Archives par mot-clé : piratage

Attaques à l’encontre des comptes sociaux

Après Le Monde en Janvier, CNN, Forbes et une vingtaine d’importants média en 2014, c’est au tour de Newsweek de voir son compte Twitter piraté pendant quelques heures par des pirates se réclamant du groupe Etat islamique (EI).

Comme nous le disions déjà lors de l’attaque subie par Le Monde, les comptes de réseaux sociaux tels que Twitter sont une cible de première importance pour les pirates. Si certaines entreprises ont mis en place des procédés et des moyens techniques pour protéger leur compte Twitter contre le hijacking, la plupart n’ont rien de cela et sont donc non seulement vulnérables au hijacking de leurs comptes de réseaux sociaux, mais sont aussi incapables de détecter ce hijacking de leurs propres comptes. Dans une récente étude auprès des entreprises du Fortune 100, les chercheurs de Proofpoint relevaient les points suivants :

· Il existe trois principaux types de menaces de réseaux sociaux parmi lesquels : le piratage de compte, les comptes non autorisés, et les menaces basées sur le contenu (ex : spam social, liens malveillants, etc.).
· En moyenne, deux comptes Facebook sur cinq (soit 40 %) semblant représenter une marque du classement Fortune 100 ne sont pas autorisés.
· En moyenne, un compte Twitter sur cinq (soit 20 %) semblant représenter une marque du classement Fortune 100 n’est pas autorisé.
· Les marques du classement Fortune 100 sont victimes d’au moins une intrusion sur leurs comptes de réseaux sociaux par jour ouvrable.
· Le volume de spams diffusés via les réseaux sociaux a été multiplié par sept depuis le milieu de l’année 2013, date de la publication du précédent rapport « State of Social Media Spam ».

Un compte compromis fournit aux pirates une plateforme idéale pour la distribution de spams, de liens malicieux, et autres contenus pouvant nuire à l’image de marque de l’entreprise touchée. Les comptes de réseaux sociaux des médias sont d’autant plus intéressants pour des personnes malintentionnées qu’ils bénéficient d’une forte audience et que leurs posts ont une large portée. Nous ne pourrions que trop recommander aux entreprises et aux médias de se prémunir de ce type d’attaque et de préparer des plans de réponses en cas de piratage (communication, personnes à alerter, processus de reprise en main des comptes, etc.). En effet, plus on est préparé et moins l’impact sera conséquent pour l’activité et l’image de l’entreprise.

Equation Group : l’ancêtre du cyber espionnage ?

Depuis plusieurs années, l’équipe GReAT (Global Research & Analysis Team) suivrait étroitement plus de 60 menaces avancées responsables de différentes cyber attaques à travers le monde. Elle a ainsi fait des observations de toutes sortes, les attaques gagnant en complexité à mesure qu’un nombre croissant de pays se sont impliqués et efforcés de se doter des outils les plus évolués. Cependant, ce n’est qu’aujourd’hui que les experts de  peuvent confirmer la découverte d’une menace dépassant tout ce qui était connu jusque-là en termes de complexité et de sophistication techniques. Le groupe à l’origine de cette menace, dénommé « Equation Group », est actif depuis près de 20 ans.

Le groupe se singularise par pratiquement chaque aspect de ses activités : il utilise des outils très complexes et coûteux à développer pour infecter ses victimes, récupérer des données et masquer ses actions d’une façon extrêmement professionnelle, ainsi que des techniques classiques d’espionnage pour diffuser ses codes malveillants. Pour infecter ses victimes, le groupe emploie un puissant arsenal d’« implants » (Troyen), notamment les suivants : Equation Laser, Equation Drug, Double Fantasy, Triple Fantasy, Fanny et Gray Fish. L’existence d’autres implants ne paraît faire aucun doute.

L’équipe GReAT a pu récupérer deux modules servant à reprogrammer le firmware du disque dur de plus d’une douzaine de marques répandues. Il s’agit peut-être de l’outil le plus puissant dans l’arsenal d’Equation Group et du premier malware connu capable d’infecter les disques durs. En reprogrammant le firmware du disque dur (c’est-à-dire en réécrivant le système d’exploitation du disque comme nous vous l’expliquons plus haut), le groupe atteint deux objectifs :

1.       Un niveau extrême de persistance permettant au malware de résister à un reformatage du disque et une réinstallation du système d’exploitation. Dès lors que le malware s’est introduit dans le firmware, il est à même de se régénérer à l’infini. Il peut par exemple empêcher l’effacement d’un certain secteur du disque ou bien le remplacer par un code malveillant à l’amorçage du système. « Un autre danger tient au fait qu’une fois le disque dur infecté par ce code malveillant, il devient impossible d’analyser son firmware. En termes simples, les disques durs comportent pour la plupart des fonctions permettant d’écrire dans le firmware matériel mais aucune pour vérifier l’écriture, de sorte que nous sommes pratiquement aveugles et incapables de détecter les disques durs infectés par ce malware », avertit Costin Raiu, Directeur de l’équipe GReAT. A noter que l’attaque de disque dur n’est pas une nouveauté comme l’annonce Kaspersky. Snowden en avait déjà fait la preuve via des documents volés à ses anciens employeurs, la NSA.

2.       La capacité de créer une zone invisible et persistante à l’intérieur du disque dur. Celle-ci sert à enregistrer des informations qui pourront être exfiltrées ultérieurement par les auteurs de l’attaque. En outre, dans certains cas, elle peut aussi aider le groupe à percer le cryptage : « Etant donné que l’implant GrayFish est actif dès le début de l’amorçage du système, il permet de capturer la clé de cryptage et de l’enregistrer dans la zone cachée », explique Costin Raiu.

Capacité de récupérer des données sur des réseaux isolés
Parmi toutes les attaques lancées par Equation Group, le ver Fanny se démarque. Il a pour but principal de cartographier les réseaux isolés, c’est-à-dire de déterminer la topologie d’un réseau inaccessible par Internet et d’y exécuter des commandes. Pour ce faire, il utilise un mécanisme unique de commande et contrôle (C&C) sur une clé USB, permettant aux auteurs de l’attaque de faire entrer et sortir des données sur les réseaux isolés.

En particulier, une clé USB infectée avec une zone de stockage cachée a été employée pour recueillir des informations système de base sur un ordinateur non connecté à Internet et les transmettre à un serveur C&C dès que la clé est insérée dans une autre machine infectée par Fanny et disposant d’une connexion Internet. Pour exécuter des commandes sur un réseau isolé, il suffit de les enregistrer dans la zone cachée de la clé. Lorsque cette dernière est introduite dans un ordinateur du réseau, Fanny reconnaît les commandes et les exécute.

Méthodes classiques d’espionnage pour la diffusion des malwares
Les auteurs des attaques ont utilisé des méthodes universelles pour infecter les cibles, que ce soit via le Web ou dans le monde physique. A cette fin, ils ont intercepté des produits physiques pour leur substituer des versions contaminées par des chevaux de Troie. Cette technique a été employée, par exemple, pour cibler les participants d’une conférence scientifique à Houston (Texas) : à leur retour chez eux, certains des participants ont reçu un compte rendu de la conférence sur un CD-ROM qui a ensuite servi à installer l’implant DoubleFantasy sur la machine cible. La méthode exacte de falsification des CD reste inconnue.

Il existe de solides indices d’interactions d’Equation Group avec d’autres groupes puissants, tels que les opérateurs des campagnes Stuxnet et Flame, généralement en position de supériorité. Equation Group a ainsi eu accès à des failles « zero day » avant qu’elles ne soient exploitées par Stuxnet et Flame. A un moment donné, il a également partagé des exploitations de vulnérabilités avec d’autres. Par exemple, en 2008, Fanny a utilisé deux failles « zero day » qui ont été par la suite exploitées dans Stuxnet en juin 2009 et mars 2010. Pour l’une d’elles, Stuxnet reprenait en fait un module Flame exploitant la même vulnérabilité et passé directement d’une plate-forme à l’autre.

Equation Group utilise une vaste infrastructure C&C qui comprend plus de 300 domaines et 100 serveurs. Les serveurs sont hébergés dans de nombreux pays (Etats-Unis, Royaume-Uni, Italie, Allemagne, Pays-Bas, Panama, Costa Rica, Malaisie, Colombie et République tchèque, notamment). Kaspersky surveillerait  actuellement plus d’une vingtaine de serveurs C&C (autant dire que les pirates derrières ces centres de commande n’ont plus qu’à changer d’espace, ndlr). Depuis 2001, Equation Group aurait infecté des milliers voire des dizaines de milliers de victimes dans plus d’une trentaine de pays à travers le monde, appartenant aux secteurs ou milieux suivants : administrations et missions diplomatiques, télécommunications, aéronautique, énergie, recherche nucléaire, pétrole et gaz, défense, nanotechnologies, militants et érudits islamiques, médias, transports, établissements financiers ou encore développeurs de technologies de cryptage. Sept exploits utilisés par l’Equation Group dans ses malwares, dont au moins 4 comme « zero day » (ils ne sont donc plus inconnus, ndlr). En outre, des failles inconnues, peut-être « zero day », ont été exploitées contre Firefox 17, tout comme dans le navigateur Tor.

