Seriez vous d’accord pour que WhatsApp partage vos données avec Facebook ?

Lorsque WhatsApp a annoncé son acquisition par Facebook en 2014, les utilisateurs et les défenseurs de la vie privée se sont inquiétés de ce qui allait advenir de leurs données. Pendant deux ans, les deux services sont restés indépendants. Cependant, aujourd’hui, WhatsApp a mis à jour ses règles de confidentialité, qui sont restées inchangées pendant 4 ans.

Et celles-ci n’excluent plus l’utilisation par Facebook des données du milliard de personnes utilisent WhatsApp pour optimiser ses publicités.

« […] en connectant votre numéro de téléphone avec les systèmes de Facebook, ce dernier peut vous offrir de meilleures suggestions d’amis et vous montrer des publicités plus pertinentes si vous avez un compte Facebook. Par exemple, vous pouvez voir une publicité d’une entreprise avec laquelle vous avez déjà travaillé au lieu de voir celle d’une entreprise dont vous n’avez jamais entendu parler », lit-on dans un communiqué de WhatsApp.

Cependant, le service explique aussi que cette « coordination » avec Facebook permettra également à WhatsApp de faire des choses comme « suivre des mesures de base sur la fréquence d’utilisation de nos services des gens et améliorer la lutte contre les spams ».

Et WhatsApp a bien clarifié que même si il va d’avantage collaborer avec Facebook, ses messages sont chiffrés de bout en bout, ce qui signifie que théoriquement, personne (ni Facebook, ni WhatsApp) ne peut accéder au contenu.

Le modèle économique de WhatsApp se précise

Pour rappel, WhatsApp était à l’origine une application payante, mais gratuite la première année. Cependant, le service a récemment décidé supprimer les frais annuels, pour devenir entièrement gratuit.

Cependant, WhatsApp n’entend pas gagner de l’argent en affichant des bannières publicitaires, mais plutôt en misant sur des fonctionnalités pensées pour les relations entre clients et entreprises. Et les nouvelles règles de confidentialités reflètent aussi ce projet.

Article original de Setra

Réagissez à cet article

Le FBI remonte une Cyberattaque jusqu’à Abidjan

Toutefois, des empreintes laissées sur internet permettent aux agents du FBI de localiser des serveurs situés en Côte d’Ivoire. Signe de la gravité de la cyberattaque, les fins limiers du web américain débarquent à Abidjan.

Sur place, après une séance de travail avec l’équipe d’experts en sécurité informatique duCI-CERT (Côte d’Ivoire – Computer emergency response team), le FBI parvient à identifier à partir d’une liste d’adresses IP, des entreprises ivoiriennes, dont les machines infectées, sont utilisées à leur insu par des hackers basés en Thaïlande, pour lancer des offensives contre le SI de la Banque centrale des Etats-Unis d’Amérique.

Ce n’est pas le scénario d’un film américain, mais une réelle attaque informatique qui s’est déroulée dans le premier trimestre de l’année 2013, et qui a été décrite à CIO Mag par Jean-Marie Nicaise Yapoga, chef de service du CI-CERT, alors responsable technique adjoint. Pointant la vulnérabilité des entreprises qui s’exposent à des risques dus au non-respect des bonnes pratiques en matière de cybersécurité (Cf. CIO Mag N°29 – décembre 2013/janvier 2014).

L’expertise du CERT ivoirien dans cette affaire a permis aux entreprises infiltrées de limiter les dégâts et de réduire le coût du retour à un fonctionnement normal. Mais elle rappelle surtout l’essentiel de sa mission : assurer, au niveau local, la fonction de point focal pour toutes les questions de cybersécurité.

Des couches de sécurité sans protection suffisante

Vu l’ampleur des menaces sur les fleurons de l’économie ivoirienne, un pan de la mission de sensibilisation du CI-CERT est toujours orientée vers les chefs d’entreprise. Moins réceptives à l’idée d’investir dans le recrutement d’un responsable de la sécurité des systèmes d’information (RSSI), nombre d’entreprises empilent en effet des couches de sécurité (pare-feu, anti-virus, etc.), qui n’offrent souvent pas de protection suffisante.

Une situation que le chef de service déplore dans la parution de CIO Mag susmentionnée : « C’est lorsqu’elles (ces entreprises) doivent faire face à des incidents informatiques qu’elles se rendent compte de l’importance de la cybersécurité. Malheureusement, entre l’alerte et le temps mis pour rétablir le réseau, l’entreprise peut avoir déjà perdu plusieurs millions de FCFA. »

Partenariat public/privé

Aujourd’hui, le CI-CERT peut se vanter d’avoir favorisé le recrutement de RSSI dans des entreprises de télécommunications. « On en retrouve également au sein des banques et de plusieurs groupes d’entreprises », révélait l’analyste-administrateur de sécurité des SI.

