http://i.imgur.com/sRer9.gif
Menaces sur le réseau - Securité informatique
guide pratique des attaques passives et indirectes
Michal Zalewski / PDF / 342 pages / 6.84MB

Dans cet ouvrage unique, Michal Zalewski vous plonge dans les entrailles de l'informatique moderne et porte un jour nouveau sur la conception d'un réseau et nos propres pratiques informatiques. À travers l'étude de quelques défis exceptionnels, rares et souvent très recherchés en terme de sécurité, ce récit fascinant échappe à toute classification et renonce à l'opposition traditionnelle entre attaque et victime.
Michal Zalewski est depuis longtemps connu et respecté dans les communautés de hackers et de sécurité pour son intelligence, sa curiosité et sa créativité. Dans Menace sur le réseau, il partage son savoir-faire et son expérience pour expliquer le fonctionnement des ordinateurs et des réseaux, le traitement et la livraison des informations ainsi que les menaces pour la sécurité qui se cachent dans l'ombre. Là où d'autres livres se contentent d'énumérer les failles de sécurité, Zalewski les explique.
La lecture de cet ouvrage fascinera les étudiants et les professionnels de la sécurité, les responsables SI et tous les technophiles désireux d'apprendre comment la sécurité informatique s'inscrit dans un cadre plus large.
**Hidden Content: Check the thread to see hidden data.**
**Hidden Content: Check the thread to see hidden data.**

[CENTER]
http://images.telechargementz.org/?url=http://i.imgur.com/W7vaOKX.jpg

http://prezup.eu/prez/infossurlebook.png

Laurent Bloch, Christophe Wolfhugel, Christian Queinnec, "Sécurité informatique : Principes et méthodes"
Publisher: Eyrolles | 2007 | ISBN: 2212120214 | French | PDF | 261 pages

http://prezup.eu/prez/description.png

Comprendre les menaces informatiques pour les juguler : l'administrateur et le responsable informatique affrontent une insecurite informatique proteiforme et envahissante, qui menace tant les donnees que les applications de l'entreprise virus, attaques par le reseau, tromperie sur, le Web, etc. Bien des outils sont proposes pour y faire face, mais encore faut-il comprendre leur role et leur mode operatoire et les replacer dans le cadre d'une politique de securite efficace. On devra pour cela garder en tete les principes qui animent tout systeme d'information et chasser de dangereuses idees recues. Une approche systematique de la securite informatique : ecrit par le responsable de la securite des systemes d'information de l'INSERM, ce livre limpide expose les causes des risques inherents a tout systeme informatique - et les moyens de s'en proteger. S'adressant aux administrateurs et responsables de systemes d'informations comme a leurs interlocuteurs, il offre au professionnel consciencieux des principes clairs et une methode rigoureuse pour concevoir une veritable politique de securite. A qui s'adresse cet ouvrage ? aux administrateurs de systemes et de reseaux, mais aussi aux DSI et aux responsables de projets, a tous ceux qui doivent concevoir ou simplement comprendre une politique de securite informatique.





http://prezup.eu/prez/infossurlupload.png

Taille: 120,72 MB
Format: PDF

http://prezup.eu/prez/liens.png

**Hidden Content: Check the thread to see hidden data.**

La menace a de quoi faire froid dans le dos. Les équipes de chercheurs de Talos (Cisco) viennent de repérer un nouveau type de malware capable de mettre à genoux un PC et les données qu'il contient. Rien de neuf, me direz-vous...
Mais Romberkit, c'est son petit nom, a été pensé pour contourner les protections mises en place, qu'elles soient système ou liées à un anti-virus. Pire, il devient particulièrement agressif lorsqu'il est chatouillé ou en phase d'être repéré.

Comme d'habitude, Romberkit se loge dans votre PC via un mail (spam ou phishing) contenant un lien piégé, souvent un faux PDF. Une fois exécuté, le malware fait le tour du propriétaire et s'assure de ne pas être enfermé dans une sandbox. Il est ensuite capable de s'insérer dans le navigateur utilisé pour collecter des données personnelles, même sur un site en https, et les expédier vers un site distant. Classique.

http://www.zdnet.fr/i/edit/ne/2015/05/rombertik.jpg


Dans le même temps, et c'est à ce moment qu'il est le plus dangereux, le malware vérifie qu’il n’est pas en cours d’analyse mémoire. Si c’est le cas, il va alors tenter de détruire le Master Boot Record (MBR), endommageant gravement le PC.
S'il ne parvient pas à ses fins, il s'attaquera alors aux fichiers présents dans le dossier utilisateurs, fichiers qui seront alors cryptés avec une clé RC4 aléatoire. Bref, les dégâts sont majeurs. Et une analyse anti-virus aura les mêmes effets.
"Ce qui est intéressant avec ce malware, c’est qu’il n’a pas une fonction malveillante, mais plusieurs", souligne les experts de Talos. "Le résultat est un cauchemar", ajoutent-ils.

source :**Hidden Content: Check the thread to see hidden data.**

[SIZE=2][FONT=arial]Sujet fusionné.

http://www.secunews.org/wp-content/uploads/2015/08/spamkingfb.jpg


Le célèbre spammeur Sanford
Wallace, alias ‘Spam King’, 47 ans, a plaidé coupable lundi dans une
cour de Californie, il a admis avoir publié 27 millions de messages sur
les murs Facebook d’amis d’utilisateurs.


**Hidden Content: Check the thread to see hidden data.**

Les virus informatiques theorie pratique et applications



http://ecx.images-amazon.com/images/I/51qFLv5CqUL._SX328_BO1,204,203,200_.jpg

Cet ouvrage 2ième édition présente les virus informatiques selon une
triple perspective : les fondements théoriques de la virologie
informatique, l'aspect algorithmique et pratique des virus ainsi que les
applications que l'on peut mettre en œuvre à l'aide de virus. La
formalisation théorique au moyen de machines de Türing, d'automates
auto-reproducteurs et de fonctions récursives permet de dresser un
tableau clair et détaillé des différents types d'infections
informatiques. Les principaux enjeux de la protection et de la lutte
antivirale sont ainsi mis en lumière. L'étude détaillée du code source
de diverse

familles représentatives de l'algorithmique virale permettra au lecteur
de comprendre les mécanismes fondamentaux mis en œuvre par un virus ou
un ver. Le langage C a été systématiquement utilisé afin de facilite

compréhension des programmes étudiés. L'auteur, expert en virologie et
en cryptologie ministère de la Défense et chercheur associé Institut
National de Recherche e

Informatique et en Automatique, termine son propos en décrivant
certaines applications particulières des virus. Il montre ainsi
l'étendue de la virologie informatique.