Pendant la phase d’infection, le groupe a la capacité d’exploiter dix vulnérabilités en chaîne. Cependant, les experts n’en ont constaté pas plus de 3 à la suite : si la première échoue, une deuxième est essayée, puis une troisième. En cas de triple échec, le système n’est pas infecté. Ce qui est assez étonnant car ZATAZ.COM a pu constater des « HQ » malveillants exploitant l’intégralité des failles, exploits disponibles au moment de l’attaque lancée par ce type d’outil.

Cyberattaques de points de vente

Comme le montrent les titres de la presse depuis quelques mois, les pirates font preuve de plus en plus de ressources quand il s’agit de traverser les pare-feu des entreprises pour attaquer directement les terminaux des points de vente et leurs serveurs back-end. Si le service informatique ne peut les empêcher d’entrer par la porte, existe-t-il une seconde ligne de défense permettant au moins de contenir les cybervoleurs une fois que ceux-ci se trouvent à l’intérieur ?

Le modus operandi des pirates reste relativement simple dans le cas des attaques liées à la vente au détail. Ils pénètrent dans le poste fixe ou le portable d’un utilisateur par phishing ou en devinant le mot de passe. L’injection SQL, un autre vecteur d’attaque éprouvé, peut également avoir été employée lors d’une certaine occasion.

Dans tous les cas, les cybervoleurs ont contourné les vérifications de périmètre et les défenses anti-intrusion pour lesquelles les entreprises ont dépensé des centaines de millions de dollars ou d’euros. La détection antivirus traditionnelle ne peut, au mieux, que rester au fait des signatures les plus récentes. De plus, les programmes malveillants comportent maintenant des routines anti-investigation qui déjouent les stratégies de blocage de base. Mais il existe une furtivité encore plus grande dans ces attaques.

L’art de la furtivité
Après avoir examiné de nombreux incidents réels, je peux vous dire que les pirates testent les vulnérabilités d’authentification de manière réflexe dès leur entrée, au moyen de Pass the Hash, de rainbow tables, etc.

Si vous voulez des statistiques plus précises, le Rapport d’enquête sur les compromissions de données de Verizon Data Breach indique qu’environ 80 % des incidents de piratage comportent une attaque de type authentification.

La stratégie des pirates consiste à moissonner autant d’informations d’identification que possible. Le logiciel de surveillance les voit comme de simples utilisateurs lors de leur passage furtif de serveur en serveur. Leur objectif ultime est d’obtenir les informations d’identification d’un utilisateur avancé disposant de permissions élevées afin de pouvoir aboutir au serveur contenant les données les plus précieuses.

À partir de là, leur outil malveillant préféré est la ligne de commande habituelle : ils copient les fichiers vers un serveur spécial à partir duquel les informations de carte de crédit seront finalement extraites.

En quoi consiste un programme malveillant exactement ?
Cette question mène à des considérations plus vastes sur la disparition des limites entre programmes malveillants et vrais logiciels. Nombre de logiciels que les pirates chargent après leur arrivée sont souvent les mêmes que ceux utilisés par les services de sécurité informatique.

Les outils présents dans la panoplie d’un pirate peuvent comprendre PWDump (extraction de chaînes de hachage), Netview (mappage des connexions réseau), Psll (listeur de processus) et CheckSQL (force brute appliquée aux comptes SQL). Tous se trouvent dans une zone d’ombre et ne sont pas entièrement inappropriés dans le dossier d’un administrateur système. Ainsi, leur existence ne prouve pas nécessairement qu’un système a été compromis.

L’essentiel à retenir : si vous comptez sur les logiciels commerciaux de détection d’intrusion pour analyser la liste de « programmes malveillants » ci-dessus, vous finirez par lever beaucoup de faux lièvres.

Faire le premier pas
Sans surprise, il existe différentes approches pour réduire les risques. Lorsque les cyber voleurs passent les premiers murs de défense, certains voient la situation comme un autre problème de périmètre : un problème interne résolu au mieux par une meilleure architecture réseau (c.-à-d. en isolant les serveurs et les terminaux PDV de tout le reste). Mais les autres (moi y compris) pensent qu’il vaut mieux concentrer les efforts de sécurité sur les défenses se trouvant vers le haut de la pile, à savoir au niveau de l’OS. Toutefois, lors de mes propres conversations avec les pros de la sécurité d’une grande société d’antivirus, j’ai découvert qu’il existe un consensus sur quelques mesures de prévention. Outre la mise en place de politiques de mot de passe strictes, l’action suivante consiste à restreindre les connexions réseau à distance à partir des machines des utilisateurs ordinaires.

Pourquoi cela ?
Il faut empêcher les intrus de repartir depuis leur point d’entrée initial. Malheureusement, dans de nombreux environnements Windows, les services de connexion à distance au PC sont souvent largement activés et les pirates peuvent confortablement s’y connecter et même lancer l’interface utilisateur depuis la ligne de commande. Ce risque peut être réduit en limitant le nombre d’utilisateurs et d’ordinateurs capable d’effectuer des connexions via RDP (Remote Desktop Protocol). Les administrateurs peuvent le faire au moyen de l’éditeur d’objets de stratégie de groupe (GPO : Group Policy Object), en naviguant vers les Composants Windows | Hôte de session Bureau à distance | Connexions. Ils pourront également configurer la stratégie Attribution des droits utilisateur. Vous pouvez en savoir plus sur cette procédure ici. (Par Norman Girard, Vice Président et directeur général Europe de Varonis)

Selon Cisco – 100% des réseaux analysés contiennent des malwares

Le principal enjeu des équipes en charge de la sécurité des systèmes d’information est de faire face à des attaques de plus en plus ciblées et de mieux comprendre la menace pour détecter les signaux faibles sur leurs réseaux. Selon Cisco – 100% des réseaux analysés contiennent des malwares. Vous avez dit inquiétant ?

Le Rapport Annuel sur la Sécurité 2015 de Cisco révèle que 40 % des failles de sécurité en entreprise ne sont pas corrigées. Les résultats du Rapport Cisco soulignent que, malgré une prise de conscience de la menace et un nombre croissant d’attaques ciblées médiatisées, les entreprises n’utilisent pas forcément l’ensemble des outils disponibles, simples à mettre en œuvre, pour contrer les cyberattaques. L’étude Cisco a été menée auprès de 1700 entreprises dans 9 pays.

Le Rapport permet de tirer plusieurs conclusions majeures :
La menace est réelle et permanente : 100 % des réseaux analysés contiennent des malwares. Ces résultats sont identiques au Rapport 2014. En 2014, 1 % des vulnérabilités connues (43 sur 6756) ont été exploitées par les cybercriminels. D’une part, cela signifie que les entreprises doivent prioriser 1 % des vulnérabilités exploitées dans le cadre de leur politique globale de correction. D’autre part, même si les technologies atteignent de hauts niveaux de performance, il est nécessaire de comprendre les menaces pour lutter contre les vulnérabilités. Les kits d’exploits largement utilisés sont rapidement détectés par les solutions de sécurité – ce qui signifie que les cybercriminels préfèrent disposer  du 4ème ou 5ème kit d’exploits le plus utilisé, pour ne pas trop attirer l’attention. Même si les kits d’exploits ont diminué de 88 % entre mai et novembre 2014, ils restent un outil utilisé à un rythme soutenu par les cybercriminels, aux conséquences sérieuses pour les entreprises. Les failles Java sont en baisse de 34 % et les attaques Flash de 3 % alors que les failles Silverlight ont augmenté de 228 % et les failles PDF de 7 %.

Les malwares Flash peuvent désormais interagir avec JavaScript pour cacher des vulnérabilités en partageant un exploit entre deux fichiers distincts : un Flash et un JavaScript. L’activité malveillante est alors plus difficile à détecter et à analyser et prouve la sophistication des attaques et la professionnalisation des hackers.