Pour limiter les incidents informatiques, le CERT ivoirien organise des ateliers et séminaires de formation, notamment avec les directeurs de système d’information (DSI) et les RSSI. Objectif ? Créer un partenariat public/privé destiné à poser des actions de prévention. C’est-à-dire, diffuser des bulletins d’information et des avertissements, et établir un réseau d’information et d’alerte gouvernementale sur les attaques et les menaces.

Au cours de ces rencontres, les responsables informatiques et de cybersécurité sont briffés sur les menaces répertoriées sur le cyber espace national mais également sur les types d’attaques rapportées au CI-CERT par ses partenaires internationaux : IMPACT (Organisation internationale de lutte contre les cyber-menaces) et la communauté des CERT étrangers.

La nécessité de se doter d’un CERT

En Côte d’Ivoire, la nécessité de se doter d’un CERT (Computer incident response team) a été perçue dès 2009. Dans un contexte où l’image du pays était fortement écorchée sur le plan international du fait des nombreux cas de défacement de sites web gouvernementaux et de cyberescroquerie.

Hormis les pertes financières provoquées par ces actes de piratage avérés, d’autres conséquences majeures ont été enregistrées : « Adresse IP ivoiriennes mises sur des listes noires ; achats en ligne interdits avec IP des FAI ivoiriens sur les plateformes telles que PayPal et Yahoo », peut-on lire dans un document dont CIO Mag a reçu copie.

C’est donc pour faire face à la récurrence de ces incidents qui constituent une menace, à la fois sur l’économie et la notoriété du pays que le CI-CERT a vu le jour, en 2009. Depuis leurs bureaux situés à l’époque dans la commune du Plateau, en plein centre des affaires, cinq ingénieurs informaticiens se sont activés à écrire les premières pages du CI-CERT.

Sous tutelle de l’Autorité de régulation des télécommunications/TIC de Côte d’Ivoire (ARTCI), leurs actions consistaient à lutter contre la cyberescroquerie et à émettre des alertes et annonces de sécurité.

Plus de 40 000 incidents traités au 1^er semestre 2015

Aujourd’hui, cette structure joue pleinement son rôle de cyber pompier de l’Etat avec une quinzaine d’ingénieurs menant une série d’activités regroupées en deux axes:

• Protection du cyber espace national avec un portefeuille de services réactifs (alertes et avertissements, traitement d’incidents, coordination de traitement de vulnérabilité, etc.) et proactifs (annonces, veille technologique, détection d’intrusion, partage d’informations), ainsi qu’un service de management de la qualité de la sécurité orienté sur la sensibilisation, la formation et la consultance.
• Lutte contre la cybercriminalité dans le cadre de la Plateforme de lutte contre la cybercriminalité (PLCC) grâce à une convention de partenariat entre l’ARTCI et la Police nationale.

Au cours du premier semestre de 2015, le CI-CERT a collecté et traité 40 264 incidents de sécurité informatique, envoyé 145 bulletins et avis de sécurité et participé aux cyberdrill UIT- IMPACT et OIC-CERT, traduisant son leadership sur le cyber espace national.

Article original de CIO-Mag

Réagissez à cet article

La Loi de Programmation militaire au secours de la sécurité des systèmes d’information des opérateurs d’importance vitale

La France est le premier pays à s’appuyer sur la réglementation pour définir un dispositif efficace de cybersécurité de ses infrastructures critiques, qui sont indispensables au bon fonctionnement et à la survie de la Nation.

A partir du 1^er juillet 2016, l’entrée en vigueur d’une première vague d’arrêtés a marqué la mise en place effective de ce dispositif pour les secteurs d’activité suivants « produits de santé », « gestion de l’eau » et « alimentation ». D’autres arrêtés seront progressivement publiés au cours de l’année 2016.

Ces arrêtés sectoriels, signés par le Secrétaire général de la défense et de la sécurité nationale par délégation du Premier ministre, fixent les critères d’application des mesures relatives à la sécurité des systèmes d’information des OIV [J. Barnu Quelles conséquences pour les OIV] notamment :

• les règles de sécurité, à la fois organisationnelles et techniques, sécurisent l’accès et la gestion des systèmes d’information ciblés. Elles prennent aussi en compte les spécificités de chaque secteur, leurs enjeux et contraintes ainsi que leur niveau de maturité en matière de sécurité du numérique.
• les modalités d’application des autres mesures avec l’identification des systèmes d’information d’importance vitale (SIIV), la notification d’incidents de sécurité et les contrôles pour suivre la mise en place du dispositif.

Tout savoir sur la sécurité des systèmes d’information des OIV avec une nouvelle rubrique dédiée.

Un nouvel espace d’information dédié à la sécurité des systèmes d’information des OIV est dès aujourd’hui en ligne sur le site Internet de l’ANSSI.

Cette rubrique « OIV » est accessible depuis l’onglet « administration » et « entreprise », en page d’accueil.

