Airbus déjoue douze attaques informatiques majeures par an

Réagissez à cet article

Le CryptoVirus TeslaCrypt s’attaque à de nouveaux fichiers et améliore sa protection

La diffusion de TeslaCryp via le spam constitue également un changement : lors des campagnes récentes de TeslaCrypt, le ransomware avait été propagé via des kits d’exploitation et des redirections depuis des sites WordPress et Joomla. Dans ce cas, la victime doit ouvrir le fichier ZIP en pièce jointe afin d’activer un downloader JavaScript qui utilise Wscript (un composant de Windows) pour télécharger le fichier binaire de TeslaCrypt depuis le domaine greetingsyoungqq[.]com.

D’après notre interlocutrice, l’analyse de la version actualisée du ransomware fut complexe car elle lance de nombreux flux d’application et d’opérations de débogage afin de compliquer la tâche des outils de protection. Comme l’explique Amanda Rousseau, « il semblerait qu’il essaie de dissimuler les lignes dans la mémoire. Il est plus difficile pour l’Antivirus de les détecter s’il n’analyse pas la mémoire. »

Le recours à Wscript rend également la détection plus compliquée car le trafic ressemble à des communications légitimes de Windows. Selon Amanda Rousseau, il aura fallu quatre jours aux outils de détection pour identifier la technique et l’ajouter aux signatures. La durée de service des serveurs de commande sur lesquels se trouve TeslaCrypt a été limitée. A l’issue de celle-ci, les individus malintentionnés changent d’hébergement.

La version actualisée du ransomware utilise également un objet COM pour dissimuler les lignes de code extraites et élimine les identifiants de zone afin qu’ils ne soient pas découverts. De plus, pour éviter la surveillance, le malware arrête plusieurs processus Windows : Task Manager, Registry Editor, SysInternals Process Explorer, System Configuration et Command Shell. Pour garantir sa présence permanente, il se copie sur le disque et crée le paramètre correspondant dans la base de registres.

Vous trouverez une description technique détaillée de TeslaCrypt, y compris de ses méthodes de chiffrement et de ses techniques de lutte contre le débogage sur le blog d’Endgame.

Amanda Rousseau a indiqué dans ses commentaires que lors des essais, les nouveaux échantillons ont atteint les disques réseau connectés et ont tenté de chiffrer les fichiers qui s’y trouvaient. Ils tentent également de supprimer le cliché instantané du volume afin de priver la victime de toute chance de récupération.

Mais il y a malgré tout une bonne nouvelle : la version actualisée de TeslaCrypt chiffre les fichiers à l’aide d’une clé AES 256 et non pas à l’aide d’une clé RSA de 4 096 bits comme indiqué dans la demande de rançon et qui plus est, les informations indispensables au déchiffrement restent sur la machine infectée. « Nous avons trouvé l’algorithme de chiffrement : il fonctionne correctement, mais laisse le fichier de restauration dans le système » a confirmé Amanda Rousseau. « Si l’on part du programme de déchiffrement antérieur de TeslaCrypt et que son code est actualisé conformément aux [découvertes], il sera possible de réaliser le déchiffrement. » Il y a un an environ, Cisco a diffusé un utilitaire de ligne de commande capable de déchiffrer les fichiers touchés par TeslaCrypt.

Amanda Rousseau a également signalé que les auteurs de la version actualisée du ransomware avait emprunté beaucoup de code aux versions antérieures, notamment l’utilisation des objets COM et certaines techniques de débogage. « On dirait que les individus malintentionnés suivent les chercheurs à la trace en surveillant le code [de déchiffrement] publié sur Github en open source » explique le président d’Endgame en montrant les modifications introduites au cours du dernier mois depuis la version 4.0 jusqu’à la version 4 1A. – De petites modifications sont introduites dans chaque version et à la sortie de chaque nouveau décrypteur. Il prenne le meilleur de ce qui était utilisé il y a deux mois et l’appliquent aujourd’hui. »… [Lire la suite]

Réagissez à cet article

Comment fonctionnent les Kits d’exploitation ?

