Archives de catégorie : Virus

Actualités liées aux virus informatiques, malwares, adwares codes malveillants, trojan, keylogger, kit, shell …

La sophistication et le dynamisme des cyber-attaques au cœur de la course à l’innovation des pirates et professionnels de la sécurité

Comme chaque année, Cisco publie son Rapport semestriel 2015 sur la sécurité et dévoile son analyse des menaces et tendances en matière de cyber sécurité. Il révèle la nécessité absolue pour les entreprises de réduire les temps de détection (TTD), afin de contrer les attaques sophistiquées perpétrées par des pirates particulièrement motivés. Le kit d’exploits Angler est le type même de menaces auxquelles seront confrontées les entreprises. La multiplication des vecteurs d’attaques innovants et des opportunités de monétisation sont exploités par les hackers, à la faveur de l’essor de l’économie numérique et de l’Internet of Everything.

Les nouveaux risques associés à Flash, l’évolution des ransomwares et les campagnes de malwares de plus en plus dynamiques, tels que Dridex, augmentent la nécessité de réduire les temps de détection. Avec la digitalisation des entreprises et l’avènement de l’IoE (Internet of Everything), les malwares et autres menaces se font de plus en plus omniprésents. Cette situation ne manque pas de soulever des inquiétudes quant à la durée des temps de détection, actuellement compris entre 100 et 200 jours, d’après les estimations des professionnels de la sécurité. À titre de comparaison, le temps de détection moyen des solutions AMP (Advanced Malware Protection) de Cisco est de 46 heures, grâce à l’analyse rétrospective des attaques.

Le rapport souligne l’importance pour les entreprises, de privilégier le déploiement de solutions intégrées ainsi que le recours à des fournisseurs de services de sécurité à des fins d’orientation et d’évaluation. Par ailleurs, les géopoliticiens notent l’urgence de définir un cadre mondial de cybergouvernance afin de soutenir la croissance économique.

Angler, des assaillants tapis dans l’ombre pour mieux frapper – Grâce à l’exploitation de la vulnérabilité des solutions Flash, Java, Internet Explorer et Silverlight, Angler est actuellement l’un des kits d’exploits les plus sophistiqués et les plus largement utilisés. Le kit excelle également à passer au travers des détections en utilisant, en autres techniques : le « domain shadowing ».

Dridex, des campagnes en constante évolution – Les créateurs de ces campagnes de malwares en perpétuelle mutation ont bien compris comment échapper aux systèmes de sécurité. Pour mieux passer à travers les mailles du filet, les assaillants s’empressent de modifier le contenu des e-mails, noms d’utilisateurs, pièces jointes ou contacts, et de lancer de nouvelles campagnes, obligeant ainsi les systèmes anti-virus traditionnels à remettre à jour leur base de données afin de les détecter.

Flash is Back – Les exploits utilisant les vulnérabilités d’Adobe Flash intégrés dans les kits d’exploits Angler et Nuclear ont également le vent en poupe. Ce succès tient en partie au manque de solutions de correctifs automatiques, ainsi qu’à la négligence des utilisateurs qui n’effectuent pas immédiatement les mises à jour. Au cours du premier semestre 2015, le nombre de vulnérabilités Adobe Flash Player signalées par le système CVE (Common Vulnerabilities and Exposure) a augmenté de 66 % par rapport aux chiffres de 2014. À ce rythme, Flash est en passe d’établir un record absolu du nombre de signalements CVE pour l’année 2015.

L’évolution des ransomwares – Les ransomwares demeurent des solutions particulièrement lucratives pour les hackers qui ne se lassent pas d’en développer de nouvelles variantes. Les opérations de ransomware se sont tellement perfectionnées qu’elles sont aujourd’hui totalement automatisées et contrôlées depuis le Dark Web. Afin de soustraire les transactions à la loi, les rançons sont payées en monnaie virtuelle, telle que le bitcoin.

La nécessité d’une mobilisation générale

L’accélération de la course à l’innovation entre assaillants et éditeurs de solutions de sécurité expose les entreprises et utilisateurs finaux à un risque croissant. Les éditeurs doivent veiller à développer des solutions de sécurité intégrées permettant aux entreprises de se montrer proactives et d’associer professionnels, process et technologies de manière judicieuse.

Un cadre de cybergouvernance mondiale – À l’heure actuelle, la cybergouvernance mondiale ne dispose pas des outils nécessaires lui permettant de faire face aux menaces émergentes ou aux enjeux géopolitiques. La question des frontières, expose la problématique pour les états de collecter et de partager des données sur les entreprises et les citoyens entre différentes juridictions. Ceci constitue un obstacle de taille à la mise en place d’un système de cybergouvernance cohérent, dans un monde où la coopération est limitée. Afin de soutenir la croissance économique des entreprises et leurs efforts d’innovation, il est nécessaire d’instaurer un cadre de cybergouvernance multipartite et collaboratif au niveau mondial. De l’importance d’une transparence des éditeurs – Il est indispensable pour les entreprises de demander aux éditeurs une pleine transparence dans tous les aspects du développement de leurs produits de sécurité, et ce depuis la chaîne logistique et pendant toute la durée de déploiement de ces derniers.

Télécharger un exemplaire du Rapport semestriel Cisco 2015 sur la sécurité.

Un appareil médical interdit en raison de vulnérabilités numériques

La Food and Drug administration vient de faire interdire un appareil médical considéré comme dangereux en raison de trop nombreuses vulnérabilités informatiques. Un pirate pourrait manipuler les transfusions à un patient.

La FDA, la Food and Drug administration, l’Agence américaine des produits alimentaires et médicamenteux vient de tirer la sonnette d’alarme au sujet des matériels médicaux face aux pirates informatiques. Pour ce faire entendre, et faire de manière à ce que les constructeurs écoutent avec leurs deux oreilles, la FDA vient de faire interdire le dispositif médical de la société Hospita.

Le matériel incriminé, une pompe à perfusion, l’Hospira Symbiq Infusion System. La FDA encourage « fortement les établissements de soins de santé à changer de matériel, à utiliser des systèmes de perfusion de rechange, et de cesser l’utilisation de ces pompes [celles d’Hospita]. »

La raison de cette interdiction ? Trop de vulnérabilités pourraient être exploitées par des pirates informatiques, et donc mettre en danger les patients. Des failles qui pourraient permettre à un utilisateur non autorisé de contrôler l’appareil et de modifier la perfusion. Délivrer plus ou moins de médicament par exemple.

Une interdiction qui était prévue chez Hospira. Le constructeur avait annoncé en mai 2013 qu’il mettrait à la « retraite » Symbiq, ainsi que d’autres pompes à perfusion. Une mise à la retraite prévue pour la fin 2015.

Des vilains chez Kaspersky ?

Deux ex-employés de Kaspersky indiquent que l’éditeur russe d’antivirus aurait diffusé de faux positifs pour embêter la concurrence.

Les plus anciens se souviennent très certainement des polémiques autour de plusieurs éditeurs d’antivirus, nous sommes alors dans les années 1990. Des éditeurs avaient été accusés d’être les auteurs de codes malveillants, histoire de faire parler la presse de leurs outils, capable d’éradiquer ces mystérieux monstres numériques. Nous sommes alors à l’époque de VX BBS, des worms Murphy, Nomenclatura, Beast, 512, Number of Beast (Virus made in Bulgarie) ou encore des russes Peterburg, Voronezh ou encore LoveChild. Une époque ou les lecteurs des Magazine Pc Today, ou encore Amstrar CPC, se souvient des codes malveillants cachés dans la disquette offerte par le journal ou proposé dans la page du journal.

Juillet 2015, voici revenir la rumeur. Selon l’agence de presse américaine Reuters, le russe Kaspersky aurait tenté de diffuser des fichiers modifiés afin de les faire détecter comme dangereux, par la concurrence. En gros, réussir à faire effacer par les concurrents des programmes indispensables permettant de lancer Windows. Bref, mettre le souk dans les signatures des autres antivirus.

Deux anciens employés, donc pas content de ne plus bosser pour Kaspersky, ont affirmé ce fait à Reuters. L’idée malveillante aurait été lancée il y a plus de dix ans. Kaspersky visait  les antivirus de Microsoft, AVG ou encore Avast. Sa méthode consistait donc a faire effacer des programmes importants, et non dangereux, par les antivirus des concurrents. Intoxiquer la concurrence et faire décliner l’efficacité de leurs outils. Reuters indique que le fondateur Eugene Kaspersky en a lui-même donné l’ordre. Il voulait, paraît-il, faire payer les concurrents qui auraient simplement imité la technologie utilisée dans son propre antivirus.

Kasperksy a bien entendu démenti la diffusion de ces faux positifs. Pourtant, il y a 5 ans, Kaspersky avait expliqué comment, en diffusant 10 faux positifs, ils avaient découvert les agissements de 14 concurrents. ces derniers auraient repris ses informations comme argent comptant. Dennis Batchelder, responsable des recherches anti-malwares chez Microsoft a confirmé à Reuters avoir découvert des fichiers modifiés ayant pour mission de paraître dangereux. Bref, la nouvelle guerre froide entre Russie et USA vient de se déplacer, aussi, dans le petit monde des antivirus.

Symantec.. la prochaine passoire ?

Découverte de plusieurs failles dans les outils de sécurité Symantec. Un pirate peut installer et exécuter un code distant malveillant.

Le chercheur en sécurité informatique Markus Wulftange de chez Code White Sec vient de mettre à jour une faille gênante pour les outils de sécurité informatique de l’éditeur Américain Symantec : Symantec Endpoint Protection (SEP). Il est possible d’exploiter un contournement d’authentification. Bilan, il devient possible d’exécuter un code distant non authentifié et de déposer/exécuter un shell dans la machine censée être protégée.

Symantec Endpoint Protection visant avant tout les entreprises, voilà une possibilité malveillante qui fait tache. Markus Wulftange a découvert six autres vulnérabilités critiques dans Symantec Endpoint Protection (SEP) Suite 12.1, affectant les versions antérieures à 12.1 RU6 MP1 (SYM15-007).

Des failles intéressantes alors que l’on apprenait, en juin dernier, que la National Security Agency, les grandes oreilles de l’Oncle Sam, disposerait d’un logiciel capable de faire sauter les antivirus et de suivre les utilisateurs des outils de protection informatique. La NSA posséde-t-elle aussi ces failles ? Snowden n’est pas au courant !

RunPE, le tueur de logiciels espion

Phrozen RunPE Detector : Nouveau logiciel indispensable dans son kit de secours informatique.