Elle a été conçue pour être à la fois :

• un espace de ressources pratiques pour les opérateurs impactés, directement ou indirectement, par le dispositif français de cybersécurité des OIV ;
• un espace d’information pour un public intéressé par le dispositif français de cybersécurité des infrastructures critiques.

Article original de ANSSI

Réagissez à cet article

Alerte : un malware Android commandé par… Twitter

L’éditeur d’antivirus Eset affirme avoir découvert le premier malware commandé… par des tweets. Selon la société slovaque, Android/Twittor est une application Android malveillante, probablement diffusée par SMS ou via des URL piégées, qui masque sa présence et se connecte à un compte Twitter dans l’attente d’instructions. Ces dernières peuvent le conduire à télécharger une autre app malveillante ou à changer de compte Twitter de contrôle. Actuellement, selon Eset, Twittor sert à importer différentes versions d’un malware bancaire. Mais pourrait tout aussi bien passer au ransomware…

« Utiliser Twitter plutôt que des serveurs de commande et contrôle (C&C) est plutôt innovant pour un botnet Android », souligne Lukas Stefanko, le chercheur d’Eset qui a mis au jour cette nouvelle souche infectieuse. L’objectif des cybercriminels est, comme l’indique ce chercheur, de constituer un réseau de machines esclaves, soit un botnet. Le point faible des constructions de ce type réside souvent dans l’envoi régulier d’instructions aux éléments de ce réseau, des communications susceptibles de révéler l’existence du botnet. Par ailleurs, les serveurs C&C constituent le maillon faible des botnets : si les autorités les localisent et parviennent à les fermer, c’est tout le réseau criminel qui s’effondre.

Passer d’un compte Twitter à un autre

Autant de raisons qui pourraient avoir poussé les concepteurs de Twittor à complexifier les techniques de communication entre les machines esclaves et l’entité les contrôlant, selon Eset. En plus de l’emploi de Twitter, les cybercriminels chiffrent leurs messages et utilisent des topologies complexes pour leur architecture de C&C, avance l’éditeur. « Ces canaux de communication sont difficiles à mettre au jour et encore plus difficiles à bloquer totalement, reprend Lukas Stefanko. De l’autre côté, il est très simple pour les escrocs de rediriger les communications vers un compte nouvellement créé. » Et pas de risque de voir la police fermer purement et simplement Twitter pour ce motif…

Dans l’univers Windows, dès 2009, un botnet a eu recours à Twitter, fondé seulement 3 ans auparavant, pour envoyer des instructions. Mais Twittor est bien le premier malware créateur de bot commandé via le réseau social.

Article original de Reynald Fléchaux

Réagissez à cet article

Les réseaux SDN ouverts à tous les vents (mauvais)

Et si l’un des principes de base du fonctionnement des SDN masquait une inquiétante faille de sécurité ? Les contrôleurs des Software Defined Networks, pilotés de manière logicielle, configurent le réseau en attribuant de nouvelles règles de traitement des flux aux switches. Et c’est ce fonctionnement même qui poserait problème.

C’est du moins le résultat des travaux de trois chercheurs italiens, Mauro Conti (de l’université de Padoue), Fabio De Gaspari et Luigi V. Mancini (tous deux de l’université de Sapienza). « Nous pensons que des aspects importants de la sécurité des SDN restent encore inexplorés », notent-ils dans leur rapport. Pour en convaincre la communauté, ils ont mis au point une nouvelle forme d’attaque, baptisée Know Your Enemy (KYE), au moyen de laquelle un attaquant peut recueillir des informations vitales sur la configuration du réseau.

Moisson d’informations de configuration

A travers leurs travaux, ils entendent démontrer comment un attaquant peut recueillir des informations sur la configuration des outils de sécurité du réseau (dont les seuils de détection d’attaque par scan), sa politique de qualité de service ou encore sa virtualisation. Et d’ajouter qu’une seule table de routage d’un commutateur peut fournir ces informations tout en servant de canal d’attaque. Cerise sur le gâteau : « nous montrons qu’un attaquant peut effectuer une attaque KYE dans un mode furtif, à savoir sans risquer d’être détecté », expliquent-ils.

Selon les universitaires, un attaquant pourrait se connecter aux ports d’écoute passive qu’intègrent la plupart des commutateurs pour le débogage à distance afin de récupérer le plan de routage (notamment avec la commande ‘dpctl’ sur les HP Procurve qu’ils ont utilisés au cours de leurs travaux), en déduire des informations sur la table de routage, espionner le contrôle du trafic en cas d’absence de protection de ce dernier (par chiffrement TLS ou usage de certificats d’authentification), exploiter les vulnérabilités connues dans les systèmes d’exploitation des switches pour introduire une backdoor, ou encore extraire la table de routage ou le contenu de la mémoire du commutateur pour la copier vers un support externe au réseau.