Les Exploit kits, des boites à outils faciles à utiliser

Cependant, l’aspect peut-être le plus préoccupant des kits d’exploitation tient à leur facilité d’utilisation. Ces « boîtes à outils à louer » ont principalement pour but de réduire les compétences techniques nécessaires au lancement de campagnes de malware, afin qu’un assaillant n’ait pas besoin de créer ou implanter le code malveillant lui-même. De fait, de nombreux kits s’accompagnent même désormais d’une interface ergonomique, permettant aux malfaiteurs de gérer et de surveiller leur malware tout au long d’une campagne.

La charge malveillante des kits d’exploitation se présentait jusque-là sous la forme de différentes sortes de malwares, qu’il s’agisse de fraude au clic publicitaire, de malware bancaire ou de ransomware, la nature de ces attaques variant selon le profil de l’utilisateur. Compte tenu de la facilité de personnalisation d’une attaque et de l’ergonomie des kits, il n’est guère surprenant que ceux-ci soient devenus l’arme de prédilection d’un grand nombre de cybercriminels, moins compétents sur le plan technique.

De quoi sont-ils faits ?

En règle générale, l’infrastructure d’un kit d’exploitation comprend trois composants :

• le « back-end », qui contient le tableau de commande et les charges malveillantes ;
• la couche intermédiaire, qui héberge le code malveillant et crée un tunnel dans le serveur back-end ;
• la couche proxy, qui transmet le malware directement à la victime.

La chaîne d’infection/exploitation demeure en outre largement similaire pour les différents kits :

• La victime se rend sur le site web, entièrement ou partiellement contrôlé par l’assaillant ;
• Elle est ensuite redirigée à travers de nombreux serveurs intermédiaires ;
• À son insu, elle aboutit sur le serveur hébergeant le kit d’exploitation ;
• Le kit tente alors de s’installer en exploitant une vulnérabilité logicielle sur le serveur cible ;

En cas d’installation réussie, la charge malveillante est alors activée.

La différence marquante entre les kits réside dans les types de vulnérabilités exploitées pour infecter les visiteurs et les diverses astuces employées pour échapper aux antivirus.

Vers la multiplication des cibles mobiles

Alors que les kits d’exploitation avaient traditionnellement tendance à cibler principalement les ordinateurs, les appareils mobiles sont de plus en plus visés en raison du grand nombre d’utilisateurs qui s’en servent pour surfer sur le Web, échanger des e-mails, consulter les réseaux sociaux et même pour effectuer des opérations bancaires. La plupart de ces utilisateurs n’étant pas au fait des meilleures pratiques pour sécuriser correctement leur mobile, ils offrent par essence une cible bien plus facile.

Il faut donc s’attendre à ce que les auteurs des attaques s’orientent progressivement vers la diffusion de malware mobile via des pages web sur un navigateur mobile, c’est-à-dire essentiellement le même mode d’infection que dans la plupart des cas sur les ordinateurs.

Dès lors que le virus réussit à s’implanter sur un ordinateur ou un mobile, il peut opérer derrière les firewalls d’une entreprise ou d’un particulier. Le malware se propage ainsi à d’autres équipements et se connecte au serveur de commande et de contrôle (C&C) via Internet, ce qui lui permet ensuite d’exfiltrer des données ou de télécharger d’autres logiciels malveillants. Cette communication entre le serveur C&C et la machine infectée passe souvent par le serveur de noms de domaines (DNS) de la cible.

Connaître son ennemi

Même si tous les kits d’exploitation ne sont pas identiques, il est important d’en identifier deux principaux.

Le baromètre Infoblox des menaces DNS observées au 4ème trimestre 2015 révèle que le kit Angler a représenté 56 % des nouvelles activités de ce type, et le kit RIG 20 %. En quoi consistent ces kits et leurs activités ?