Phrozen RunPE Detector est la nouvelle création d’un informaticien chercheur Français que nous vous présentons souvent dans les colonnes de Data Security Breach. En plus d’être un ami, il est surtout un sérieux dompteur de codes via son site Internet Phrozen Soft. Il y a quelques années, il sortait le logiciel RAT DarkComet. Un excellent outil qu’il devra stopper. Des malveillants ayant détourné son outil… comme le gouvernement Syrien pour espionner les opposants au régime. Une mésaventure qui n’a pas assommé notre codeur Français, bien au contraire. Depuis, il concocte des outils de sécurité qui mériteraient de se retrouver sur les étagères des éditeurs d’antivirus de la planète web. En attendant, ce nouveau logiciel, baptisé Phrozen RunPE Detector, va devenir un indispensable de votre boite à outil sécurité informatique.

Pour faire simple, la technique RunPE consiste à démarrer un processus légitime souvent signé puis de le suspendre pour remplacer son contenu par une application malicieuse, ainsi cela permet de contourner les restrictions des par feux et d’exécuter du code directement en mémoire. Malheureusement, très pratique pour piéger les antivirus. Une technique utilisée par les pirates dans leurs « crypteurs », mais aussi dans de nombreux RAT. De nombreux outils malveillants continuent d’utiliser cette technique populaire, bilan, JP Lesueur a décidé de faire un outil qui se charge de repérer la menace.

Un logiciel d’analyse dynamique, et non statique, qui détecte la menace et, permet même dans certains cas, de récupérer la source de la menace. Le logiciel est gratuit.

Stegosploit : l’outil qui cache un code malveillant dans une image

Lors de la conférence Hack In The Box d’Amsterdam, un chercheur en sécurité informatique présente Stegosploit, un outil qui permet de cacher un code malveillant dans une image.

Imaginez, vous êtes en train de surfer quand soudain votre machine devient folle ! Un code malveillant vient d’être installé alors que vous avez un antivirus et vos logiciels à jour. Une image, affichait par un site que vous veniez de visiter vient de lancer l’attaque. De la science-fiction ? Pas avec les preuves de Saumil Shah, un chercheur en sécurité informatique.

L’ingénieur a expliqué lors de la conférence (HiP) Hack In The Box que des pirates étaient très certainement en train d’exploiter sa découverte. L’idée, cacher un code malveillant dans une image en utilisant la stéganographie (cacher une information dans un autre document, NDR). Des recherches de Shah est sorti Stegosploit, un logiciel qui code en Javascript un logiciel malveillant dans les pixels d’une image au format JPEG ou PNG.

Un antivirus collaboratif Made in France à 3€

La société d’édition AxBx annonce la sortie de la version « C.E » de son antivirus VirusKeeper. VirusKeeper C.E (C.E pour Collaborative Edition) est un antivirus complet dont la licence est d’un genre nouveau.

La Collaborative Edition de VirusKeeper propose une licence de la version complète de l’antivirus en échange d’une collaboration des utilisateurs à l’amélioration du produit et d’un coût de licence réduit au minimum. La licence VirusKeeper C.E est en effet proposée au tarif de 3 € soit près de 10 fois moins cher que le coût d’une licence antivirus habituelle.

Ce nouveau type de licence répond aux besoins des utilisateurs qui avaient le choix entre les antivirus commerciaux dont le coût annuel varient de 30 à 60 € et des antivirus gratuits mais limités ou bridés qui s’avèrent décevants et insuffisants. « Nous avions régulièrement des demandes de la part des étudiants et des seniors qui souhaitaient acquérir notre antivirus VirusKeeper mais dont le budget ne le permettait pas. D’autre part, des utilisateurs nous proposent leur aide pour enrichir notre produit. Nous avons donc réfléchi à une nouvelle approche « gagnant/gagnant » où l’utilisateur pourrait disposer d’un antivirus de haut niveau en version complète sans limitation à des conditions accessibles à tous et nous faire part de ses retours pour améliorer encore le produit. » explique à DataSecurityBreach.fr Grégory SNAUWAERT, Dirigeant-fondateur d’AxBx.

Autre nouveauté, l’utilisateur peut régler sa licence par SMS ou d’un simple appel téléphonique ! Les moyens classiques (CB, PayPal) sont également supportés. Rappelons que VirusKeeper est le seul antivirus français. Il repose sur un moteur d’analyse comportementale exclusif qui lui permet de détecter les malwares connus ou non. L’analyse comportementale présente également l’énorme avantage de consommer très peu de ressources contrairement aux technologies de type scanner. Ainsi VirusKeeper consomme très peu de mémoire et ne ralentit pas l’ordinateur.

A noter que l’outil propose un gestionnaire de cookies (possible d’effacer les fichiers, NDR) ou encore le très pratique module Vikee qui analyse les programmes installés sur votre système et contrôle que les mises à jours critiques de sécurité ont bien été installées.

Forte croissance des programmes malveillants en 2014

Les analystes du G DATA SecurityLabs ont recensé près de 6 millions de nouveaux types de codes malveillants pour l’année 2014. Un record historique lié à une forte croissance des programmes potentiellement indésirables (PUP).

La catégorie spécifique des Trojan bancaires connaît aussi une forte activité : le nombre de détections a augmenté de 44,5% sur l’année. Une banque française fait son entrée dans le top 25 des établissements bancaires les plus ciblés.

 6 millions de nouveaux codes malveillants

Au second semestre 2014, 4,1 millions de programmes malveillants. Pour l’année entière, le total s’élève à 6 millions, soit une augmentation de près de 76 % comparé à l’année 2013 ! Les programmes potentiellement indésirables, notamment les adwares, sont une des principales raisons de cette croissance. Ils représentent 31,4% de l’ensemble des nouveaux types de programmes malveillants détectés au deuxième semestre 2014 alors qu’ils représentaient seulement 14,1 % au premier semestre de la même année.

L’e-banking encore très ciblé

Malgré des mesures techniques toujours plus poussées, les accès bancaires en ligne restent une cible privilégiée des cybercriminels. Le nombre d’attaques perpétrées par des Trojan bancaires a progressé de 44,5% sur l’année 2014. En analysant ces programmes malveillants, le G DATA SecurityLabs a pu établir le top 25 des sociétés les plus ciblées (ces programmes ne s’activant qu’à l’ouverture de la page Internet des instituts visés, il est possible d’en extraire les cibles). Les banques de pays anglophones représentent la grande majorité des cibles : les URL de leur site de banque en ligne sont présentes dans 72 % des fichiers de configuration des codes malveillants. Les utilisateurs francophones ne sont toutefois pas épargnés puisqu’une banque française fait son entrée à la 22e place du classement. (Le rapport)

Des pirates dans le réseau bancaire Isabel

Des pirates informatiques auraient visé le système bancaire belge Isabel.

Le nombre de cyberattaques contre les utilisateurs de toutes sortes de plateformes de banque en ligne est en nette augmentation. Les utilisateurs Isabel aussi peuvent être victimes d’actes de fraude ou de maliciels (logiciel malveillant). Malgré toutes les mesures de sécurité prises par Isabel SA et les banques, la sécurité des transactions n’est possible qu’avec la collaboration active des utilisateurs. Cependant, il semble que des pirates ont trouvé le moyen de nuire à cette entreprise forte de 35 000 clients professionnels.

Isabel SA est le principal prestataire belge de services en matière de PC Banking destinés aux utilisateurs professionnels. Les grandes entreprises, comme Breetec, des PME et des services publics utilisent ce système. Isabel c’est annuellement 400 millions de transactions pour une valeur de 2.400 milliards d’euro. Bref, de quoi attirer les pirates informatiques.

Selon la justice belge, des malveillants auraient mis en place un virus qui se serait attaqué à 35 000 entreprises belges. Des enquêtes ont été ouvertes par les parquets de Bruxelles et de Furnes. D’après le journal De Tijd, plusieurs sociétés auraient été victimes de ponctions pécuniaires orchestrées par le code pirate.

Isabel indique de son côté que le PC de l’utilisateur est contaminé par un maliciel (logiciel malveillant) au travers d’une pièce jointe proposé par un courriel. Le fraudeur prend le contrôle du PC à distance. Il effectue des transactions frauduleuses et les fait signer par l’utilisateur. « Le mode d’attaque ne change pas dans l’environnement Isabel. La seule différence se situe au moment où le fraudeur veut faire signer la transaction : à ce moment, le lecteur de carte émet un bip. Si l’utilisateur considère la demande du lecteur comme suspecte et n’introduit pas son code PIN, aucun problème. » Malheureusement, si l’utilisateur a le réflexe d’introduire son code PIN, il signera sans le savoir une transaction frauduleuse. C’est donc bien l’utilisateur qui signe des transactions qui seront ensuite exécutées par la banque.

Breetec, l’une des victimes, a été en mesure de retracer l’une des transactions qui s’est terminée dans une banque situé à Dubaï.

15 ans après le virus “I Love You” l’amour du risque perdure

Particuliers et entreprises ont-ils retenus les leçons du passé pour optimiser leur sécurité ? Pas si sûr

Le 4 mai 2015 a marqué les 15 ans du ver “I love you” qui avait été très médiatisé car il s’agissait de l’une des premières attaques de grande ampleur ayant touché les entreprises, comme les particuliers, sur l’ensemble des continents. De fait, cette attaque reste très présente dans les esprits lorsqu’on évoque les sujets de sécurité. Mais 15 ans après, que peut-on retenir de ce message dont la portée s’est révélée particulièrement efficace ?

I Love You, aussi dénommé LoveLetter ou The LoveBug, a touché et a infecté près de 10 % des ordinateurs connectés à Internet il y a tout juste 15 ans et causé un préjudice estimé à 5 milliards de dollars. Celui-ci s’est propagé au travers des messageries Outlook et Outlook Express et consistait en un email contenant une lettre d’amour en pièce jointe. En moins d’une semaine, il avait touché plus de 3,1 millions de PC dans le monde entier.

L’efficacité de ce virus tient à trois facteurs relativement nouveaux à l’époque. Premièrement, il a tiré parti de la faiblesse des antivirus de l’époque, majoritairement incapables de le détecter et donc de le stopper. Les éditeurs ont d’ailleurs mis plusieurs heures, voire jours pour trouver une solution et la diffuser (pas de services Cloud pour faciliter le partage de connaissance et la diffusion de la mise à jour contenant la signature du ver).

Deuxièmement, il s’agissait de l’une des premières attaques exploitant une forme de social engineering. L’approche a été travaillée pour optimiser le taux d’ouverture de l’email et de nombre de clics sur la pièce jointe. Peu de gens se sont méfiés de cette lettre d’amour à première vue anodine. Troisièmement, la faible sensibilisation aux problématiques de sécurité à l’époque a également joué en faveur du virus.

Et aujourd’hui ?
Force est de constater que 15 ans après, la messagerie reste le principal vecteur d’attaque. Ainsi 90 % des attaques (Etude Human Factor de Proofpoint) exploitent ce canal et le comportement des utilisateurs reste le maillon faible de la sécurité. Comme le confirme le DBIR 2015 de Verizon, 23 % des utilisateurs continuent d’ouvrir les mails de phishing, un chiffre en hausse par rapport à l’année précédente… Donc en résumé, peu de choses ont changé.