Obscurcir pour limiter les risques

Autant d’informations qui permettent une attaque ou un espionnage plus massif ou plus ciblé du SI dans l’absolu. Les conclusions des chercheurs italiens sont d’autant plus inquiétantes que, en apportant une flexibilité optimale de gestion des réseaux, les technologies SDN sont de plus en plus adoptées par les opérateurs et grandes entreprises. Le rapport insiste bien sur le fait que ces possibilités d’espionnage ne sont pas liées aux systèmes matériels présents sur le réseau, mais bien à son fonctionnement intrinsèque.

Pour limiter les risques d’attaque, les scientifiques détaillent une contremesure basée sur un « obscurcissement » des flux entrants. « S’il était possible d’empêcher l’attachant de comprendre quel flux est responsable de l’application des règles de routage, l’attaque KYE serait irréalisable », indiquent-ils. Ce qu’ils ont réussi à faire en exploitant la possibilité de modification du transit des flux dont dispose un switch OpenFlow. Et les chercheurs de rappeler que les risques décrit dans leur travail ne touchent que les réseaux SDN, les structures « traditionnelles » étant par défaut épargnées. Ce qui ne les empêche pas d’avoir leurs propres soucis de sécurité.

Article original de Christophe Lagane

Réagissez à cet article

Comment se prémunir de la cybercriminalité, ce risque sur Internet pour les particuliers et les professionnels ?

QUELS SONT LES DIFFÉRENTS TYPES D’ATTAQUES ?

Attaque par hameçonnage (phishing)

L’hameçonnage, phishing ou filoutage est une technique malveillante très courante sur Internet. L’objectif : opérer une usurpation d’identité afin d’obtenir des renseignements personnels et des identifiants bancaires pour en faire un usage criminel.

1. Le cybercriminel se « déguise » en un tiers de confiance (banques, administrations, fournisseurs d’accès à Internet…) et diffuse un mail frauduleux, ou contenant une pièce jointe piégée, à une large liste de contacts. Le mail invite les destinataires à mettre à jour leurs informations personnelles (et souvent bancaires) sur un site internet falsifié vers lequel ils sont redirigés.
2. La liste comprend un nombre si important de contacts et augmente les chances que l’un des destinataires se sente concerné par le message diffusé.
3. En un clic, il est redirigé vers le site falsifié qui va recueillir l’ensemble des informations qu’il renseigne.
4. Ces informations sont alors mises à disposition du cybercriminel qui n’a plus qu’à faire usage des identifiants, mots de passe ou données bancaires récupérées.

Voir la vidéo de la Hackacademy sur le phishing (CIGREF – partenariat ANSSI) 

Pour s’en prémunir :

• N’ayez pas une confiance aveugle dans le nom de l’expéditeur de l’email. Au moindre doute, n’hésitez pas à contacter l’expéditeur par un autre biais.
• Méfiez-vous des pièces jointes, elles pourraient être contaminées. Au moindre doute, n’hésitez pas à contacter l’expéditeur pour en connaître la teneur.
• Ne répondez jamais à une demande d’informations confidentielles par mail.
• Passez votre souris au-dessus des liens, faites attention aux caractères accentués dans le texte ainsi qu’à la qualité du français ou de la langue pratiquée par votre interlocuteur (ex : orthographe).

Pour aller plus loin, n’hésitez pas à consulter la page sur les conseils aux usagers qui reprend les bonnes pratiques à mettre en place pour sécuriser ses équipements et ses données.

Attaque par «Rançongiciel» (ransomware)

Les rançongiciels sont des programmes informatiques malveillants de plus en plus répandus (ex : Locky, TeslaCrypt, Cryptolocker, etc.). L’objectif : chiffrer des données puis demander à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.

1. Le cybercriminel  diffuse un mail qui contient des pièces jointes et / ou des liens piégés. Le corps du message contient un message correctement rédigé, parfois en français, qui  demande de payer rapidement une facture par exemple.
2. En un clic, le logiciel est téléchargé sur l’ordinateur et commence à chiffrer les données personnelles : les documents bureautiques (.doc, .xls, .odf…etc), les photos, la musique, les vidéos…etc.
3. Les fichiers devenus inaccessibles, un message s’affiche pour réclamer le versement d’une rançon, payable en bitcoin ou via une carte prépayée, en échange de la clé de déchiffrement. Attention, rien n’indique que le déchiffreur en question soit efficace !

Pour s’en prémunir :

• N’ayez pas une confiance aveugle dans le nom de l’expéditeur de l’email. Au moindre doute, n’hésitez pas à contacter l’expéditeur par un autre biais.
• Méfiez-vous des pièces jointes et des liens dans les messages dont la provenance est douteuse. Au moindre doute, n’hésitez pas à contacter l’expéditeur pour en connaître la teneur.
• Effectuez des sauvegardes régulièrement sur des périphériques externes.
• Mettez à jour régulièrement tous vos principaux logiciels en privilégiant leur mise à jour automatique.