**Hidden Content: Check the thread to see hidden data.**

Sujet déplacé .By Zadhand

vous en saurez plus en lisant ICI

**Hidden Content: Check the thread to see hidden data.**

Sujet déplacé .By Zadhand

vraiment inaretable c est pirateur ca fait vraiment peur pour le futur

Kaspersky Lab : urgence pour une vulnérabilité critique

Kaspersky Lab diffuse en urgence un patch afin de combler une vulnérabilité de sécurité dans ses produits antivirus.



Tavis Ormandy a encore frappé ! Le chercheur en sécurité informatique,
qui est également membre du Project Zero de Google, se fait une
spécialité dans la découverte de vulnérabilités critiques affectant des
produits antivirus.

**Hidden Content: Check the thread to see hidden data.**

Microsoft vient de déployer un total de douze correctifs de sécurité dont cinq sont classés comme critiques.

**Hidden Content: Check the thread to see hidden data.**

Des malwares implantés dans les routeurs Cisco


http://images.itnewsinfo.com/lmi/articles/grande/000000047660.jpg
Des experts de Mandiant mettent en garde contre de faux firmwares qui implantent des portes dérobées dans plusieurs modèles de routeurs Cisco : ISR 1841 (ci-dessus), 8211 et 3825. (crédit : D.R.)
La firme de sécurité Mandiant, filiale de FireEye, a découvert que, sur certains routeurs d'entreprise Cisco, les firmwares avaient été remplacés par des versions malveillantes permettant d'ouvrir des backdoors et de compromettre d'autres systèmes. Le faux logiciel a été trouvé sur 14 modèles de routeurs au Mexique, en Ukraine, en Inde et aux Philippines.
Remplacer le firmware d’un routeur par une version contaminée n’est plus du tout un risque théorique. Les chercheurs de la société Mandiant, spécialisée dans la sécurité informatique, ont détecté une véritable attaque ayant conduit à installer un faux firmware sur des routeurs d’entreprise dans quatre pays. Le logiciel implanté, désigné sous le nom de SYNful Knock, permet à des attaquants de disposer ainsi d’une porte dérobée, avec des accès à privilèges élevés, pour s’introduire dans les équipements affectés et y rester. La « backdoor » est en effet maintenue, même après un redémarrage du routeur. C’est un élément différentiant et inquiétant par rapport aux malwares que l’on trouve sur les routeurs grand public et qui disparaissent de la mémoire lorsque le périphérique est relancé.
SYNful Knock se présente comme une modification du système d’exploitation IOS (Internetwork Operating System) qui tourne sur les routeurs professionnels et les commutateurs de Cisco. A ce jour, les chercheurs de Mandiant l’ont découvert sur les routeurs ISR (Integrated Service Routeurs) modèles 1841, 8211 et 3825 que les entreprises placent en général dans leurs succursales ou qui sont utilisés par les fournisseurs de services réseaux managés.
Défaut ou vol de certificats d’administration

Filiale de la firme de cybersécurité FireEye, Mandiant a trouvé le faux firmware sur 14 routeurs, au Mexique, en Ukraine, en Inde et aux Philippines. Les modèles concernés ne sont plus vendus par Cisco, mais il n’y a aucune garantie que d’autres modèles ne seront pas ciblés à l’avenir ou qu’ils ne l’ont pas déjà été. Cisco a publié une alerte de sécurité en août avertissant ses clients sur de nouvelles attaques sur ses routeurs.
Dans les cas étudiés par Mandiant, SYNful Knock n’a pas été exploité en profitant d’une faille logicielle, mais plus probablement à cause d’un défaut de certificats d’administration ou via des certificats volés. Les modifications effectuées sur le firmware n’ont pas modifié sa taille d’origine. Le logiciel qui prend sa place installe une backdoor avec mot de passe ouvrant un accès Telnet à privilèges et permettant d’écouter les commandes contenues dans des packets TCP SYN (d’où le noom SYNful Knock). La procédure peut être utilisée pour indiquer au faux firware d’injecter des modules malveillants dans la mémoire du routeur. Toutefois, contrairement à la porte dérobée, ces modules ne résistent pas à un redémarrage du périphérique.
Des compromissions très dangereuses

Les compromissions de routeurs sont très dangereuses parce qu’elles permettent aux attaquants de surveiller et modifier le trafic réseau, de diriger les utilisateurs vers de faux sites et de lancer d’autres attaques contre des terminaux, serveurs et ordinateurs situés au sein de réseaux isolés. Généralement, les routeurs ne bénéficient pas du même degré d’attention que d’autres équipements, du point de vue de la sécurité, car ce sont plutôt les postes de travail des employés ou les serveurs d’applications que les entreprises s’attendent plutôt à voir attaqués. Les routeurs ne sont pas protégés par des utilitaires anti-malwares ni par des pare-feux.
« Découvrir que des backdoors ont été placées dans votre réseau peut se révéler très problématique et trouver un implant dans un routeur, encore plus », soulignent les experts en sécurité de Mandiant dans un billet (https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html). « Cette porte dérobée fournit à des attaquants d’énormes possibilités pour propager et compromettre d’autres hôtes et des données critiques en utilisant ainsi une tête de pont particulièrement furtive ». Dans un livre blanc, Mandiant livre des indicateurs pouvant être utilisés pour détecter des implants SYNful Knock, à la fois localement sur les routeurs et au niveau du réseau. « Il devrait être évident maintenant que ce vecteur d’attaque est vraiment une réalité et que sa prévalence et sa popularité ne feront qu’augmenter », préviennent les experts. A la suite de l'information diffusée par Mandiant, Cisco a lui aussi communiqué sur le sujet (https://blogs.cisco.com/security/synful-knock), en fournissant des explications complémentaires.