Le kit d’exploitation Angler est l’un des plus élaborés actuellement utilisé par les cybercriminels. Notoirement connu pour avoir inauguré la technique du « masquage de domaine », Angler peut ainsi contrer les stratégies de blocage sur la base de la réputation et infiltrer des URL malveillantes dans des réseaux publicitaires légitimes. Il redirige ensuite les visiteurs du site web qui cliquent sur les liens publicitaires infectés vers d’autres sites qui implantent à leur tour un malware. Ces kits tendent à être actualisés avec les dernières failles « zero day » découvertes dans des logiciels répandus, tels que Apache Flash ou WordPress. Si l’on y ajoute l’utilisation de techniques complexes de dissimulation, cela rend Angler particulièrement difficile à détecter pour les solutions antivirus classiques.

Face à cette évolution constante, les entreprises doivent investir dans des technologies de protection qui non seulement bloquent un composant du kit Angler mais sont aussi capables d’identifier et d’interrompre l’activité malveillante sur l’ensemble de la chaîne d’infection.

Bien que de conception plus ancienne, le kit d’exploitation RIG a récemment fait son retour. Cela montre que les menaces passées peuvent réapparaître sous une nouvelle forme à mesure que les kits sont mis à jour. L’analyse par Infoblox de l’activité de RIG en 2015 révèle que celui-ci a commencé à utiliser des techniques de masquage de domaine similaires à celles employées par Angler.

Même si RIG est souvent déployé dans le cadre de campagnes de publicité malveillante, Heimdal Security a récemment découvert qu’il sert également pour la pollution de référencement Google, consistant à détourner les tactiques d’optimisation du moteur de recherche pour faire la promotion de sites web malveillants.

Avec leurs différentes déclinaisons et techniques, les kits d’exploitation offrent aux malfaiteurs dépourvus de compétences techniques l’opportunité de tirer profit du monde de la cybercriminalité. Pour se protéger contre cette menace sans cesse croissante, les entreprises doivent faire appel à une source fiable de veille des menaces et s’appuyer sur ces informations pour interrompre les communications des malwares passant par des protocoles au sein de leur propre infrastructure, notamment le DNS… [Lire la suite]

Réagissez à cet article

Une alerte à la bombe dans un avion causée par un réseau Wi-Fi

Le réseau WiFi en question a été repéré par un des passagers qui, inquiet de ce nom étrange, en a tout de suite informé le personnel de bord. Ce dernier a alors remonté l’information jusqu’au commandant de bord, qui a décidé de garder l’avion au sol tant que l’appareil émetteur de ce réseau n’a pas été repéré. Une annonce retentit dans les hauts parleurs de l’avion afin de prévenir les passagers, mais après une demi-heure de recherche, la source n’est toujours pas localisée.

« Un réseau WiFi peut avoir une bonne portée, donc cela aurait pu venir d’une personne dans le terminal », explique un des passagers. Des recherches sont menées dans et autour de l’avion, sans résultat. Finalement, après trois heures d’attente sur le tarmac, l’avion se met finalement en route pour sa destination, Perth, en Australie, où il atterrit sans encombre 80 minutes plus tard... [Lire la suite]

Réagissez à cet article

Un botnet de 777.000 PC démantelé

Encore une fois, l’opération a été menée conjointement par Interpol et des acteurs privés de la sécurité informatique comme Kaspersky Lab et Trend Micro. Simda était présent dans plus de 770.000 PC dans 190 pays. Dix serveurs de commande et contrôle ont été saisis aux Pays-Bas, mais des équipements contrôlant ce botnet ont été démantelés aux États-Unis, en Russie, au Luxembourg et en Pologne.

Kaspersky explique que Simda était actif depuis fin 2012 et utilisé pour distribuer de manière décentralisée des malwares divers et variés notamment destinés à détourner (c’est original) des données bancaires. Il s’incrustait dans Windows via une modification des fichiers HOSTS permettant de faire passer pour légitimes des sites Web qui ne l’étaient pas.

