pour celle de l’établissement bancaire.

Le mode de fonctionnement est simple : dès que la victime lance l’application, le programme malveillant charge le formulaire de connexion, à savoir une page html intégrée à l’application et créée pour dérober l’identifiant de la personne dès qu’elle le saisit. Il s’agit donc d’une tentative de hameçonnage (phishing) des données personnelles. Ce programme a toutefois une étrange particularité : il récupère uniquement l’identifiant de connexion de l’utilisateur. Ses auteurs ont inséré un commentaire dans le code qui commande de collecter uniquement cet élément, et pas le mot de passe.

Une fois l’identifiant récupéré et stocké, l’application envoie un message à l’utilisateur victime pour lui signaler l’échec de sa tentative de connexion. Il est invité à ce moment-là à réinstaller la « vraie » application légitime de la banque sur le Play Store.

Les programmes malveillants qui se font passer pour des applications de banque en ligne comptent parmi les plus dangereux, dans la mesure où ils s’intéressent à des données particulièrement sensibles. Ce type de programme est très présent dans l’Union européenne, dans les pays de la région Asie-Pacifique, et dans une moindre mesure aux Etats-Unis. Nous avons déjà repéré des programmes de banque en ligne créés en Corée qui, au lieu de se glisser dans le catalogue de Google Play, se font carrément passer pour l’application Google Play Store elle-même.

« PlayBanker » en est un exemple : il se fait passer pour Google Play et envoie des alertes aux utilisateurs victimes pour les pousser à télécharger des applications de banque en ligne pirates. Une autre variante, « BankUn », vérifie pour sa part au préalable la présence des huit plus grandes applications légitimes des banques en ligne coréennes, pour les remplacer ensuite par des versions pirates.

Il est hélas difficile pour un utilisateur de se prémunir d’une application de ce type parvenant à se faire référencer dans le Google Play store ; les moyens de protection classiques ne suffisent pas. Comme par exemple le fait de vérifier que le développeur de l’application est digne de confiance, ou de s’assurer que la case « Sources inconnues » (dans les paramètres système du téléphone) n’est pas cochée afin de bloquer l’installation furtive d’applications téléchargées à son insu.

Mieux vaut faire preuve de bon sens : la présence de deux versions apparemment identiques d’une même application peut signifier que l’une d’elles est illégitime. Pour être protégé à 100% contre ce type de menace, la meilleure solution consiste à installer sur le téléphone une solution de sécurité telle que Lookout, qui analyse systématiquement toutes les applications téléchargées.

Un outil Ransomware Removal supprime Simplocker

L’éditeur de solution de sécurité informatique AVAST annonce la sortie d’avast! Ransomware Removal, une nouvelle application gratuite qui élimine les logiciels de rançon Android et déchiffre les fichiers verrouillés et pris en otages.

Avec la nouvelle application pour smartphones et tablettes Android, AVAST propose une solution rapide et gratuite à la menace Simplocker détectée début juin. Simplocker est un nouveau virus Android qui chiffre les photos, les vidéos et les documents stockés sur les smartphones et les tablettes, et exige ensuite un paiement pour les déchiffrer. « Simplocker bloque l’accès aux fichiers stockés sur des appareils mobiles. Sans notre outil gratuit de suppression de logiciel de rançon, les utilisateurs infectés doivent payer 21 $ pour récupérer l’accès à leurs fichiers personnels, déclare à Data Security Breach Ondrej Vlcek, directeur technique d’AVAST Software. Même si nous voyons une croissance exponentielle des logiciels de rançon sur les appareils mobiles, la plupart des menaces de chiffrement des fichiers personnels sont fictives. Simplocker étant le premier logiciel de rançon qui chiffre véritablement ces fichiers, nous avons développé un outil gratuit pour que les utilisateurs puissent les restaurer. »

Toute personne infectée par Simplocker ou tout autre type de logiciel de rançon peut télécharger l’outil gratuit avast! Ransomware Removal en visitant la version web du Google Play Store et en installant ensuite l’application à distance sur son appareil infecté. Une fois celle-ci installée, l’utilisateur peut lancer facilement l’application et éliminer la menace. L’outil analysera ensuite l’appareil, supprimera le virus et déchiffrera les fichiers de l’utilisateur.

