Alerte ! Un nouveau malware infecte plus de 850.000 terminaux Android

Android a pourtant initié depuis plusieurs années un grand nettoyage de son Google Play Store et a revu les règles et procédures d’accès des applications, mais certains malwares parviennent encore à contourner les garde-fous mis en place. Trend Micro alerte ainsi sur une famille de malware baptisés Godless, qui sont distribués entre autres via le Google Play Store et des applications malveillantes.

Trend Micro explique que Godless dispose de plusieurs exploits lui permettant d’affecter les appareils Android, ce qui le rend potentiellement dangereux pour tous les téléphones disposant d’une version antérieure à Android 5.1.

Le malware est généralement distribué via des applications proposées sur le Google Play store. La présence de celui-ci n’est pas détectée, car lorsque l’application est uploadée vers le playstore, elle ne contient aucun code malveillant à proprement parler. Mais une fois l’application installée, celle-ci va se mettre à jour et télécharger alors le « payload » contenant l’exploit de la vulnérabilité choisie par les cybercriminels.

Le malware tentera d’exploiter celle-ci pour acquérir les droits root sur la machine : il s’en sert par la suite pour installer des applications ou pour diffuser des publicités.

La France est relativement épargnée par ce malware, qui est principalement actif en Asie, notamment en Inde et en Indonésie. Mais Trend Micro estime que plus de 850.000 terminaux Android ont été infectés par ce malware à travers le monde. Outre les applications qui parviennent à le distribuer sur le Google Play Store officiel, celui-ci est évidemment diffusé sur les magasins d’application tiers.

Article original de Louis Adam

Réagissez à cet article

Pourquoi protéger votre connexion sur le Wifi gratuit ?

Wifi gratuit ? Votre meilleur ennemi ! En général, les réseaux Wi-Fi que l’on trouve dans les lieux publics ne sont pas bien protégés. Ils se basent souvent sur des protocoles de chiffrement trop simples ou parfois pas chiffrés du tout. Les pirates peuvent ainsi accéder à chacune des informations que vous envoyez sur Internet : e-mails importants, données de carte bancaire, voire données d’identification permettant d’accéder à votre réseau d’entreprise. Une fois que les pirates disposent de ces renseignements, ils peuvent accéder à vos systèmes en votre nom, diffuser des programmes malveillants, ou facilement installer des logiciels infectés sur votre ordinateur si le partage de fichiers a été activé.

Quelques bons gestes à respecter face à un Wifi gratuit

D’abord, utilisez un réseau privé virtuel (VPN). Un VPN est indispensable lorsque vous accédez à une connexion non sécurisée, comme un point d’accès wifi. Même si un pirate réussit à se placer en plein milieu de votre connexion, les données qui s’y trouvent seront chiffrées, donc illisibles. Mails, mots de passe, ou simplement ce que vous visitez ne seront pas lisibles. J’utilise moi même plusieurs dizaines de VPN différents. Je peux vous proposer de tester Hide My Ass, ou encore VyprVPN. Un test de VPN disponibles pour votre ordinateur, tablette ou encore smartphone dans cet article. Dernier conseil, même si vous ne vous êtes pas activement connecté à un réseau, le matériel wifi équipant votre ordinateur, votre téléphone portable, votre tablette continuent de transmettre des informations. Bref, désactivez la fonctionnalité wifi si vous ne l’utilisez pas.

Activez l’option « Toujours utiliser HTTPS » sur les sites Web que vous visitez fréquemment ou qui nécessitent de saisir des données d’identification. Les pirates ne savent que trop bien que les utilisateurs utilisent les mêmes identifiants et mots de passe pour les forums, leur banque ou leur réseau d’entreprise.

Pour finir, lorsque vous vous connectez à Internet dans un lieu public, via un Wifi gratuit il est peu probable que vous souhaitiez partager quoi que ce soit. Dans ce cas, vous pouvez désactiver les options de partage dans les préférences système. (Kaspersky)

Article original de Damien Bancal

Réagissez à cet article

Comment devenir maître dans l’art de protéger sa vie privée sur le net ?