Afin de vérifier si votre PC fait ou faisait partie du botnet Simda, Kaspersky a mis en ligne cette page : http://www.generation-nt.com/simda-botnet-malware-interpol-microsoft-kaspersky-trend-micro-actualite-1914093.html

Cette nouvelle victoire illustre l’efficacité des actions internationales et coordonnées public/privé. D’ailleurs dès 2010, le Clusif faisait état des progrès accomplis dans la lutte contre les botnets, grâce notamment à l’implication de différents acteurs clés de l’Internet, et notamment des opérateurs télécoms.. [Lire la suite]

Réagissez à cet article

La France largement ciblée par les attaques DDoS au premier trimestre 2016

Dans le précédent rapport, de la société Incapsula, l’attention sur un nombre croissant d’attaques DDoS de type « flood » à très haut débit lancées contre les clients de l’entreprise au niveau de la couche réseau. Dans ce type d’attaques, des paquets de données de petite taille, ne dépassant généralement pas 100 octets, sont émis à un rythme extrêmement élevé de façon à saturer la capacité des commutateurs réseau, ce qui aboutit à un déni de service pour les utilisateurs légitimes.

La vitesse d’émission des paquets est mesurée en Mpps (millions de paquets par seconde). Au 1^er trimestre 2016, la fréquence de ces attaques présentant un nombre élevé de Mpps a été sans précédent. En moyenne, nous avons neutralisé une attaque de plus de 50 Mpps tous le quatre jours et une de plus de 80 Mpps tous les huit jours. Plusieurs de ces attaques ont franchi le cap des 100 Mpps, la plus intense culminant à plus de 120 Mpps.

Nous pensons que ces attaques à très haut débit sont une tentative pour mettre en échec les solutions de neutralisation DDoS de la génération actuelle.

A l’heure actuelle, la majorité des services et appliances de neutralisation sont d’une grande efficacité face aux assauts présentant un nombre élevé de Gbit/s. Cependant, comme les auteurs des attaques s’en rendent compte, bon nombre de ces mêmes solutions n’offrent pas une capacité identique contre les très hauts débits de paquets, car elles n’ont pas été conçues pour en traiter un volume aussi important.

Fait intéressant, nous avons également observé dans le nouveau rapport d’incapsula, l’emploi fréquent d’une combinaison de différents vecteurs pour constituer des assauts plus complexes, avec un débit élevé à la fois en Mpps et en Gbit/s.

Le scénario le plus courant ici est la combinaison d’une attaque de type UDP Flood à très haut débit et d’une attaque par amplification DNS, grosse consommatrice de bande passante. En conséquence, au 1^er trimestre 2016, la fréquence des attaques par amplification DNS a augmenté de 6,3 % par rapport au trimestre précédent.

En outre, nous avons également constaté un accroissement notable du nombre d’attaques multivecteurs. Globalement, celles-ci ont représenté 33,9 % de l’ensemble des assauts sur la couche réseau, soit une hausse de 9,5 % par rapport au trimestre précédent. En termes absolus, le nombre d’attaques multivecteurs est passé de 1326 au 4^ème trimestre 2015 à 1785 au 1^er trimestre 2016.

Couche application : des robots DDoS plus malins

Les attaques DDoS sur la couche réseau, nous avons vu au premier trimestre 2016 les auteurs d’attaques passer à la vitesse supérieure et se concentrer sur des méthodes susceptibles de contourner les mesures de sécurité. La meilleure illustration en est une augmentation du nombre de robots DDoS capables de se glisser au travers des mailles du filet, à savoir les tests couramment utilisés pour filtrer le trafic d’attaque.

Au 1^er trimestre 2016, le nombre de ces robots a explosé pour atteindre 36,6 % du trafic total des botnets, contre 6,1 % au trimestre précédent. Dans le détail, 18,9 % étaient capables d’accepter et de conserver des cookies, tandis que les 17,7 % restants pouvaient également interpréter du code JavaScript.

De telles capacités, combinées à une empreinte HTTP d’apparence authentique, rendent les robots malveillants indétectables par la plupart des méthodes. Les attaques DDoS se démultiplient !

En dehors de l’utilisation de robots plus sophistiqués, les assaillants explorent de nouvelles méthodes d’exécution des attaques sur la couche application. Les plus notables d’entre elles sont de type HTTP/S POST flood, employant des requêtes très longues pour tenter de saturer la connexion réseau de la cible.