Heureusement d’un point de vue technique, de nouvelles solutions ont fait leur apparition, que ce soit au niveau de l’infrastructure, du poste, ou plus particulièrement de la messagerie. C’est aussi pour cette raison que les attaquants ont modifié leur technique d’approche. Le social engineering reste l’une des stratégies les plus exploitées pour lancer des attaques qui sont désormais ciblées (sur une catégorie d’employés, exploitant une actualité, etc.). L’actualité récente, et les attaques de médias comme celle du Monde ou de TV5 Monde, ont d’ailleurs montré toute leur efficacité en matière de menace ciblée.

Les techniques d’attaque en elles-mêmes ont donc peu évolué et elles exploitent toujours le comportement des utilisateurs. Seuls les objectifs ont changé : de la simple gloire recherchée par les attaquants, nous sommes passés à des attaques ciblées, dont les finalités sont précises : espionnage industriel ou commercial, impact sur l’activité ou les finances, hacktivisme (transmission de messages de revendication liés à une cause), nuisance sur l’image de l’entreprise. En parallèle, de nouvelles techniques sont apparues comme par exemple l’utilisation de ransomware, ces logiciels qui chiffrent les données de leurs victimes et qui demandent ensuite une rançon contre la clef de déchiffrement. On peut d’ailleurs souligner que cette tendance est due à l’évolution du fonctionnement des antivirus par rapport à l’époque d’ « I Love You » : en effet, les éditeurs réagissent désormais plus rapidement et de manière mondialisée (en général, un nouveau malware est bloqué en quelques jours, voire quelques heures après les plaintes des premières victimes). En conséquence, pour tout de même en tirer des bénéfices, les organisations criminelles tentent d’extorquer de l’argent directement à chaque victime (et force est de constater qu’en terme de « chiffre d’affaire », tout va pour le mieux pour eux…).

Quinze ans après, il y a donc peu de chance de connaître une attaque d’une envergure et d’un impact aussi importants que le ver « I Love You » mais il reste encore beaucoup à faire pour éduquer les utilisateurs et les sensibiliser aux nouvelles menaces et formes d’attaques employées par les cybercriminels. (Par Christophe Kiciak, Responsable de l’offre Audit technique et test d’intrusion de Provadys.)

13 adwares ont réussi à s’infiltrer dans Google Play

Malheureusement, il convient de reconnaître que même les systèmes de validation d’applications des stores officiels ne sont pas parfaits. Lookout a détecté 13 nouveaux cas, ou applications, renfermant des adwares dans Google Play. Certains comportent des caractéristiques s’apparentant à celles des codes malveillants et se font même passer pour Facebook ; une fois installés il est alors difficile de les supprimer du smartphone.

Au cours du mois dernier, un certain nombre de rapports portant sur les adwares détectés dans Google Play ont été publiés. Au début du mois de février, des investigateurs ont constaté trois cas d’adwares qui ne commençaient à se comporter de façon malveillante, en présentant intempestivement à leurs victimes des publicités, que 30 jours après leur installation. De plus, ils forçaient les utilisateurs à ouvrir des pages Web dont le contenu pouvait s’avérer dangereux. À la fin du même mois, ces investigateurs ont découvert 10 autres cas d’adwares dont les comportements étaient similaires.

Deux familles d’adwares appelés HideIcon et NotFunny se sont cachées parmi les 13 nouveaux cas détectés par Lookout. Au total, selon les chiffres de téléchargement divulgués par Google, ces logiciels ont été téléchargés entre 130 000 et un demi-million de fois. Découvrons à présent ces dernières menaces en date :

HideIcon
Nombre de cas détectés : 1
HideIcon présente effectivement des caractéristiques s’apparentant aux logiciels malveillants car, une fois installé sur le smartphone, il fera exactement ce que son nom suggère : il cachera l’icône. Cela peut ne pas sembler dramatique, toutefois il est nettement plus difficile de supprimer une application sur votre smartphone si vous ne savez pas qu’elle y est installée. Après avoir caché son icône, des variantes d’HideIcon forceront l’affichage intempestif de publicités sur l’écran de l’utilisateur, ce qui pourra perturber son expérience. L’application ne semble proposer aucune modalité de service ni aucune valeur ajoutée pour l’utilisateur. Cheetah Mobile a été le premier à détecter cet adware en janvier. Google a supprimé cinq applications douteuses l’abritant, et pourtant HideIcon a réussi à s’infiltrer dans le système de Google Play via une autre application. Comment s’est-il présenté ? L’application prétend être un jeu de carte accompagné de ses consignes de jeu telles que reprises dans Google Play. Au moment de sa suppression par Google, 1 000 à 5 000 téléchargements avaient déjà été effectuées.

NotFunny
Nombre de cas : 12
NotFunny comporte deux parties: un « injecteur » et une « charge utile » ou le logiciel malveillant lui-même. L’injecteur se cache dans des applications de type « application gratuite de sonneries de Noël », des applications de fonds d’écran, des applications de faux pointeur, et d’autres encore. Quand une victime télécharge une de ces applications et la lance, l’injecteur l’invite à télécharger la charge utile. Cette application de charge utile prétend être Facebook, fait apparaître une icône Facebook sur l’écran d’accueil du smartphone et demande à l’utilisateur de lui accorder un certain nombre d’autorisations, dont notamment l’accès à ses informations personnelles, aux services payants, à ses messages et à sa position. Une fois l’installation terminée, la charge utile cache son icône. Comme la plupart des logiciels publicitaires, la charge utile force l’affichage de publicités intempestives sur le smartphone, ce qui peut perturber l’expérience de l’utilisateur. Le code est assez rudimentaire et n’indique pas qu’un adversaire sophistiqué se cache derrière la menace

Lookout a trouvé 12 cas différents de NotFunny dans Google Play, en provenance d’un certain nombre de comptes de développeurs différents. Nous ne savons pas si une ou plusieurs personnes sont derrière lesdits comptes. Les thèmes des applications parmi lesquelles nous l’avons trouvé allaient des « changeur de voix amusants » aux outils qui changent prétendument votre widget de batterie en une cigarette allumée.

Il est facile d’imaginer qu’une personne ayant récemment fait l’acquisition d’un nouveau smartphone se décide à télécharger de nouvelles applications amusantes, comme les susnommées, afin de personnaliser son expérience utilisateur. Après que Google ait retiré un premier groupe d’applications, le développeur en a téléchargé à nouveau deux autres, cette fois sans l’adware. On peut donc penser que le développeur avait inséré le logiciel douteux dans l’application sans en connaître ses propriétés malveillantes ou qu’il n’avait pas compris les règles de Google. Bien sûr, il se peut aussi que le développeur se soit rendu compte qu’il ne s’en tirerait pas si facilement.

Peut-on faire confiance au Google Play ?
En un mot, oui. Il faut que tous les membres du secteur joignent leurs forces afin d’être en mesure d’assurer la sécurité d’un marché d’applications, et Google travaille avec diligence avec les entreprises de sécurité pour s’assurer de la qualité des applications mises à disposition dans Google Play. Quand une application malveillante se glisse cependant aux travers des mailles du filet, Google la supprime le plus rapidement possible. À dire vrai, la bataille de la sécurité pour garantir la sûreté de nos appareils se mène sur plusieurs fronts.

Précautions à prendre pour optimiser sa sécurité
Lisez les avis des autres utilisateurs avant de télécharger une application. Si la majorité dit : « Cette application n’arrête pas d’afficher des pubs ! » ou tout autre commentaire négatif, doutez de la légitimité de l’application

Téléchargez des applications créées par des développeurs réputés ou de confiance. Si vous avez des doutes quant à une application, cherchez à en savoir plus sur son développeur

Assurez-vous d’installer une application de sécurité qui peut détecter les menaces telles que les logiciels publicitaires avant que ceux-ci ne vous perturbent

Lisez attentivement les autorisations que l’application vous demande avant de l’installer.

Supprimer un adware
Si une application a caché son icône, vous pouvez procéder de deux façons pour la désinstaller de votre appareil Android. Supprimez-la dans le menu des paramètres :

1. Accédez au menu des paramètres de votre appareil sous Android
2. Sélectionnez « Applications » ou « Gestionnaire d’applications »
3. Recherchez l’application que vous souhaitez désinstaller et appuyez dessus
4. Sélectionnez « Désinstaller »

Sinon, vous pouvez directement la désinstaller depuis Google Play :

1. Accédez à l’application Google Play
2. Appuyez sur l’icône de menu
3. Accédez à « Mes applications »
4. Appuyez sur l’application en question
5. Sélectionnez « Désinstaller »

Plus de 4500 nouveaux fichiers malveillants chaque jour sur Android

Le Mobile Malware Report G DATA du second semestre 2014 fait état d’une croissance soutenue des dangers ciblant Android : 796 993 fichiers malveillants ont été détectés durant la période.

Au total, 1,5 million de codes dangereux sur Android ont été analysés en 2014. Une croissance qui reflète le fort intérêt pour la plateforme. Selon l’institut IDC, 80% des systèmes d’exploitation utilisés dans le monde seraient sous Android.

Au cours du second semestre 2014, le nombre de nouveaux malware pour Android a augmenté de 6,1% comparé au premier semestre de la même année. Avec un total de 1,5 million de nouveaux logiciels malveillants, l’année 2014 connait une croissance de 30% comparée à l’année 2013.

Évolution des malwares ciblant Android depuis 2011
Les boutiques alternatives d’applications sont des vecteurs de codes nuisibles. Mais en fonctions des pays, les utilisateurs ne sont pas tous exposés de façon égale aux dangers. Les experts G DATA ont analysés plusieurs plateformes et les résultats montrent que les boutiques européennes et américaines
proposent moins d’applications dangereuses que les boutiques chinoises ou russes. Sur certaines plateformes chinoises, près d’une application sur quatre est infectée par un code malveillant ou un programme potentiellement indésirable (PUP).

En 2014, G DATA découvrait un spyware intégré dans le micrologiciel (firmware) du smartphone Star N9500. En mars de cette année, c’est le modèle Mi4 du fabricant Xiaomi, commercialisé en Allemagne, qui est en cause. En localisant ce téléphone pour le marché allemand par la mise à jour de son firmware, l’importateur y a intégré un programme d’espionnage qui envoie des données utilisateurs sur des serveurs distants. Volontaire ou non, cette intégration pose le problème des canaux de distribution peu traçables empruntés par certains matériels importés de Chine. (MMB)

Equation Group : nouvelles tactiques de cyber espionnage

Les attaques de cyber espionnage commanditées par des Etats gagnent en complexité pour échapper au radar de systèmes de détection de plus en plus efficaces. Cette nouvelle tendance est confirmée par une analyse des spécialistes de Kaspersky Lab, centrée sur la plate-forme de cyber espionnage EquationDrug.