Sujet déplacé by Zadhand

Profitez de l'expérience de 150.000 administrateurs pour la surveillance de votre réseau.

Vous voulez surveiller un réseau avec 10, 250 ou 5000 périphériques. Vous cherchez un logiciel de surveillance réseau fiable et simple à installer et qui s'adapte à chaque budget et s'accroît selon vos besoins.

Avec PRTG, vous aurez en moins de 5 minutes une solution de surveillance réseau professionnelle !

Téléchargement **Hidden Content: Check the thread to see hidden data.**

1. Installer PRTG Network Monitor



Inscrivez votre email lorsque demandé



Nom **Hidden Content: Check the thread to see hidden data.**

Serial: **Hidden Content: Check the thread to see hidden data.**


Sujet déplacé et fusionné.

Rombertik enlevé en utilisant**Hidden Content: Check the thread to see hidden data.**

Rombertik enlevé en utilisant ***Hidden content cannot be quoted.***


Bonjour, je remarque que c'est ton premier post merci de respecter la charte du forum et de passer par Présentations des Membres (http://www.maghreb-sat.com/forum/f94/)
et lire ceci afin de te familiariser avec le forum Débuter sur votre forum (http://www.maghreb-sat.com/forum/f108/)

A+

Vol de données bancaires : le malware Dridex cible la France
http://www.silicon.fr/wp-content/uploads/2014/11/cybers%C3%A9curit%C3%A9-piratage-cr%C3%A9dit-photo-%C2%A9-GlebStock-Shutterstock-684x250.jpg



Spécialisé dans le vol de données bancaires, Dridex est toujours actif malgré l’opération du FBI, mi-octobre. Il cible maintenant la France, avertit le CERT-FR et une société de sécurité.

Le botnet Dridex, que les autorités expliquaient avoir démantelé il y a deux semaines, serait toujours actif… et ciblerait en particulier la France. La société américaine, spécialiste de la sécurité des points d’accès, Invincea explique en effet avoir détecté 60 instances du botnet ciblant des utilisateurs français avec le malware Dridex, spécialisé dans le vol de données bancaires. « Au moins certains de ses serveurs de commande et contrôle ont été remis sur pied », écrit (http://www.marketwired.com/press-release/-2066952.htm)Invincea. Selon la société, qui explique que ses observations portant sur le retour du botnet remontent au 22 octobre, le malware envoyé par les cybercriminels est signé avec un certificat émis par l’entreprise de sécurité Comodo, « ce qui signifie que les technologies de sécurité qui font confiance aux exécutables signés échoueront à stopper ces attaques », note Invincea. Ceci concerne notamment les entreprises ayant placé en liste blanche de telles applications.
La menace est confirmée par le CERT-FR, qui a émis une alerte (http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ALE-012/index.html) au sujet de Dridex le 23 octobre. « Depuis la mi-octobre 2015, le CERT-FR constate à l’échelle nationale une vague de pourriels (de type Dridex, NDLR) dont le taux de blocage par les passerelles anti-pourriel est relativement faible », écrit l’organisme officiel de réponse aux menaces, qui dépend de l’Anssi (Agence Nationale de la Sécurité des Systèmes d’information). Le centre note que ces courriels sont souvent écrits dans un français sans faute.
Radical : désactiver les macros

image: (http://www.silicon.fr/wp-content/uploads/2015/10/dridex.jpg)http://www.silicon.fr/wp-content/upl...ex-370x220.jpg (http://www.silicon.fr/wp-content/uploads/2015/10/dridex-370x220.jpg)
http://www.silicon.fr/wp-content/uploads/2015/10/dridex-370x220.jpgUne capture d’écran fournie montrant le nom des fichiers et fournie par Invincea.L’attaque prend en effet la forme d’une campagne de phishing, des mails renfermant des documents Microsoft Office qui semblent renfermer des factures émanant de magasins, d’hôtels ou d’organismes divers (la fourrière de Grenoble, la DGA…). Si l’utilisateur ouvre ces documents, une macro VBScript ou Visual Basic est employée pour assembler le malware PIDARAS.exe, via une technique dite Just-in-Time, qui consiste à construire la souche infectieuse directement sur le poste de la cible, afin d’échapper aux défenses basées sur le monitoring de réseau ou les bacs à sable. Selon le CERT-FR, les téléchargements s’effectuent via le port HTTP « non standard 8080 », une caractéristique qui « permet de détecter pour cette variante les postes ayant exécuté la macro ».
Une fois le malware en place, il communique avec des serveurs basés au Japon, via le port 473. Si Dridex est susceptible d’échapper à la vigilance de certains antivirus, une désactivation de la fonction d’exécution automatique des macros Office permet de lui couper les ailes, rappelle le centre de réponse aux incidents de l’administration française.
Suite à l’arrestation d’individus soupçonnés de liens avec le cybercrime l’été dernier, le FBI américain, en partenariat avec les autorités britanniques, a annoncé mi-octobre le démantèlement des infrastructures de commande et contrôle de Dridex. Repéré en novembre 2014, le malware a infecté des entreprises dans plus de 26 pays, engendrant de grosses pertes financières : 10 millions de dollars détournés aux Etats-Unis, 20 millions de livres sterling au Royaume-Uni.



www.silicon.fr (http://www.silicon.fr/)

Des portes dérobées découvertes dans presque 3 000 applis iOS


http://img.bfmtv.com/c/630/420/e02/0dea3d3bcdd64143b2bf15299ac5c.jpg

Enregistrement audio, prise de captures d'écran, géolocalisation, accès aux mots de passe… Une curieuse librairie publicitaire rend les applis de l'App Store vulnérables au cyberespionnage.

Pas de répit pour Apple. Après XCodeGhost, le malware qui infecté plus de 4.000 applis sur l'App Store, voici venu iBackDoor, une curieuse porte dérobée que les analystes de FireEye ont découvert dans 2.846 applis iOS. Elle se situe au niveau d'une librairie baptisée mobiSage SDK, éditée par la société chinoise adSage. Elle permet de contacter des serveurs publicitaires et récupérer des pubs pour les applis. Jusque-là, rien d'anormal.


