Alerte ! Un nouveau malware infecte plus de 850.000 terminaux Android

Android a pourtant initié depuis plusieurs années un grand nettoyage de son Google Play Store et a revu les règles et procédures d’accès des applications, mais certains malwares parviennent encore à contourner les garde-fous mis en place. Trend Micro alerte ainsi sur une famille de malware baptisés Godless, qui sont distribués entre autres via le Google Play Store et des applications malveillantes.

Trend Micro explique que Godless dispose de plusieurs exploits lui permettant d’affecter les appareils Android, ce qui le rend potentiellement dangereux pour tous les téléphones disposant d’une version antérieure à Android 5.1.

Le malware est généralement distribué via des applications proposées sur le Google Play store. La présence de celui-ci n’est pas détectée, car lorsque l’application est uploadée vers le playstore, elle ne contient aucun code malveillant à proprement parler. Mais une fois l’application installée, celle-ci va se mettre à jour et télécharger alors le « payload » contenant l’exploit de la vulnérabilité choisie par les cybercriminels.

Le malware tentera d’exploiter celle-ci pour acquérir les droits root sur la machine : il s’en sert par la suite pour installer des applications ou pour diffuser des publicités.

La France est relativement épargnée par ce malware, qui est principalement actif en Asie, notamment en Inde et en Indonésie. Mais Trend Micro estime que plus de 850.000 terminaux Android ont été infectés par ce malware à travers le monde. Outre les applications qui parviennent à le distribuer sur le Google Play Store officiel, celui-ci est évidemment diffusé sur les magasins d’application tiers.

Article original de Louis Adam

Réagissez à cet article

Enquête sur l’algo le plus flippant de Facebook

La section « Vous connaissez peut-être » (« People you may know ») de Facebook est une source inépuisable de spéculations. Cette fonction, en apparence sympathique puisqu’elle nous propose d’ajouter de nouveaux amis, semble détenir des informations très personnelles sur chacun d’entre nous.

• Une journaliste de la rédaction s’est ainsi vu proposer un flirt dont elle n’avait pas noté le téléphone dans son portable ;
• un autre collègue s’est vu proposer un pote qu’il n’a pas revu depuis 10 ans et qui venait de lui envoyer un mail ;
• une autre enfin, sa femme de ménage, dont elle a le numéro de téléphone dans son portable, mais avec laquelle elle n’a jamais eu aucune interaction en ligne.

Beaucoup ont aussi vu apparaître des gens rencontrés sur des applis de rencontre comme Tinder ou Grindr. Plutôt embarrassant, non ?

Folles rumeurs

Entre nous, les mots de « magie noire » et « espionnage » sont prononcés. Sur Internet, les rumeurs les plus folles circulent sur la façon dont cet algorithme plutôt intrusif fonctionnerait.

• Il existerait un « profil fantôme » de chacun d’entre nous, pré-rempli et automatiquement activé dès notre inscription.

C’est la théorie d’un utilisateur de Reddit. Il raconte avoir créé un profil anonyme avec un mail jamais utilisé et s’être vu proposer plein de contacts connus.

• A Rue89, on en formule une autre pour se faire peur : Facebook nous proposerait aussi les personnes qui nous « stalkent » (espionnent en ligne) ou que nous avons récemment « stalkées ».

Je découvre que cette rumeur existe déjà, et que beaucoup d’utilisateurs y croient dur comme fer. Facebook l’a toujours démentie.

• Dans le même genre, la sérieuse BBC affirmait, via des témoignages concordant et une société de sécurité informatique, que Facebook se connectait à des applications type Tinder ou Grindr pour vous faire des suggestions d’amis.

Un journaliste du Huffington Post a fait la même hypothèse. Ce que le réseau social a nié avec force.

Fabrice Epelboin, spécialiste des médias sociaux et entrepreneur du Web, croit les dires de Facebook, comme Vincent Glad :

« Ce serait très dangereux économiquement. Facebook n’est pas une société idiote, elle prend des risques calculés. »

Pour lui, l’explication est beaucoup plus simple :

« Quand on “date” quelqu’un sur Tinder, on lui donne bien son numéro avant, non ? Facebook se connecte en fait à votre répertoire. »

Ah bon ?

Un aspirateur à données, via votre téléphone

On résume. Il faut imaginer l’algorithme de Facebook comme un aspirateur à données géant.

Dans un article du Washington Post, qui fait référence en la matière, il est expliqué que l’algorithme de « Vous connaissez peut-être » est basé sur la « science des réseaux ».

En définissant les réseaux auxquels on appartient, Facebook calcule nos chances de connaître telle ou telle personne. Et il peut même prédire nos futures amitiés. Un peu de probabilités et c’est dans la boîte.

« Ce n’est pas de la magie, mais juste des mathématiques très pointues », apprend-on.

En fonction des amis que l’on a, de nos interactions plus ou moins fortes et fréquentes avec eux, de l’endroit où on vit, des lieux où on a étudié et travaillé, l’algorithme fait ses calculs. Il tente aussi de définir les personnes « clés » de votre réseau, celles qui vous présentent aux autres. Enfin, il utilise votre géolocalisation, ce qui a probablement mené ce lundi à l’arrestation du voleur de la voiture d’un internaute, qui est apparu dans ses suggestions d’amis.