Malgré cette méfiance, dans un monde où l’utilisation d’Internet est devenue omniprésente, les utilisateurs ont tendance à exposer très facilement leur vie privée et leurs données personnelles – parfois par paresse ou par mégarde, mais souvent par manque d’information. Il existe cependant des moyens simples et efficaces de limiter ces risques.

Michal Salat, Threat Intelligence Manager chez Avast, commente : « Les sphères privées et professionnelles se fondent de plus en plus, poussant fréquemment les utilisateurs à accéder à leurs plateformes de travail depuis des terminaux personnels ou à utiliser leurs appareils professionnels à la maison par exemple. Or, en adoptant ces comportements, les internautes exposent davantage leurs données personnelles.«

Vol de ses données personnelles

Pour éviter que cela n’arrive, les utilisateurs doivent d’abord se protéger des menaces extérieures à leur appareil en commençant par créer un mot de passe ou un code PIN sur les écrans et les applications mobiles, limitant ainsi l’accès aux données en cas de perte ou de vol. Mais encore faut-il qu’il soit suffisamment compliqué pour ne pas être déchiffré trop facilement. C’est pourquoi il est recommandé d’utiliser des mots de passes complexes – combinant lettres, chiffres, caractères spéciaux et majuscules – et qui ne reprennent pas non plus des informations personnelles facilement accessibles en ligne, telle que la date de naissance ou le prénom de ses enfants. Il est également important de changer ses codes régulièrement.

Il faut garder en tête que les cybercriminels sont à l’affût de la moindre faille à exploiter pour récolter des gains et cherchent très souvent à récupérer des informations bancaires. C’est pourquoi les internautes doivent à tout prix éviter de sauvegarder leurs coordonnées bancaires dans leurs terminaux, quels qu’ils soient. A titre d’exemple, beaucoup d’utilisateurs PayPal ont perdu de grosses sommes d’argent lorsque des hackers ont réussi à se connecter à leurs PC via un compte TeamViewer piraté et se sont servi des identifiants enregistrés pour transférer l’argent depuis les comptes PayPal.

Les pirates parviennent à créer des e-mails d’hameçonnage très sophistiqués notamment grâce à la collecte d’informations personnelles publiques disponibles sur le web – accessibles sur les réseaux sociaux par exemple. Il est alors essentiel pour l’utilisateur de poster le moins d’informations possibles sur Internet ou de s’assurer que celles-ci sont en mode privé. Il est également crucial de supprimer ses comptes s’ils ne sont plus utilisés, car bien qu’abandonnés, ces profils restent en ligne et des personnes malintentionnées pourraient usurper l’identité de l’internaute ou nuire à sa réputation en ligne en utilisant des informations sensibles contre lui.

La protection de la vie privée et des données personnelles (vol de ses données personnelles) implique une modification du comportement des internautes à commencer par de meilleures méthodes de gestion de mots de passe, une vigilance accrue sur leur utilisation d’Internet et des informations personnelles partagées publiquement – comme sur les réseaux sociaux. Au-delà des bonnes pratiques, il existe des solutions qui répondent aux problématiques liées à la vie privée. Cependant face aux menaces, il n’appartient qu’à nous de nous discipliner et de tout mettre en œuvre pour protéger nos données personnelles.

Article original de Damien Bancal

Réagissez à cet article

Attention ! Le Cloud est espionné

L’éditeur de solutions de sécurité informatique affirme que les agences gouvernementales peuvent exploiter la ‘fonctionnalité’ d’écoute des hyperviseurs  pour récupérer des données depuis le cloud. Les révélations de l’affaire Snowden sur les capacités d’interception des données de la part de la NSA et de ses agences partenaires ont incité les propriétaires d’infrastructures et les fournisseurs de services, ainsi que les utilisateurs, à s’assurer que leurs données sont échangées sans encourir de risque de confidentialité et qu’elles sont stockées sous forme chiffrée. Régulièrement, les chercheurs s’attaquent à des protocoles très utilisés ou à leur mode de mise en œuvre. Des failles sont ainsi découvertes de manière récurrente et corrigées à plus ou moins brèves échéances, comme dans le cas de vulnérabilités bien connues telles que Heartbleed ou Logjam, qui ont entraîné le déploiement massif de correctifs à une échelle jusque-là inédite.