Mais en regardant de plus près, FireEye a découvert des fonctionnalités très intrusives dans cette librairie: enregistrement audio, prise de captures d'écran, géolocalisation, accès aux mots de passe applicatifs, etc. De telles fonctionnalités peuvent être légitimes, à condition que l'utilisateur soit prévenu et donne son accord. Mais dans le cas de mobiSage, elles peuvent être activées en douce, sans que l'utilisateur ne le remarque, au travers d'un simple code Javascript que l'appli télécharge depuis l'un des serveurs contactés. Bref, cette librairie est potentiellement un superbe outil d'espionnage.

XCodeGhost bouge toujours

Toutefois, FireEye n'a pas remarqué, à ce jour, une quelconque exploitation de ces fonctionnalités. La société spécialisée ne sait pas non plus si cette porte dérobée a été intégrée par adSage directement ou par un tiers. Elle remarque, néanmoins, qu'elle ne figure plus dans la dernière version de cette librairie. Par ailleurs, la page web qui présente ce SDK n'est actuellement plus disponible (erreur 404).


Contacté par FireEye le 21 octobre dernier, Apple a supprimé depuis une grande partie des applis concernées. Hier, selon SC Magazine, il en restait encore 400. Comme dans le cas de XCodeGhost, cette histoire montre les limites du contrôle effectué par Apple avant la publication d'une appli. Le cas XCodeGhost, d'ailleurs, n'est pas encore terminé. Il y a quelques jours, FireEye a détecté une nouvelle variante capable de contourner un dispositif de sécurité que la firme de Cupertino a ajouté dans sa dernière version d'iOS. Et le botnet lié à ce malware est toujours actif en partie.

Source : Des portes dérobées découvertes dans presque 3 000 applis iOS (http://www.01net.com/actualites/des-portes-derobees-decouvertes-dans-presque-3-000-applis-ios-928031.html)

Les gestionnaires de mots de passe sont-ils trop faciles à pirater ?


http://img.bfmtv.com/c/630/420/fe0/43486a1cabf7244c28ce5582a4486.jpg




Créé par un hacker, le logiciel KeeFarce est capable d’extraire en douce tous les mots de passe du logiciel KeePass sur une machine. Mais ce n’est qu'une demi-surprise.

Le hacker néozélandais Denis Andzakovic vient de créer un logiciel plutôt dangereux : un extracteur de mots de passe pour KeePass 2.x, célèbre logiciel de gestion de sésames open source. Une fois installé sur une machine, cet « outil » baptisé KeeFarce attend que l’utilisateur déverrouille son gestionnaire de mots de passe pour siphonner tous les identifiants et les exfiltrer au travers d’un simple fichier .CSV.


Pour y arriver, le logiciel s’appuie sur une technique dite d’ « injection DLL ». Elle lui permet de s’insérer dans l’environnement d’exécution du gestionnaire de mots de passe et de lancer - ni vu ni connu - sa fonction d’exportation. Et le tour est joué.
L’un des cas d’usage, pour un pirate, serait de combiner KeeFarce – qui est disponible sur GitHub (https://github.com/denandz/KeeFarce) - avec une autre technique pour pouvoir l’installer à distance, sans avoir à accéder à la machine. Par exemple, au travers d’un envoi de phishing. Les possibilités sont nombreuses.


Vulnérable par design

Faut-il, par conséquent, ne plus toucher à KeePass ? Non, car, sur le principe, le développement du hacker néozélandais n’apporte rien de foncièrement nouveau. La sécurité d’un gestionnaire de mots de passe est directement liée à celle du système d’exploitation. Un pirate qui arrive à y prendre pied aura, tôt ou tard, accès à la base de mots de passe. Les développeurs de KeePass, d’ailleurs, le disent depuis longtemps. Face à un logiciel espion ciblé, « la meilleure fonction de sécurité sera vouée à l’échec », expliquent-ils sur

**Hidden Content: Check the thread to see hidden data.**

Interrogé par Ars Technica, Denis Andzakovic explique que les boîtes à outils de hacker tels que Metasploit permettaient d’ores et déjà d’extraire une base de données KeePass sur une machine compromise. Mais c’est un peu laborieux. La nouveauté, avec KeeFarce, est d’automatiser cette extraction.

Au final, KeeFarce ne met pas réellement à mal KeePass. Ce code nous rappelle simplement qu’un gestionnaire de mots de passe n’est pas un outil magique capable de lutter contre tout et n’importe quoi. C’est vrai pour KeePass, mais aussi pour ses concurrents tels quel LastPass ou1Password. Même quand la base est stockée dans le cloud, il faudra bien - à un moment donné – la rapatrier sur un ordinateur et la déchiffrer pour pouvoir l’utiliser. Mais c’est toujours mieux que de créer une liste de mots de passe sous Excel, de noter ses identifiants sur des Post-it ou d’utiliser le même mot de passe pour tous ses accès.

Et si je vous disais qu'il y a dans votre ordinateur un mouchard que vous ne pouvez pas enlever, qui a été mis en place par le constructeur, qui est sur les listes blanches de la plupart des antivirus et dont vous n'avez jamais entendu parler ?



La société Kaspersky, spécialisée dans la détection et l'élimination de malware a débusqué il y a quelques mois un logiciel installé sur plus de 2 millions d'ordinateurs de par le monde qui est commercialisé par la société Absolute et qui permet OFFICIELLEMENT :



De sécuriser les données d'un parc de postes à distance


De déployer toujours à distance des mises à jour, des licences ou de lancer des audits


De géolocaliser des ordinateurs volés


De produire des rapports concernant les machines


De récupérer des fichiers


D'effacer à distance des documents ou tout le disque dur


http://korben.info/wp-content/uploads/2014/05/computrace_theftrecoveryprocess.jpg


Et qui est OFFICIEUSEMENT un trou béant dans la sécurité de votre ordinateur, car il peut être utilisé par un attaquant pour faire ce qu'il veut sur votre PC.