Surtout, depuis qu’il est arrivé sur votre mobile, via les applis Facebook et Messenger, le réseau social a un tas d’autres informations à mettre sous la dent de leur algo :  vos contacts téléphoniques et vos mails.

Vous l’avez autorisé, probablement sans en avoir conscience, au moment de l’installation de l’une et/ou l’autre application.

Le test ultime : le Nokia de Xavier de La Porte

Comme c’était un jour de pluie, j’ai voulu tester la puissance de cet algorithme qui marche donc sur deux pieds :

• La « science des réseaux » ;
• des tonnes de données « scrapées » de notre mobile notamment.

Je décide de créer un compte avec un numéro de téléphone et avec un faux nom. Le mien est déjà lié à un compte, donc Facebook le refuse.

En effet, il est interdit, en théorie, de créer un faux compte ou de doublonner, selon sa politique de « l’identité réelle » – les personnes transgenres en savent malheureusement quelque chose.

Il y a une personne dans ces bureaux qui n’a pas lié son compte Facebook à son numéro. J’ai nommé : Xavier de La Porte. Il possède un charmant Nokia cassé sur le dessus.

« J’ai 20 contacts dessus, seulement ma famille et mes amis proches », jure-t-il.

Il n’est évidemment pas question d’applications quelconques. Avec le numéro de Xavier, Facebook accepte la création du compte de « Mathilde Machin », 21 ans.

Et là, un truc vraiment effrayant arrive : des dizaines de contacts sont proposés, amis, famille, collègues de bureau, sources de Xavier. Ils ne sont pas dans son répertoire. Et ne sont pas non plus tous amis avec lui sur Facebook. A partir de là, deux hypothèses s’offrent à moi :

• Son compte a été lié un jour à ce numéro de téléphone, et Facebook se rend compte qu’il s’agit de la même personne. Il lui propose logiquement d’ajouter les amis du compte de Xavier.

Mais, Facebook refuse d’ouvrir deux comptes avec le même mail ou le même numéro. Il s’agirait d’une sorte de faille de sécurité, puisque le téléphone sert justement à sécuriser votre compte. Et cela n’expliquerait pas pourquoi Mathilde Machin se voit proposer des personnes qui ne sont pas dans les amis Facebook de Xavier.

• Les contacts proposés sont ceux qui possèdent le numéro de Xavier dans leur répertoire. Et qui ont donné à Facebook l’autorisation de scraper leurs données. Ce qui veut dire que l’algorithme de suggestion est tellement puissant qu’il réussit, en quelques secondes, à « inverser » la recherche.

Facebook, après s’être creusé les méninges un moment – c’est un peu technique –, me confirme la dernière hypothèse.

C’est vertigineux. Mais inscrit noir sur blanc dans les flippantes« Confidentialités et conditions » de Facebook. Qui autorisent l’application à utiliser les « données que vous importez ou synchronisez de votre appareil », type répertoire, mais aussi :

« Les contenus et informations que les autres personnes fournissent lorsqu’elles ont recours à nos services notamment des informations vous concernant, par exemple lorsqu’elles partagent une photo de vous, vous envoient un message ou encore lorsqu’elles téléchargent, synchronisent ou importent vos coordonnées. »

Un algo gourmand

Facebook m’explique donc que l’algorithme se nourrit aussi des données que les autres ont sur vous (votre mail, votre numéro). Pour le dire autrement, quelqu’un qui a votre contact et l’importe dans son appli Facebook va probablement apparaître dans vos suggestions d’amis. C’est aussi fou que les rumeurs. Facebook insiste sur le fait que :

• Le processus est transparent ;
• l’algorithme, gentil, ne cherche qu’à vous faire retrouver vos amis et échanger avec eux ;
• « Facebook ne possède pas et n’utilise pas » votre numéro de téléphone, il s’en sert pour mettre en relation des profils ;
• et les paramètres de votre compte sont personnalisables.

Un samedi soir, vous êtes tombée amoureuse d’un ami d’ami. Le lendemain, vous demandez à l’ami commun son numéro. Vous hésitez à envoyer un message, vous bloquez plusieurs jours. Sachez donc que ce mec, à qui vous n’avez rien envoyé, vous a peut-être déjà vu apparaître dans « Vous connaissez peut-être ». Et qu’il a déjà peur de vous.

Article original de  Alice Maruani Rue 89

Réagissez à cet article

Comment devenir maître dans l’art de protéger sa vie privée sur le net ?

Malgré cette méfiance, dans un monde où l’utilisation d’Internet est devenue omniprésente, les utilisateurs ont tendance à exposer très facilement leur vie privée et leurs données personnelles – parfois par paresse ou par mégarde, mais souvent par manque d’information. Il existe cependant des moyens simples et efficaces de limiter ces risques.