L’industrie pharmaceutique et la chimie sont les secteurs les plus touchés par la cybercriminalité. Les médias, l’industrie, le transport et la logistique et l’aviation complètent le top 5 des secteurs les plus touchés. L’an dernier, seuls l’industrie pharmaceutique et la chimie et l’aviation figuraient parmi les secteurs les plus concernés par les attaques. Le volume de spam a augmenté de 250 % en 2014. Plus ciblé et plus dangereux, envoyé à plus faible volume à partir d’un grand nombre d’adresses IP pour échapper aux outils de détection, un nouveau type de spam est en train d’émerger (Snowshoe). Les spammeurs adaptent les messages à leur cible (phishing), de façon à contourner les filtres anti-spam pour mieux tromper leurs victimes. Le malvertising (publicités malicieuses) est une nouvelle technique utilisée par les cybercriminels en 2014 qui permet de diffuser des malwares au travers des navigateurs, tout en ne nécessitant pas de moyens importants mais permettant aux cybercriminels de gagner beaucoup d’argent. Adobe et Internet Explorer sont les éditeurs les plus vulnérables avec respectivement 19 % et 31 % des attaques observées.

Grâce à l’évolution des technologies de sécurité, les attaques directes et massives sont de plus en plus difficiles à mettre en œuvre. Les cybercriminels font désormais preuve de plus de créativité pour tromper l’utilisateur afin que celui-ci installe lui-même le logiciel malveillant. Ils profitent également de la faiblesse des entreprises en matière de mise à jour des vulnérabilités connues sur leurs systèmes : Alors que la faille Heartbleed a été découverte il y a plus de 6 mois, et qu’elle a permis de révéler une faille dans OpenSSL, 56 % des versions OpenSSL ont plus de 4 ans et sont toujours vulnérables car elles n’ont pas été mises à jour depuis la sortie du patch. Internet Explorer est le navigateur le moins mis à jour avec seulement 10 % des versions installées mises à jour avec la dernière version connue, la version la plus courante datant de 31 mois par rapport à la version la plus récente. Au contraire, 64 % des versions de Chrome sont à jour.

« La sécurité du système d’information est une affaire d’équipe : elle ne pourra être optimale que si le RSSI et l’équipe informatique, les dirigeants de l’entreprise, les directeurs métier, etc. travaillent ensemble pour mieux comprendre la menace et faire face aux cyberattaques. Les cybercriminels travaillent de mieux en mieux pour dissimuler leurs traces. L’ensemble des parties prenantes doit donc répondre à des questions majeures : est-ce que l’entreprise dispose des outils qui lui permettront non seulement d’identifier les attaques avérées, mais également de déterminer où se situent les vrais vulnérabilités de son informatique ? Comment l’entreprise peut être certaine que ses utilisateurs sont en sécurité, et cela même lorsqu’ils travaillent en dehors du périmètre du réseau de l’entreprise ? » explique à DataSecurityBreach.fr Christophe Jolly, Directeur Sécurité Cisco France. « Face à l’évolution de la menace, les entreprises doivent mettre en œuvre un ensemble de mesures de sécurité pour leur permettre de répondre aux défis liés à la cybercriminalité et au cyberespionnage industriel et pour mieux comprendre la cybersécurité du monde d’aujourd’hui ».

Retrouvez le Rapport Annuel sur la Sécurité 2015 de Cisco en intégralité ici : www.cisco.com/go/asr2015

Le téléphone sécurisé BlackPhone… pas si secure que ça

Une faille sérieuse découverte dans le téléphone portable ultra sécurisé BlackPhone. Le smartphone qui protège des écoutes peut être infiltré !

Un hacker australien a découvert comment piéger la sécurité, pourtant très poussée, du téléphone BlackPhone. L’appareil permet de chiffrer les appels et les contenus qu’il diffuse. Du moins, ça c’était avant. Avant qu’un bidouilleur découvre qu’avec un simple SMS envoyé à l’application « Silent » il était possible d’exécuter un code malveillant et de prendre la main sur le téléphone. Une injection découverte en une semaine par Mark Dowd. Le fabricant du BlackPhone annonce une rustine pour son matériel. Un téléphone qui coûte 550€. (Register)

Un pirate informatique arrêté pour avoir visé Madonna

L’ancienne pop star Madonna n’aime pas ce début d’année. L’artiste américaine voit son nouvel album piraté. elle se consolera avec l’arrestation de son voleur 2.0.

Et si le pirate informatique arrêté a Tel-Aviv, soupçonnait du piratage de l’informatique de la pop star Madonna, était membre d’un groupe qui se serait aussi invité dans les machines de Sony Pictures. Le Jérusalem Post explique dans son édition de mercredi qu’un homme a été arrêté à Tel-Aviv. Il est soupçonné d’avoir piraté des ordinateurs de majors et de « stars » de la musique pour mettre la main sur les disques en cours de création, avant donc la sortie officielle en boutique. Intéressante arrestation par l’unité 433 de la police israélienne. Une section en charge de la « mafia ». Des policiers locaux qui travailleraient main dans la main avec le FBI.

Code malveillant dans les caisses enregistreuses

Alors que la chaîne américaine de magasins The Home Depot vient d’annoncer le vol de 53 millions d’adresses emails de clients* (en plus des 56 millions de données de cartes bancaires déjà déclarés en septembre), le G DATA SecurityLabs a découvert une nouvelle variante de FrameworkPOS, le code ayant ciblé cette entreprise. Nouveauté de ce code : il exfiltre les données volées par requêtes DNS (Domain Name System).

Cette analyse montre comment les cyber criminels travaillent à l’heure actuelle. La variante découverte envoie les données extraites via des requêtes DNS, ce qui est une technique très aboutie. Pour détecter ce type d’attaque, G Data conseille aux entreprises équipées de systèmes d’encaissement de mettre en place un système de DNS passif. Une analyse des requêtes facilite la détection de ce type d’attaque.

Qu’est-ce qu’un système PoS ?
Un système PoS (Point of Sales en anglais – Point de Vente en français) se compose en règle générale d’une caisse enregistreuse et d’un appareil pour lire les cartes de crédit. L’appareil POS enregistre les ventes des clients mais pas uniquement. Il sert également à l’inventaire, aux entrées et sorties de stocks.

Qu’est-ce qu’un DNS?
DNS signifie “Domain Name System”. Il s’agit du carnet d’adresse Internet. L’adresse d’un site internet est traduite en une adresse technique utilisant le système DNS. Il s’agit d’une combinaison de numéros appelée adresse IP (par exemple : 208.80.154.224). Un DNS passif est un système qui enregistre les requêtes DNS dans une base de données. Ainsi, on peut observer quelle valeur (adresse IP) un domaine a (ou inversement, quel nom/domaine est lié à telle adresse IP). (G Data)

* Le communiqué de presse de The Home Depot.

* ZATAZ Web TV du 09 novembre revient sur cette attaque informatique pas comme les autres.

Un malware attaque les visiteurs de plusieurs gros sites Internationaux

AOL, Match.com, Societe.com, ainsi que plusieurs autres importants sites Internet se sont retrouvés à diffuser, sans le savoir, des publicités aux contenus malveillants.

La semaine dernière, les chercheurs de la société Proofpoint ont détecté de nombreux sites web à fort trafic touchés par une campagne de malvertising, des publicités piégées ayant pour mission d’infiltrer les ordinateurs des visiteurs. Plusieurs dizaines d’importants espaces ont été touchés, dont le français societe.com ou encore Match.com et des domaines appartenant à AOL et Yahoo!

3 millions de visiteurs, par jour, ont pu être touchés par cette attaque. L’idée des pirates est d’utiliser les canaux de diffusion de publicités en ligne pour piéger des ordinateurs (sous Windows, NDLR), mais aussi des smartphones et tablettes (sous android, NDLR), via des logiciels espions. Exploiter des failles de régies pubs offre aux pirates une vivier de « clients » potentiellement énorme.

Les attaques malvertising sont particulièrement difficiles à détecter parce que la plupart des publicités sur les sites diffuseurs  proviennent de plusieurs réseaux publicitaires, et donc, changent selon les visiteurs. Parmi les diffuseurs realestate.aol.com, theatlantic.com, 9GAG, match.com ou encore theage.com.au, stuff.co.nz, societe.com, beaconnews.suntimes.com. [proofpoint.com]

Les attaques visant les applications Web se multiplient

Applications de vente en ligne, sites hébergeant des données de consommateurs ainsi que WordPress sont aujourd’hui les principales cibles de ce type d’attaque.

Imperva, spécialiste en solutions de sécurité informatique, a publié les résultats de sa cinquième enquête annuelle consacrée aux attaques visant les applications Web (Webannuel Report Application Attack : WAAR). Réalisé par l’Application Defense Center(ADC), la cellule de recherche d’Imperva, ce rapport analyse un échantillon de 99 applications protégées par le pare-feu applicatif Web d’Imperva(WAF) sur une période de neuf mois (du 1er Août 2013 au 30 Avril 2014). Les principaux enseignements de cette édition font état d’une augmentation significative du trafic malveillant (dont on notait déjà l’explosion dans le précédent rapport), ils révèlent que les applications de vente en ligne sont les plus sensibles pour ce type d’attaque et que WordPress est l’application la plus attaquée. Enfin, les États-Unis se distinguent comme le pays d’origine de la majorité du trafic des attaques d’applications Web dans le monde.