Programme espion d’usine dans un clone Android

Les experts de l’éditeur de solutions de sécurité G DATA ont analysé un smartphone livré en sortie d’usine avec un programme espion. Le code malveillant est déguisé en service Google Play Store et fait partie des programmes préinstallés. Ainsi équipé, le smartphone envoie les données personnelles de l’utilisateur à son insu vers un serveur situé en Chine. La prise de contrôle à distance de l’appareil peut être totale. Le modèle concerné est le N9500 fabriqué par l’entreprise chinoise Star. Ce clone d’un modèle connu est vendu sur des plateformes en ligne entre 130 et 165 euros.

Les caractéristiques techniques du N9500 de Star sont attrayantes. Un smartphone Quad-Core, au design inspiré d’une grande marque, livré avec plusieurs accessoires (deux batteries, deux coques…) et pour un tarif compris entre 130 et 165 euros ! Mais opter pour le Star N9500 c’est aussi accepter le programme-espion intégré ! Christian Geschkat, chef produit des solutions de sécurité mobiles G DATA, explique : « Les possibilités qu’offre ce programme d’espionnage sont presque illimitées. Les cybercriminels peuvent tout simplement prendre le contrôle du smartphone ».

Cheval de Troie d’usine
L’analyse du système montre qu‘un faux service Google Play Store intègre le cheval de Troie Android.Trojan.Uupay.D. La fonction d’espionnage est invisible pour l’utilisateur. L’unique information accessible à l’utilisateur est l’icone Google Play Store, présent dans les applications en cours d’exécution, tout le reste est masqué. Le programme communique également avec un serveur situé en Chine. « Difficile de savoir qui réceptionne les données et les utilise » précise Christian Geschckat. Afin de garantir un bon fonctionnement au code malveillant, les mises à jour de sécurité Android sont aussi bloquées.

Désinstallation impossible
Ce programme, camouflé derrière l’application Google Play Store falsifiée,  a été préinstallé dans le système et ne peut donc pas être désinstallé par l’utilisateur. Ce smartphone représente donc un danger pour ses utilisateurs. Les criminels peuvent y installer automatiquement des applications, par lesquelles tous les abus sont permis : localisation, écoutes et enregistrements, achats, escroquerie en ligne, envoi de SMS surtaxés.

Les smartphones et tablettes en ligne de mire des criminels
La diffusion croissante de smartphones et tablettes n’est pas passée inaperçue aux yeux des criminels. L’année passée, plus de 1,2 million de nouveaux programmes malveillants sont apparus et la tendance ne fait que de s’accroître. La découverte d’un code malveillant préinstallé dans un clone démontre que les cybercriminels innovent dans de nouvelles méthodes d’infection à grande échelle et invite à la plus grande prudence quant à l’achat de clones.

Simplocker, un piége pour Android

Les experts savaient depuis un moment que les cybercriminels tenteraient de  s’attaquer à la flotte mobile, une cible très en vogue dans un monde. Il faut dire aussi que le nombre d’utilisateurs de smartphone frôle les 7 milliards en 2014 (Source : Union internationale des télécommunications).

Tout le monde ou presque est donc susceptible d’être victime des attaques cybercriminelles. Les ingénieurs de chez ESET ont repéré le week-end dernier un rançonlogiciel capable de chiffrer les fichiers sur Androïd. C’est le second code malveillant de ce type que detecte l’éditeur d’antivirus. Le piégé a été baptisé Simplocker.

Le logiciel malveillant scanne la carte SD du terminal mobile à la recherche des fichiers aux format variés, considérés comme important car pouvant sauvegarder des données sensibles : jpeg, png, bmp, jpg, gif, doc, docx, pdf, txt, avi, mkv, 3gp et mp4. Les documents sont chiffrés en AES-256. Le pirate réclame de l’argent pour fournir le mot de passe qui déchiffrera les fichiers.

Simplocker n’a été detecté, pour le moment, qu’en Russie. La rançon demandée, 16€, doit être payée en hryvnias (monnaie Ukrainienne) via MoneXy. Le piége est caché dans des applications Android non diffusées via Google Play. En 2010, FakePlayer, un autre code malveillant pour Android avait lui aussi été detécté dans ces deux régions (Russie/Ukraine). Là ou cela devient encore plus interessant est que le système de contrôle (C&C) de SimpleLocker exploite un domaine du réseau TOR (oignon). Bilan, il reste anonyme et permet de contrôler le piége en toute sécurité.

Heartbleed, de retour dans nos smartphones

Nous vous en parlions à l’époque, la faille heartbleed a été découverte/exploitée aussi dans les smartphones. Des millions d’appareils sous Android, non mis à jour (4.1.1 et antérieur), le sont encore. Un chercheur vient de lancer une alerte indiquant que des millions de smartphones sont tributaires des mises à jour des opérateurs, constructeurs. Bref, la faille OpenSSL fait encore des dégâts.