Pour aller plus loin, n’hésitez pas à consulter la page sur les conseils aux usagers qui reprend les bonnes pratiques à mettre en place pour sécuriser ses équipements et ses données.

VOUS ÊTES VICTIME D’UN RANSOMWARE OU DE FISHING ?

Suite à une escroquerie ou une cyberattaque, déposez plainte  auprès d’un service de Police nationale ou de Gendarmerie nationale ou bien adressez un courrier au Procureur de la République auprès du Tribunal de Grande Instance compétent.

Munissez-vous de tous les renseignements suivants :

• Références du (ou des) transfert(s) d’argent effectué(s)
• Références de la (ou des) personne(s) contactée(s): adresse de messagerie ou adresse postale, pseudos utilisés, numéros de téléphone, fax, copie des courriels ou courriers échangés…
• Numéro complet de votre carte bancaire ayant servi au paiement, référence de votre banque et de votre compte, et copie du relevé de compte bancaire où apparaît le débit frauduleux
• Tout autre renseignement pouvant aider à l’identification de l’escroc

Vous pouvez également signaler les faits dont vous avez été victime via la plateforme de signalement « Pharos » ou le numéro dédié : 0811 02 02 17

Des services spécialisés se chargent ensuite de l’enquête :

• Police nationale : l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) qui dépend de la Sous-direction de lutte contre la cybercriminalité (SDLC) : 01 47 44 97 55
•  Gendarmerie nationale : le centre de lutte contre les criminalités numériques (C3N) du Service Central du Renseignement Criminel (SCRC) :cyber@gendarmerie.interieur.gouv.fr
• Préfecture de police : la Préfecture de police de Paris, de la Direction centrale du renseignement intérieur (DCRI) et ses équipes de la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI) compétente uniquement pour Paris et petite couronne (75, 92, 93 et 94) : 01 40 79 67 50

Article original de gouvernement.fr

Réagissez à cet article

La vitesse de votre Wi-Fi sera bientôt multipliée par 3

Des chercheurs du CSAIL (Computer Science and Artificial Intelligence Lab au Massachussetts Institute of Technology) ont développé une technique qui améliore grandement les performances du Wifi et des communications sans fil plus généralement.

Ezzeldin Hamed, Hariharan Rahul, Mohammed Abdelghany et Dina Katabi présentent leurs travaux dans le cadre du ACM SIGCOMM 16 (Association for Computing Machinery’s Special Interest Group on Data Communications), qui se tient au Brésil (à Florianópolis) jusqu’au 26 août. Ils entendent palier les risques de congestion qui peuvent survenir dans un réseau sans fil traditionnel quand deux points d’accès rapprochés émettant à la même fréquence risquent de causer des interférences.

Aujourd’hui, la solution pour éviter ces interférences consiste à traiter les requêtes les unes après les autres, ce qui restreint inévitablement l’envoi des données (même si, à haute fréquence de traitement, cela ne se perçoit pas tant que le point d’accès n’est pas saturé de connexions). Un peu comme si les supermarchés n’étaient équipés que d’une seule caisse obligeant les consommateurs à d’interminables queues pour payer leurs achats (même si la caissière est super rapide…). Les scientifiques du MIT ont donc envisagé une autre approche visant à coordonner de multiples points d’accès sans fil à la même fréquence sans créer d’interférences.

Utiliser efficacement le spectre disponible

« Dans le monde sans fil d’aujourd’hui, vous ne pouvez pas résoudre le problème de la contraction du spectre en multipliant les émetteurs, car ils continueront d’interférer les uns avec les autres, explique Ezzeldin Hamed, selon des propos repris par le site de news du MIT. La réponse tient dans une coordination de tous les points d’accès afin d’utiliser efficacement le spectre disponible. » Et cette réponse se traduit par la mise au point du dispositif MegaMIMO 2.0, un boîtier de la taille d’un routeur traditionnel qui embarque processeur, système de traitement radio temps réel, émetteur-récepteur et, surtout, algorithmes maison.

Ces derniers génèrent un signal qui permet à de multiples émetteurs indépendants de transmettre des données sur la même ressource hertzienne à plusieurs points d’accès indépendants sans interférer les uns avec les autres grâce à une synchronisation de leur phase d’ondes. Autrement dit, une sorte de réseau MIMO distribué que nombre d’ingénieurs tenaient jusqu’à présent pour difficile à mettre au point. Mais l’équipe du CSAIL a fait une démonstration de l’efficacité du MegaMIMO 2.0, via une simulation de quatre ordinateurs portables en mouvement dans une salle de réunion. Il en ressort une augmentation des débits de 330 % par rapport à un système Wifi traditionnel (et même par rapport à leurs premiers travaux, MegaMIMO, présentés en 2012 et dans lesquels l’utilisateur devait fournir manuellement les informations sur les différentes fréquences). Sans oublier un doublement de la portée du signal. MegaMIMO permet même d’adapter le signal en fonction des obstacles environnants (par exemple lorsque quelqu’un se positionne entre l’émetteur et le récepteur).