Michal Salat, Threat Intelligence Manager chez Avast, commente : « Les sphères privées et professionnelles se fondent de plus en plus, poussant fréquemment les utilisateurs à accéder à leurs plateformes de travail depuis des terminaux personnels ou à utiliser leurs appareils professionnels à la maison par exemple. Or, en adoptant ces comportements, les internautes exposent davantage leurs données personnelles.«

Vol de ses données personnelles

Pour éviter que cela n’arrive, les utilisateurs doivent d’abord se protéger des menaces extérieures à leur appareil en commençant par créer un mot de passe ou un code PIN sur les écrans et les applications mobiles, limitant ainsi l’accès aux données en cas de perte ou de vol. Mais encore faut-il qu’il soit suffisamment compliqué pour ne pas être déchiffré trop facilement. C’est pourquoi il est recommandé d’utiliser des mots de passes complexes – combinant lettres, chiffres, caractères spéciaux et majuscules – et qui ne reprennent pas non plus des informations personnelles facilement accessibles en ligne, telle que la date de naissance ou le prénom de ses enfants. Il est également important de changer ses codes régulièrement.

Il faut garder en tête que les cybercriminels sont à l’affût de la moindre faille à exploiter pour récolter des gains et cherchent très souvent à récupérer des informations bancaires. C’est pourquoi les internautes doivent à tout prix éviter de sauvegarder leurs coordonnées bancaires dans leurs terminaux, quels qu’ils soient. A titre d’exemple, beaucoup d’utilisateurs PayPal ont perdu de grosses sommes d’argent lorsque des hackers ont réussi à se connecter à leurs PC via un compte TeamViewer piraté et se sont servi des identifiants enregistrés pour transférer l’argent depuis les comptes PayPal.

Les pirates parviennent à créer des e-mails d’hameçonnage très sophistiqués notamment grâce à la collecte d’informations personnelles publiques disponibles sur le web – accessibles sur les réseaux sociaux par exemple. Il est alors essentiel pour l’utilisateur de poster le moins d’informations possibles sur Internet ou de s’assurer que celles-ci sont en mode privé. Il est également crucial de supprimer ses comptes s’ils ne sont plus utilisés, car bien qu’abandonnés, ces profils restent en ligne et des personnes malintentionnées pourraient usurper l’identité de l’internaute ou nuire à sa réputation en ligne en utilisant des informations sensibles contre lui.

La protection de la vie privée et des données personnelles (vol de ses données personnelles) implique une modification du comportement des internautes à commencer par de meilleures méthodes de gestion de mots de passe, une vigilance accrue sur leur utilisation d’Internet et des informations personnelles partagées publiquement – comme sur les réseaux sociaux. Au-delà des bonnes pratiques, il existe des solutions qui répondent aux problématiques liées à la vie privée. Cependant face aux menaces, il n’appartient qu’à nous de nous discipliner et de tout mettre en œuvre pour protéger nos données personnelles.

Article original de Damien Bancal

Réagissez à cet article

Cloud et sécurité : le point sur 7 questions qui fâchent

En France, le marché du “cloud” n’est pas encore mature », confie Henry-Michel Rozenblum, délégué général d’EuroCloud France, l’association des fournisseurs français de « cloud » liée à la fédération européenne Eurocloud. Ce qui signifie qu’il n’y a pas de standard de sécurité spécifique. L’approche consiste plutôt à s’appuyer sur les bonnes pratiques traditionnelles de la sécurité informatique. Notamment la certification ISO 27001, qui, si elle est délivrée par un grand cabinet d’audit, est la seule garantie qui fait foi. Autrement, pas de véritable sécurité. « Même si le discours marketing prétend le contraire », souligne Gérôme Billois, expert sécurité au Cercle européen de la sécurité et des systèmes d’information.

Les pirates s’adaptent

Il existe sur Internet, des « black markets » électroniques (places de marché pirates), où des logiciels clefs en main s’échangent sans contrôle. Ils permettent de mener des attaques complexes contre un « cloud », sans même avoir besoin de solides compétences en informatique. Leur nom : des « hyperkits ». « En quelques clics, ils permettent de prendre le contrôle d’un serveur physique à partir du serveur virtuel », prévient Jean-Paul Smets, PDG de Vifib, un offreur de « cloud » distribué. « L’unique manière de s’en protéger est de maintenir son système à jour et de combler systématiquement les failles de sécurité. »

Un risque systémique

En dehors des attaques, rappelons que le cloud est, lui-aussi, sensible aux bugs, pannes et erreurs humaines… « Comme une poignée d’opérateurs de “cloud” domine le marché, le moindre problème prend une ampleur démesurée », explique Gabriel Chadeau, directeur commercial chez Vision Solutions, spécialiste de la récupération de données. Normal : lorsque le nuage « plante », des milliers d’entreprises n’accèdent plus à leurs services. Pour se protéger, il faut se demander quels services externaliser dans le « cloud » et quels autres garder chez soi. « Je déconseille de mettre ses applications métiers dans le cloud. Pour des raisons de disponibilité et de confidentialité », souligne Gérôme Billois.