EquationDrug est la principale plate-forme d’espionnage développée par Equation Group et utilisée depuis plus d’une décennie, bien qu’à présent largement remplacée par GrayFish, une plate-forme encore plus sophistiquée. Les tendances tactiques confirmées par l’analyse d’EquationDrug ont été observées en premier par Kaspersky Lab au cours de ses recherches sur les campagnes de cyber espionnage Careto et Regin notamment.

Des techniques qui évoluent pour rester toujours plus indétectables
Les experts ont observé qu’après les succès croissants du secteur dans la mise au jour des groupes à l’origine des menaces persistantes avancées (APT), les plus élaborés d’entre eux s’attachent désormais à multiplier le nombre de composants de leur plate-forme malveillante afin d’en réduire la visibilité et d’en améliorer la discrétion. Les dernières plateformes comportent de nombreux modules qui leur permettent de sélectionner et de réaliser un large éventail de fonctions différentes, selon les victimes ciblées et les informations en leur possession. Selon les estimations de Kaspersky Lab, EquationDrug comprend 116 modules distincts.

« Les auteurs d’attaques commanditées par des Etats cherchent à créer des outils de cyber espionnage plus stables, invisibles, fiables et universels. Ils se concentrent sur le développement de frameworks permettant d’intégrer ces codes dans des éléments personnalisables sur des systèmes actifs et offrant un moyen sûr de stocker l’ensemble des composants et des données sous une forme cryptée, inaccessible au commun des utilisateurs », explique Costin Raiu, Directeur de l’équipe GReAT de Kaspersky Lab. « La sophistication d’un tel framework distingue ce type de menace des cybercriminels traditionnels, qui préfèrent se focaliser sur les capacités du code malveillant, conçu dans l’optique de gains financiers directs. »

D’autres caractéristiques différencient les tactiques des auteurs d’attaques commanditées par des Etats, comparés aux cybercriminels classiques :

·         Echelle. Les cybercriminels traditionnels diffusent en masse des e-mails contenant des pièces jointes malveillantes ou infectent des sites Web à grande échelle, tandis que les acteurs étatiques privilégient des frappes chirurgicales extrêmement ciblées, n’infectant qu’une poignée d’utilisateurs spécifiques.

·         Personnalisation. Tandis que les cybercriminels classiques réutilisent généralement du code source disponible dans le domaine public, à l’exemple des chevaux de Troie de sinistre réputation Zeus ou Carberb, les acteurs étatiques confectionnent des malwares personnalisés, y intégrant même des restrictions qui empêchent leur décryptage et leur exécution en dehors de l’ordinateur ciblé.

·         Extraction d’informations sensibles. Les cybercriminels tentent en général d’infecter le plus grand nombre possible d’utilisateurs. Ils ne disposent cependant pas de suffisamment de temps ni d’espace de stockage pour examiner manuellement chacune des machines infectées et analyser l’identité de leur propriétaire, la nature des données qu’elle renferme et le type des logiciels qui y sont exécutés, puis transférer et conserver la totalité des informations potentiellement intéressantes.

o    En conséquence, ils codent des malwares de vol « tout en un » qui se bornent à n’extraire que les données les plus précieuses (mots de passe ou numéros de cartes de crédit, par exemple) sur les machines des victimes, une activité susceptible d’attirer rapidement sur eux l’attention de tout logiciel de sécurité installé.

o    Par contre, pour leur part, les auteurs des attaques étatiques, disposent de ressources suffisantes pour stocker autant de données qu’ils le souhaitent. Afin de passer inaperçus des logiciels de sécurité, ils évitent d’infecter des utilisateurs au hasard et font plutôt appel à un outil générique de gestion de systèmes à distance, capable de copier toutes les informations éventuellement nécessaires, quelle qu’en soit la quantité. Cela risque toutefois de jouer contre eux car le transfert de volumes massifs de données pourrait ralentir la connexion réseau et éveiller les soupçons.

« Il peut sembler inhabituel qu’une plate-forme de cyber espionnage aussi puissante qu’EquationDrug n’offre pas toutes les capacités de vol en standard au cœur de son code malveillant. L’explication tient au fait que ses concepteurs préfèrent personnaliser l’attaque pour chacune de leurs victimes. Ce n’est que s’ils ont décidé de vous surveiller activement et que les produits de sécurité sur vos machines ont été neutralisés que vous recevrez un module espionnant en direct vos conversations ou d’autres fonctions spécifiques liées à vos activités. Nous pensons que la modularité et la personnalisation vont devenir la marque distinctive des attaques étatiques à l’avenir », termine Costin Raiu.

Découverte d’une nouvelle technique de camouflage dans un malware

Les experts de l’éditeur allemand G DATA ont découvert de nouveaux programmes malveillants liés à un botnet Andromède. Un de ces codes, qui se distribue via des macros dans les documents Word manipulés, utilise une technique rare de camouflage par stéganographie. « Le malware se comporte comme une poupée russe sur le système. Il révèle progressivement son objectif« , explique à DataSecurityBreach.fr Ralf Benzmüller, directeur du G Data SecurityLabs. « Les systèmes infectés sont destinés à être utilisés comme PC zombies dans le botnet Andromède / Gamarue« .

Infection en 5 étapes
Le début de l’attaque s’effectue par un document MS Word manipulé. Un tel document se propage par e-mails de spam. Dans le cas étudié, le nom du document suggère qu’il s’agit d‘un contrat. En ouvrant le document et en activant les Macros Office, la victime active une série d’actions qui vont amener à l’infection. Un premier programme déchiffre un second code stocké dans une image (stéganographie). Celui-ci lance en cascade un troisième code en mémoire (le payload) qui injecte la charge utile dans le système. Ce dernier programme malveillant, msnjauzge.exe, intègre une entrée de démarrage automatique dans le Registre pour survivre au redémarrage système : le système cible est infecté.

Le Botnet Andromède identifié
Le fichier msnjauzge.exe est le point d’entrée d’un botnet bien connu appelé Andromède, aussi connu sous le nom de Gamarue. Ce botnet est connu pour avoir livré le cheval de Troie bancaire ZeuS en 2011. Lors de cette analyse, le serveur C&C contacté par l‘échantillon étudié était en ligne, mais n’avait pas délivré de code supplémentaire sur la machine infectée. Par conséquent, l’utilisation prévue pour ce botnet n‘est pas encore déterminée. (Gdata)

Prudence au fichier CHM dans les courriels

Selon Bitdefender, leader technologique des solutions antimalware et expert en cybersécurité, une nouvelle vague de spam a récemment touché des centaines de boites e-mail avec une pièce jointe malveillante « .chm » afin de répandre le tristement célèbre ransomware Cryptowall.

Le .chm est une extension de fichier Microsoft utilisée pour les fichiers d’aide dans les logiciels ou sur Internet. Les fichiers CHM sont particulièrement interactifs et utilisent de nombreuses technologies dont JavaScript, qui peut rediriger un utilisateur vers une URL externe en ouvrant simplement le fichier CHM. Les attaquants exploitent cette possibilité pour y rattacher une charge malveillante, cette méthode est parfaitement logique puisque moins l’utilisateur a d’actions à réaliser plus il a de chance d’être infecté facilement.

Cryptowall est une version avancée de Cryptolocker, un ransomware connu pour dissimuler sa charge malveillante sous couvert d’applications ou des fichiers sains. Une fois lancé, le malware chiffre les documents de l’ordinateur infecté afin que les pirates puissent obtenir une somme d’argent en échange de la clé de déchiffrement. Parmi les règles de base pour se protéger au maximum des pertes de données liées à ce type d’attaques, il convient de réaliser très régulièrement des sauvegardes de ses documents sur un disque externe au réseau.

Le .chm est une extension de fichier Microsoft utilisée pour les fichiers d’aide dans les logiciels ou sur Internet. Il s’agit de fichiers qui embarquent du HTML, des images et du code JavaScript, ainsi qu’une table des matières avec des liens hypertextes – pour avoir une idée, lancez par exemple l’aide de Windows (touche F1).

Babar n’est peut-être pas un code malveillant Français

Les experts du G DATA SecurityLabs ont analysé le code malveillant mentionné par les documents du CSEC, communiqués par Edward Snowden. Avec l’analyse de Babar, les experts du G DATA SecurityLabs confirment les informations dévoilées par les documents d’Edward Snowden sur l’existence d’un énième outil d’espionnage étatique. Mais l’origine française, avancée par le Communication Security Establishment Canada (CSEC) dans les documents dévoilés, ne peut toutefois pas être confirmée.

Environ un an après que l’opération SNOWGLOBE ait été publiquement mentionnée pour la première fois par le journal Le Monde, des experts en sécurité ont mis la main sur des échantillons de codes malveillants qui correspondent aux descriptions faites par le Communication Security Establishment Canada (CSEC).

Analyse détaillée de Babar

Le G DATA SecurityLabs publie la première analyse du code nommé Babar. Après les premières révélations sur EvilBunny, Babar est maintenant le second composant identifié en relation avec l‘opération SNOWGLOBE, provenant vraisemblablement des mêmes développeurs. Les fonctionnalités de Babar vont de l’enregistrement de frappes claviers, du presse papiers jusqu’aux conversations audio.

Des documents de Snowden comme base de travail

La révélation de l’existence d’un autre spyware étatique est faite en mars 2014, lorsque Le Monde publie des informations secrètes datant de 2011. Mais ces informations ne révèlent qu’une petite partie de l’histoire. En janvier 2015, le journal allemand Der Spiegel publie une autre série de documents qui donne plus d’informations sur ce que le Communication Security Establishment Canada (CSEC) a identifié: l‘opération Snowglobe. Découverte en 2009, cette campagne repose sur trois «implants» différents, deux nommés „Snowball“ et un plus sophistiqué, découverts mi-2010 et prénommé „Snowman“. Selon la diapositive 22, « le CSEC évalue, avec certitude modérée, Snowglobe comme un CNO [Opération Réseau Cyber] parrainé par un État, et dirigé par une agence de renseignement française.« 

Plusieurs codes malveillants en jeu

Avec l’analyse de Babar et d’EvilBunny, les experts du G DATA SecurityLabs ont trouvé des échantillons correspondants aux descriptions du CSEC. EvilBunny et Babar correspondent à deux des trois implants mentionnés. Le nombre de similitudes entre EvilBunny et Babar montre que ces deux codes sont issus des mêmes développeurs. De plus, les analyses laissent penser que les échantillons sont des versions plus récentes que celle décrite par le CSEC.

Origine non confirmée

Mais les experts ne peuvent pas confirmer l’information concernant l’origine des codes malveillants. Les informations du CSEC sont en partie confirmées dans les analyses du code, mais aucune preuve formelle n’a été trouvée. Même si un grand nombre de questions restent sans réponse, ces analyses marquent un pas important dans la validation des diapositives dévoilées.

Sortie du logiciel Multi Virus Cleaner 2015

Les nordistes de chez AxBx proposent un outil gratuit de désinfection contre les principaux virus, vers et spyware.