Luis Grangela, scientifiques portuguais, indique qu’une méthode de piratage exploitant Heartbleed peut être exploitée par des pitrates. Sa méthode utilise le Wi-Fi et des smartphones Android. Son attaque, baptisée Cupidon, est basée au niveau des tunnels TLS. Pour le chercheur, iOS d’Apple ne serait pas épargné.

Renforcer la sécurité de l’Internet des Objets

Wind River, éditeur de logiciels pour systèmes connectés intelligents, annonce un profil sécurité pour Wind River Linux, un logiciel certifiable selon le profil de protection GPOS (General Purpose Operating System) des Critères Communs, et ce, jusqu’au niveau d’assurance EAL 4.

Grâce à une connectivité plus importante entre les différents équipements, l’adoption d’une approche de développement bien établie et s’appuyant sur des normes telles que celles des Critères Communs peut aider à dissiper les inquiétudes en matière de sécurité autour de l’Internet des Objets (IdO). En outre, Wind River publie également la dernière version de Carrier Grade Profile for Wind River Linux, une plate-forme clé en main qui permet aux clients de bénéficier d’une distribution Linux de classe opérateur (Carrier Grade Linux CGL).

Ce profil sécurité se présente sous la forme d’un module logiciel à haute valeur ajoutée pour Wind River Linux. Il fournit de nouvelles fonctionnalités de sécurité permettant aux développeurs de faire face aux futures menaces liées à la montée en puissance de l’IdO. Ses principales fonctionnalités (un noyau renforcé, un démarrage sécurisé, un espace utilisateur axé sur la sécurité, ainsi que la base Wind River Linux compatible avec le Yocto Project) s’intègrent parfaitement avec les outils de validation, la documentation et les spécifications de prise en charge matérielle.

« Avec l’Internet des Objets, les besoins en matière de connectivité et de sécurité des équipements se complexifient ; malgré cela, les entreprises sont obligées de respecter des calendriers et des budgets de développement restreints, commente Dinyar Dastoor, vice-président en charge de la gestion des produits chez Wind River. Notre nouveau profil sécurité pour Wind River Linux fournit une plate-forme informatique sécurisée et fiable conforme aux normes de l’industrie. Elle permet aux clients de réduire leurs cycles de développement et de commercialiser plus rapidement leurs produits en proposant la sécurité, les performances et l’expérience utilisateur nécessaires pour les équipements d’aujourd’hui, de plus en plus intelligents et connectés, tous secteurs confondus. »

Avec l’effervescence résultant de tendances telles que l’Internet des Objets, les développeurs sont confrontés à de nouvelles problématiques de complexité pour gérer des projets nécessitant davantage de sécurité, d’informations, et de meilleures performances. Avec ce profil sécurité, les clients peuvent tirer parti des meilleures pratiques de sécurité appliquées dans de nombreuses industries et intégrées au profil de protection des Critères Communs. En outre, en cas d’évaluation nécessaire, il réduit les coûts et les délais de développement, de certification et de maintenance d’une distribution Linux complète en respectant le système d’évaluation des Critères Communs. Le profil sécurité fournit également un kit de certification afin de pouvoir certifier la conformité aux exigences fonctionnelles avec le niveau d’assurance requis. En démontrant que leurs produits fonctionnent sur une plate-forme de certification Wind River, les développeurs peuvent progresser bien plus rapidement au sein du processus de certification, habituellement complexe et coûteux. Avec l’aide de Wind River, les clients peuvent commercialiser leurs produits bien plus rapidement et répondre aux exigences de sécurité d’une variété de secteurs, tels que l’aérospatiale, la défense, l’automobile, l’industrie ou les réseaux.

D’autre part, la nouvelle version du profil Carrier Grade fournit la prise en charge du dernier noyau Linux 3.10 LTSIet de la prise en charge étendue d’une variété d’architectures matérielles. Ce profil inclut également la virtualisation des fonctions de routage et de transfert (VRF — Virtual Routing and Forwarding) avec des conteneurs permettant de fournir de manière transparente des fonctionnalités de niveau opérateur au sein d’un environnement virtualisé. À l’heure où le trafic de données repousse les limites des réseaux des opérateurs, et où l’industrie évolue vers des fonctions de virtualisation des fonctions réseau (NFV), il est essentiel de conserver une fiabilité de niveau opérateur et de se conformer aux exigences strictes en matière de performances et de sécurité définies par les accords de niveaux de services (SLA) garantis par les opérateurs à leurs clients aujourd’hui.