Mais les entreprises, et par conséquent, leurs clients, sont-elles vraiment protégées une fois que ces failles sont corrigées ? Existe-t-il des méthodes dissimulées et plus ou moins légales que les organismes d’État et certaines grandes entreprises bien informées seraient susceptibles d’utiliser pour passer outre les protocoles TLS / SSL, censés protéger les échanges d’informations ? Bref, espionnage dans le Cloud possible ?

Le 26 mai 2016, lors de la Conférence HITB à Amsterdam, Radu Caragea, Chercheur en sécurité des Bitdefender Labs, a démontré lors d’un POC (preuve de concept), que la communication protégée peut être déchiffrée en temps réel, en utilisant une technique qui ne laisse pratiquement aucune empreinte et qui reste invisible pour presque tout le monde, sauf peut-être pour des auditeurs de sécurité particulièrement vigilants.

Espionnage dans le cloud : Quelles conséquences pour votre sécurité ?

Cette attaque permet à un fournisseur de services cloud mal intentionné (ou sur lequel on a fait pression pour qu’il donne des accès à des agences gouvernementales) de récupérer les clés TLS utilisées pour chiffrer chaque session de communication entre votre serveur virtualisé et vos clients (même si vous utilisez Perfect Forward Secrecy !). Si vous êtes un DSI et que votre entreprise externalise son infrastructure de virtualisation auprès d’un prestataire de service, considérez que toutes les informations circulant entre vous et vos utilisateurs ont pu être déchiffrées et lues pendant une durée indéterminée.

Il est impossible de savoir dans quelle mesure vos communications ont pu être compromises et pendant combien de temps, puisque cette technique ne laisse aucune trace anormale derrière elle. Les banques et les entreprises qui gèrent des dossiers de propriété intellectuelle ou des informations personnelles, ainsi que les institutions gouvernementales sont les secteurs susceptibles d’être particulièrement touchés par cette faille.

Espionnage dans le Cloud : Premières découvertes

Cette nouvelle technique, surnommée TeLeScope, a été développée par l’éditeur dans le cadre de ses recherches et permet à un tiers d’écouter les communications chiffrées avec le protocole TLS, entre l’utilisateur final et une instance virtualisée d’un serveur. Cette technique n’est opérationnelle qu’avec les environnements virtualisés fonctionnant au-dessus de l’hyperviseur. Ces infrastructures sont extrêmement répandues et sont proposées par les géants de l’industrie tels qu’Amazon, Google, Microsoft ou DigitalOcean, pour ne citer qu’eux. Si la plupart des experts de l’industrie s’accordent pour dire que la virtualisation est l’avenir, aussi bien en termes de stockage, que de déplacement et de traitement de gros volumes de données, ce type de solutions fait déjà partie du quotidien de nombreuses entreprises.

Plutôt que d’exploiter une faille dans le protocole TLS, cette nouvelle technique d’attaque repose sur l’extraction des clés TLS au niveau de l’hyperviseur par une inspection intelligente de la mémoire. Même si l’accès aux ressources virtuelles de la VM est une pratique déjà connue (accéder au disque dur de la machine, par exemple), le déchiffrement en temps réel du trafic TLS, sans mettre en pause la machine virtuelle de manière flagrante et visible, n’avait jamais été réalisé jusqu’alors.

La découverte de ce vecteur d’attaque a été possible en recherchant un moyen de surveiller des activités malveillantes depuis le réseau de honeypots de l’éditeur, sans altérer la machine et sans que les pirates puissent comprendre qu’ils sont surveillés. Un administrateur réseau ayant accès à l’hyperviseur d’un serveur hôte pourrait surveiller, exfiltrer et monétiser toutes les informations circulant depuis et vers le client : adresses e-mail, transactions bancaires, conversations, documents professionnels confidentiels, photos personnelles et autres données privées.

Espionnage dans le Cloud : Comment cela fonctionne-t-il ?