La société AxBx, basée dans le Nord de la France (Villeneuve d’Ascq) annonce la sortie la version 2015 de son logiciel Multi Virus Cleaner. Multi Virus Cleaner 2015 est un outil de désinfection gratuit qui détecte et supprime les principaux virus, vers, chevaux de Troie, spyware et grayware. Depuis plus de 10 ans, Multi Virus Cleaner est un outil de référence pour désinfecter un ordinateur contaminé. Multi Virus Cleaner a été primé par plusieurs laboratoires. Nos tests, chez Data Security Breach lui a donné un taux de réussite de 98%. (Test via 50 codes malveillants, ndlr).

Bon nombre de malware actuels savent désactiver les principaux logiciels antivirus ou rendre leur mise à jour impossible. Dès lors, la désinfection avec l’antivirus est impossible. Multi Virus Cleaner se présente sous la forme d’un scanner léger, simple d’emploi et ultra rapide. Multi Virus Cleaner peut être facilement transféré sur une clé USB pour désinfecter un poste de travail. Régulièrement mis à jour, Multi Virus Cleaner 2015 détecte plus de 1,35 millions de variantes de malwares en circulation.

Multi Virus Cleaner dispose d’une fonction d’analyse mémoire et d’une fonction d’analyse approfondie des fichiers pour neutraliser les virus les plus virulents. Multi Virus Cleaner détecte également les principaux spyware et composants espions du navigateur (bho/Toolbar) ainsi que les grayware (programmes non sollicités).

Un code malveillant JeSuisCharlie

Des pirates informatiques diffusent un code malveillant du nom de JeSuisCharlie. Il aurait déjà infecté plusieurs millions d’ordinateurs.

Un virus informatique diffusé par des malveillants aurait touché des millions d’ordinateurs depuis les attentats parisiens. Les chercheurs de Blue Coat Systems auraient découvert la chose, indique que les pirates ont baptisé leur microbe : JeSuisCharlie.

L’outil permet de prendre la main sur un ordinateur connecté et transformer le pc en zombie capable de participer à des Dénis Distribués de Service, en proxy pour servir de rebond à d’autres attaques distantes, … Cet espiogiciel utilise le code du RAT Français DarkComet. Le microbe se cache en réalité dans une photo, partagée plus de 5 millions de fois sur Twitter en 48 heures. Cette image reprend la main de ce nouveau né baptisé Charlie.

« C’est énervant de voir mon outil repris par le premier criminel qui passe, souligne à DataSecurityBreach.fr l’auteur du RAT. J’ai arrêté de travailler dessus il y a deux ans quand, déjà, le gouvernement Syrien l’avait détourné à des fins malveillantes. » A noter qu’il existe un outil permettant de contrer DarkComet.

Opération MouseTrap : 15 utilisateurs de RAT arrêtés

Cette semaine, Europol et plusieurs services de police et autorités judiciaires ont mené des actions contre des citoyens européens suspectés d’utiliser des chevaux de Troie (ou RAT) pour réaliser des activités cybercriminelles. Il s’agit principalement d’adolescents et de jeunes adultes. Cette action et les perquisitions associées ont permis l’interpellation ou l’audition d’une quinzaine de suspects dans plusieurs pays Européens.

Les individus interpellés ou interrogés, en Estonie, France, Roumanie, Lettonie, Italie, Norvège, Royaume-Uni, utilisaient de façon frauduleuse ces troyens d’administration à distance pour commettre différents types de délits dont le vol de données personnelles, des attaques en déni de service et des extorsions. Cette opération, pilotée par la France qui réalise six enquêtes dans le cadre de cette opération, prend place dans le cadre d’EMPACT – le plan multi-annuel d’action de l’Union européenne – en collaboration avec le Centre européen de lutte contre la cybercriminalité d’Europol (EC3) et les autorités européennes concernées. EC3 a apporté son soutien à sept pays dans leurs efforts pour identifier les individus utilisant de façon frauduleuse ce type de RATs, en hébergeant deux réunions de coordination, en collationnant le renseignement et en fournissant un appui en analyse criminelle.

 Un objectif important de cette action coordonnée au plan Européen est d’informer le public sur la menace posée par ce type de virus informatiques. Les exemples de ces RATs parmi les plus connus sont Blackshades, Poisonivy et DarkComet. Des actions similaires sont d’ores et déjà programmées au cours de l’année à venir.

Les chevaux de Troie ou troyens d’administration à distance (Remote access trojans – RATs) sont des codes informatiques qui sont utilisés pour espionner l’ordinateur des victimes (pour accéder à des informations personnelles, enregistrer l’activité à l’écran ou encore enregistrer l’image de la caméra ou le son du microphone intégrés ou connectés à l’ordinateur, collecter des mots de passe ou des numéros de cartes bancaires). Ces RATs frauduleux sont distincts des outils légitimes d’administration à distance (remote administration tools) qui sont par exemple souvent utilisés dans les réseaux d’entreprises pour assister les utilisateurs ou installer des logiciels à distance, avec le consentement et la connaissance de l’utilisateur légitime de la machine.

Ils sont souvent utilisés dans la réalisation des formes graves de criminalité organisé pour détourner des informations confidentielles des entreprises ou des réseaux des administrations, mais ils sont utilisés pour cibler des individus pour commettre différentes formes de fraude ou d’atteinte à la vie privée. Parfois, la motivation des délinquants est décrite comme un amusement ou une distraction consistant à s’immiscer dans la vie privée d’inconnus. Dans tous les cas, l’utilisation de ces RATs est une infraction dans la plupart des pays du Monde et en tous cas dans toute l’Europe (infractions d’accès illégal à un système de traitement automatisé de données, collecte illégale de données à caractère personnel ou d’atteintes à la vie privée). A titre d’exemple l’article 323-3-1 du code pénal français punit l’utilisation de ce type de virus informatiques de peines pouvant aller au maximum de 2 ans à 7 ans d’emprisonnement suivant les circonstances.

Detekt, le logiciel anti espion

Amnesty International a diffusé, ce 20 novembre, un outil permettant aux victimes d’espionnage de détecter les manœuvres de surveillance gouvernementales. L’utilisation et le commerce de technologies de surveillance des télécommunications se sont développés de manière exponentielle ces dernières années.

La Coalition contre l’exportation illégale de technologies de surveillance, dont Amnesty International est membre, estime que le commerce mondial des technologies de surveillance représente 4 milliards d’euros par an, et qu’il est en expansion. Detekt propose donc de voir si votre ordinateur, votre smartphone ou votre tablette sont surveillés. Le fonctionnement est assez simple. Plusieurs versions sont téléchargeables sur le site officiel de l’opération resistsurveillance.org. La version PC, par exemple, demande d’être exécutée en mode Administrateur, connexion web coupée. Attention, nous avons remarqué que les PC sous Windows 8.1 se retrouvaient avec un message d’alerte leur indiquant l’impossibilité d’utiliser Detekt.

1 – Télécharger Detekt
2 – Exécuter le logiciel en mode « Administrateur ».
3 – Choisissez la langue (le Français n’est pas présent).
4 – Cliquez sur le bouton « Scan ».
5 – Attendre entre 30 et 45 minutes.
6 – Découvrez si vous avez un espion dans votre machine.

Si un espion est découvert dans votre PC, dites vous qu’il est malheureusement trop tard. Nous ne pouvons que vous conseiller de changer d’ordinateur très rapidement. Ensuite, réfléchissez à comment le piège s’est installé dans votre machine (mail, liens, Facebook, Twitter clé USB, smartphone, baladeur mp3, …). Ne reconnectez plus cette machine au web. Bloquez son wifi/Bluetooth. Analysez les documents contenus dans la machine en question. Qu’est ce que le pirate/espion a pu intercepter, lire, copier, modifier. Alertez vos contacts. Il est préférable à ce niveau de crier au feu que d’attendre que tout le monde soit bruler pour s’inquiéter. N’hésitez surtout jamais à déposer plainte et alerter les autorités compétentes, surtout si vous êtes dans une entreprise.

Avast présente sa solution de sécurité du réseau domestique

Avast 2015 repère les routeurs domestiques vulnérables pouvant être à l’origine d’usurpations d’identité et de failles de confidentialité.

Avast Software, fabricant de solutions de sécurité parmi les plus réputées, vient d’annoncer aujourd’hui la sortie de la solution de sécurité Avast 2015 sur PC et Mac, pour le plus grand bonheur de ses 175 millions d’utilisateurs dans le monde. Disponible en plusieurs versions, gratuite et payantes, voici le seul outil de sécurité du réseau domestique spécialement conçu pour répondre aux menaces réelles qui pèsent sur les réseaux domestiques détournés. Améliorations et fonctions inédites sont au programme de cette nouvelle version. Prévention contre la redirection DNS, analyse HTTPS, réduction des messages et des fenêtres intempestives au sein des produits, allègement de l’expérience utilisateur, accélération des procédures de mises à jour logicielles… les performances du logiciel de sécurité le plus populaire au monde passent ainsi à la vitesse supérieure pour une confidentialité et une sécurité renforcées.

« Les risques liés à la sécurité ne concernent plus uniquement les ordinateurs mais bel et bien les réseaux domestiques dans leur ensemble. En effet, les temps ont changé. Aujourd’hui, un nombre incalculable d’appareils les utilisent pour accéder à Internet, ce qui entraîne une explosion des risques. On constate donc que les réseaux domestiques sont devenus le centre névralgique des opérations informatiques. » a déclaré Vince Steckler, Directeur général d’Avast, à DataSecurityBreach.fr. « D’après nos enquêtes, des mots de passe banals, facilement détournables, offrent une protection précaire contre le piratage. C’est le cas pour près de 80 % des routeurs domestiques utilisés aujourd’hui.  Avast 2015 se propose de déjouer ces failles à grand renfort de fonctions inédites. »

Sécurité du réseau domestique en exclusivité mondiale
Tous les produits Avast 2015 incluent l’édition gratuite d’Avast Sécurité du réseau domestique qui permet d’analyser en un seul clic le réseau et d’anticiper les problèmes de sécurité potentiels avant qu’ils ne se transforment en de réels dangers. Avast détecte les réseaux Wi-Fi configurés de manière incorrecte, les routeurs dont le niveau de protection du mot de passe est faible voire inexistant, les routeurs Internet accessibles et vulnérables, les connexions Internet suspectes et les protocoles IPv6 activés sans protection.

La redirection DNS compte parmi les plus grands dangers auxquels les utilisateurs de routeurs vulnérables sont confrontés. Avast DNS sécurisé chiffre le trafic Internet entre les appareils protégés par Avast et le serveur DNS d’Avast et empêche la redirection des utilisateurs vers des sites détournés. L’analyse HTTPS, quant à elle, scanne les sites qui utilisent le protocole HTTPS afin de déceler la présence éventuelle de programmes malveillants ou de menaces. Cette fonction fait partie des composants de la technologie robuste Agent Web d’Avast. Enfin, la nouvelle fonction SmartScan permet aux utilisateurs de détecter en un seul clic les menaces, mises à jour logicielles, problèmes de réseaux et de sécurité qui peuvent peser sur leurs systèmes.