Le plus flippant là dedans, c'est qu'après les révélations de Kaspersky, personne ou presque n'en a parlé dans la presse ou sur les sites spécialisés. Bouuuh !



L'histoire de cette découverte n'est pas banale. La femme d'un des chercheurs de Kaspersky a constaté des plantages et des ralentissements sur son ordinateur. Elle l'a donc confié à son mari qui a commencé à analyser la bestiole, pensant y trouver un virus connu. Il est alors tombé sur des dll et des processus appartenant au logiciel Absolute Computrace.



Jusque là, rien de vraiment anormal puisque Absolute Computrace et son équivalent grand public LoJack sont vendus à des tas de sociétés pour que les administrateurs puissent suivre à la trace les machines, lancer des audits, faire des mises à jour...etc., le tout à distance.



Seulement, l'employeur de la dame n'avait jamais entendu parler de ce logiciel. Les chercheurs de Kaspersky ont alors commencé à regarder autour d'eux et se sont rendu compte qu'il y avait exactement le même logiciel installé sur leurs ordinateurs du boulot et leurs ordinateurs personnels.



Angoisse !



Ils ont alors mené une enquête plus approfondie et voici ce qu'ils ont découvert. Computrace se divise en 3 modules présents dans l'option ROM PCI qui est chargée ensuite par le BIOS de la machine.


http://korben.info/wp-content/uploads/2014/05/absolutecomputrace_01s27.png


Computrace Loader Module : Module de chargement lu par le BIOS et capable d'appeler le module d'installation.


Agent Installation Module : Module qui installe l'agent sur Windows.


Agent : L'agent en lui-même qui est ensuite présent et fonctionnel sous Windows.


http://korben.info/wp-content/uploads/2014/05/absolutecomputrace_02s27.png


Cette "option" Computrace est normalement visible dans le BIOS des machines et est mise en place par le fabricant de l'ordinateur. Absolute est fière de compter parmi ses clients des constructeurs comme Acer, Apple, ASUS, Dell, Fujitsu, Gateway, HP, Lenovo, Microsoft, Panasonic, Samsung, Sony et Toshiba. Ah oui, j'oubliais... Même si Kaspersky ne s'est penché que sur la version PC Windows, Computrace / LoJack existe aussi en version smartphone / tablette (Android) et Mac OSX.



En ce qui concerne Computrace sur PC, il est normalement désactivable dans le BIOS mais pas dans tous, puisque certains des ordinateurs analysés par Kaspersky n'avaient même pas cette option visible dans le BIOS et contenaient pourtant l'agent Computrace.


http://korben.info/wp-content/uploads/2014/05/absolutecomputrace_04s27.png






absolutecomputrace_01s27



Computrace Loader Module : Module de chargement lu par le BIOS et capable d'appeler le module d'installation.


Agent Installation Module : Module qui installe l'agent sur Windows.


Agent : L'agent en lui-même qui est ensuite présent et fonctionnel sous Windows.



absolutecomputrace_02s27



Cette "option" Computrace est normalement visible dans le BIOS des machines et est mise en place par le fabricant de l'ordinateur. Absolute est fière de compter parmi ses clients des constructeurs comme Acer, Apple, ASUS, Dell, Fujitsu, Gateway, HP, Lenovo, Microsoft, Panasonic, Samsung, Sony et Toshiba. Ah oui, j'oubliais... Même si Kaspersky ne s'est penché que sur la version PC Windows, Computrace / LoJack existe aussi en version smartphone / tablette (Android) et Mac OSX.



Edit: Il semble que cette dernière phrase n'ait pas été comprise par tous. Je vais tenter de mieux l'expliquer. L'agent Computrace est un logiciel qui peut s'installer volontairement. Cet agent est dispo sous Linux, Windows, Android et MacOSX. Seulement pour le moment et jusqu'à preuve du contraire, seuls certains PC Windows sont équipés d'un Computrace par défaut logé dans le bios et capable de déployer son agent sous Windows. Pour MacOSX ça ne semble pas être le cas. En tout cas, personne n'a encore creusé dans cette direction. Et pour Android, aucune preuve n'a été apportée non plus, même si certains téléphones et tablettes sont marqués par Absolute (voir liste ci-dessous) comme équipé d'un Computrace. Bref, pour les PC Windows on est sûr car Kaspersky a bien analysé tout le bordel mais pour OSX et Android, c'est non-prouvé.



En ce qui concerne Computrace sur PC, il est normalement désactivable dans le BIOS mais pas dans tous, puisque certains des ordinateurs analysés par Kaspersky n'avaient même pas cette option visible dans le BIOS et contenaient pourtant l'agent Computrace.



absolutecomputrace_04s27



L'intérêt d'une telle présence dans le BIOS de la machine, c'est la persistance du programme. Que vous réinstalliez, formatez ou changiez de disque dur, le tracker sera toujours présent. N'espérez pas pouvoir l'effacer en mettant à jour votre BIOS. Non, car il est présent dans une partie non modifiable et si vous flashez votre BIOS avec un nouveau firmware, il ne sera pas dégagé.


http://korben.info/wp-content/uploads/2014/05/absolutecomputrace_03s14.png


Voici comment il fonctionne.



Dès l'initialisation du BIOS, le module Computrace scanne les partitions FAT/FAT32/NTFS de la machine à la recherche du répertoire Windows. Il fait une copie de sauvegarde du logiciel autochk.exe et le remplace par sa propre version modifiée.



Autochk.exe ayant un accès complet aux fichiers et à la base de registre de Windows, cela permet à Computrace d'installer son agent rpcnetp.exe dans le répertoire System32 puis de l'enregistrer comme un service à lancer automatiquement à chaque démarrage.



Une fois que c'est fait, il restaure la sauvegarde de autochk.exe.



Rpcnetp.exe enregistre alors sa DLL rcpnetp.dll et l'injecte en mémoire. Un processus masqué utilisant iexplore.exe (Internet Explorer) est alors lancé et permet de communiquer avec le serveur de gestion de Computrace via des URL classiques (avec des POST et des GET). Passer par Internet Explorer permet d'utiliser les mêmes proxys et la même config que ceux de l'internaute. Des données sont envoyées et reçues entre cet agent et les serveurs d'Absolute, ce qui peut provoquer des ralentissements sur la machine.


http://korben.info/wp-content/uploads/2014/05/absolutecomputrace_06s14.png




.



absolutecomputrace_03s



Voici comment il fonctionne.