Normalement, la récupération des clés à partir de la mémoire d’une machine virtuelle nécessiterait de mettre en pause la VM et de décharger le contenu de sa mémoire sur un fichier. Ces deux processus sont intrusifs et visibles par le propriétaire de la VM (de plus ils enfreignent le SLA – Service Level Agreement). L’approche des chercheurs repose sur les mécanismes de Live Migration, disponibles au sein des hyperviseurs modernes, qui nous permettent de réduire le nombre de pages nécessaire pour le vidage de la mémoire de l’ensemble de la RAM, à celles modifiées lors de l‘établissement d’une liaison TLS.

« Au lieu de mettre la machine en pause (ce qui entraînerait une latence notable) et de réaliser un vidage complet de la mémoire, nous avons développé une technique de différentiel de la mémoire qui utilise des fonctions de base déjà présentes dans les technologies de l’hyperviseur, » explique Radu Caragea. « Ensuite, bien que cela permette de réduire le volume de vidage mémoire de giga-octets à méga-octets, le temps nécessaire pour écrire une telle quantité de données sur un espace de stockage reste non négligeable (de l’ordre de quelques millisecondes) et c’est pourquoi nous montrons comment ‘déguiser ‘ le processus pour le faire passer pour une latence du réseau, sans qu’il soit nécessaire de stopper la machine. »

Atténuation des risques

L’attaque TeLeScope n’exploite pas de faille lors de l’implémentation du protocole TLS et ne tente pas de contourner le niveau de chiffrement de l’implémentation TLS via des attaques par repli (downgrade attacks). Au lieu de cela, elle exploite une caractéristique de l’hyperviseur pour exfiltrer les clés utilisées par le protocole pour chiffrer la session. Notre POC révèle un écart fondamental qui ne peut être corrigé ou atténué sans réécrire les bibliothèques de cryptographie qui sont déjà en cours d’utilisation. La seule solution à ce jour est, en premier lieu, de bloquer l’accès à l’hyperviseur – en exécutant votre propre hardware à l’intérieur de votre propre infrastructure.

Article original de Damien BANCAL

Réagissez à cet article

Faut-il que les robots et les IA payent des cotisations sociales ?

Faut-il reconnaître un droit spécifique des robots ? La commission du Parlement européen en charge des affaires juridiques (JURI), qui a établi un groupe de travail sur la robotique et l’intelligence artificielle, le pense. Elle prépare actuellement un rapport rédigé par l’eurodéputée luxembourgeoise Mady Delvaux (S&D), déposé le 31 mai dernier, qui demande à la Commission d’élaborer une proposition de directive sur des règles de droit civil sur la robotique. Le texte n’a pas encore été adopté en commission JURI, et devrait être débattu en séance plénière du Parlement européen le 12 décembre prochain.

Parmi ses dispositions, la proposition de résolution invite l’exécutif à réfléchir à la manière dont le modèle social européen peut évoluer, alors que « le développement de la robotique et de l’intelligence artificielle pourrait avoir pour conséquence l’accomplissement par des robots d’une grande partie des tâches autrefois dévolues aux êtres humains ».

Mady Delvaux, députée luxembourgeoise au Parlement Européen (groupe Socialistes & Démocrates)

 
UNE SITUATION PRÉOCCUPANTE POUR L’AVENIR DE L’EMPLOI ET LA VIABILITÉ DES RÉGIMES DE SÉCURITÉ SOCIALE
Actuellement, l’essentiel du financement de sécurité sociale, qu’il s’agisse du socle de base de l’assurance santé, de la retraite ou de l’assurance chômage, est assis sur une ponction d’une partie conséquente des salaires versés aux employés. C’est le salarié chargé de faire l’inventaire dans un hypermarché qui cotise pour être protégé le jour où son employeur jugera plus rentable de faire faire l’inventaire par un robot intelligent.

Paradoxe des paradoxes, l’employeur lui-même complète les cotisations par ses propres versements qui sont proportionnels aux salaires versés, ce qui fait qu’il doit cotiser lorsqu’il continue à payer l’humain (et cotiser d’autant plus lorsqu’il le paye bien), mais qu’il n’a plus rien à payer lorsqu’il le remplace par un robot.