Expérience utilisateur et la protection
Parmi les avancées majeures, on peut citer la refonte de l’interface utilisateur qui se traduit par un confort d’utilisation accru, une navigation beaucoup plus intuitive et une prise en main plus accessible. Les utilisateurs ont désormais la possibilité d’activer ou de désactiver les fonctions et les outils de leur choix en un seul clic.

Les mises à jour des produits et des logiciels tiers se font plus rapidement. Il est plus aisé pour les utilisateurs de conserver leur système à jour, ce qui permet de renforcer leur sécurité. En outre, le nouveau système d’assistance en ligne gagne en visibilité. En clair, les utilisateurs mettent nettement moins de temps à accéder à l’aide dont ils ont besoin.

Avast 2015 a également donné naissance à une nouvelle fonctionnalité baptisée « Avast Rewards ». Conçue pour rendre les fonctions de sécurité d’Avast plus conviviales et interactives, elle récompense les utilisateurs sous forme de points Karma et de badges, à mesure qu’ils prennent leur protection en main.

Le renforcement de la protection s’illustre aussi dans l’ajout d’un « sas » de virtualisation matérielle. Concrètement, une zone de test virtuelle est mise en place pour analyser automatiquement les éléments suspects avant leur entrée sur le réseau. La détection LPI (logiciels potentiellement indésirables) identifie les programmes que les utilisateurs ont pu installer par inadvertance. Ils sont alors invités à supprimer ces logiciels et bénéficient ainsi d’une nouvelle dimension de la performance.

Dédiée au grand public, la solution Avast 2015 pour PC se décline en quatre versions : Avast Antivirus Gratuit, Avast Pro Antivirus, Avast Internet Security et Avast Premier, localisées en 45 langues. Il faudra patienter jusqu’à l’hiver 2015 pour profiter de la gratuité d’Avast Mac Security, de sa fonction d’analyse Sécurité du réseau domestique et de l’outil DNS sécurisé. Avast ne met donc aucune entreprise ni aucun utilisateur nomade sur la touche en leur offrant un niveau de protection informatique inégalable sur le marché.

Un malware attaque les visiteurs de plusieurs gros sites Internationaux

AOL, Match.com, Societe.com, ainsi que plusieurs autres importants sites Internet se sont retrouvés à diffuser, sans le savoir, des publicités aux contenus malveillants.

La semaine dernière, les chercheurs de la société Proofpoint ont détecté de nombreux sites web à fort trafic touchés par une campagne de malvertising, des publicités piégées ayant pour mission d’infiltrer les ordinateurs des visiteurs. Plusieurs dizaines d’importants espaces ont été touchés, dont le français societe.com ou encore Match.com et des domaines appartenant à AOL et Yahoo!

3 millions de visiteurs, par jour, ont pu être touchés par cette attaque. L’idée des pirates est d’utiliser les canaux de diffusion de publicités en ligne pour piéger des ordinateurs (sous Windows, NDLR), mais aussi des smartphones et tablettes (sous android, NDLR), via des logiciels espions. Exploiter des failles de régies pubs offre aux pirates une vivier de « clients » potentiellement énorme.

Les attaques malvertising sont particulièrement difficiles à détecter parce que la plupart des publicités sur les sites diffuseurs  proviennent de plusieurs réseaux publicitaires, et donc, changent selon les visiteurs. Parmi les diffuseurs realestate.aol.com, theatlantic.com, 9GAG, match.com ou encore theage.com.au, stuff.co.nz, societe.com, beaconnews.suntimes.com. [proofpoint.com]

Un nouveau botnet cible Mac OS X

En Septembre 2014, les spécialistes de Doctor Web ont analysé plusieurs nouvelles menaces ciblant Mac OS X. L’une d’entre elles est un backdoor multifonctions ajouté à la base virale sous le nom Mac.BackDoor.iWorm. A ce jour, les statistiques indiquent qu’un peu plus de 17 000 adresses IP uniques de Mac sont infectées par ce malware.

Les pirates ont utilisé les langues C++ et Lua, ainsi que la cryptographie. Lors de son installation, le trojan se décompresse dans le dossier /Library/Application Support/JavaW, puis le dropper crée à la volée le fichier plist afin d’assurer le démarrage automatique du logiciel malveillant. Au moment du premier démarrage, le Mac.BackDoor.iWorm sauvegarde ses données de configuration dans un fichier séparé et essaie de lire le contenu du dossier /Library pour obtenir la liste des applications installées avec lesquelles le backdoor n’interagira plus. S’il n’a pas réussi à trouver les répertoires « indésirables », le bot reçoit à l’aide de fonctions systèmes le nom du dossier personnel de l’utilisateur Mac OS X sous le nom duquel il a été lancé, y vérifie la présence de son fichier de configuration et y enregistre toutes les données nécessaires à son fonctionnement.

Puis Mac.BackDoor.iWorm ouvre sur l’ordinateur infecté un port et attend une connexion entrante, envoie une requête à une ressource Internet pour une liste d’adresses de serveurs de gestion, puis se connecte à ces serveur afin de recevoir les commandes.

Il est à noter qu’afin de recevoir la liste d’adresses des serveurs de gestion, le bot se réfère au service de recherche reddit.com, en indiquant comme requête les valeurs hexadécimales des 8 premiers octets du hachage MD5 de la date actuelle. Selon les résultats de la recherche, reddit.com donne une page web avec la liste des serveurs de gestion de botnets et les ports que les pirates publient sous la forme de commentaires pour le sujet « minecraftserverlists » au nom d’utilisateur « vtnhiaovyd »: le Trojan essaie d’établir la connexion avec les serveurs de gestion en recherchant d’une manière aléatoire les 29 premières adresses de la liste reçue et envoie des requêtes à chacun d’eux. Il répète toues les 5 minutes les requêtes au site reddit.com afin de recevoir une nouvelle liste.

Lors de l’établissement de la connexion avec un serveur de gestion dont l’adresse est sélectionnée dans la liste à l’aide d’un algorithme spécial, le Trojan tente de déterminer si cette adresse est ajoutée à la liste d’exclusions, et partage avec le serveur un ensemble de données grâce auxquelles l’authenticité de l’hôte distant est vérifiée en utilisant une série de transformations mathématiques. Si la vérification est réussie, le bot envoie au serveur distant le numéro du port ouvert sur l’ordinateur infecté et son identifiant unique et attend les commandes.

Mac.BackDoor.iWorm est capable d’exécuter diverses directives selon les données binaires entrantes ou Lua-scripts. Les commandes de base du backdoor pour les Lua-scripts afin d’obtenir le type de système d’exploitation ; obtenir la version du bot ; obtenir l’UID du bot ; obtenir la valeur du paramètre du fichier de configuration ; indiquer la valeur du paramètre du fichier de configuration ; effacer les données de configuration de tous les paramètres ; obtenir la durée d’activité du bot (uptime) ; envoyer une requête GET ; télécharger un fichier ; ouvrir le socket pour la connexion entrante et exécuter la commande reçue ; exécuter la commande système ; faire une pause (sleep) ; ajouter le nœud selon l’IP dans la liste des nœuds  » interdits  » ; effacer la liste des nœuds  » interdits  » ; obtenir la liste de nœuds ; obtenir l’adresse IP du noeud ; obtenir le type de noeud ; obtenir le port du noeud ; exécuter le script Lua imbriqué.

Sur les 17 658 adresses IP enrôlées dans le botnet, les trois pays les plus touchés à ce jour sont les États-Unis avec 4610 adresses suivis par le Canada avec 1235 adresses puis le Royaume-Uni avec 1227 adresses.

500 millions d’ordinateurs seraient infectés à cause du streaming pirate

L’AISP, l’Association of Internet Security Professionals, indique dans son nouveau rapport qu’une machine est infectée toutes les 18 secondes à cause des sites de streaming illicites.

Comment faire peur aux internautes qui consomment du film piraté ? D’abord leur expliquer que le téléchargement via le P2P peut ramener dans le pc familial des codes malveillants, des virus, des trucs pas sympas qui vont effacer leurs disques durs, … Sauf que la diffusion de films pirates n’a pas cessée, elle a même évolué vers le streaming, la diffusion directe, dans télécharger le moindre fichier. Bilan, les ayants droits et Hollywood en tête cherchent de nouvelles ficelles pour faire peur. Bilan, une étude proposée par une association américaine d’experts en sécurité informatique, l’Association of Internet Security Professionals, tente d’expliquer que les sites de streaming sont de vrais nids de vipères (ils n’ont pas totalement tord, ndlr).

Selon l’OCDE, les vidéos en ligne représentent aujourd’hui jusqu’à 91% du trafic mondial Internet. Ces vidéos sont majoritairement partagées par des internautes ou des médias mais un véritable marché noir s’est développé parallèlement, rendant accessible gratuitement des vidéos payantes. Au-delà des habituelles questions liées au respect des droits d’auteur, l’AISP s’est interrogée sur les risques réels encourus par les internautes qui consomment ces flux vidéo. Son rapport intitulé ‘Illegal Streaming and Cyber Security Risks : a dangerous status quo ?’, démontre que la mise à disposition de contenus via des plateformes de live streaming correspond à un vrai business model où les pirates infectent jusqu’à 97 % des sites qu’ils éditent.

En l’occurrence, ces plateformes de live-streaming permettent notamment aux pirates, en ciblant des internautes empressés de consommer les vidéos recherchées puis passifs pendant de longues minutes, d’accéder à leurs données personnelles (photos, données bancaires, historique de navigation, etc.), de les exposer à des contenus pornographiques ou encore de récupérer leurs emails pour adresser des contenus spam. Le rapport dévoile plusieurs chiffres qui vont glacer d’effroi madame Michu. Par exemple, selon l’AISP, 500 millions d’ordinateurs auraient été infectés dans le monde par les sites de streaming illicites. Il y aurait une nouvelle infection toutes les 18 secondes. Ce rapport se conclut par une série de recommandations mille fois lues, vues : renforcement de la coopération internationale, lancement de grandes campagnes de sensibilisation et paramétrage d’une approche juridique plus protectrice des internautes.

Epic Snake: la campagne de cyber-espionnage Turla se dévoile

L’opération « Epic » sert de phase de démarrage à la campagne d’infection Turla, qui comporte plusieurs étapes.

Turla, également connue sous le nom de Snake ou Uroburos, est l’une des campagnes de cyber-espionnage en cours les plus sophistiquées. Lorsque la première recherche sur Turla / Snake / Uroburos a été publiée, elle ne répondait pas à une question majeure : comment les victimes ont-elles été infectées ? Les dernières recherches de Kaspersky Lab sur cette opération révèlent qu’Epic est l’étape initiale du mécanisme d’infection de Turla.