Dès l'initialisation du BIOS, le module Computrace scanne les partitions FAT/FAT32/NTFS de la machine à la recherche du répertoire Windows. Il fait une copie de sauvegarde du logiciel autochk.exe et le remplace par sa propre version modifiée.



Autochk.exe ayant un accès complet aux fichiers et à la base de registre de Windows, cela permet à Computrace d'installer son agent rpcnetp.exe dans le répertoire System32 puis de l'enregistrer comme un service à lancer automatiquement à chaque démarrage.



Une fois que c'est fait, il restaure la sauvegarde de autochk.exe.



Rpcnetp.exe enregistre alors sa DLL rcpnetp.dll et l'injecte en mémoire. Un processus masqué utilisant iexplore.exe (Internet Explorer) est alors lancé et permet de communiquer avec le serveur de gestion de Computrace via des URL classiques (avec des POST et des GET). Passer par Internet Explorer permet d'utiliser les mêmes proxys et la même config que ceux de l'internaute. Des données sont envoyées et reçues entre cet agent et les serveurs d'Absolute, ce qui peut provoquer des ralentissements sur la machine.



absolutecomputrace_06s



Ce module télécharge alors un autre agent baptisé rpcnet.exe qui est un peu plus gros, mais qui se comporte sensiblement de la même manière que rpcnetp.exe. Il s’immisce dans le système et d'après Kaspersky, permet de donner un accès distant et complet à la machine sur laquelle il tourne. En gros, il s'agit d'un logiciel de tracking et de prise de contrôle à distance.



Computrace utilise les mêmes techniques de filou que les logiciels malveillants et cherche délibérément à se cacher de l'utilisateur. La raison est d'éviter qu'un voleur de portable le remarque, et puisse masquer sa localisation ou bloquer Computrace.



Computrace marque aussi avec un ID unique la machine, ce qui permet de l'identifier de manière sûre.



En analysant les trames réseau échangées entre les agents et le serveur de gestion, Kaspersky a remarqué qu'il était possible à n'importe qui d'injecter à distance n'importe quel code afin de l'exécuter sur la machine. Le protocole utilisé n'étant pas chiffré, n'exigeant pas d'authentification de la part du serveur gestionnaire et les serveurs appelés l'étant via de simples URL, il est possible de faire croire à l'agent Computrace qu'il discute avec son serveur de gestion alors qu'il s'agit d'un attaquant qui a détourné quelques DNS. L'attaquant peut alors lancer du code sur la machine, accéder aux fichiers, récupérer les trames réseau..etc.



Potentiellement, tous les ordinateurs infectés par Computrace sont des botnets en puissance. Kaspersky a aussi remarqué à plusieurs reprises que Computrace s'activait immédiatement sur des PC neufs.



Kaspersky a aussi contacté la société Absolute et leur a fourni des numéros de série de matériels qui contenaient l'agent Computrace. Absolute n'a aucune trace de ces appareils dans sa base de données. Cela signifie que Computrace a été activé sur ces machines par un autre canal que celui "officiel" d'Absolute. Jusqu'à aujourd'hui, ça reste un mystère.



D'après les sondes de Kaspersky, voici la répartition dans le monde des ordinateurs équipés de Computrace / LoJack.



Alors, maintenant que faire ?



Tout d'abord, si votre ordinateur fait partie de cette liste, vous êtes susceptible d'être l'heureux propriétaire d'un agent Computrace (Edit : Ce n'est pas systématique. Il s'agit là du matos compatible avec Computrace). Félicitations !



acer


Notebooks & Tablets Models


Aspire 3830T, 4741, 7741, M5-481T


Iconia W701


TravelMate All Models


asus


Notebooks & Tablets Models


B43 Series B43F, B43J


B53 Series B53F, B53J


Eee Pad Eee Slate B121


F52 Series F52Q


F6 Series F6Ve


F80 Series F80Q


G51 Series G51Jg


G53 Series G53Jq, G53Jw


G73 Series G73Jh, G73Jw


M51 Series M51A


N10 Series N10Jb, N10Jh


N20 Series N20A


N43 Series N43Jf


N53 Series N53Jf, N53Jn, N53Jq


N71 Series N71Ja, N71Jq, N71Jv


N73 Series N73Jf, N73Jn, N73Jq


N81 Series N81Vg, N81Vp


N82 Series N82Jg, N82Jq, N82Jv


P42 Series P42F, P42Jc


P50 Series P50Ij


P52 Series P52F, P52Jc


U Series Other U31, U41


UL Series Other UL21, UL31


UL30 Series UL30A, UL30Jt, UL30Vt


UL80 Series UL80Jt


UX Series UX21, UX31


dell


Desktops & Workstations Models


Optiplex Desktop 3010, 3011, 3020, 330, 360, 380, 380S, 390, 580, 580S, 7010, 745, 745c, 755, 760, 760S, 760U, 780, 780S, 780U, 790, 9010, 9010 AIO, 9020, 9020 AIO, 960, 960S, 980, 980S, 990, FX100, FX130, FX170, XE D, XE S, XE2


Precision R5400 Workstation, R5500 Workstation, R7610, T1600, T1650, T20, T3400, T3500, T3600, T3610, T5400, T5500, T5600, T5610, T7400, T7500, T7600, T7610


Notebooks & Tablets Models


Alienware M11xR2, M11xR3, M14x, M15x, M17x, M18x


Inspiron 1110, 1120, 1121, 11z, 1200, 13, 1300, 130B, 1318, 13z, 14 N4050, 1420, 1440, 1464, 1470, 14R, 14z Ultrabook, 15, 1501, 1520, 1521, 1525, 1526, 1545, 1546, 1564, 1570, 15R, 15z Ultrabook, 17, 1720, 1721, 1745, 1764, 17R, 2200, 3421, 3437, 3521, 3537, 3721, 3737, 5323, 5420, 5421, 5425, 5435, 5437, 5520, 5521, 5525, 5535, 5537, 5720, 5721, 5735, 5737, 6000, 630, 6400, 640M, 7000 Series, 700M, 710M, 7420, 7437, 7520, 7537, 7720, 7737, 9300, 9400, B120, B130, Duo Tablet, E1405, E1505, E1705, M101z, M102z 1122, M5010, M5030, N4010, N4020, N4030, N4110, N5010, N5030, N7010