Une confidentialité illusoire

Pour de nombreux acteurs, la confidentialité est le point noir du cloud computing. Les fournisseurs américains sont particulièrement visés par les critiques. Car le Patriot Act les oblige ainsi que leurs filiales situées en dehors des Etats-Unis à remonter des données vers leurs autorités. En novembre 2012, le rapport « cloud computing » dans l’enseignement supérieur et les instituts de recherche et le Patriot Act américain, rédigé par des juristes de l’université d’Amsterdam, expliquait qu’il s’agissait d’un droit « extraterritorial » et qu’il ne s’embarrasse pas des lois nationales ou européennes… En ce moment, l’Europe légifère sur le sujet. En attendant, mieux vaut se rabattre sur un offreur cloud français.

De l’espionnage en interne

Reste qu’un fournisseur français n’est pas un gage de sécurité en soi. « Parce que, lorsqu’une donnée circule dans le nuage, des centaines de techniciens y ont accès. Par le jeu de la sous-traitance, plus de la moitié d’entre eux ne sont pas en France », assure Hervé Schauer, membre du Club de la sécurité de l’information français (Clusif) et expert en sécurité des systèmes d’information. « Si l’une de ces personnes est corrompue, il n’y a plus de confidentialité dans le cloud. » Pour se prémunir, il faut obliger son fournisseur à apporter des garanties concrètes. « Il doit pouvoir expliquer comment son architecture est techniquement cloisonnée et comment les droits sont gérés », explique Matthieu Bennasar, consultant sécurité au Lexsi, un cabinet spécialisé en sécurité informatique et gestion des risques.

Chiffrement faible

A défaut d’obtenir ces garanties, il faut vivre avec la crainte d’être mis sur écoute, dans le nuage. Et le bon vieil argument qui veut que le chiffrement protège efficacement les données contre les regards malveillants ne tient en réalité pas la route. C’est un écran de fumée. « Aucun chiffrement n’est infaillible », rappelle Patrick Debus-Pesquet, directeur technique chez Numergy, un des deux opérateurs de cloud souverain. Ce qu’il faut faire, souvent, c’est auditer son cloud afin de déceler la présence de sondes et de logiciels espions.

Pas d’audit par défaut

Mais encore faut-il pouvoir auditer son cloud ! Tous les offreurs ne le permettent pas. « Il faut négocier en amont une clause d’auditabilité, c’est indispensable », martèle Philippe Hervias, directeur sécurité à l’Institut français de l’audit et du contrôle interne (Ifaci).

Réversibilité impossible

Dans tous les cas, négocier avec son fournisseur est une stratégie gagnante. Dans le cas inverse, le risque est de se retrouver piégé avec un mauvais prestataire. Et de ne pas pouvoir en changer, parce qu’il est difficile – voire impossible – de réinjecter ses données dans un nouveau système d’information. « Je n’ai jamais vu un tel principe mis en œuvre », admet Pierre-Josée Billotte, président du conseil d’administration d’Eurocloud France. Il faut donc redoubler de vigilance au moment de signer son contrat. Ou choisir exclusivement des applications SaaS à base de logiciels libres que l’on peut répliquer gratuitement sur une autre plate-forme.
Article original de GUILLAUME PIERRE

Réagissez à cet article

Patch Tuesday Juin 2016

Le Patch Tuesday juin 2016 arrive avec un cortège de 16 bulletins publiés par Microsoft pour résoudre plus de 40 vulnérabilités (CVE) différentes. Cela porte à 81 le nombre de bulletins pour les 6 premiers mois, ce qui laisse augurer plus de 160 bulletins d’ici fin 2016, un nouveau record pour la dernière décennie en termes de correctifs.

Votre attention doit se porter en priorité sur Adobe Flash. En effet, Adobe a reconnu qu’une vulnérabilité (CVE-2016-4171) au sein du lecteur Flash actuel est en cours d’exploitation en aveugle, si bien que l’éditeur a reporté le patch mensuel pour Adobe Flash. Dans son avis de sécurité APSA16-03. Adobe promet ce patch pour d’ici la fin de la semaine. Surveillez attentivement sa diffusion et déployez-le dès que possible. Si l’outil EMET est installé sur vos systèmes, vous êtes protégés. Pour information, c’est le troisième mois d’affilée qu’une faille 0-Day est découverte dans Flash, ce qui en fait le logiciel certainement le plus ciblé sur les points d’extrémité de votre entreprise.

Ce mois-ci, un ensemble de bulletins à la fois pour les serveurs et les systèmes clients va occuper cette semaine toute l’équipe IT qui devra sécuriser les systèmes de l’entreprise.

Vulnérabilité critique

La vulnérabilité la plus intéressante côté serveur est résolue dans le bulletin MS16-071. Ce dernier corrige une vulnérabilité critique unique sur le serveur DNS de Microsoft. En cas d’exploitation réussie, l’attaquant déclenche une exécution de code à distance (RCE) sur le serveur, ce qui est extrêmement fâcheux pour un service aussi critique que DNS. Les entreprises qui exécutent leur serveur DNS sur la même machine que leur serveur Active Directory doivent être doublement conscientes du danger que représente cette vulnérabilité.