DÉCLARER LES GAINS DE PRODUCTIVITÉ POUR MIEUX LES TAXER ?

Dès lors, si l’on considère que les emplois deviennent plus rapides à détruire qu’à créer dans une société toute obnubilée par l’ubérisation et les gains de productivité, cette « hypothèse s’avère préoccupante pour l’avenir de l’emploi et la viabilité des régimes de sécurité sociale, si l’assiette de contributions actuelle est maintenue », s’inquiète le rapport Delvaux.

L’eurodéputée luxembourgeoise propose donc à la Commission « d’envisager la nécessité de définir des exigences de notification de la part des entreprises sur l’étendue et la part de la contribution de la robotique et de l’intelligence artificielle à leurs résultats financiers, à des fins de fiscalité et de calcul des cotisations de sécurité sociale ». Dit autrement, les entreprises seraient taxées sur la part de leur chiffre d’affaires imputable aux productions automatisées, pour alimenter le pot commun de la sécurité sociale.

UN REVENU UNIVERSEL DE BASE FINANCÉ PAR LES ROBOTS

« Eu égard aux effets potentiels, sur le marché du travail, de la robotique et de l’intelligence artificielle, il convient d’envisager sérieusement l’instauration d’un revenu universel de base », ose même la députée socialiste, alors que la Suisse vient de rejeter la proposition par référendum, et qu’en France le débat est souhaité par Manuel Valls mais sans cesse repoussé.

Mais comment calculer les cotisations que les entreprises devraient reverser ? La question est extrêmement complexe et n’est pas aidée par l’annexe du rapport, où il est simplement précisé que les entreprises devraient être tenues de déclarer à l’administration :

• Le nombre de « robots intelligents » qu’elles utilisent ;
• Les économies réalisées en cotisations de sécurité sociale grâce à l’utilisation de la robotique en lieu et place du personnel humain ;
• Une évaluation du montant et de la proportion des recettes de l’entreprise qui résultent de l’utilisation de la robotique et de l’intelligence artificielle.

Or comment savoir, par exemple, si un rendez-vous enregistré dans l’agenda par Siri ou Cortana est un gain de productivité imposable au titre de la robotisation, parce qu’il aurait pu être inscrit par un(e) secrétaire, ou directement par le patron ou le cadre à travers un logiciel plus ou moins automatisé ? La fiscalité traditionnelle est déjà d’une complexité impressionnante, mais ce n’est rien en comparaison de ce que propose le rapport. Et pourtant, il faudra bien y réfléchir et trouver des solutions. À moins que la crise que nous traversons soit véritablement conjoncturelle et que se créent rapidement de nouveaux emplois durables difficilement remplaçables à court ou moyen terme. « Des emplois qui répondent à des besoins d’humanité », comme le défend le roboticien sud-coréen Jeakweon Han.

Crédit photo de la une : Stephen Chin

Article original de Guillaume Champeau

Réagissez à cet article

Les Smart TV, nouvelle cible des ransomwares ?

Frantic Locker, le rançongiciel qui bloque les Smart TV

Alors que les ransomwares font de nombreuses victimes, le spécialiste de la sécurité informatique Trend Micro révèle que le rançongiciel Frantic Locker s’en prend désormais aux Smart TV.

Présent sur le marché depuis avril 2015, il n’a cessé d’évoluer et un grand nombre de variantes différentes ont développées lui permettant de s’ouvrir à de nouveaux horizons.

Ainsi, dernièrement, Frantic Locker, aussi connu sous le nom FLocker, est diffusé via des campagnes de spam par SMS ou bien par un site web préalablement piégé. Bien évidemment, l’objectif des cybercriminels est toujours le même : faire télécharger des applications malveillantes par l’intermédiaire de clics sur des liens frauduleux.

Mais là où le rançongiciel étonne, c’est qu’il ne bloque pas que les ordinateurs et les smartphones tournant sous Android. En effet, les cybercriminels ont fait des Smart TV leurs nouvelles victimes. Autrement dit, de nombreux téléspectateurs peuvent désormais vivre la mauvaise expérience de voir leur télévision laisser apparaître un message informant qu’une rançon de 200 dollars (en cartes-cadeaux iTunes) était nécessaire pour débloquer leur appareil.