Applicable aux réseaux mobiles

Les chercheurs entendent poursuivre leurs travaux pour parvenir à coordonner des dizaines de routeurs sans fil afin de gérer toutes ces ressources comme une seule, ce qui devrait encore démultiplier les performances. Mais le système vise avant tout à palier les risques de congestion du réseau alors que ses usages progressent beaucoup plus vite que la disponibilité des ressources hertziennes.

Dans l’absolu, le MegaMIMO pourrait en effet parfaitement s’appliquer aux réseaux cellulaires. Et permettrait d’assurer des services mobiles de qualité dans les endroits particulièrement fréquentés, comme les stades lors des événements sportifs, les gares les jours de grève ou lors d’incidents de circulation des transports, etc. En attendant, les campus et grandes entreprises pourraient être les premiers à adopter le MegaMIMO pour fournir des accès Wifi efficaces… si le système est commercialisé un jour.

Réagissez à cet article

Comment être payé pour lancer des attaques informatiques de type DDoS

Le DDoS, une plaie du web qui a pour mission de bloquer un serveur à coups de connexions de masse. Un Déni Distribué de Service, c’est un peu comme déverser des poubelles devant l’entrée d’une maison, plus personne ne peut rentrer, plus personne ne peut en sortir. Deux chercheurs américains viennent de rajouter une couche dans ce petit monde fou-fou des DDoSeurs : payer les lanceurs d’attaques.

Eric Wustrow de l’Université du Colorado et Benjamin VanderSloot de l’Université du Michigan se sont lancés dans la création d’une crypto-monnaie, comme le bitcoin, qui pourrait rémunérer les lanceurs de DDoS. Ils ont baptisé leur « idée » : DDoSCoin. Sa mission, récompenser les participants à des dénis de service distribués (DDoS). Cette « monnaie » ne fonctionne que lorsque l’ordinateur de la cible a le TLS activé (Security Layer Transport), un protocole de chiffrement pour les communications Internet sécurisée.

Créer une monnaie qui permet aux « mineurs » de prouver leur participation à un DDoS vers un serveur web ciblé peut paraitre bizarre. Les deux étudiants cherchent des méthodes pour contrer et remonter ce type d’attaque.

Article original de Damien Bancal

Vous comprendrez que le titre de cet article n’a pas pour but de vous inciter à utiliser cette technique, mais plutôt de vous faire découvrir qu’elle existe pour l’anticiper.

Denis Jacopini

Réagissez à cet article

Shadow Brokers, une affaire de Cyberespionnage

1) Pourquoi un tel intérêt pour les Shadow Brokers ?

Lundi 15 août, un groupe de hackers appelé Shadow Brokers a annoncé avoir piraté des systèmes informatiques utilisés par Equation, une organisation réputée proche de la NSA. A l’appui de ses affirmations, ce groupe jusqu’alors inconnu a posté deux archives sur des sites de partage. La première, en libre accès, renferme 300 Mo de données, où se mêlent des outils et des techniques pour infiltrer des systèmes…. [lire la suite]

2) Le hacking de la NSA est-il établi ?

Bien entendu, ni la célèbre agence américaine ni le groupe de hackers Equation, réputé proche de celle-ci, n’a confirmé que les outils mis en ligne par les Shadow Brokers provenaient bien de leurs serveurs. Mais plusieurs éléments concordants établissent un lien direct entre les fichiers mis en ligne par les Shadow Brokers et le couple NSA/Equation. D’abord, c’est l’éditeur russe Kaspersky qui remarque que plus de 300 fichiers présents dans la première archive utilisent une implémentation des algorithmes de chiffrement RC5 et RC6 identique à celle utilisée par le groupe Equation. « La probabilité que tout ceci (l’archive mise en ligne, NDLR) soit un faux ou ait été conçu par rétro-ingénierie est extrêmement faible », écrivent les chercheurs de Kaspersky dans un billet de blog. [lire la suite]

3) Que dit cette affaire du groupe Equation ?

Le nom de ce groupe, choisi en raison de sa prédilection pour les techniques de chiffrement de haut vol, a été donné début 2015 par Kaspersky à un groupe de hackers, que l’éditeur russe décrivait alors comme le plus techniquement doué qu’il ait jamais identifié. La société parlait alors « d’une menace qui dépasse tout ce qui est connu en termes de complexité et de sophistication des techniques employées, une menace active depuis au moins deux décennies ». Equation exploitait depuis 2008 des failles zero day qui ne seront mises à jour que plus tard, à l’occasion du piratage du nucléaire iranien par Stuxnet. [lire la suite]

4) Que renferme l’archive des Shadow Brokers ?