Côté client, la vulnérabilité la plus importante est résolue dans le bulletin MS16-070 Elle corrige plusieurs problèmes dans Microsoft Office. Principale vulnérabilité associée au format Microsoft Word RTF, CVE-2016-0025 déclenche une exécution RCE au profit de l’attaquant. Le format RTF pouvant être utilisé pour attaquer via le volet d’aperçu d’Outlook, la faille peut être déclenchée à l’aide d’un simple email et sans interaction avec l’utilisateur.

Côté navigateur Web, les bulletins MS16-063 pour Internet Explorer, MS16-068 pour Edge et MS16-069 pour Javascript sur Windows Vista traitent plusieurs vulnérabilités RCE critiques qui sont exploitables lors d’une simple navigation sur le Web. Ces vulnérabilités constituent un vecteur d’attaque privilégié pour les cybercriminels et nous vous recommandons de les corriger dans les 7 prochains jours.

Les autres vulnérabilités concernées par ce Patch Tuesday juin sont toutes classées comme importantes. Elles sont généralement exploitées pour élever des privilèges une fois qu’un intrus est parvenu à exécuter du code sur la machine et sont donc associées avec une exécution de code à distance comme décrit ci-dessus. L’exception est MS16-076 qui résout une faille unique dans Windows Netlogon pouvant fournir une exécution RCE à l’attaquant. Sa gravité est moindre qu’une vulnérabilité RCE normale parce l’attaquant devra dans un premier temps prendre le contrôle du serveur Active Directory.

Deux autres vulnérabilités côté serveur dans le patch tuesday juin

Une élévation de privilèges sur le composant du serveur SMB résolue dans le bulletin MS16-075

Une faille dans Microsoft Exchange résolue dans le bulletin MS16-079 entraînant aussi une élévation de privilèges, certains étant liés au patch Oracle dans la bibliothèque Outside-in.

En résumé, il s’agit d’un Patch Tuesday relativement classique mais avec une menace 0-Day connue qui nécessite de surveiller impérativement la publication de la prochaine mise à jour de Flash. Corrigez les autres problèmes en fonction de vos priorités habituelles, mais faites particulièrement attention à la vulnérabilité qui affecte le serveur DNS et qui va forcément susciter des comportements indésirables. (Wolfgang Kandek, CTO de Qualys).

Article original de Damien Bancal

Réagissez à cet article

Acer se fait voler des numéros de CB de ses clients, avec le cryptogramme$

C’est un incident qui en dit long sur le degré de sécurité qui était en vigueur sur l’une de ses boutiques en ligne. Dans un courrier adressé à sa clientèle nord-américaine, le constructeur taïwanais a admis l’existence d’une faille de sécurité qui a permis à un ou plusieurs pirates de dérober des informations hautement sensibles entre le 12 mai 2015 et le 28 avril 2016.

Parmi les éléments qui ont été récupérées par les assaillants figurent notamment l’identité et l’adresse postale de 34 500 clients se trouvant aux États-Unis, au Canada et à Porto Rico. Beaucoup plus préoccupant, il apparaît que des informations de paiement (numéro de carte bancaire, sa date d’expiration et son cryptogramme visuel) ont également été récupérées dans le feu de l’action.

Étaient-elles chiffrées ? Acer se garde bien de le dire. Même si l’ampleur de l’incident est modeste (nous sommes très loin des fuites massives affectant des millions d’utilisateurs), la question du niveau de protection des informations stockées par Acer se pose au regard de la nature des éléments qui ont été obtenus par les pirates. Selon le fabricant asiatique, la brèche a depuis été colmatée.

Article original de Julien Lausson

Réagissez à cet article

Les utilitaires de déchiffrement fonctionnent contre toutes les versions de TeslaCrypt

Ainsi, Kaspersky Lab a actualisé son utilitaire Rakhni en y ajoutant un utilitaire de déchiffrement pour Bitman (TeslaCrypt) version 3 et 4. La semaine dernière, Cisco a réalisé une mise à jour similaire. Son outil est désormais capable de récupérer les fichiers chiffrés par l’ensemble des 4 versions existantes de ce ransomware.

D’après Earl Carter, analyste en chef chez Cisco Talos, la clé principale publiée le 19 mai était utilisée pour récupérer les fichiers chiffrés par TeslaCrypt version 3 et 4. Il ajoute : « Nous ne savons pas si cette clé principale fonctionne pour les versions antérieures. La version 2 était défectueuse et elle a pu être facilement déchiffrée et nous dispositons de l’utilitaire de déchiffrement pour la version originale. L’utilisateur devait d’abord identifier la version du ransomware qui l’avait infecté avant de pouvoir choisir l’utilitaire de déchiffrement adéquat. Nous avons actualisé l’utilitaire d’origine afin qu’il puisse s’occuper de toutes les versions existantes. »

Pour l’instant, les raisons qui ont poussé les opérateurs de TeslaCrypt à mettre un terme à leur projet sont inconnues. Les attaques de ransomwares contre des entreprises ou des particuliers ne faiblissent pas. D’après les estimations du FBI, au cours du premier trimestre seulement, les auteurs de ces attaques ont empoché plus de 200 millions de dollars américains sous la forme de rançons payées. D’ici la fin de l’année, ce chiffre pourrait atteindre 1 milliard. Ceci étant, TeslaCrypt, en tant qu’acteur sur ce marché juteux, n’était pas parfait. Il affichait des défauts qui avaient permis aux chercheurs, presque dès le début, de trouver dans le code les clés de déchiffrement et de créer des outils pour venir en aide aux victimes.