Wind River Linux offre une plate-forme Linux de classe commerciale ainsi qu’une expérience utilisateur aisée grâce à un ensemble riche de fonctionnalités basées sur les toutes dernières technologies open source, à des outils de développement totalement intégrés, à une équipe d’assistance présente dans le monde entier et à des services d’experts. Développé sur l’infrastructure de développement Yocto Project, Wind River Linux améliore la compatibilité entre les différentes plates-formes et l’interopérabilité des composants.

 

Protection contre les applis mobiles qui exploitent nos infos personnelles

McAfee, la nouvelle filiale d’Intel Security, vient d’annoncer la version 4.1 de McAfee Mobile Security (MMS). L’outil dédié aux smartphones et tablettes  permet d’exécuter instantanément des contrôles de confidentialité.

Grâce à ces analyses, l’utilisateur est en mesure d’identifier les applications partageant ses informations personnelles à outrance. MMS 4.1 détecte et supprime les malwares et recherche également d’autres menaces à la sécurité. Une fois le produit installé, McAfee simplifie la réalisation de ces analyses pour l’utilisateur. Cette nouvelle version de McAfee Mobile Security permet aussi aux utilisateurs de supprimer les applications présentant d’importants risques viraux. A noter que l’ensemble des éditeurs d’antivirus propose ce genre d’outil : Gdata, … Très vite, vous allez vous rendre compte que plus de la moitié de vos applications installées, ou non, collectent des informations.

80 % des applications mobiles sont en mesure de localiser leur utilisateur

D’après le ‘Consumer Mobile Security Report’, 80 % des applications mobiles sont en mesure de localiser leur utilisateur, 82 % connaissent l’ID code de l’appareil et 57 % les traquent lors de l’utilisation de leur téléphone. De plus, les applications qui collectent agressivement et sans nécessité des données démultiplient la dangerosité des banques de données, 35 % d’entre elles contiennent des logiciels malveillants.

« Les données personnelles collectées par les applications peuvent être bénéfiques à l’amélioration de l’expérience du mobile de l’utilisateur. Cependant, nombre d’entre elles collectent davantage d’informations que nécessaire, menaçant ainsi la vie privée et la sécurité des informations relatives à l’utilisateur », précise David Grout, Directeur Europe du Sud chez McAfee. « McAfee Mobile Security responsabilise l’utilisateur en lui précisant les informations auxquelles les applications ont accès et en les aidant à protéger leur identité et leurs informations personnelles. »

Le contrôle de la confidentialité proposé fournit des renseignements à l’utilisateur quant aux applications qu’il a installées sur son smartphone ou sa tablette. L’analyse applicative détermine la quantité d’informations à laquelle chaque application peut accéder et qu’elle peut partager, les répertorie ensuite par niveau de sensibilité et compare également les associations d’URL à risque. Quand une application se comporte sensiblement différemment des applications de même catégorie, le niveau de risque est relevé et pris en compte dans son niveau de dangerosité. Grâce à cette option, l’utilisateur peut en un seul clic désinstaller les applications suspectes.

Les autorisations applicatives les plus inquiétantes sont celles qui identifient les ID des smartphones et des tablettes, qui permettent de localiser précisément l’utilisateur (grâce au réseau Wi-Fi ou aux tours relais) et celles qui lisent ou suivent les SMS pouvant contenir des messages privés ou des informations sensibles de type autorisation de transactions bancaires.

Faille pour le lecteur Adobe PDF dédié à Android

Les smartphones et tablettes deviennent de véritables nids à problémes. Après les fuites de données via les applications malveillantes, des systèmes de sécurité bancals, voici venir une faille dans un outil que nous aurions pu penser « propre ». Il a été découvert que l’application, pour Android, du logiciel Adobe Reader PDF était faillible à une vulnérabilité qui permet à un pirate de compromettre les documents stockés dans l’appareil et les fichiers stockés sur la carte SD du matos. Le lecteur Adobe exploite du javascript mal sécurisé (pleonasme ? ndr). Le chercheur néerlandais en sécurité Yorick Koster a vérifié avec succès l’existence de la vulnérabilité dans la version 11.1.3 du lecteur Adobe pour Android. Le bug a été corrigé dans la dernière version 11.2.0. Il est donc fortement conseillé de mettre à jour l’outil. Un code de démonstration « poc » est proposé. Il va créer un fichier .txt lorsqu’un utilisateur ouvre un fichier pdf spécialement conçu pour utiliser la version vulnérable d’Adobe Reader.