Enfin, nous avons également observé un accroissement continu de la fréquence des assauts. Au premier trimestre 2016, un site sur deux victime d’une attaque a été ciblé plusieurs fois. Le nombre de sites attaqués entre deux et cinq fois est passé de 26,7 % à 31,8 %.

Les attaques DDoS : la Corée du Sud en tête des pays à l’origine des attaques

A partir du deuxième trimestre 2015, nous avons enregistré une forte recrudescence de l’activité des botnets DDoS provenant de Corée du Sud, une tendance qui s’est poursuivie ce trimestre. Cette fois, étant à l’origine de 29,5 % de l’ensemble du trafic DDoS sur la couche application, le pays s’est hissé en tête de liste des attaquants.

Un examen plus approfondi des données concernant les attaques DDoS révèle que la majorité du trafic d’attaque émanant de Corée du Sud provient de botnets Nitol (52,9 %) et PCRat (38,2 %). Plus de 38,6 % de ces attaques ont été lancées contre des sites web japonais et 30,3 % contre des cibles hébergées aux Etats-Unis.

Il est intéressant de noter, au cours de ce trimestre, une forte augmentation de l’utilisation de Generic!BT bot, un chevalde Troie connu pour infecter les ordinateurs Windows. Celui-ci a été identifié pour la première fois en 2010 et nous voyons aujourd’hui ses variantes employées pour pirater des machines dans le monde entier.

Au 1^er trimestre 2016, des variantes de Generic!BT ont ainsi été utilisées dans des attaques DDoS issues de 7756 adresses IP distinctes réparties dans 52 pays, principalement en Europe de l’Est. La majorité de cette activité a été tracée jusqu’en Russie (52,6 %) et en Ukraine (26,6 %).

Conclusion : les attaques DDoS conçues contre les solutions de neutralisation

Les années précédentes, la plupart des attaques observées avaient pour but de causer un maximum de dommages aux infrastructures ciblées. Il s’agissait typiquement d’assauts de force brute, de type « flood », frappant avec une grande capacité et sans faire de détail. Les attaques plus sophistiquées étaient alors rares.

Cependant, au cours des derniers mois, nous avons enregistré un nombre croissant d’attaques orchestrées par rapport aux solutions de neutralisation DDoS. La diversité des méthodes d’attaque ainsi que l’expérimentation de nouveaux vecteurs semblent indiquer un changement de priorité, les assauts étant de plus en plus conçus pour paralyser les solutions de neutralisation, et non plus uniquement la cible.

D’une part, cela dénote l’omniprésence des services et appliances de protection DDoS, qui sont appelés à devenir partie intégrante de la majorité des périmètres de sécurité pour espérer contrer les attaques DDoS. D’autre part, cela illustre également le défi auquel le secteur de la neutralisation DDoS va être confronté : des attaques de plus en plus élaborées qui exploitent les points faibles de ses propres technologies… [Lire la suite]

Réagissez à cet article

Forum TAC « Technologies Against Crime » : LYON, les 28 et 29 avril 2016

Cette année, le thème est :

 
Les principaux partenaires de l’événement

Tout au long de ces 2 jours, nous allons assister aux présentation des sujets suivants :

Réagissez à cet article

Quels sont les dangers des points d’accès Wifi gratuits ?

De plus en plus nombreux, les points d’accès Wi-Fi ouverts et gratuits (dans les rues, les parcs, les gares…) sont bien pratiques pour se connecter en mobilité, notamment pour les salariés nomades. Mais ces hotspots ne brillent pas toujours par leur sécurité. D’ailleurs, les entreprises s’inquiètent de plus en plus des risques liés à leur utilisation par leurs employés. La possibilité de voir des données sensibles détournées est forte, du coup, de plus en plus d’entreprises optent pour une solution radicale : interdire leur usage.

C’est la conclusion d’une étude iPass (un spécialiste des accès Wi-Fi pour les pros) menée par Vanson Bourne au mois de mars 2016 auprès de 500 directeurs informatiques et décideurs informatiques aux États-Unis (200), au Royaume-Uni (100), en Allemagne (100) et en France (100).