Le jeu du chat et de la souris pouvait commencer : les individus malintentionnés ont renforcé le chiffrement tandis que les chercheurs ont réalisé des analyses plus en profondeur pour trouver l’antidote. « Certains ransomwares utilisent le chiffrement symétrique et dans ce cas, il est possible de trouver la clé sur l’ordinateur et de déchiffrer les fichiers » explique Earl Carter. « D’autres privilégient l’infrastructure PKI et dans ce cas, il est plus difficile de récupérer les fichiers, principalement parce que la clé n’est pas enregistrée sur l’ordinateur infecté. »

Dès qu’un utilitaire de déchiffrement a été réalisé pour une des versions, d’autres chercheurs commencent également à fournir des efforts dans ce sens. Il est tout à fait possible que cela soit la raison pour laquelle les opérateurs de TeslaCrypt ont tué le projet.

« Les ransomwares sont très rentables et tout le monde veut sa part » signale Earl Carter. « Dans la mesure où toutes les versions [de TeslaCrypt] avaient été déchiffrées, on pourrait croire qu’elles n’étaient pas aussi rentables que le souhaitaient les opérateurs. Ceci n’est qu’une hypothèse car nous ne disposons pas des preuves concrètes. Mais à première vue, on dirait bien que c’est cela qui s’est passé. Le malware était toujours déchiffré, les revenus récoltés ne correspondaient pas aux attentes et à la fin, ils ont décidé de faire une croix sur le projet.

La clé principale de TeslaCrypt a été publiée sur le forum d’assistance technique du ransomware après qu’un chercheur de l’ESET avait repéré des indices qui laissaient entendre que le projet allait être abandonné et il a demandé la clé aux auteurs. TeslaCrypt pourrait être remplacé par CryptXXX qui, d’après BleepingComputer, est déjà diffusé via des kits d’exploitation répandus. Certaines sociétés spécialisées dans la sécurité de l’information, comme Kaspersky Lab, surveillent attentivement le développement de CryptXXX et ont même créé des outils de déchiffrement pour ses premières versions.

Le système de chiffrement adopté par TeslaCrypt était actualisé fréquemment afin que les chercheurs ne puissent pas le déchiffrer. Au début de cette année, ce malware se propageait via des redirections WordPress et Joomla ainsi que via le kit d’exploitation Nuclear. Au mois d’avril, des chercheurs de chez Endgame ont découvert deux nouveaux échantillons du ransomware dotés d’outils d’obfuscation et de dissimulation supplémentaires ainsi que d’une liste d’extensions plus longue. A ce moment, TeslaCrypt se propageait déjà via des campagnes de spam.

« Les kits d’exploitation ont commencé à charger des ransomwares au lieu d’enregistreurs de frappe ou de malware de fraude au clic ». L’association du kit d’exploitation et de la publicité malveillant a considérablement simplifié la tâche des attaquants » résume Earl Carter.

Article original de Securelsti

Réagissez à cet article

Vol de données Twitter, LinkedIn… qui est à l’origine ?

Les fuites de mot de passe se sont multipliées ces dernières semaines : Tumblr, LinkedIn, Myspace ou encore le réseau social russe Vkontakte, autant de services web qui ont vu les identifiants de leurs utilisateurs vendus à bas prix sur le web. Ces différentes fuites de données présentaient néanmoins plusieurs points communs : les données vendues étaient toutes plus ou moins datées, les entreprises concernaient ne confirmaient pas systématiquement avoir détecté un piratage de leur côté et les données étaient vendues sur une place de marché noir par un internaute répondant au pseudo Peace of Mind.

Naturellement, ce rôle de revendeur a rapidement fait peser les soupçons sur Peace Of Mind, celui-ci ne précisant pas la provenance exacte des identifiants volés qu’il proposait à la vente.

Selon Motherboard et ZDNet.com néanmoins, l’affaire est un peu plus complexe que cela et Peace Of Mind ne pourrait être qu’un vulgaire revendeur. C’est tout du moins ce que clame l’internaute dissimulé derrière le pseudo Tessa88. Ce dernier, contacté par nos confrères, clame être à l’origine des piratages massifs d’identifiants ayant surgi ces dernières semaines. Peu de détails sont connus sur la personne qui se cache derrière ce pseudonyme, mais on sait que celui-ci est apparu sur des forums russophones spécialisés dans la cybercriminalité aux alentours du mois d’avril 2016. À cette époque, elle propose à la vente des bases de données contenant des identifiants VKontakte ou Myspace parmi d’autres services.

Recel et rivalités

Pour Motherboard, plusieurs personnes pourraient se cacher derrière le pseudonyme Tessa88. Si l’internaute utilise un prénom féminin pour parler de lui sur différents forums dédiés à la cybercriminalité, le site américain soupçonne que ce pseudonyme pourrait être un avatar manipulé par un groupe de cybercriminels. Le pseudonyme avait déjà été mentionné par le site LeakedSource, qui avait fait partie des premiers sites à confirmer l’authenticité des informations contenues dans les bases de données volées mises en vente. Ceux-ci expliquaient avoir obtenu les échantillons des bases de données grâce à l’entremise de Tessa88.