Ce cinquième rapport témoigne d’une augmentation de 10% des attaques par SQL injection (SQLI), ainsi que d’une hausse de 24% des attaques par inclusion de fichier à distance (RFI). L’équipe de recherche de l’ADC a de plus constaté que la durée des attaques s’est considérablement prolongée ; Leur durée s’est en effet allongée de 44% par rapport au précédent rapport WAAR.

48,1% des campagnes d’attaque visent les applications de vente en ligne, suivie par les institutions financières qui représentent 10% des attaques.     Les sites conçus sous WordPress ont subit 24,1% d’attaques en plus que les sites Web qui utilisent d’autres systèmes de gestion de contenu (CMS), on observe également que WordPress souffre davantage (60% de plus) d’incidents de Cross Site Scripting (XSS) que les autres sites. Les applications PHP subissent trois fois plus d’attaques XSS que les applications .NET. Les sites Web qui ont une fonctionnalité « log-in », et qui contiennent par conséquent des données spécifiques aux consommateurs, représentent 59% de toutes les attaques, et 63% des injections SQL.

« Après des années à analyser les attaques de données ainsi que leurs origines, le rapport de cette année indique que les hackers quelque soient leur pays d’origine hébergent leurs attaques aux Etats-Unis afin d’être géographiquement plus proche de leurs cibles. Cela explique pourquoi les États-Unis génèrent la majorité du trafic mondial des attaques d’applications web », indique Amichai Shulman, Directeur de la technologie chez Imperva à Datasecuritybreach.fr. « En regardant de plus près d’autres sources d’attaques, nous nous sommes aperçus que les infrastructures-as-a-Service (IaaS) étaient de plus en plus utilisées par les hackers. Pour exemple, 20% des tentatives d’exploitation de vulnérabilités connues proviennent d’ Amazon Web Services. Mais ce n’est pas le seul; car le phénomène se développe et les autres fournisseurs de ce type d’infrastructures (IaaS) doivent être particulièrement vigilants quant à la compromission de leurs serveurs. Les hackers ne sont pas sélectifs quand il s’agit d’atteindre un Data Center ».

500 millions d’ordinateurs seraient infectés à cause du streaming pirate

L’AISP, l’Association of Internet Security Professionals, indique dans son nouveau rapport qu’une machine est infectée toutes les 18 secondes à cause des sites de streaming illicites.

Comment faire peur aux internautes qui consomment du film piraté ? D’abord leur expliquer que le téléchargement via le P2P peut ramener dans le pc familial des codes malveillants, des virus, des trucs pas sympas qui vont effacer leurs disques durs, … Sauf que la diffusion de films pirates n’a pas cessée, elle a même évolué vers le streaming, la diffusion directe, dans télécharger le moindre fichier. Bilan, les ayants droits et Hollywood en tête cherchent de nouvelles ficelles pour faire peur. Bilan, une étude proposée par une association américaine d’experts en sécurité informatique, l’Association of Internet Security Professionals, tente d’expliquer que les sites de streaming sont de vrais nids de vipères (ils n’ont pas totalement tord, ndlr).

Selon l’OCDE, les vidéos en ligne représentent aujourd’hui jusqu’à 91% du trafic mondial Internet. Ces vidéos sont majoritairement partagées par des internautes ou des médias mais un véritable marché noir s’est développé parallèlement, rendant accessible gratuitement des vidéos payantes. Au-delà des habituelles questions liées au respect des droits d’auteur, l’AISP s’est interrogée sur les risques réels encourus par les internautes qui consomment ces flux vidéo. Son rapport intitulé ‘Illegal Streaming and Cyber Security Risks : a dangerous status quo ?’, démontre que la mise à disposition de contenus via des plateformes de live streaming correspond à un vrai business model où les pirates infectent jusqu’à 97 % des sites qu’ils éditent.

En l’occurrence, ces plateformes de live-streaming permettent notamment aux pirates, en ciblant des internautes empressés de consommer les vidéos recherchées puis passifs pendant de longues minutes, d’accéder à leurs données personnelles (photos, données bancaires, historique de navigation, etc.), de les exposer à des contenus pornographiques ou encore de récupérer leurs emails pour adresser des contenus spam. Le rapport dévoile plusieurs chiffres qui vont glacer d’effroi madame Michu. Par exemple, selon l’AISP, 500 millions d’ordinateurs auraient été infectés dans le monde par les sites de streaming illicites. Il y aurait une nouvelle infection toutes les 18 secondes. Ce rapport se conclut par une série de recommandations mille fois lues, vues : renforcement de la coopération internationale, lancement de grandes campagnes de sensibilisation et paramétrage d’une approche juridique plus protectrice des internautes.

Réseaux sociaux : la nouvelle porte d’entrée des cybercriminels dans les entreprises ?

Aujourd’hui, la cybercriminalité est de plus en plus importante et organisée. Nous sommes loin de l’époque du pirate solitaire qui envoyait des malware du fond de sa chambre. Le phishing, par exemple, a prospéré au cours des dernières années.

Les cybercriminels utilisent des méthodes de plus en plus sophistiquées de phishing pour cibler les entr eprises, ce qui entraîne non seulement une perte de crédibilité des entreprises mais aussi et par conséquent une perte de clients et de bénéfices. La priorité première pour entreprise, cible d’une attaque via le phishing devrait être la protection de ses clients. Mais de nos jours, ce n’est pas aussi facile qu’il y paraît. La disponibilité des informations personnelles via les réseaux sociaux a rendu la tâche plus facile pour les cybercriminels. Il est maintenant aisé pour eux de produire des messages de phishing de plus en plus convaincants avec les informations qu’ils arrivent à trouver sur Internet. Des informations mises en ligne par des utilisateurs qui deviennent des proies faciles. Dans le même temps, les entreprises de toutes tailles ne parviennent pas à éduquer leurs utilisateurs sur le fait d’être constamment vigilants, en particulier dans leurs activités personnelles en ligne.

L’exemple de LinkedIn
Au cours de ces derniers mois, plusieurs articles ont mentionné un nouveau mode d’attaque phishing via LinkedIn. En fait, l’une des meilleures méthodes pour toucher une entreprise avec une attaque ciblée consiste à envoyer un simple email LinkedIn. Une enquête récemment réalisée a révélé que les attaques dissimulées dans les invitations LinkedIn avaient un taux de clics deux fois plus élevé. Il y a un nombre toujours croissant de faux profils sur LinkedIn, et c’est l’un des plus gros problèmes de ce réseau social. Ces comptes peuvent être utilisés pour espionner les entreprises, phénomène que nous appelons le « Social Klepto ». D’après une enquête menée récemment : par rapport à des sites tels que Facebook ou Twitter, LinkedIn est le réseau social le moins bloqué (20%); et c’est aussi le réseau social qui comprend le moins d’utilisateurs se sentant en danger sur le site (14%). Ces chiffres nous montrent que la population a plus confiance en LinkedIn qu’en d’autres medias sociaux.  Il n’est donc pas surprenant que les invitations LinkedIn aient un taux de clics plus important que les demandes d’ajout en ami de Facebook ou les invitations aux cercles de Google+. Afin de vous assurer que vous utilisez LinkedIn de la manière la plus sûre possible, lisez bien les points suivants.

Vérifiez vos paramètres de confidentialité LinkedIn
Tout comme la plupart des services gratuits, le site LinkedIn peut utiliser les informations de votre profil pour des recherches ou à des fins marketing à savoir pour de la publicité ciblée (comme Gmail et Facebook). Plusieurs paramètres par défaut et concernant la confidentialité du compte ont été choisis de sorte à ce que les utilisateurs reçoivent des emails marketing de la part de LinkedIn. La plupart des utilisateurs ne pensent pas à vérifier ces paramètres. Cependant, c’est en ne contrôlant pas ces paramètres qu’ils peuvent recevoir des courriers indésirables (spam). Il est donc essentiel pour les utilisateurs de vérifier leur profil, leurs paramètres de confidentialité et d’envoi d’emails sur leur compte LinkedIn afin de s’assurer que leurs données ne soient pas partagées avec des tierces personnes ou que leurs informations ne soient pas trop publiques. Globalement, décocher toutes les cases de la page ‘Préférences & Confidentialité’ est la meilleure des solutions, à moins de vouloir recevoir les emails de certains groupes LinkedIn spécifiques.