Ainsi, près des deux tiers (62%) des entreprises interdisent à leurs employés mobiles d’utiliser les points d’accès Wi-Fi gratuits, 20% ont déclaré qu’elles envisageaient d’interdire cet accès dans un avenir proche et 94% des entreprises interrogées considèrent les points d’accès Wi-Fi gratuits comme une source importante de menaces pour la sécurité mobile.

En France, 29% des directions interrogées interdisent systématiquement cet accès, 44% parfois, soit un total de 73%. Et 17% pensent le faire dans le futur. Les interdictions concernent avant tout le secteur de la finances où l’interdiction totale et temporaire atteint 85%, devant l’IT (80%).

VPN

« La méthode consistant à leur empêcher tout accès à ces points de connectivité est aussi maladroite qu’inadaptée. Dans le monde actuel, où le Wi-Fi occupe la première place, les entreprises doivent impérativement informer leurs employés mobiles des dangers du Wi-Fi gratuit et non sécurisé, et leur donner les outils adéquats pour sécuriser leur connexion à Internet et rester productifs. », souligne iPass qui rappelons-le fournit des solutions de sécurisation dédiées…

« Le Wi-Fi est une technologie révolutionnaire qui a bouleversé le mode de travail des utilisateurs dans le monde », explique Keith Waldorf, Vice-président du département d’ingénierie chez iPass. « Cependant, elle est à l’origine de problèmes colossaux en termes de sécurité mobile. Le fait de rester connecté est un besoin de base pour tout employé mobile. Toutefois, comme le nombre d’entreprises victimes d’atteintes à la sécurité ne cesse de croître, la question de la sécurité mobile devient un sujet brûlant pour un grand nombre de sociétés. En particulier, le recours à des points d’accès Wi-Fi gratuits, non sécurisés, inquiète de plus en plus les entreprises, qui essaient de trouver un équilibre entre les coûts et la convivialité d’une solution de connectivité et les menaces éventuelles des pirates informatiques ».

Pour 37% des participants interrogés, les points d’accès Wi-Fi gratuits représentent la plus grande menace à gérer en termes de sécurité mobile, d’abord à cause du manque de précautions prises par les employés (36%) et pour 27%, des appareils qu’ils utilisent. Du coup, 88% des entreprises (94% en France) ont beaucoup de difficultés à appliquer à une stratégie standardisée.

Pour autant, des solutions simples existent : d’abord la pédagogie auprès des salariés nomades puis la technique avec la mise en place d’un VPN (Virtual Private Technology), qui crée une connexion chiffrée. Toutefois, seuls 26 % des participants à l’étude sont certains que ses employés utilisent uniquement les réseaux VPN pour accéder aux systèmes professionnels… [Lire la suite]

Réagissez à cet article

Le protocole bancaire SWIFT victime de cyber fraude

SWIFT (Society for Worldwide Interbank Financial Telecommunication), le réseau financier mondial que les banques utilisent pour transférer des milliards de dollars chaque jour, vient d’avertir ses clients « d’un certain nombre de récents incidents de cybersécurité » sur son réseau : les attaquants ont utilisé son système pour envoyer des messages frauduleux.

Cette révélation intervient alors que les autorités du Bangladesh continuent leur enquête sur le vol de 81 millions de dollars en février dernier. Le transfert litigieux a transité d’un compte de la Banque du Bangladesh vers la New York Federal Reserve Bank. Un des enquêteurs, Mohammad Shah Alam, du Forensic Training Institute du Bangladesh, a déclaré à Reuters que la Banque du Bangladesh était une cible facile pour les cybercriminels car il n’y avait pas de pare-feu et que par ailleurs des commutateurs d’entrée de gamme étaient utilisés pour connecter les systèmes informatiques de la banque à SWIFT.