Plusieurs chercheurs en sécurité se sont déjà penchés sur le cyber-arsenal mis à disposition par les Shadow Brokers (lire notamment l’analyse de Mustafa Al-Bassam ou la synthèse réalisée par Softpedia). On y trouve des exploits, autrement dit des codes d’exploitation permettant de prendre le contrôle ou d’espionner des pare-feu ou passerelles VPN fournis par de grands constructeurs comme Cisco, Juniper ou Fortinet. Des constructeurs qui ont déjà reconnu que les outils mis en ligne menaçaient bien certains de leurs matériels. Mais, dans tous les cas, il s’agit de générations anciennes de machines. Les appliances Cisco Pix, ciblées par plusieurs outils, ne sont par exemple plus supportées par le constructeur depuis 2009. [lire la suite]

5) L’archive a-t-elle livrée tous ses secrets ?

Et il y a aussi les outils dont la vocation ne se limite pas à cibler une gamme de machines en particulier. The Intercept explique ainsi que des éléments d’une architecture exploitée par la NSA pour mettre en place des attaques de type Man-in-the-Middle, autorisant l’interception de requêtes Web, figurent dans l’archive des Shadow Brokers.Sans risque de se tromper, la réponse est non. « Comme il y a 300 Mo de code, de documentations, de binaires, personne n’a publié d’analyse complète », remarquent Hervé Schauer et Christophe Renard.[lire la suite]

6) Quels sont les risques pour les entreprises ?

Voir de tels outils mis à la disposition de cybercriminels est évidemment inquiétant. « On est ici face à des outils d’attaque de haut niveau, mis librement à disposition sur le Web, explique Gérôme Billois. Les entreprises doivent donc être très attentives, effectuer l’inventaire des matériels exposés sur leur parc et apporter les modifications nécessaires pour protéger leurs infrastructures. Heureusement, les exploits mis au jour sont assez anciens et ciblent donc du matériel âgé. Mais certaines machines peuvent toujours être en exploitation. » Au fur et à mesure que les codes de l’archive des Shadow Brokers seront décortiqués, des correctifs et des indicateurs de compromission vont être publiés. Ce qui permettra aux RSSI de contrer la menace. C’est donc plutôt une course de fond qui s’engage. [lire la suite]

7) Qui a fait le coup ?

La liste des suspects s’est très vite limitée à quelques noms. Très rapidement, Nicolas Weaver, de l’université de Berkeley, pointe la Chine, soupçonnée de nombreux actes de cyber-espionnage contre les intérêts américains, et la Russie. Une seconde hypothèse que défend lui aussi Edward Snowden, précisément réfugié en Russie après avoir été à l’origine de la plus importante fuite de données de l’histoire de la NSA. [lire la suite]

8) Un second lanceur d’alertes à la NSA ?

Car une autre hypothèse a également de nombreux partisans : celle de l’implication d’un ‘insider’, un nouveau lanceur d’alerte à la NSA. Plusieurs éléments viennent étayer cette hypothèse. Primo, l’archive en question renferme différentes versions d’un même outil, des manuels d’utilisation ou des fichiers à vocation interne. Ce qui cadre mal avec l’hypothèse d’un serveur d’attaque, ou d’un serveur de pré-production, qui aurait été compromis par un assaillant externe. [lire la suite]

9) Quelles sont les conséquences possibles ?

D’ores et déjà, la fuite a dû déclencher un branle-bas de combat au sein de la NSA, qui doit chercher l’origine de cette encombrante archive et, surtout, comment mettre fin aux révélations successives sur ses activités offensives. L’agence devra également s’assurer qu’elle n’exploite plus les codes révélés au public pour ses opérations actuelles. Car, très rapidement, les outils de sécurité seront en mesure de détecter les signatures des outils révélés par les Shadow Brokers.[lire la suite]

10) Qu’en pense Bernard Cazeneuve ?

Passée la boutade, le ministre de l’Intérieur français, qui entend prendre la tête d’une initiative internationale permettant d’encadrer le chiffrement, a devant les yeux une autre illustration des limites que pointent de nombreux spécialistes, y compris le Conseil national du numérique (CNNum).Après l’affaire Juniper (le constructeur avait employé un algorithme de chiffrement affaibli par la NSA, qui avait été détourné par un acteur inconnu), les révélations des Shadow Brokers illustrent une fois encore le caractère spécifique des armes cyber.[lire la suite]

Article original de Reynald Fléchaux

Réagissez à cet article

Votre vie privée numérique en danger sur Leakedsource

LeakedSource, nouvelle source d’informations pour pirates informatiques ? Souvenez-vous, on vous parlait en juillet, de données volées appartenant à un ancien garde du corps de Vladimir Poutine, le Président Russe, ou encore de Nicolas Sarkozy, ancien Président de la République Française. Son identité, ses données privées, des courriels… Un piratage qui semblait être particulièrement compliqué à orchestrer tant les sources d’informations concernant ce body guard étaient variés. Après enquête, j’ai découvert que si le résultat pouvait être particulièrement préjudiciable pour la cible, la mise en place et l’exécution de cette attaque était aussi simple que « 1 + 1 font 2« .