Si tel n’est pas le cas, l’écran restera figé.

Un type d’attaque qui épargne encore certains pays

Depuis son lancement au printemps 2015, le rançongiciel Frantic Locker n’a cessé de se propager au point de cibler un nombre croissant de terminaux.

Concernant les Smart TV, toutes sont potentiellement vulnérables au ransomware FLocker mais selon Trend Micro, il s’autodétruirait en s’installant sur les Smart TV localisées dans plusieurs pays de l’Est de l’Europe comme la Russie, l’Ukraine, la Biélorussie, la Géorgie, la Bulgarie, l’Arménie, l’Azerbaïdjan, le Kazakhstan ou encore la Hongrie.

Article original de Jérôme DAJOUX

Réagissez à cet article

Patch Tuesday Juin 2016

Le Patch Tuesday juin 2016 arrive avec un cortège de 16 bulletins publiés par Microsoft pour résoudre plus de 40 vulnérabilités (CVE) différentes. Cela porte à 81 le nombre de bulletins pour les 6 premiers mois, ce qui laisse augurer plus de 160 bulletins d’ici fin 2016, un nouveau record pour la dernière décennie en termes de correctifs.

Votre attention doit se porter en priorité sur Adobe Flash. En effet, Adobe a reconnu qu’une vulnérabilité (CVE-2016-4171) au sein du lecteur Flash actuel est en cours d’exploitation en aveugle, si bien que l’éditeur a reporté le patch mensuel pour Adobe Flash. Dans son avis de sécurité APSA16-03. Adobe promet ce patch pour d’ici la fin de la semaine. Surveillez attentivement sa diffusion et déployez-le dès que possible. Si l’outil EMET est installé sur vos systèmes, vous êtes protégés. Pour information, c’est le troisième mois d’affilée qu’une faille 0-Day est découverte dans Flash, ce qui en fait le logiciel certainement le plus ciblé sur les points d’extrémité de votre entreprise.

Ce mois-ci, un ensemble de bulletins à la fois pour les serveurs et les systèmes clients va occuper cette semaine toute l’équipe IT qui devra sécuriser les systèmes de l’entreprise.

Vulnérabilité critique

La vulnérabilité la plus intéressante côté serveur est résolue dans le bulletin MS16-071. Ce dernier corrige une vulnérabilité critique unique sur le serveur DNS de Microsoft. En cas d’exploitation réussie, l’attaquant déclenche une exécution de code à distance (RCE) sur le serveur, ce qui est extrêmement fâcheux pour un service aussi critique que DNS. Les entreprises qui exécutent leur serveur DNS sur la même machine que leur serveur Active Directory doivent être doublement conscientes du danger que représente cette vulnérabilité.

Côté client, la vulnérabilité la plus importante est résolue dans le bulletin MS16-070 Elle corrige plusieurs problèmes dans Microsoft Office. Principale vulnérabilité associée au format Microsoft Word RTF, CVE-2016-0025 déclenche une exécution RCE au profit de l’attaquant. Le format RTF pouvant être utilisé pour attaquer via le volet d’aperçu d’Outlook, la faille peut être déclenchée à l’aide d’un simple email et sans interaction avec l’utilisateur.

Côté navigateur Web, les bulletins MS16-063 pour Internet Explorer, MS16-068 pour Edge et MS16-069 pour Javascript sur Windows Vista traitent plusieurs vulnérabilités RCE critiques qui sont exploitables lors d’une simple navigation sur le Web. Ces vulnérabilités constituent un vecteur d’attaque privilégié pour les cybercriminels et nous vous recommandons de les corriger dans les 7 prochains jours.

Les autres vulnérabilités concernées par ce Patch Tuesday juin sont toutes classées comme importantes. Elles sont généralement exploitées pour élever des privilèges une fois qu’un intrus est parvenu à exécuter du code sur la machine et sont donc associées avec une exécution de code à distance comme décrit ci-dessus. L’exception est MS16-076 qui résout une faille unique dans Windows Netlogon pouvant fournir une exécution RCE à l’attaquant. Sa gravité est moindre qu’une vulnérabilité RCE normale parce l’attaquant devra dans un premier temps prendre le contrôle du serveur Active Directory.