Prenez garde aux emails suspicieux d’invitation LinkedIn
Étant donné la nature de l’utilisation des réseaux sociaux dans un contexte professionnel et le fait que la population ait pris confiance en des noms tels que LinkedIn, cette méthode d’attaque est de plus en plus utilisée ces derniers temps. Comme toujours donc, évitez de cliquer sur les liens à l’intérieur de vos emails. Si vous recevez un email envoyé par LinkedIn, le mieux est d’aller visiter le site directement pour confirmer ces demandes plutôt que de cliquer sur le lien de l’email, et ce, même si vous connaissez la personne émettrice de la prétendue invitation. En suivant ces instructions, il y a de grandes chances pour que vous ne deveniez pas la dernière victime d’une fausse invitation LinkedIn. (Wieland Alge, vice-président et directeur général EMEA chez Barracuda Networks pour DataSecurityBreach.fr)

Piratage à la Banque Centrale Européenne

Quelques semaines après la chaîne de livraison de pizza Domino’s Pizza, ou encore de plusieurs journaux, c’est aujourd’hui la Banque Centrale Européenne d’annoncer avoir été victime d’un vol de données personnelles de certains de ses clients.

Un piratage qui s’est suivi, comme en Belgique, d’un chantage exercé par les cybercriminels responsables de l’intrusion et du vol des données. « De plus en plus de cybercriminels volent des données non cryptées dans le but de les revendre sur le marché noir ou de les utiliser dans des actions de cyber-chantage, explique Jason Hart, vice-président Solutions Cloud de SafeNet.Toutes les données stockées sous forme de texte brut peuvent être lues sans la moindre difficulté, et sont par conséquent à la merci des cybercriminels. Face à de telles menaces, il est indispensable que les entreprises pensent à chiffrer toutes les données de leurs clients – et ce, qu’elles soient stockées ou en transit dans leur réseau. » Dans le cas de la Banque Centrale, l’atatque peut être considérée comme « modérée ».

Dans ce cas précis, la gravité a été minimisée par le fait que les mots de passe et les informations financières étaient chiffrées. Néanmoins, le fait que des pirates aient pu mettre la main sur des adresses électroniques et des numéros de téléphone peut à court terme avoir des répercussions significatives sur le niveau de confiance des clients.

Les ampoules connectées peuvent être piratées

Le piratage d’objets connectés, voilà une petite finesse du high tech qui commence à être particulièrement récurrente.

Après la possibilité d’intercepter les connexions des frigos connectés, des télévision, de certains thermomètres, voici que les ampoules wifi, peuvent passer par la case « piratage ». C’est le journal Hacker News qui revient sur cette possibilité découverte par des chercheurs britanniques de la société Context. Les failles de sécurité ont trouvées dans les ampoules LIFX Smart light bulbs. De grosses ampoules qui peuvent être contrôlées par un smartphone ou une tablette sous iOS et Android.

Le problème se situe dans le manque de chiffrement des informations transmises en l’ampoule et le wifi. Normalement, l’ampoule exploite son propre réseau (protocole 6LoWPAN). Sauf que les hackers de chez Context ont trouvé le moyen de déchiffrer les données et de les réutiliser. Bilan, Alex Chapman de chez Context nous confirme qu’un pirate pourrait se servir de cette passerelle lumineuse, sur une distance approximative (et sans mur) de 30 mètres. Depuis, la société a corrigé les ampoules mises sur le marché. Autant dire que si vous achetez ce genre de produit, assurez-vous qu’elles ont été fabriquées après le 4 juillet 2014.

Avant, la sécurité du produit, et de votre connexion, ne sera pas garantie à moins que vous pensiez à mettre à jour le firmware de votre ampoule. LIFX est une jeune start-up qui a mené une campagne de collecte de fonds en 2012, via Kickstarter. L’entreprise demandait 100.000 dollars, elle va en recueillir 13 fois plus (1,3 millions de dollars).

Démocratie en Tunisie vue par des pirates

Le site oueb de l’Instance supérieure indépendante pour les élections (ISIE) en Tunisie, isie.tn, a été victime d’un piratage informatique qui a perturbé l’espace démocratique durant quelques heures.

Une attaque informatique non revendiquée officiellement. Selon le président de l’ISIE, Chafik Sarsar, le pirate a pu atteindre, via une faille iSQL, mercredi 8 et jeudi 9 juin, la base de données du portail. Il semble, mais cela n’a pas été confirmé, qu’une attaque de type DDoS a été lancée à l’encontre de l’application USSD en charge des inscriptions. Une attaque qui fait suite au piratage du Facebook de l’ISIE, le 8 juillet, par un pirate du nom de Fellaga. Ce dernier a diffusé, dans l’espace communautaire de l’instance ce message « Un homme averti ne se fait pas piéger deux fois. A quoi servent les élections ? Inventons une solution alternative !« .

1800 fonctionnaires piégés par un phishing

S’il existe bien un secteur qui mériterait d’être un peu plus regardant sur sa sécurité informatique, c’est bien celui concernant les fonctionnaires. Ils gèrent les informations locales, régionales, nationales, donc des milliers, quand cela ne se chiffre pas en millions de données privées et sensibles. seulement, la sécurité informatique, faudrait-il encore qu’il en entende parler sous forme de formation, de réunion, et autrement que par des professionnels qui ne connaissent du terrain que les rapports chiffrés qu’ils lisent et recopient à longueur de journée.

Un exemple en date, chez nos cousins canadiens. Un sondage interne lancé par le ministère fédéral de la Justice annonce qu’environ 2000 membres du personnel ont cliqué sur un courriel piégé. De l’hameçonnage facile via un faux courriel traitant… de la sécurité des informations confidentielles du ministère. Un tiers des personnes ciblées a répondu à la missive, soit 1850 fonctionnaires sur 5000. Les prochains essais auront lieu en août et au mois d’octobre avec un degré de sophistication supérieure.

Selon le gouvernement canadien environ 10 % des 156 millions de filoutages diffusés chaque jour réussissent à contrer les logiciels et autres filtres antipourriels. Huit millions sont executés par le lecteur, 10% cliquent sur le lien. 80.000 se font piéger. (La presse)

Piratage chez AOL ?

Le géant américain de l’Internet AOL a lancé une enquête à la suite d’une fuite de données clients. Les clients américains d’AOL sont invités, depuis quelques heures, à modifier leurs mots de passe. Il semble qu’un pirate soit passé dans l’un des serveurs de la société et a mis la main sur des données sensibles qui ont permis de lancer plusieurs vagues de faux courriels aux couleurs du FAI.

AOL a annoncé ce lundi avoir lancé une plainte auprès des autorités fédérales à la suite de la découverte d’une probable fuite de sécurité dans l’une de ses machines. Fuite qui aurait permis à un pirate informatique l’accès à des comptes électroniques de ses clients. L’enquête et la plainte ont été lancées à la suite d’une hausse significative de phishing via des comptes AOL.

2% des comptes de l’entreprise auraient été utilisés

« L’enquête d’AOL est toujours en cours, nous avons déterminé qu’il y a eu un accès non autorisé à des informations pour un nombre important d’utilisateurs de comptes » explique le service presse d’AOL. Ces informations comprennent les adresses courriel d’utilisateurs AOL, leurs adresses postales, leurs listes de contacts, leurs mots de passe (Md5), leurs réponses aux questions de sécurité demandées quand un utilisateur modifie son mot de passe, ainsi que certaines informations concernant des employés. American Online indique que « par mesure de précaution, il est fortement conseiller de modifier son mot de passe« .

La justice belge s’attaque à des pirates russes

La justice Belge souhaite poursuivre des pirates russes qui auraient profité de la crise bancaire de 2008 pour s’attaquer à Dexia. En 2008, Russes et Ukrainiens s’aimaient. En 2008, les pirates de ces deux pays jouaient ensemble. En 2008, plusieurs d’entre eux se sont attaqués aux serveurs de la banque Dexia pour voler des données sensibles et privées. A l’époque, Dexia était dans la tourmente de la crise bancaire mondiale. Des pirates russes avaient volé des données bancaires qu’ils avaient revendu à des cybers escrocs Ukrainiens qui avaient blanchi l’argent, entre autres, via une banque Lettone. Bref, une mondialisation du crime qui avait coûté des millions d’euros à Dexia. L’agence Belga vient d’indiquer que le parquet fédéral souhaite poursuivre plusieurs de ces russes et ukrainiens. Le parquet envisage également de poursuivre une banque de Riga (Lettonie). L’enquête serait terminée, il ne reste plus qu’au juge à réclamer la tête des fautifs.