5 paiements frauduleux sur 35 ont été autorisés

Les chercheurs en cyber-sécurité qui travaillent sur ce hold-up ont expliqué le mois dernier qu’un logiciel malveillant avait été installé sur les systèmes informatiques de la Banque du Bangladesh. Ce malware a permis aux attaquants de se dissimuler avant de prendre l’argent. Un rapport interne de la Banque du Bangladesh mentionne que la Réserve Fédérale a été négligente : elle a validé les fausses transactions. Le rapport parle de «faute majeure». Il indique également que 5 paiements frauduleux sur 35 ont été autorisés (pour un total de 951 millions de dollars), et que des entités situées aux Philippines et au Sri Lanka ont reçu une partie des fonds volés. Et c’est une faute d’orthographe commise par les cybercriminels qui a empêché 20 autres millions de dollars de disparaître en plus des comptes de la Banque du Bangladesh.

Ce vol a provoqué la démission du responsable de la Banque du Bangladesh, Atiur Rahman, 64 ans. Il n’avait pas jugé bon d’informer le ministre des finances du Bangladesh, A M A Muhith, de l’incident. Ce dernier avait appris cet évènement dans la presse étrangère.

SWIFT a reconnu que l’attaque incluait la modification des logiciels SWIFT sur les ordinateurs de la banque pour dissimuler les preuves de transferts frauduleux. « SWIFT est au courant d’un certain nombre d’incidents de cyber récents dans lesquels des personnes malveillantes dans l’entreprise, ou des pirates externes, ont réussi à envoyer des messages SWIFT depuis les back-offices, PC ou postes de travail des institutions financières connectées au réseau SWIFT » avertit l’organisme dans une message d’avertissement à ses clients.

L’avertissement, émit par SWIFT via une alerte confidentielle envoyée sur son réseau lundi, ne donne ni le nom des victimes ou le montant des sommes dérobées. SWIFT a également publié une mise à jour de sécurité pour le logiciel que les banques utilisent pour accéder à son réseau.

SWIFT : 3 000 institutions financières, 11 000 banques

Cette mise à jour doit sécuriser son système vis à vis du malware que les chercheurs de BAE Systems soupçonnent avoir été utilisé dans le hold-up de la Banque du Bangladesh. Les preuves collectées par BAE suggèrent que les pirates ont manipulé le logiciel Alliance Access de SWIFT, que les banques utilisent pour s’interfacer avec la plate-forme de messagerie de SWIFT, afin de brouiller les pistes. BAE a cependant mentionné ne pas pouvoir expliquer comment les commandes frauduleuses ont été créés et poussés à travers le système. SWIFT a cependant fourni des éléments sur la façon dont tout cela est arrivé. L’organisme explique que le modus operandi était similaire dans toutes les opérations frauduleuses. Les agresseurs ont obtenu des informations d’identification valides et ont pu créer et approuver des messages SWIFT.

SWIFT (Society for Worldwide Interbank Financial Telecommunication) est une coopérative détenue par 3 000 institutions financières. Sa plate-forme de messagerie est utilisé par 11 000 banques et autres institutions à travers le monde et est considéré comme un pilier du système financier mondial. SWIFT a dit aux clients que la mise à jour de sécurité doit être installée avant le 12 mai… [Lire la suite]

Réagissez à cet article

Mieux connaître le consommateur avec l’analyse prédictive et le Big Data

Grâce aux nouvelles technologies et particulièrement aux réseaux sociaux, il est désormais possible d’étudier tout ce que font vos clients. Habitudes d’achat, fréquence et lieux des visites, horaires… Toutes ces informations forment une base de données gigantesque et sans cesse en mouvement. C’est ce que l’on nomme « Big Data » et il s’agit d’une véritable mine d’or pour les professionnels du marketing. Fini les suppositions logiques et autres préjugés, l’analyse prédictive permet maintenant de dégager des statistiques et schémas de consommation concrets.

D’où viennent les informations qui composent le Big Data ?