Latitude 10 Tablet, 110L, 120L, 13, 131L, 2100, 2110, 2120, 3330, 3340, 3440, 3540, 4310, 5410, 5510, 6410, 6410 ATG, 6510, D410, D420, D430, D510, D520, D530, D531, D610, D620, D630, D630 XFR, D631, D810, D820, D830, E4200, E4300, E4310, E5000, E5400, E5410, E5420, E5430, E5440, E5500, E5510, E5520, E5530, E5540, E6000, E6220, E6230, E6320, E6330, E6400, E6400 ATG, E6400 XFR, E6410, E6410 ATG, E6420, E6420 ATG, E6430, E6430 ATG, E6430S, E6430u, E6440, E6500, E6510, E6520, E6530, E6540, E7240, E7440, ST Tablet, X1, XT, XT2, XT2 XFR, XT3 Tablet, Z, Z600


Netbook UMPC Inspiron Duo Convertible, Inspiron Mini 10, Inspiron Mini 1010, Inspiron Mini 1011, Inspiron Mini 1012, Inspiron Mini 1018, Inspiron Mini 12, Inspiron Mini 9, Inspiron Mini 910, Latitude 2100, Latitude 2120


Precision 390, 490, 690, M20, M2300, M2400, M4300, M4400, M4500, M4600, M4700, M4800, M6300, M6400, M65, M6500, M6600, M6700, M6800, M70, M90


Studio 15, 16, 17


Venue Tablets Venue 11 Pro Tablet, Venue 8 Pro Tablet


Vostro 1000, 1200, 1310, 1320, 1400, 1440, 1500, 1510, 1520, 1540, 1700, 1710, 1720, 2420, 2520, 3300, 3350, 3360, 3400, 3450, 3460, 3500, 3550, 3555, 3560, 3700, 3750, 5560, V130, V131


XPS 11 Ultrabook, 12 Ultrabook, 13 Ultrabook, 14 Ultrabook, 14z, 15, 15z, 720, M1210, M1330, M140, M1530, M170, M1710, M1730, M2010, XPS 12, XPS 15, XPS 17, XPS 17 3D, XPS 18


fujitsu


Notebooks & Tablets Models


CELSUIS series H710, H720, H730, H910, H920


LIFEBOOK A-series A1120, A1130, A3120, A3130, A3210, A530, A531, A532, A6010, A6025, A6110, A6120, A6210, A6220, A6230, AH530, AH531, AH532, AH550, AH552


LIFEBOOK B-series B6220, B6230, BH531


LIFEBOOK C-series C1410


LIFEBOOK E-series E733, E734, E743, E744, E751, E752, E753, E754, E780, E781, E782, E8310, E8410, E8420


LIFEBOOK L-series LH531, LH532, LH772


LIFEBOOK M-series M702, MH380


LIFEBOOK N-series N532, N6460, N6470, NH532, NH570, NH751


LIFEBOOK P-series P1610, P1620, P1630, P701, P702, P7230, P731, P770, P771, P772, P8010, P8020, PH521, PH701, PH702


LIFEBOOK S-series S2210, S561, S6510, S6520, S710, S7110, S7210, S7211, S7220, S751, S752, S760, S761, S762, S781, S782, S792, S904, SH531, SH572, SH761, SH762, SH771, SH772, SH792


LIFEBOOK T-series T1010, T2010, T4210, T4215, T4220, T4310, T4410, T5010, T580, T730, T731, T732, T734, T900, T901, T902, T904, TH700, TH701


LIFEBOOK U-series U554, U574, U772, U810, U820, U904, UH552, UH572, UH900


LIFEBOOK V-series V1010, V1020, V1030, V1040


STYLISTIC series M532, MH350, Q550, Q552, Q572, Q584, Q702, Q704, ST5111, ST5112, ST6012


gammatech


Notebooks & Tablets Models


Durabook D13RY, D14RY, D15RP, D15TS


gateway


Notebooks & Tablets Models


100s C-140, E100m, E100mg, E155c, E155cg


200s E-265M, E-295c, M250es, M250gs, M255e, M255g, M280e, M280g, M285e, M285g


400s E 475M, M460es, M460gs, M465e, M465g


600s M680es, M680gs, M685e, M685g


CX CX2700


Desktops E4610, E6610


MP MP6900, MP8700


MX MX1000, MX3300, MX3400, MX6300, MX6400, MX6900, MX8700


gd-itronix


Notebooks & Tablets Models


Duo-Touch II Tablet T8Y


GoBook VR-2, XR-1


Vehicle Rugged Notebook GD6000, GD8000


getac


Notebooks & Tablets Models


Rugged Notebook A790, B300, M230N, S400


Rugged Tablet E100, V100


hp


Desktops & Workstations Models


Compaq Elite Desktops 8000, 8000f USDT, 8100, 8200


HP Compaq All-in-Ones (AiO's) Elite 8200 AiO, Elite 8300 AiO, Pro 4300 AiO, Pro 4300 AiO, Pro 4300 AiO, Pro 6000 AiO, Pro 6300 AiO


HP Compaq dc & Pro Desktops 4000, 4300SFF, 5800, 5850, 7700, 7800, 7900, Elite 8000, Elite 8100, Elite 8200, Elite 8300 - all form factors, Pro 6000, Pro 6005, Pro 6005 USDT, Pro 6200, Pro 6300 - all form factors, Pro 6305 - all form factors


HP EliteDesk Series Business PC 600 G1, 800 G1


HP EliteOne All-in-One Business PC 800 G1


HP ProDesk Business Series Desktops 400 G1, 600 G1


HP ProOne All-in-One Business PC 400 G1, 600 G1


HP Workstations xw4600, xw6600, xw8600, Z1, Z1 G2, Z200, Z200 SFF, Z210, Z210 SFF, Z230 SFF, Z230 Tower, Z400, Z420, Z600, Z620, Z800, Z820