2,6 millions de CB piratés chez Michaels

En mars dernier, plusieurs grandes enseignes américains annonçaient le pirate de plusieurs millions de données bancaires. Des pirates informatiques étaient passés par là. Alors que les chiffres tombés, la société Michaels étaient averti du probable passage dans ses serveurs d’un visiteur malveillant. L’entreprise, après deux mois d’enquête, vient de confirmer le vol d’environ 2.6 millions de données de cartes de paiement. Les données compromises : numéros de CB, la date d’expiration pour les cartes de paiement. Michaels indique dans son communiqué de presse « Qu’il n’existe aucun preuve de la consultation (par le pirate, Ndr) des noms, codes PIN et autres adresses des adresses ». Le piratage aurait eu lieu entre le 8 mai 2013 et le 27 Janvier 2014. L’entreprise déclare que ce piratage n’a touché que 7% des cartes utilisées dans les magasins Michaels au cours de cette période. A noter que, toujours selon le service presse de l’enseigne, une filiale de l’enseigne Aaron Brothers a également été touchée entre le 28 juin 2013 et le 27 février 2014. Une violation informatique qui a ciblé 54 de ses boutiques pour environ 400.000 cartes. La société parle d’un malware « identifié et bloqué. Ce malware ne présente plus aucune menace lors de vos achats chez Michaels ou Aaron Brothers« .

Selon une étude publiée par le Pew Research Center (1), 18% des américains ont été victimes en 2014 d’un vol de données en ligne. Il s’agit notamment d’informations sensibles telles que des numéros de sécurité sociale, des numéros de cartes de crédit et d’autres infos bancaires. Le chiffre est en augmentation de 11% par rapport à 2013. Cette hausse des vols a touché tous les groupes d’âge, bien que les utilisateurs les plus impliqués aient entre 18 et 29 ans. La recherche PEW a également montré que 5 % des Américains sont préoccupés par la quantité de renseignements personnels en ligne. Le pourcentage était de 33% en 2009. La hausse n’est toutefois pas surprenante, étant donnée l’utilisation croissante des réseaux sociaux et autres services en ligne.

Sécurité: le vol de données en ligne se développe aux États-Unis
Au-delà de ces mauvaises nouvelles, cette information a le mérite de sensibiliser les utilisateurs sur la nécessité et le devoir de naviguer en toute sécurité. Outre l’affaire Heartbleed et après les 2,9 millions de comptes impliqués dans l’attaque sur Adobe en octobre dernier et les 4,6 millions de comptes Snapchat piratés en février, les utilisateurs se doivent être de plus en plus conscients des enjeux.

A noter qu’en France, peu ou pas de communication des sociétés victimes de fuites, piratages, … Ne pensez pas que ce genre d’attaque n’existe pas, bien au contraire, malheureusement. Nous vous en parlons souvent. Il est bon de rappeler l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille est découverte. « Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement. » indique la CNIL.

Piratage chez SEDO ?

Avec plus de 2 millions de membres du monde entier et des échanges de domaines en plus de 20 langues, Sedo est la première plate-forme mondiale d´achat-vente de noms de domaine. Autant dire qu’elle attire les regards des « financiers » du web, des webmasters mais aussi des pirates informatiques. Il semble que ces derniers soient rentrés dans la danse, ce samedi 12 avril. « Nous tenons à vous informer que le site Sedo a été la cible d´une attaque informatique révélant une faille de notre système de sécurité, jusqu’alors inconnue, souligne l’entreprise basée à Cologne. Ainsi un email intitulé « Activation de votre compte » a été envoyé illicitement à un nombre limité de nos clients« .

Une enquête immédiate à ce sujet a révélé que les adresses mails exploitées ont été trouvées directement dans le service proposé par Sedo. « Aucunes autres données n’ont été compromises : aucun mot de passe ou autres informations associées au compte n´ont été rendus publics » indique le géant du web. Les services de Sedo ont pallié à cette faille dès que celle-ci a été détectée et tout accès non autorisé a été bloqué. « Vous n’avez pas besoin de prendre d´ultérieures mesures pour protéger les données renseignées dans votre compte. Enfin si vous avez cliqué sur le lien contenu dans l’email non autorisé, cela n´aura aucune conséquence nuisible« .

 

Piratage chez LaCie

Le 19 Mars 2014, le FBI a informé la société LaCie qu’une équipe de cyber enqueteurs de l’agence avait trouvé des preuves qu’une personne non autorisée utilisait des logiciels malveillants dans un serveur de l’entreprise. Une visite qui lui aurait donné l’occasion d’accéder à des informations de transactions de clients effectués à partir du site web de LaCie. « Par mesure de précaution, explique LaCie, nous avons temporairement désactivé notre cyber boutique« .

Sur la base de l’enquête, il semble que les transactions effectuées entre le 27 Mars 2013 et le 10 Mars 2014 ont été surveillées par le pirate informatique. Les informations consultées : les noms des clients, adresses, adresses mail, les numéros de cartes de paiement et les dates d’expiration de cartes en question. Les noms et mots de passe des clients pourraient aussi avoir été consultés.

Bilan, si vous avez reçu une demande de réinitialisation de votre « précieux » par LaCie, ce n’est malheureusement pas une blague. Depuis le 11 avril, les clients impactés sont alertés. La rédaction n’a pas trouvé de trace de cette fuite sur les forums underground.

Fuite de données en Allemagne avec 18 millions de comptes mails

Après la fuite de 16 millions de comptes électroniques voilà quelques mois, voici une nouvelle valve pirate qui s’est ouverte en Allemagne avec 18 millions de nouveaux accès à des comptes webmails. Les procureurs de Verden (région de la Basse-Saxe) ont été saisis d’une enquête concernant des accès à des millions de comptes mails. Les données semblent venir de l’ensemble des grands fournisseurs d’accès Internet allemands. En Janvier dernier,  l’Office fédéral pour la sécurité en ligne (BSI) révélé que des pirates avaient eu accès à 16 millions de comptes de messagerie. A première vue, le même pirate se cache derrière cette seconde fuite. (The Local)

 

Et si le Boeing 777 avait été piraté

Le Canada se penche sur les possibilités de pirater un avion de ligne. Avec la disparition du Boeing 777, le 8 mars dernier, plusieurs services secrets se sont penchés sur les possibilités liées à ce genre de « phénomène ». Il faut dire aussi que le vol de Malaysia Airlines n’est pas un cas unique. En mai 2003, un autre Boeing (727) disparaissait des radars au départ de Luanda (Angola). L’avion ne sera jamais retrouvé.

Du côté des cousins du grand nord, les enquêtes se penchent sur les possibilités de piratage informatique d’un avion. Transports Canada s’intéresse aux travaux d’un hacker qui annonçait, il y a quelques semaines, avoir trouvé le moyen de pirater l’ordinateur de bord d’un avion commercial.

La Direction de l’évaluation du renseignement de sûreté de Transports Canada s’est penché sur cette recherche, nous étions alors 10 mois avant la disparition du MH370. « La présentation, en avril 2013, d’un projet appelé Le hacking d’un avion: séries aériennes pratiques par le consultant en sécurité et pilote commercial Allemand Hugo Teso, au congrès de pirates informatiques Hack In The Box, à Amsterdam, a pris plusieurs organisations de sécurité des transports par surprise », souligne le document récupéré par La Presse Canada. Il avait expliqué avoir pris le contrôle d’un ordinateur de bord d’avion (via un simulateur) en utilisant une application pour téléphone Android et un petit transmetteur acheté sur eBay.

Pirate et crash d’avion : retour d’une chimère
Aussi étonnant que cela puisse paraitre, le spectre du pirate informatique aux commandes d’un avion n’est pas une nouveauté. Au mois d’août 2008, un rapport diffusé par la justice Espagnole indiquait que le vol JK 5022 (qui s’était abimé deux ans plus tôt) se serait écrasé en raison de la présence d´un cheval de Troie dans l´ordinateur central de la compagnie aérienne Spanair. Un cheval de Troie a perturbé ce qui devait permettre l’enregistrement des informations techniques du vol JK 5022. L’ordinateur, situé au siège de la compagnie aérienne à Palma de Mallorca, aurait du émettre un signal d’alarme sur ses moniteurs lorsque trois problèmes techniques similaires ont été détectés par les sondes de l’appareil. L’avion avait accumulé trois incidents qui n’ont pas été enregistrés par l’ordinateur de Spanair. (source: zataz.com)

En 2004, zataz.com vous révélait comment des « idiots » avaient tenté de faire crasher des avions de la patrouille de France. En juin 2003, la grande dame fêtait ses 50 ans. Pour son anniversaire, la Patrouille de France devait survoler le Puy-du-Fou. La représentation des Alpha-jets va être interrompue en raison d’un problème de sécurité. Des pirates s’étaient amusés à envoyer de fausses instructions de vols, qui à 850 kilomètres heures, auraient pu être catastrophique pour les pilotes.