Deux autres vulnérabilités côté serveur dans le patch tuesday juin

Une élévation de privilèges sur le composant du serveur SMB résolue dans le bulletin MS16-075

Une faille dans Microsoft Exchange résolue dans le bulletin MS16-079 entraînant aussi une élévation de privilèges, certains étant liés au patch Oracle dans la bibliothèque Outside-in.

En résumé, il s’agit d’un Patch Tuesday relativement classique mais avec une menace 0-Day connue qui nécessite de surveiller impérativement la publication de la prochaine mise à jour de Flash. Corrigez les autres problèmes en fonction de vos priorités habituelles, mais faites particulièrement attention à la vulnérabilité qui affecte le serveur DNS et qui va forcément susciter des comportements indésirables. (Wolfgang Kandek, CTO de Qualys).

Article original de Damien Bancal

Réagissez à cet article

Acer se fait voler des numéros de CB de ses clients, avec le cryptogramme$

C’est un incident qui en dit long sur le degré de sécurité qui était en vigueur sur l’une de ses boutiques en ligne. Dans un courrier adressé à sa clientèle nord-américaine, le constructeur taïwanais a admis l’existence d’une faille de sécurité qui a permis à un ou plusieurs pirates de dérober des informations hautement sensibles entre le 12 mai 2015 et le 28 avril 2016.

Parmi les éléments qui ont été récupérées par les assaillants figurent notamment l’identité et l’adresse postale de 34 500 clients se trouvant aux États-Unis, au Canada et à Porto Rico. Beaucoup plus préoccupant, il apparaît que des informations de paiement (numéro de carte bancaire, sa date d’expiration et son cryptogramme visuel) ont également été récupérées dans le feu de l’action.

Étaient-elles chiffrées ? Acer se garde bien de le dire. Même si l’ampleur de l’incident est modeste (nous sommes très loin des fuites massives affectant des millions d’utilisateurs), la question du niveau de protection des informations stockées par Acer se pose au regard de la nature des éléments qui ont été obtenus par les pirates. Selon le fabricant asiatique, la brèche a depuis été colmatée.

Article original de Julien Lausson

Réagissez à cet article

Si j’attrape le con qui a fait sauter le pont !

Plus possible de se connecter à Internet ? Non, ce n’est pas une blague. Un seul homme, un peu distrait, a réussi à mettre en carafe une partie de l’Internet Européen. Une panne au niveau du réseau Tier 1 du fournisseur suédois Telia. Cette société et son Tier 1 ne sont rien d’autre qu’une partie de l’Internet backbone. Bref, les gros tuyaux qui permettent de faire voyager d’énormes volumes de trafic de données. Selon le journal Britannique The Register, la panne est signée par un ingénieur informatique qui s’est planté dans la configuration d’un des routeurs de Telia. Bilan, les données prévues pour l’Europe sont parties se promener en Asie, et plus précisément à Hong Kong. Telia s’est depuis excusée. Bref, le Cloud n’a pas fini d’être notre meilleur ennemi.

Article original de Damien Bancal

Réagissez à cet article

Les utilitaires de déchiffrement fonctionnent contre toutes les versions de TeslaCrypt

Ainsi, Kaspersky Lab a actualisé son utilitaire Rakhni en y ajoutant un utilitaire de déchiffrement pour Bitman (TeslaCrypt) version 3 et 4. La semaine dernière, Cisco a réalisé une mise à jour similaire. Son outil est désormais capable de récupérer les fichiers chiffrés par l’ensemble des 4 versions existantes de ce ransomware.