Leakedsource, source quasi inépuisable de malveillances

Pour ce garde du corps, mais aussi pour de nombreuses personnalités, le risque est énorme. Tout débute par le piratage de centaines de bases de données de part le monde. Myspace, Adobe, Linkedin, Twitch , Xat , Badoo… ne sont que des exemples parmi d’autres. Je gère, avec le protocole d’alerte ZATAZ, des dizaines de fuites de données par mois  concernant des PME et entreprises Françaises. Imaginez donc ce que brassent des sites comme leaked source.

Leakedsource.com, un espace web tenu par des Russes, a pour mission de regrouper les informations volées par des pirates et de permettre de consulter les informations en question. Les administrateurs du portail expliquent que leur service est fait pour s’assurer que les données volées ne vous concernent pas. Sauf que, des données, il y en a des centaines de millions, et vous pourriez bien vous y retrouver, comme Mark Zuckerberg, cofondateur et directeur général de Facebook, piraté en juin 2016 parce que son mot de passe « DaDaDa » était accessible dans une base de données piratées et stockées chez Leakedsource.

Vous ne risquez rien ? Vraiment ?

Cela n’arrive qu’aux autres ? Allez donc regarder du côté de vos données. C’est d’ailleurs ce qu’aurait dû faire l’auteur des jeux vidéo Garrysmod et de Rust, Garry Newman. J’ai pu avoir une longue conversation avec l’auteur de divertissements vidéo ludique qui ne s’attendaient pas à découvrir sa vie numérique mise en pâture de la sorte. Il faut dire aussi que plusieurs pirates ont contacté la rédaction de ZATAZ.COM pour se vanter d’avoir mis la main sur ses données Paypal, Amazon, gMail de ce créateur de jeux vidéo britannique. Bref, pour 4 dollars (le prix journalier d’un abonnement Leaked source pour accéder aux données) n’importe quel internaute peut se transformer en vulgaire violeur de vie 2.0. Il suffit de rentrer un mail, un pseudonyme ou encore une adresse IP et Leakedsource cherche dans ses bases de données la moindre concordance. Cerise sur le gâteau, quand le mot de passe est hashé, donc illisible à la première lecture, Leaked source propose la version du précieux sésame déchiffré. « Si les personnes [les pirates, NDR) sont malines, elles peuvent faire beaucoup de dégâts avec ce genre d’outil accessible à Monsieur tout le monde » me confirme un utilisateur.

Que faire pour éviter ce type de fuite de données ?

Je vais très rapidement être honnête avec vous, si vous mettez vos données en ligne, dites vous qu’elles ne sont plus en sécurité. Et ce n’est pas notre vénérable CNIL qui pourra vous aider. Avec plusieurs centaines de cas de fuite de données que je traite avec le protocole d’alerte de zataz par an, j’ai déjà pu croiser mes propres informations. Je vous parlais plus haut de Leakedsource, j’ai pu y retrouver mon compte Adobe. Pourtant, le géant du logiciel l’avait juré, il était « secure » [sécurisé, ndr].

Tellement « secure » qu’un de mes mails, et le mot de passe attenant, sont disponible dans ce big data du malveillant. Autant dire que l’adresse mail et le mot de passe en question ont été détruits et ne seront plus utilisés.

Que faire donc ? D’abord, un compte mail par service. Je sais, c’est long est fastidieux. Mais je pense qu’il va être beaucoup plus long et fastidieux pour Garry Newman de revalider l’ensemble de ses comptes « infiltrés », car il utilisait la même adresse électronique pour ses accès Paypal, Amazon…

Ensuite, ne mettez pas le même mot de passe pour l’ensemble de vos services en ligne. On a beau le répéter, cesser de vous croire plus malin que les 010101 qui nous régissent. Mark Zuckerberg et son « DaDaDa » lui ont coûté son Twitter et son Pinterest. Pour Garry, plus grave encore, son compte Amazon et Paypal, avec des données sensibles [adresses postales, données bancaires…] qui ne devraient pas être disponibles à la planètes web. Donc, oui, c’est fastidieux, mais un mot de passe par compte est une obligation.

Pour finir, en ce qui concerne l’IP, n’hésitez plus à utiliser un VPN. L’outil permet de cacher votre véritable adresse de connexion, en plus de chiffrer vos informations transitant sur la toile. Je vous invite à regarder du côté de nos partenaires et amis de chez NoLimitVPN ou encore HMA! pour blinder vos connexions PC, Mac et mobiles.

Article original de Damien Bancal

Réagissez à cet article