Turla en quelques points :
Epic Turla / Tavdig : la phase initiale du mécanisme d’infection.
Cobra Carbon system / Pfinet (+ autres) : mises à niveau intermédiaires et plugins de communication.
Serpent / Uroburos : plate-forme de logiciels malveillants de haute qualité qui comprend un rootkit et des systèmes de fichiers virtuels.

Le projet « Epic » est utilisé depuis au moins 2012. Il a enregistré un pic d’activité en Janvier-Février 2014. Les cibles d’ « Epic » appartiennent aux catégories suivantes : entités gouvernementales (Ministères de l’Intérieur, Ministères du Commerce ou de l’industrie, Ministères des affaires étrangères / externes, les services de renseignement), les ambassades, les organisations militaires, les organisations de recherche et d’enseignement et les entreprises pharmaceutiques.

La plupart des victimes sont situées au Moyen-Orient et en Europe. Cependant, des victimes ont été identifiées dans d’autres régions, y compris les Etats-Unis. Au total, plusieurs centaines d’adresses IP de victimes réparties dans plus de 45 pays, la France arrivant en tête de liste.

L’attaque
Les chercheurs ont découvert que les attaquants derrière Epic Turla utilisent des exploits zero-day, de l’ingénierie sociale et des techniques de watering hole pour infecter les victimes. Par le passé, ils ont utilisé au moins deux exploits zero-day : l’un pour l’Elévation des Privilèges (EoP) dans Windows XP et Windows Server 2003 (CVE-2013-5065), qui permet au backdoor Epic d’obtenir les droits administrateurs d’un système et de l’utiliser sans restriction ; et un exploit dans Adobe Reader (CVE-2013-3346) utilisé comme pièce jointe malicieuse.

Chaque fois qu’un utilisateur non averti ouvre un fichier PDF malveillant sur un système vulnérable, la machine sera automatiquement infectée, permettant à l’attaquant de prendre le contrôle immédiat et total du système ciblé. Les hackers utilisent des e-mails de phishing ainsi que des attaques watering hole pour infecter leurs victimes. Les attaques détectées dans le cadre de cette opération sont différentes, en fonction du vecteur de l’infection initiale utilisé pour compromettre la victime :

-E-mails de spear-phishing avec des exploits Adobe PDF (CVE-2013-3346 + CVE-2013-5065)
-Ingénierie sociale pour tromper l’utilisateur et le forcer à lancer un programme d’installation de malware avec une extension « .SCR », parfois compressé en RAR
-Attaques watering hole utilisant des exploits Java (CVE-2012-1723), des exploits Adobe Flash (inconnu) ou des exploits Internet Explorer 6, 7, 8 (inconnu)
-Attaques watering hole reposant sur de l’ingénierie sociale pour forcer les utilisateurs à lancer des malwares de faux programmes d’installation « Flash Player »

Les attaques watering holes sont des sites Web fréquemment visités par les victimes potentielles. Ces sites sont compromis à l’avance par les hackers grâce à l’injection de codes malveillants. Selon l’adresse IP du visiteur (par exemple, les IP d’un organisme gouvernemental), les hackers utilisent des exploits Java ou des exploits de navigateurs, une fausse version signée du logiciel Adobe Flash Player ou une fausse version de Microsoft Security Essentials. Au total, nous avons observé plus de 100 sites injectés. Le choix des sites reflète l’intérêt spécifique des hackers. Par exemple, beaucoup de sites espagnols infectés appartiennent aux collectivités locales.

Une fois l’utilisateur infecté, Epic se connecte immédiatement au serveur de commande et de contrôle (C&C) pour envoyer un pack avec les informations du système de la victime. Epic est également connu sous les noms de « WorldCupSec », « TadjMakhal », « Wipbot » ou « Tadvig ». Une fois qu’un système est compromis, les attaquants reçoivent de brèves informations sur la victime et peuvent ainsi implanter des fichiers pré-configurés contenant une série de commandes pour exécution. En plus de cela, les hackers téléchargent des outils personnalisés de « lateral movement ». Parmi eux, on trouve un keylogger spécifique, un archiveur RAR et des services standards comme un outil de requêtes DNS Microsoft.

Phase initiale de Turla :
Lors de l’analyse, les chercheurs ont noté que les hackers utilisant Epic déployaient un backdoor plus sophistiqué appelé « Cobra / Carbon system »  ou « Pfinet » par certains produits anti-virus. Après un certain temps, les hackeurs sont allés plus loin et ont utilisé Epic afin de mettre à jour le fichier de configuration « Carbon » avec un ensemble différent de serveurs C & C. Le savoir-faire unique requis pour faire fonctionner ces deux backdoors met en évidence un lien clair et direct entre eux. « Les mises à jour de configuration pour le malware « Carbon system » sont intéressantes car c’est un autre projet de la campagne Turla. Cela indique que nous avons affaire à une infection en plusieurs étapes, qui commence par Epic Turla. Epic Turla est utilisé pour toucher les victimes dont le profil est critique. Si la victime est intéressante, il se met à niveau pour devenir le système « Turla Carbon », explique à Data Security Breach Costin Raiu, directeur de l’équipe de recherche et de l’analyse globale de Kaspersky Lab.

Les pirates derrière Turla ne sont clairement pas des anglais natifs. Ils orthographient souvent mal des mots ou des expressions, comme « Password it´s wrong! » ; « File is not exists » ; « File is exists for edit ». D’autres indications peuvent aider à supposer l’origine des criminels. Par exemple, certaines des backdoors ont été compilées sur un système en langage russe. En outre, le nom interne de l’un des backdoors Epic est « Zagruzchik.dll», qui signifie « bootloader » ou « programme de charge » en russe.  Enfin, le panneau de commande du « vaisseau-mère » Epic définit la page de code en 1251, utilisé pour les caractères cyrilliques. Fait intéressant, les connexions possibles avec différentes campagnes de cyber-espionnage ont été observées. En Février 2014, les experts ont constaté que les auteurs de menaces connues comme Miniduke utilisaient les mêmes web-shells pour gérer les serveurs Web infectés, ce qui est également le cas de l’équipe derrière Epic.

Un 2nd trimestre marqué par la découverte de menaces de plus en plus sophistiquées

Ce trimestre a été marqué par la découverte d’un « crypteur » mobile en libre circulation, vendu 5 000 dollars sur le marché noir, qui a déjà infecté 2 000 terminaux dans 13 pays en moins d’un mois.

Les autres faits marquants à retenir sont l’apparition d’un trojan prenant le contrôle à distance des mobiles Android et iOS via un outil d’espionnage « légal », et la découverte de la campagne MiniDuke APT, réplique de celle du début 2013, qui cible les entités gouvernementales, le secteur de l’énergie, les organisations militaires et les télécoms, et même les trafiquants de stéroïdes et d’hormones illicites.

Attaques sur le Web
·        354,5 millions d’attaques ont été lancées depuis des ressources en ligne disséminées dans le monde entier, soit 1,3 million de plus qu’au premier trimestre. Des chiffres à relativiser, ils ne concernent que les sondes de l’éditeur. Des changements ont eu lieu dans le classement des cinq premières sources d’attaques Web, puisque l’Allemagne est passée de la quatrième à la première place – ses parts augmentant de 12 points. Les États-Unis (22 %) ne sont plus premiers mais seconds après une chute de 6 points. 44 % des attaques Web neutralisées ont été perpétrées à l’aide de ressources Web malveillantes basées dans ces deux pays. Ils sont suivis par les Pays-Bas (+ 3 points au 2ème trimestre) qui se maintient à la troisième place, la Fédération de Russie (- 2,5 points) et le Canada (+ 6,3 points).

Menace mobile
·        À la fin du 1er trimestre 2014, la base de malwares mobiles comptait près de 300.000 échantillons. Au deuxième trimestre, cette base en compte 65 000 de plus. Android n’est plus désormais la seule cible des développeurs de malwares mobiles. En effet, les cybercriminels ont exploité les fonctions d’iOS, avec l’attaque sur Apple ID, qui bloque complètement le terminal. Les pirates demandent ensuite une « rançon » pour le déblocage de l’appareil. Ces nouveaux faits ont révélé les activités de HackingTeam, une société italienne qui vend un logiciel « légal » nommé Remote Control System (RCS). La dernière recherche montre qu’un certain nombre de modules malveillants ciblant les terminaux Android, iOS, Windows Mobile et BlackBerry proviennent de HackingTeam. Le module iOS permet à un assaillant d’accéder aux données stockées sur l’appareil, d’activer secrètement le microphone et de prendre des photos.

En mai, le premier « crypteur » mobile en circulation était mis à jour publiquement. Nommé Pletor, il bloque le téléphone sur la « visualisation de contenus pornographiques interdits », chiffre la carte mémoire du smartphone et affiche une demande de rançon. Le ransomware évolue. Au début du mois de juin, une nouvelle modification de Svpeng visait principalement les utilisateurs des États-Unis. Le trojan bloque le téléphone et demande 200 dollars pour le débloquer.

Menaces financières sur le Web
·        Les malwares ayant pour but de dérober de l’argent ont attaqué 927 568 ordinateurs au 2ème trimestre. Le chiffre de mai indique une hausse de 36,6 % par rapport au mois d’avril.
·        La plupart des attaques ont été enregistrées au Brésil, en Russie, en Italie, en Allemagne et aux États-Unis.
·        2 033 trojans bancaires mobiles ont été détectés au cours des trois derniers mois. Leur nombre a quadruplé depuis le début de 2014, et sur un an (depuis juillet 2013), ce chiffre a augmenté de 1450%.
·        Neuf familles de malwares financiers sur dix agissent en injectant un code HTML aléatoire dans la page Web affichée par le navigateur et en interceptant ensuite chaque donnée de paiement saisie par l’utilisateur dans les formulaires Web originaux ou insérés.

Contenus malveillants
·        60 millions de contenus malveillants uniques (scripts, pages web, exploits, fichiers exécutables, etc.) ont été détectés, soit le double du chiffre du 1er trimestre 2014.
·        Deux nouveaux programmes SWF à la mi-avril, confirmés ensuite par Adobe en tant que nouveaux Zero-day.
·        145,3 millions d’URL uniques ont été reconnues comme malveillants par les antivirus, soit 63,5 millions de plus qu’au trimestre précédent.

« Les six premiers mois de l’année ont montré, comme on le pressentait, une évolution du chiffrement des données des utilisateurs sur les smartphones. Les criminels font des profits en utilisant des méthodes qui se sont avérées efficaces sur les utilisateurs de PC. Il est évident que les individus derrière ces attaques sont motivés par l’appart du gain – comme le montre une forte hausse (14,5 fois) du nombre de trojans financiers au cours de l’année écoulée. Outre le profit, la course à la technologie de surveillance se poursuit sans relâche. Les modules mobiles d’HackingTeam ont montré qu’un terminal mobile pouvait être utilisé pour exercer un contrôle total sur tout l’environnement de l’appareil d’une victime, interne et externe » explique à DataSecurityBreach.fr Alexander Gostev, Chief Security Expert, Global Research and Analysis Team chez Kaspersky Lab.