D’après Earl Carter, analyste en chef chez Cisco Talos, la clé principale publiée le 19 mai était utilisée pour récupérer les fichiers chiffrés par TeslaCrypt version 3 et 4. Il ajoute : « Nous ne savons pas si cette clé principale fonctionne pour les versions antérieures. La version 2 était défectueuse et elle a pu être facilement déchiffrée et nous dispositons de l’utilitaire de déchiffrement pour la version originale. L’utilisateur devait d’abord identifier la version du ransomware qui l’avait infecté avant de pouvoir choisir l’utilitaire de déchiffrement adéquat. Nous avons actualisé l’utilitaire d’origine afin qu’il puisse s’occuper de toutes les versions existantes. »

Pour l’instant, les raisons qui ont poussé les opérateurs de TeslaCrypt à mettre un terme à leur projet sont inconnues. Les attaques de ransomwares contre des entreprises ou des particuliers ne faiblissent pas. D’après les estimations du FBI, au cours du premier trimestre seulement, les auteurs de ces attaques ont empoché plus de 200 millions de dollars américains sous la forme de rançons payées. D’ici la fin de l’année, ce chiffre pourrait atteindre 1 milliard. Ceci étant, TeslaCrypt, en tant qu’acteur sur ce marché juteux, n’était pas parfait. Il affichait des défauts qui avaient permis aux chercheurs, presque dès le début, de trouver dans le code les clés de déchiffrement et de créer des outils pour venir en aide aux victimes.

Le jeu du chat et de la souris pouvait commencer : les individus malintentionnés ont renforcé le chiffrement tandis que les chercheurs ont réalisé des analyses plus en profondeur pour trouver l’antidote. « Certains ransomwares utilisent le chiffrement symétrique et dans ce cas, il est possible de trouver la clé sur l’ordinateur et de déchiffrer les fichiers » explique Earl Carter. « D’autres privilégient l’infrastructure PKI et dans ce cas, il est plus difficile de récupérer les fichiers, principalement parce que la clé n’est pas enregistrée sur l’ordinateur infecté. »

Dès qu’un utilitaire de déchiffrement a été réalisé pour une des versions, d’autres chercheurs commencent également à fournir des efforts dans ce sens. Il est tout à fait possible que cela soit la raison pour laquelle les opérateurs de TeslaCrypt ont tué le projet.

« Les ransomwares sont très rentables et tout le monde veut sa part » signale Earl Carter. « Dans la mesure où toutes les versions [de TeslaCrypt] avaient été déchiffrées, on pourrait croire qu’elles n’étaient pas aussi rentables que le souhaitaient les opérateurs. Ceci n’est qu’une hypothèse car nous ne disposons pas des preuves concrètes. Mais à première vue, on dirait bien que c’est cela qui s’est passé. Le malware était toujours déchiffré, les revenus récoltés ne correspondaient pas aux attentes et à la fin, ils ont décidé de faire une croix sur le projet.

La clé principale de TeslaCrypt a été publiée sur le forum d’assistance technique du ransomware après qu’un chercheur de l’ESET avait repéré des indices qui laissaient entendre que le projet allait être abandonné et il a demandé la clé aux auteurs. TeslaCrypt pourrait être remplacé par CryptXXX qui, d’après BleepingComputer, est déjà diffusé via des kits d’exploitation répandus. Certaines sociétés spécialisées dans la sécurité de l’information, comme Kaspersky Lab, surveillent attentivement le développement de CryptXXX et ont même créé des outils de déchiffrement pour ses premières versions.

Le système de chiffrement adopté par TeslaCrypt était actualisé fréquemment afin que les chercheurs ne puissent pas le déchiffrer. Au début de cette année, ce malware se propageait via des redirections WordPress et Joomla ainsi que via le kit d’exploitation Nuclear. Au mois d’avril, des chercheurs de chez Endgame ont découvert deux nouveaux échantillons du ransomware dotés d’outils d’obfuscation et de dissimulation supplémentaires ainsi que d’une liste d’extensions plus longue. A ce moment, TeslaCrypt se propageait déjà via des campagnes de spam.

« Les kits d’exploitation ont commencé à charger des ransomwares au lieu d’enregistreurs de frappe ou de malware de fraude au clic ». L’association du kit d’exploitation et de la publicité malveillant a considérablement simplifié la tâche des attaquants » résume Earl Carter.

Article original de Securelsti

Réagissez à cet article