Peu de temps après, Peace Of Mind propose lui aussi des bases de données similaires sur le marché noir The Real Deal : on retrouve les mêmes sites et des bases de données de tailles comparables. Mais Tessa88 n’est pas tendre avec Peace Of Mind : celle-ci clame en effet être l’auteur des piratages ayant permis de récupérer les identifiants et dénonce le fait que Peace of mind n’est qu’un revendeur, pour qui Tessa88 ne semble pas avoir beaucoup d’estime.

Peace Of Mind n’est pourtant pas un total inconnu : c’était déjà ce pseudonyme qui revendiquait la cyberattaque ayant visé le site de la distribution Linux Mint en début d’année 2016. Peace Of Mind n’a fait aucun commentaire sur les déclarations de Tessa88 et se contente de laisser entendre que la vente d’identifiants va continuer. Tessa88 laisse également entendre qu’elle n’a pas écoulé entièrement son stock et que de nouvelles ventes sont à prévoir. Tous deux clament ainsi être en possession de bases de données contenant des identifiants de connexions Instagram, là aussi dans des volumes particulièrement importants.

De nombreuses zones d’ombres persistent malgré les déclarations concurrentes des deux cybercriminels. Ainsi, ceux-ci restent muets sur l’origine exacte des données : certaines entreprises touchées n’ont reconnu aucun piratage au sein de leurs systèmes.

Impossible de savoir également pourquoi exactement ces données ressortent aujourd’hui : Tessa88 explique à Motherboard avoir exploité ces identifiants pour ses activités pendant plusieurs années, mais avoir aujourd’hui choisi de les vendre afin de faire face à des soucis de santé. La seule chose sur laquelle les deux cybercriminels s’accordent, c’est sur le fait qu’ils entendent bien continuer à revendre ces identifiants.

Article original de Louis Adam

Réagissez à cet article

Denis JACOPINI était présent aux cotés des plus grands experts en cybersécurité à Abidjan pour le 8ème IT Forum 2016

Je tiens enfin à remercier tous les partenaires et sponsors sans qui ce Forum n’aurait pas été possible, et enfin, je tiens à remercier chaleureusement le public présent et attentif jusqu’aux ultimes minutes des dernières interventions des panélistes dont j’ai eu l’honneur  et le privilège de faire partie.

Durant ces deux jours j’ai à la fois côtoyé des professionnels d’excellente facture et de réputation internationale proposant des produits relatifs à la cybersécurité et d’aide à la transformation numérique., et je me suis retrouvé face à un public d’une attention universitaire, des chefs de grandes entreprises et de grands DSI (Directeurs des Systèmes d’Information) venu écouter les avis et les conseils d’experts et surtout réfléchir avec nous aux moyens à mettre en œuvre pour aider  la Côte d’iVoire à négocier le virage vers un numérique plus sécurisé pour les entreprises et plus rassurant pour les utilisateurs.

Dès l’ouverture de l’IT Forum, nous avons été réconfortés par le discours de Monsieur Bruno Nabagné Koné, Ministre de l’Economie numérique et de la Poste, Côte d’Ivoire rassurant l’assemblée de sa volonté de permettre à son pays une évolution vers un numérique de confiance en ces mots: « Pas de développement économique sans cyber sécurité »

Quelques mots échangés avec Monsieur Bruno Nabagné Koné, Ministre de l’Economie numérique et de la Poste m’ont rassuré. Il compte bien tout mettre en œuvre pour respecter ces propos : « Pour que nos pays puissent continuer à tirer le meilleur profit de ces technologies, il faut un environnement où les utilisateurs sont en confiance. ».

Ce n’est plus seulement au plus haut niveau de l’état, ni au niveau des autorités du pays que cette révolution à lieu. J’ai pu assister à une des étapes essentielles vers une transformation des mentalités numériques et reste persuadé que désormais la Côte d’iVoire pourra aussi compter sur ses DSI pour mettre en application sans relâche les règles de base d’un vrai hygiène informatique.

De part notre expérience et notre expertise, nous accompagnerons la Côte d’iVoire dans sa démarche de sensibilisation, de qualification et surtout nous l’aiderons à redorer son blason terni par l’image d’un pays ayant sur son sol brouteurs et autres arnaqueurs.

Ce forum a aussi été l’occasion à l’assemblée d’avoir enfin, après un déballage de solutions de sécurité protégeant d’un nombre très restreint de problèmes,  une liste d’un grand nombre d’attaques que la Côte d’iVoire a à craindre et va devoir combattre sans relâche ces prochaines années.
Au cours de nos interventions, nous avons apporté la preuve à l’auditoire que la solution pour lutter contre la cybercriminalité ne peut pas être techniques. En effet, sur un ensemble de 11 techniques d’attaques courantes, Denis JACOPINI a démontré que seulement 3 pouvaient être maîtrisées par la mise en place de solutions techniques parfois coûteuses.