Chaque fois que vous activez votre géolocalisation en consultant un site internet ou une application, cela laisse une trace. Les données du Big Data sont également composées par vos habitudes de navigation sur le net, les endroits où vous vous rendez, combien de temps vous restez, d’où vous venez, ce que vous regardez… Bien sûr toutes ces informations sont rendues anonymes, mais vos terminaux, dont votre smartphone, sont de véritables espions dans votre poche. Un data scientist, tels que sont nommés les experts du Big Data, s’intéressera aux patterns et croisera vos données avec celles de milliers d’autres personnes. Il s’agira par exemple de créer des algorithmes adaptés aux habitudes de navigation des utilisateurs d’un moteur de recherche. L’idée est d’aller chercher dans les données des tendances, et d’identifier des comportements. Analyser, comprendre… puis prédire les actions futures. Cela est désormais possible et relativement simple avec les outils dont disposent les analystes.

Le Big Data, un outil d’analyse prédictive qu’il faut savoir exploiter

Si le Big Data peut servir à améliorer l’expérience des utilisateurs d’un produit, il révèle surtout son potentiel dans le secteur du marketing. Grâce à l’analyse du flot des données, il est possible d’établir des segments toujours plus pertinents. Finie la publicité « à destination de la ménagère de 40 ans ». Vous êtes désormais en mesure de savoir qui est réellement susceptible d’utiliser vos produits, et avec quel argument mettre en avant votre offre. Bien sûr, cela demande un réel travail d’analyse et ce n’est pas un hasard si vous voyez fleurir les offres d’emploi de data scientist ou de data mining. Le marketing et l’analyse prédictive deviennent des travaux de statisticien. Cela demande également de disposer des bons outils. Il s’agit d’un investissement en plusieurs étapes :

1. Vous collectez les données transmises par toutes les sources pertinentes ;
2. Vous analysez les données et isolez les schémas de consommation qui vous intéressent. L’étude de leurs occurrences sera la base de vos analyses prédictives ;
3. Enfin, vous établissez une stratégie de marketing ciblée en fonction des résultats obtenus.

Pour une efficacité maximale, la majeure partie de ce processus sera automatisée. Pour gagner en efficacité mais aussi en efficience grâce à des outils de traitement des données en temps réel, il est possible de créer des processus semi-automatisés. L’intervention humaine n’est plus utile ? C’est le contraire. Elle est essentielle. L’œil humain est là pour aller chercher dans les données, fouiner et faire émerger des signaux faibles. La technologie libère le potentiel des données, mais il faut une intervention humaine pour bien utiliser ces outils, et en tirer des décisions actionnables.

Comment se servir de l’analyse prédictive pour optimiser son ROI ?

S’il peut être intéressant d’analyser le Big Data pour de multiples raisons, en matière de marketing l’objectif est avant tout d’améliorer votre ROI (Return On Investment). Pour cela, votre démarche analytique doit s’inscrire dans un plan d’action concret.
Que vous soyez spécialisé dans le e-commerce ou que vous réalisiez toutes vos ventes dans des magasins physiques, utilisez les données pour améliorer votre marketing digital.

Lancez des campagnes de marketing ciblées ;
Démarquez-vous du flot de publicité, et adaptez votre proposition aux envies réellement exprimées de vos clients.

Mais l’analyse prédictive ne sert pas qu’à générer des ventes. Elle trouve aussi son utilité dans le maintien de la relation client. Il est par exemple possible de déterminer quand un client est sur le point de résilier un abonnement, quand celui-ci est sur le point de basculer chez un concurrent… pour pouvoir le retenir ! A l’aide de ces informations contenues dans votre Big Data, vous pouvez améliorer votre taux de fidélité en adaptant vos offres au bon moment. Un exemple ? La chaîne d’hôtel Hyatt utilise désormais l’analyse prédictive pour donner à son personnel d’accueil des informations supplémentaires sur les clients. En analysant la recherche menée par ces derniers sur le site et les applications du groupe, Hyatt précise si un client peut être intéressé par une chambre avec vue (car il a regardé plusieurs fois la page) ou s’il désire peut-être une chambre avec des oreillers anallergiques, car il a tapé ce mot clé dans le moteur de recherche internei… Un bel exemple de personnalisation de la relation client, grâce aux données.M… [Lire la suite]

Réagissez à cet article