En octobre 2008, des chercheurs des Universités de Cornell et de Virginia Tech indiquaient que des pirates pourraient faire s’écraser un avion en manipulant le GPS (Global Positioning System) des appareils. Pour réussi l’attaque, un pirate doit s’interposer entre le GPS de l’appareil et l’un des 30 satellites en orbite qui permettent de trianguler les informations de localisations. Il suffirait juste de 10 microsecondes pour perturber le moindre vol.  L’un des chercheurs avait présenté un petit boitier qui se branchait sur une simple prise électrique.

Quelques mois auparavant, nous étions alors en janvier 2008, un autre avion de la firme Boeing était montré du doigt : le Boeing 787. Une vulnérabilité de sécurité sérieuse découverte dans le réseau informatique embarqués L’instance gouvernementale en charge de l’aviation sur le territoire Américain (FAA) annonçait que les Boeing 787 étaient ouverts aux pirates informatiques. La faille permettait aux passagers d’accéder aux systèmes de contrôle de l’avion. Le réseau informatique dans le compartiment passager du « 787 Dreamliner« , conçu pour donner aux passagers un accès à Internet lors d’un vol est aussi raccordé… au contrôle de l’avion.

Nous finirons avec ce projet lancé en 2006 par une trentaine d’entreprises et universités (Airbus, Siemens, l’Université technique de Munich, …). L’idée était de travailler sur la mise en place d’un logiciel pas comme les autres. Une sorte de backdoor, une porte dérobée, qui doit équiper les avions. Mission de ce programme, permettre de piloter un avion, à distance, dans le cas où ce dernier a été pris en otage. L’hebdomadaire Der Spiegel expliquait à l’époque que ce programme devait permettre de piloter l’avion, du sol.

Windows XP sera-t-il la nouvelle aire de jeu des cybercriminels à compter du 8 avril 2014 ?

A partir de ce mardi 8 avril, Microsoft cessera le support de son système d’exploitation Windows XP alors que sa part de marché reste encore élevée (29.53% en février 2014 d’après Net Applications). Quel est l’impact sécuritaire de cette décision ? Concrètement, tous les ordinateurs qui fonctionneront encore sous Windows XP à compter de cette date ne bénéficieront plus des patchs créés contre les failles de sécurité de ce système d’exploitation. Que l’on soit un particulier ou une entreprise, deviendrons-nous la cible privilégiée des cybercriminels à compter du 8 avril 2014 ? Pas si sûr…

Qu’elles soient petites, moyennes ou grandes entreprises, issues du secteur bancaire, industriel ou tertiaire, le 8 avril 2014 préoccupe un certain nombre d’organisations car la fin du support de Windows XP n’est pas qu’une simple question de migration vers un nouveau système d’exploitation. D’autres contraintes comme le coût ou bien l’interruption de services liés à cette migration peuvent être des éléments critiques à prendre en compte pour certaines entreprises.

Prenons l’exemple du secteur bancaire. 95% des distributeurs automatiques de billets (DAB) dans le monde reposent actuellement sur des ordinateurs fonctionnant sous Windows XP. Outre la nécessité d’une interruption de services pour réaliser cette migration, ces ordinateurs ne tolèrent en général pas une version plus récente de Windows. Dans ce cas de figure, impossible de migrer sans changer l’ensemble du matériel informatique et engendrer un coût non négligeable pour les entreprises. Idem pour les environnements industriels dits SCADA comportant des applications métiers spécifiques créées depuis des dizaines d’années et difficiles à migrer.

Une des alternatives envisagées par ces entreprises est de ne rien faire. Seront-elles donc plus vulnérables ? N’en soyez pas si certain ! Il est fréquent qu’une organisation n’effectue pas les correctifs disponibles de l’OS pour éviter toute interruption de leurs services.  En effet, pour ces organisations, l’interruption de services n’est pas uniquement liée à la migration vers un nouvel OS mais est également nécessaire pour toute mise à jour de n’importe quel système d’exploitation. Ces entreprises seront donc autant vulnérables qu’aujourd’hui puisque sans ces correctifs, elles ne sont pas protégées des vulnérabilités actuelles. A l’inverse, d’autres entreprises ont l’habitude de mettre à jour automatiquement leur système d’exploitation, dans ce  cas, elles deviendront plus vulnérables qu’aujourd’hui puisqu’elles ne bénéficieront plus de protection actualisées.

Pour ce qui est des DAB, rassurez-vous, ces distributeurs ne sont pas directement connectés à Internet. Donc le seul moyen pour un cybercriminel de les cibler est d’intervenir sur la machine elle-même (comme par exemple : y introduire un cheval de Troie par le biais d’une clé USB qu’il connecterait au distributeur). Une opération très peu probable car risquée pour les cybercriminels.

Vous l’aurez donc compris la clé pour rester sous Windows XP est de ne pas être connecter à Internet. Sans quoi, il est recommandé de migrer vers un autre système d’exploitation car on peut s’attendre à une recrudescence d’attaques ciblant les prochaines vulnérabilités XP visant à extraire des informations sensibles (informations concurrentielles, numéros de cartes de crédit …). – Par Guillaume Lovet, expert en cybercriminalité au sein de l’équipe FortiGuard Labs de Fortinet.

Vishing : un coup de fil qui ne vous veut pas du bien

Les escrocs s’attaquent à notre porte-monnaie via le téléphone. La gendarmerie nationale décide de lancer l’alerte auprès des Français, cibles potentielles de cette escroquerie qui gagne du terrain. Compte tenu de la méfiance des internautes face au phishing, les cybers fraudeurs s’attaquent maintenant à des victimes par l’entremise du vishing appelé aussi hameçonnage vocal. Le vishing est l’utilisation de la technologie VoIP (voix sur IP) dans le but de duper quelqu’un en lui faisant divulguer de l’information personnelle et/ou financière.

Les fraudeurs ont plusieurs méthodes d’attaques. « Un automate téléphonique est utilisé pour contacter les victimes potentielles en composant au hasard des numéros de téléphone fixe dans une région géographique déterminée » explique la Gendarmerie Nationale. Lorsque la victime potentielle décroche, un message préenregistré supposé provenir de sa banque la prévient que des opérations inhabituelles ont été récemment effectuées sur son compte bancaire. Elle est par la suite invitée à composer un numéro de téléphone généralement surtaxé pour vérifier la situation de ce dernier. Ce numéro correspond à une boîte vocale, un message demande alors à la victime de fournir ses identifiants bancaires (les 16 chiffres et la date de validité de sa carte bancaire). Ces informations pourront ensuite être utilisées pour effectuer des achats frauduleux sur Internet.

Une autre possibilité d’attaque par le biais d’un appel vers une victime potentielle. L’escroc se fait passer pour quelqu’un du département de sécurité Visa, Master Card ou simplement de son établissement bancaire. Elle lui signale que sa carte de crédit a été utilisée pour un achat plus que douteux et lui demande si elle est à l’origine de cette opération. « Sa réponse étant négative, elle lui attribue un numéro de contrat de fraude, donnant ainsi à l’appel un aspect réaliste, puis lui demande de communiquer les coordonnées de sa carte bancaire afin de vérifier qu’elle est toujours en sa possession. Une fois la conversation terminée, la personne ajoute n’hésitez pas à nous rappeler si vous avez d’autres questions et raccroche. » explique les militaires.

Pour se protéger, comme pour les cas de phishing web, il faut juste se dire que votre banque, votre FAI, les Impôts, la CAF… ne vous réclameront jamais vos informations bancaires par téléphone. Un commerçant « légitime » vous réclame vos données par téléphone, refusez. Dans tous les cas, votre signature (et un temps de réflexion dans le cas d’un achat, ndr) pour un achat est obligatoire. Les fraudeurs jouent sur une vulnérabilité psychologique du consommateur en créant en lui un stress et un faux sentiment d’urgence lié à la possibilité d’avoir été fraudé. « Si un message vous demande de rappeler tel numéro, ne le composez pas. Prenez le temps de retrouver le véritable numéro de téléphone qui vous a été donné par l’émetteur de votre carte de crédit et utilisez le » terminent les gendarmes. En cas de fraude, il ne vous reste plus qu’à alerte votre banque et déposer plainte dans les plus brefs délais, que ce soit auprès d’un NTECH (cyber gendarme) ou un OPJ dans un commissariat central habilité à prendre une plainte liée aux fraudes aux nouvelles technologies.

Attention à vos standards téléphoniques
Certains pirates informatiques spécialisés dans la téléphonie, baptisée les phreakers, s’intéressent aux standards téléphoniques et autres PABX. Un détail juridique devrait intéresser les administrateurs. Le site Legalis revient sur un arrêt du 25 mars 2014 de la cour d’appel de Versailles. Le tribunal a condamné une société de maintenance « pour avoir manqué à ses obligations contractuelles en ne donnant pas les moyens à son client d’éviter le piratage de communications téléphoniques dont il a été victime. Un nombre élevé d’appels injustifiés à destination du Timor oriental avait été constaté« . L’installation téléphonique avait été piratée grâce au mot de passe « usine » du système, soit les mythiques 0000.