La prochaine étape, indispensable à mon sens, sera la lourde tâche consistant à faire évoluer les mentalités et les comportements des utilisateurs, dernier maillon de la chaîne sur lequel aucun garde fou technique n’est en mesure de totalement compenser son manque de connaissance des bonnes pratiques. Il restera donc une faille essentielle à combler, celle de l’humain qu’il sera nécessaire d’accompagner avec tact et pédagogie.

Photo : Mathieu Photo & Camera

Réagissez à cet article

Les dirigeants sont les premiers responsables en cas de cyberattaques subies par leur entreprise

Tel est le constat dressé par VMware qui vient de publier les résultats d’une enquête menée par le cabinet d’études de marché Vanson Bourne. Celle-ci pertmet aussi d’établir que plus d’un tiers des entreprises s’attendent à subir une cyberattaque importante dans les trois prochains mois, qu’un quart des responsables informatiques français n’informent pas ses dirigeants en cas de cyberattaque et que seulement 11 % des dirigeants français considèrent la cybersécurité comme une priorité au détriment d’initiatives visant à revoir la sécurité de leur système d’information.

Près d’un tiers (29 %) des responsables informatiques et près d’un cinquième (21 %) des employés en France considèrent donc que leur dirigeant devrait être tenu responsable en cas d’importante fuite de données. Pourtant, un quart (25%) des responsables informatiques admet ne pas informer son dirigeant en cas d’incident de ce type. Ce manque de transparence prive donc les dirigeants, considérés comme principaux responsables, d’une visibilité réelle sur les risques que représentent les fuites de données pour leur entreprise.

L’ampleur de ce constat est encore plus frappante dans une autre enquête menée par l’Economist Intelligence Unit pour le compte de VMware en début d’année. Celle-ci révélait en effet que seuls 8 % des dirigeants d’entreprises dans la région EMEA (11% en France) considéraient la cybersécurité comme une priorité. Alors que les cyberattaques s’intensifient et deviennent de plus en plus préjudiciables pour les entreprises – avec à la clé le risque de perte de propriété intellectuelle, de positionnement concurrentiel, et de données clients – l’impact sur la performance et l’image de marque peut être considérable.

Une nouvelle approche de la sécurité s’impose

Les entreprises sont de plus en plus menacées par de graves cyberattaques : plus d’un tiers (37 %) des répondants dans la région EMEA (seulement 28 % en France) s’attendent à en être victimes dans les 3 prochains mois. Malheureusement, les approches de sécurité actuelles ne sont pas adaptées à un monde toujours plus tourné vers les technologies numériques. Ainsi, plus d’un responsable informatique français sur trois (35 %) estime que l’un des principaux risques pour son organisation réside dans le fait que les menaces évoluent plus vite que les systèmes de défense mis en place.

« Le fossé entre dirigeants et responsables informatiques est symptomatique. Il symbolise le défi que doivent relever les entreprises cherchant à repousser leurs limites, à se transformer, à se différencier et à se protéger de menaces en constante évolution », déclare Sylvain Cazard, directeur général de VMware France. « Aujourd’hui, les organisations les plus performantes sont celles qui sont capables de réagir rapidement et de préserver aussi bien leur image de marque que la confiance de leurs clients. Les applications et données des utilisateurs étant présentes sur un nombre d’appareils sans précédent, ces entreprises ont abandonné les approches traditionnelles de sécurité informatique incapables de protéger les entreprises numériques d’aujourd’hui. »

Les employés et les processus aussi problématiques que les technologies

L’un des principaux risques pour la sécurité d’une entreprise provient de l’intérieur. Ainsi, pour 45 % des responsables informatiques de la région EMEA (et 37 % en France), la négligence ou le manque de formation des employés en matière de cybersécurité représente le principal défi pour leur entreprise. L’enquête montre également jusqu’où les salariés sont prêts à aller pour accroître leur productivité : 15 % d’entre eux (contre 21% au niveau EMEA) utilisent leurs appareils personnels pour accéder à des données professionnelles, tandis que 14 % (17% en EMEA) sont prêts à enfreindre la politique de sécurité de leur entreprise afin de travailler plus efficacement.

« La sécurité n’est pas qu’une question de technologie. Comme le montrent les résultats de notre enquête, les décisions et les comportements des employés ont également un impact sur l’intégrité d’une entreprise » remarque Sylvain Cazard. « Malgré tout, la solution n’est pas non plus de tout verrouiller et d’instaurer une culture de la peur. Les organisations qui adoptent des approches intelligentes proposent plus de moyens et non de restrictions à leurs employés, leur permettant de s’épanouir, d’adapter les process et de transformer leur activité pour réussir.»

« Les entreprises tournées vers l’avenir sont conscientes du fait que les stratégies de sécurité réactives d’aujourd’hui ne sont plus efficaces pour protéger leurs applications et données. Adopter une approche software-defined garantissant l’omniprésence de la sécurité leur offre la flexibilité nécessaire pour réussir en tant qu’entreprises numériques », conclut Sylvain Cazard.

Source: infoDSI.com

Réagissez à cet article