L’aéroport de Charleroi touché par un code malveillant

Voici venir le virus dans l’avion, du moins aux portes de ce dernier. L’agence Belga indique qu’un logiciel malveillant a contaminé plusieurs ordinateurs du réseau informatique de l’aéroport de Charleroi. Heureusement, on voit mal le gouvernement Belge dire le contraire, le trafic aérien n’a pas été perturbé par cette intrusion. Les machines ont été utilisées comme zombies pour lancer d’autres attaques. Heureusement que les pirates n’analysent pas tant que ça les machines malmenées. Bref, pas rassurant ! Les ordinateurs en question n’étaient pas mis à jour.

One-Day Wonders : les risques que représentent les sites Web d’un jour pour la sécurité

Une étude montre que 470 millions de sites Web ont une durée de vie inférieure à 24 heures, et que 22 % de ces sites sont utilisés pour faciliter des attaques.

Blue Coat Systems, Inc., leader sur le marché de la Business Assurance Technology, révèle que 71 % des noms de serveurs sur Internet ont une durée de vie inférieure à 24 heures. Bien que la majorité de ces merveilles éphémères  « One-Day Wonders » soit essentielles au partage et à la diffusion de contenu sur Internet, leur quantité phénoménale sert également de couverture aux activités malveillantes, y compris à des communications vers des systèmes infectés. Le nouveau rapport « Merveilles éphémères : comment du code malveillant se dissimule derrière des sites Internet temporaires » détaille la nature et les activités de ces adresses apparaissant et disparaissant rapidement du Web, permettant ainsi de mieux comprendre les problématiques de sécurité qu’ils représentent pour les entreprises.

Parmi les plus grands générateurs de « merveilles éphémères » figurent des organisations ayant une forte présence sur Internet, comme Google, Amazon et Yahoo, ainsi que des sociétés d’optimisation Web aidant à accélérer la diffusion de contenu. Blue Coat a également découvert que l’un des dix créateurs de ces sites web éphémères le plus prolifiques se trouve être le site de pornographie le plus fréquenté sur Internet.

Enfin, 22 % des 50 domaines utilisant le plus fréquemment des sites temporaires hébergent du code malveillant. Ces domaines utilisent ce type de sites afin de faciliter leurs attaques et de gérer des botnets (réseaux de machines zombies), en s’appuyant sur le statut « nouveau et inconnu » du site pour échapper aux radars des solutions de sécurité. Ainsi, ces sites éphémères peuvent être utilisés pour créer des architectures dynamiques de commande et de contrôle évolutives, difficiles à tracer et simples à mettre en place. Ils peuvent également servir à créer un sous-domaine unique pour chaque e-mail de spam afin d’éviter d’être détecté par les filtres anti-spam et les filtres Web.

« Bien que la plupart de ces sites éphémères soient inoffensifs et indispensables à des activités légitimes sur Internet, leur quantité faramineuse crée un environnement parfait pour des activités malveillantes, » explique à DataSecurityBreach.fr Tim van der Horst, chercheur en chef spécialisé dans les menaces chez Blue Coat Systems. « La création et la suppression rapides de nouveaux sites inconnus déstabilise beaucoup de systèmes de sécurité actuels. Il est essentiel de comprendre ce que sont ces sites et comment ils sont utilisés afin de mieux assurer la sécurité des systèmes d’information. »

Les cybercriminels apprécient particulièrement les sites éphémères car : ils créent un état de perplexité : en effet, les domaines dynamiques sont plus difficiles à bloquer pour les solutions de sécurité que les domaines statiques. Ils submergent les solutions de sécurité : en générant un volume de domaines important, les cybercriminels augmentent leurs chances d’en voir un pourcentage conséquent passer au travers des systèmes de sécurité. Ils passent sous les radars : en associant les sites éphémères au chiffrement et à l’exécution de code malveillant entrant, et/ou au vol de données sortantes sécurisées à l’aide du protocole SSL, les cybercriminels peuvent rendre leurs attaques invisibles des solutions de sécurité des organisations, incapables d’empêcher, de détecter et de réagir face à ces menaces.

Sans cesse confrontées aux cyber-attaques, les organisations peuvent tirer des enseignements importants des résultats de cette étude afin d’être mieux informé et de renforcer leur sécurité : les systèmes de sécurité doivent être informés en temps réel de la part de systèmes automatisés capables d’identifier et d’attribuer des niveaux de risques à ces sites éphémères ; les systèmes de défense statiques ou non réactifs ne suffisent pas à protéger les utilisateurs et les données d’une entreprise ; les systèmes de sécurité s’appuyant sur des politiques de sécurité doivent pouvoir agir à partir d’informations en temps réel afin de bloquer les attaques menées à l’aide de codes malveillants.

Les chercheurs de Blue Coat ont analysé plus de 660 millions noms de serveurs uniques ayant fait l’objet de requêtes de la part de 75 millions d’utilisateurs dans le monde sur une période de 90 jours. Ils ont découvert que 71 % de ces serveurs, soit 470 millions, étaient en réalité des « merveilles éphémères », des sites n’existant que pour un jour.

Protections dédiées aux appareils Android Wear

Le nouveau Bitdefender Mobile Security & Antivirus sécurise les montres connectées et propose une protection supplémentaire contre le vol et la perte d’appareils mobiles.

L’éditeur d’antivirus Bitdefender présente WearON, une nouvelle fonctionnalité antivol intégrée à la solution Bitdefender Mobile Security & Antivirus, compatible avec les montres connectées équipées d’Android Wear. Avec WearON, Bitdefender étend sa protection de pointe aux technologies ‘Wearable’ intelligentes.

La fonction WearON fournit à l’utilisateur de Bitdefender Mobile Security & Antivirus, une localisation de ses appareils mobiles grâce à sa montre connectée Android Wear. En effet, en cas de perte ou de vol d’appareils Android, l’utilisateur peut utiliser sa montre connectée Android Wear pour les retrouver en faisant sonner une alarme sur ses smartphones et/ou tablettes, même si ces derniers sont en mode silencieux. WearON avertit aussi instantanément le propriétaire en cas d’oubli de son appareil, grâce à une vibration spécifique lorsque le smartphone et/ou la tablette se trouvent à l’extérieur d’un périmètre de sécurité.

Ces fonctionnalités fournissent ainsi aux propriétaires de montres connectées Android Wear une protection supplémentaire contre le vol et la perte de leurs appareils Android. Pour bénéficier de la fonctionnalité WearON, il suffit simplement de télécharger le nouveau Bitdefender Mobile Security & Antivirus sur Google Play ou, pour les utilisateurs de la solution, de mettre à jour leur application.

« Bitdefender considère la sécurité de l’utilisateur sous tous les angles possibles afin d’assurer une protection totale, en permanence », déclare Catalin Cosoi, Responsable des stratégies de sécurité chez Bitdefender. « Intégrer la technologie ‘Wearable’ à l’offre de Bitdefender Mobile Security & Antivirus apporte une nouvelle facette à la sécurité : un niveau de protection extrêmement mobile, toujours disponible afin de sécuriser au maximum les appareils mobiles en cas de  vol et de perte. »

Le nouveau Bitdefender Mobile Security & Antivirus protège également la vie privée des utilisateurs avec App Lock, une fonctionnalité introduite récemment qui permet aux utilisateurs de bloquer l’accès aux données sensibles en protégeant certaines applications avec un code personnel. App Lock affiche la liste des applications installées et permet aux utilisateurs de prendre des mesures de protection supplémentaires en restreignant l’accès aux applications qui peuvent être utilisées pour dépenser de l’argent, porter atteinte à leur vie privée ou effectuer d’autres actions indésirables.

Ces nouvelles fonctionnalités supplémentaires viennent compléter divers outils dont l’analyse à l’installation, la protection de la navigation Web et l’Antivol qui permet aux utilisateurs de reprendre le contrôle d’un téléphone perdu ou volé via des commandes SMS et divers outils (localisation et verrouillage de l’appareil, suppression des données à distance, etc.). Privacy Advisor, quant à lui, garde un œil sur les applications installées afin d’assurer une protection contre l’intrusion dans la vie privée.

Pendant ce temps, Symantec conseille de se méfier des objets dédiés à la santé connectée. La mesure de soi est une activité en pleine expansion. On ne compte plus les objets connectés et applications qui comptent le nombre de pas, le temps de sommeil ou les calories ingérées. Une étude de ABI Research estime que d’ici 2018, le nombre de terminaux connectés et destinés à cette activité atteindra 485 millions, dont la plupart auront une activité de suivi de l’individu et de ses actions ; et ce chiffre n’inclut pas le nombre de smartphones qui intègrent de telles applis et dont le volume dépasse les milliards d’unités.

Qu’advient-il cependant des données personnelles ? Symantec a publié un article de blog et un livre blanc sur le sujet, qui examinent les risques potentiels de sécurité et de non-respect de la vie privée de ces objets et applis de suivi, ce que les entreprises et les consommateurs doivent prendre en considération ainsi que les principales tendances de développement de la mesure de soi.

Les principaux éléments de cette recherche sont les suivants :
·         Tous les terminaux examinés sont traçables à 100% ;
·         Une appli sur cinq transmets des données générées par leurs utilisateurs (noms, adresses email et mots de passe) sans aucun chiffrement ;
·         Les applis de suivi transmettent des données relatives à 5 domaines différents en moyenne, et certaines en répertorient jusqu’à 14, dont la collecte et l’analyse permettent une utilisation à des fins marketing ;
·         Les données collectées sur les terminaux de suivi pourraient avoir des implications massives en matière de sécurité et de violation de la vie privée, notamment le vol d’identité, le profilage, le harcèlement, l’extorsion et l’utilisation ou l’abus par des entreprises tiers ;
·         Les terminaux qui stockent des données dans le cloud mettent la vie privée des utilisateurs en danger. Par ailleurs, 52% des applis de tracking ne présentaient pas leur politique de respect de la vie privée à leurs utilisateurs.

Icoscript, le code malveillant qui communique par webmail

Voici une nouveauté intéressante dans le petit monde des codes malveillants. L’éditeur d’antivirus G Data vient de mettre la main sur Icoscript, un code pirate qui passe par webmail pour lancer ses actions malfaisantes.

Ce nouvel espion utilise n’importe quel webmail (Yahoo!, gMail, …) pour recevoir des commandes de son serveur de contrôle (C&C). Pourquoi une telle idée ? G Data explique que les accès aux services de webmail sont rarement bloqués dans les entreprises, le cheval de Troie peut recevoir et exécuter des commandes sans être remarqué. CQFD !

L’analyse détaillée de Icoscript a été publiée dans le Magazine Virus Bulletin, on y découvre que lLe code étant modulaire, il peut aussi à tout moment changer de moyen de communication et passer, par exemple,  par LinkedIn, Facebook tout autre réseau social dans un futur proche !