Des concurrents de l’hébergeur MavenHosting perquisitionnés par la police

Le 19 octobre 2013, l’hébergeur Québecois MavenHosting était victime d’une attaque informatique violente. Un piratage qui obligera l’hébergeur Mavenhosting à prendre des mesures drastiques pour s’assurer de l’intégrité de ses serveurs. « Une réinstallation complète du système d’exploitation est en cours sur tous les serveurs impactés. Une fois cette étape terminée, nous devons restaurer les sauvegardes des sites. » confiait-il à l’époque. A l’époque, certains serveurs de sauvegardes avaient été endommagées par le pirate. Le bourrin avait tout simplement écrasé des données. « Nous travaillons présentement avec une compagnie de restauration de données pour voir ce qu’il est possible de faire » indiquait alors l’hébergeur.

Six mois plus tard, rebondissement dans cette affaire. « Plusieurs personnes ont reproché à Mavenhosting le manque de communication et l’incapacité à gérer la crise, indique en cette fin mars la société canadienne. Sous les directives de la police et de nos avocats, les communications ont été limitées afin d’éviter les fuites et protéger l’enquête en cours« . Il faut dire aussi que à l’attaque, l’équipe de support avait été submergée par des milliers de demandes d’aide et de courriels.

Après avoir identifié la source du hack et fermé la brèche, l’équipe d’experts en sécurité de MavenHosting a mis la Sûreté du Québec sur la piste de PlanetHoster, un concurrent. La Sûreté du Québec a fait son enquête et aurait  confirmé la source de l’attaque. La Division des enquêtes régionales vient tout juste d’effectuer une perquisition, d’après les informations exclusives de Data Security Breach, le jeudi 27 mars dernier, chez les dirigeants de PlanetHoster afin de conforter, ou non, cette piste. La société n’est pour le moment accusée de rien !

Des accusations criminelles pourraient être déposées prochainement par Maven Hosting. Par ailleurs, Maven Hosting a déposé une poursuite au civil contre l’hébergeur PlanetHoster et ses dirigeants. « Le matériel informatique a été saisi » termine Patrice Baribeau de chez Maven Hosting. De son côté, Planet Hoster a répondu au communiqué de presse de Maven Hosting par un post, sur Twitter « Vous serez contacté par nos avocats pour diffamation.« 

Piratage d’un Android en 10 secondes

L’application Bing de Microsoft sous Android permettait de pirater un smartphone en 10 secondes. Microsoft a corrigé la faille. Faut-il encore que les utilisateurs de smartphones sous Android, utilisateurs de l’application de Microsoft, pensent à faire la mise à jour de leur outil. Un hacker a découvert, il y a quelques jours, comment il était possible de pirate un smartphone via l’application fuiteuse. Il fallait 10 secondes pour réussir le tour de passe-passe. Le chercheur de chez Trustlook a motivié Microsoft à passer son application en version 4.2.1.

L’attaque était simple : connecté en WiFi, sur une connexion non sécurisée, l’application permettait une prise de contrôle des informations  de votre « précieux ». La société de sécurité informatique indique qu’il y aurait près d’un milliard de propriétaires de smartphones visés par cette potentialité malveillante.

Bref, après Snapchat, Microsoft démontre que les applications pour smartphone sont réalisées à la va vite et que les utilisateurs installent, sans le savoir, de véritable mouchard. ZATAZWeb.tv de janvier vous montre, d’ailleurs, un de ces logiciels espions, capable de lire vos SMS, de photographier, filmer ou enregistrer des sons avoisinant le smartphone. Sans parler d’un suivi, en temps réel, de votre situation géographique.

 

Piratage en Corée du sud : démissions dans les banques

De grands cadres de banques et de sociétés de cartes de crédit ont présenté leur démission ce lundi dû à la fuite massive des données personnelles d’au moins 20 millions d’utilisateurs de cartes bancaires et de crédit. Les craintes que ces informations soient tombées dans les mains d’escrocs ont pris de l’ampleur après que certains clients se sont plaints de transactions financières suspectes et inattendues, malgré l’annonce antérieure par les compagnies concernées que les coupables avaient été appréhendés avant qu’ils n’aient distribué les informations.

L’Agence de supervision financière (FSS) avait promis quelques heures avant ces démissions qu’elle infligerait des sanctions sévères aux institutions financières et à leurs hauts responsables si l’enquête conclut que le piratage est le résultat d’une négligence de leur part.

Des sources du secteur bancaire ont indiqué hier que des informations privées, dont des numéros de compte et adresses, d’une vingtaine de millions de clients ont été volées. Une partie de ces fuites se seraient déroulées lors de l’envoi de données par des banques à leur filiale cartes de crédit. Pour les clients et les autorités, la question est maintenant de savoir si cet incident entraînera des dommages financiers.

«Les sociétés mères semblent s’éloigner (de la question) et ne pas montrer d’attitude responsable», estime Choi Soo-hyun, à la tête du gendarme financier. «Elles seront tenues pour responsables des fuites de données si le partage d’informations sur les clients entre filiales en est la cause.»

Le mois dernier, les données personnelles d’environ 130.000 clients de Standard Chartered Bank Korea et Citi Bank Korea ont été subtilisées, un chiffre qui n’avait encore jamais été atteint en Corée. Depuis ces derniers temps, la FSS fait l’objet de vives critiques en étant accusée de laxisme à l’égard des firmes financières.

Shim Jae-oh, le PDG de KB Kookmin Card Co. (4e à partir de la gauche), et des responsables de la société présentent des excuses pour les fuites de données de clients Shim Jae-oh, le PDG de KB Kookmin Card Co. (4e à partir de la gauche), et des responsables de la société présentent des excuses pour les fuites de données de clients

Les sociétés de cartes de crédit ont assuré de leur côté qu’elles prendraient la responsabilité de toutes les fraudes liées à ces fuites. «Nous assumerons l’entière responsabilité juridique et morale pour les cas de fuites de données personnelles», ont-elles déclaré dans un communiqué commun.

Ce matin, l’Agence des consommateurs financiers (FCA) avait fait savoir qu’elle demanderait le mois prochain à la FSS une enquête sur six banques et sociétés de cartes de crédit : Standard Chartered Bank Korea, Citi Bank Korea, Kookmin Bank, NongHyup Bank, KB Kookmin Card et Lotte Card. (Agence Yonhap)

Un espace EuroSport piraté, données utilisateurs envolées

Un pirate informatique met la main sur des données clients ayant téléchargé des applications Football et Tennis d’Eurosport. Difficile de savoir ou, précisément, le pirate Hocine a pu intercepter plus de 6.000 adresses électroniques, codes de promotion, IP appartenant à des clients et utilisateurs d’applications pour smartphone diffusés par Eurosport.

D’après les informations que Data Security Breach a pu collecter, les 20.001 données ne visent que des téléchargements réalisés entre le 09 et le 26 septembre 2013. A noter qu’à côté de chaque mail, une adresse IP. Bref, suffisamment d’information pour qu’un pirate puisse lancer d’autres attaques plus ciblées. ;Dans la liste, des Britanniques, des Allemands et 3.107 adresses appartenant à des Français.

Il semble que les internautes ayant téléchargés, par l’entremise d’Eurosport, Fluid Football et Virtua Tennis, soient touchés par cette fuite de données. Comment être certains que les données proviennent de la chaîne de télévision dédiée aux sports ? Assez simplement ! Le premier compte de ce « Leak », de cette fuite, appartient au Marketing Manager d’Eurosport.

Le pirate n’a pas souhaité nous indiquer s’il avait en sa possession d’autres informations, et encore moins, indiquer le point de départ de cette fuite.

Piratage d’un espace de la Croix Rouge

Cyber armée par-ci, cyber armée par là. Après la Syrian Electronic Army, l’European Electronic Army, voici venir la Nigérian Cyber Army. La NCA s’est attaquée, ce 17 janvier, au site Internet de la Croix et plus précisément à l’espace parisien de la structure philanthropique. En lieu est place de la page, le drapeau du pays et un texte vantant les « mérites » du visiteur. Des propos, soyons honnêtes, pas vraiment compréhensibles. A première vue, le jeune informaticien de cette attaque a une dent contre des dirigeants de son pays. Il indique avoir piraté la Croix Rouge « Juste pour transmettre mon message ». Ce barbouillage était saupoudré de musique tirée de films américains : Pirate des Caraïbes, …