Notebooks & Tablets Models


Compaq nc Series Notebook 2400, 4200, 4400, 6320, 6340, 6400, 8240, 8430


Compaq nw Series Mobile Workstation 8440, 9440


Compaq nx Series Notebook 6310, 6315, 6325, 7300, 7400, 9420


Compaq Presario Series C7, CQ32, CQ35, CQ36, CQ40, CQ41, CQ42, CQ43, CQ45, CQ57, CQ60, CQ60Z, CQ61, CQ62, CQ70, CQ71, CQ72, F7, V6


Envy Series All Models


HDX Series 16t, 18t


HP Compaq 2000 Series Notebooks 2510p, 2710p


HP Compaq 6000 Series Notebooks 6510b, 6515b, 6520s, 6530b, 6530s, 6535b, 6535s, 6710b, 6710s, 6715b, 6715s, 6720s, 6730b, 6730s, 6735b, 6735s, 6820s, 6830s, 6835s, 6910p, 6930b, 6930p


HP Compaq 8000 Series 8510p, 8510w, 8710p, 8710w, 8740w


HP Compaq Tablet PC TC1100, TC4200, TC4400


HP Elite Series (EliteBook and ElitePad) 1040 G1, 2170p, 2530p, 2540p, 2560p, 2570p, 2730p, 2740p, 2760p, 6930p, 820 G1, 840 G1, 8440p, 8440w, 8460p, 8460w, 8470p, 8470w, 850 G1, 8530p, 8530w, 8540p, 8540w, 8560p, 8560w, 8570p, 8570w, 8730w, 8740w, 8760w, 8770w, 9470m, ElitePad 900, Revolve 210 G2, Revolve 810 G1


HP Folio Series (Ultrabook) 13


HP Laptop g4, G42, g6, G60, G61, G62, g7, G70, G71, G72, HP 2000, HP 430, HP 630, HP/Compaq 435


HP Notebook PC 240, 240 G2, 242, 245, 245 G2, 250, 250 G2, 255, 255 G2, 3115m, 3125, 450, 455, 650, 655


HP Slate Tablet PC HP Slate 2, HP Slate 500


HP Spectre Series 13 X2, XT Pro


HP ZBook Mobile Workstation 14, 15, 17


Mini 1103, 1104, 2102, 2133, 2140, 5101, 5102, 5103


Pavilion dm Series dm1, dm3, dm4


Pavilion dv Series dv2, dv3, dv4, dv5, dv6, dv7, dv8, dv9, tx1, tx2


ProBook 4230s, 430, 4310s, 4320s, 4330s, 4331s, 4340s, 4341s, 440, 440 G1, 4415s, 4425s, 4430s, 4431s, 4435s, 4436s, 4440s, 4441s, 4445s, 4446s, 445 G1, 450 G1, 4510s, 4520s, 4525s, 4530s, 4535s, 4540s, 4545s, 455, 455 G1, 470, 470 G1, 4710s, 4720s, 4730s, 4740s, 5310m, 5320m, 5330m, 6360b, 640 G1, 6440b, 6445b, 645 G1, 6450b, 6455b, 6460b, 6465b, 6470b, 6475b, 650 G1, 6540b, 6545b, 655 G1, 6550b, 6555b, 6560b, 6565b, 6570b


Other Models


Compaq Media Player MP8000 Elite, MP8200 Elite


HP Compaq Multi-Seat MS6000 Pro, MS6200 Pro, MS6200 SFF


Mobile Thin Client HP MT 40 Mobile Thin Client


RPOS HP RP3 3100, HP RP7 Retail System, Model 7800, rp3000, rp5700, rp5800


lenovo


Desktop Workstations Models


ThinkStation E20, E30, E31


Desktops & All In One Models


ThinkCentre A Series 58, 61, 61e, 70, 70z


ThinkCentre M Series 57, 57e, 57p, 58, 58e, 58p, 70e, 71e, 71z, 72e, 73, 77, 78, 81, 82, 90p, 90z, 91p, 92p tiny, 92z, 93, 93p


Notebooks & Tablets Models


Essentials B430, B4450s, B480, B490, B560, B580, B590, E49, K49, K490s, M4400, M490, M490s, M495, V480, V490, V490u, V580, V580c


IdeaPad 3000, Flex 14, N580, P580, P585, S10, S10e, S300, S400, S9e, U260, U300(s), U310, U330 Touch, U400, U410, U430 Touch, U510, U530 Touch, Y480, Y510p, Yoga 11, Yoga 13, Yoga 2 Pro, Z565


ThinkPad Edge Series 11, 13, 14, 15, E10, E120, E125, E130, E220s, E30, E31, E320, E325, E335, E40, E420, E420s, E425, E430, E430c, E431, E49, E50, E520, E525, E530(c), E531, E535, S230u, S430, Twist


ThinkPad G Series G470, G480, G50, G550, G560, G570, G580, G780


ThinkPad L Series 410, 412, 420, 421, 430, 440, 510, 512, 520, 530, 540


ThinkPad R Series 400, 500, 51e, 52, 60, 60e, 61, 61e, 61i


ThinkPad SL Series 300, 400, 400c, 410, 500, 500c, 510


ThinkPad T Series 400, 400s, 410, 410i, 410s, 410si, 420, 420i, 420s, 420si, 43, 430, 430s, 430u, 431s, 43p, 440, 440p, 440s, 500, 510, 510i, 520, 520i, 530, 540p, 60, 60p, 61, 61p


ThinkPad Tablet & Hybrid Helix, Tablet 2, Tablet (Android), ThinkPad Yoga


ThinkPad W Series Mobile Workstation 500, 510, 520, 530, 540, 700, 700ds, 701, 701ds


ThinkPad X Series 100e, 11e, 120e, 121e, 130e, 200, 200 Tablet, 200s, 201, 201 Tablet, 201i, 201s, 201si, 220, 220 Tablet, 220i, 220i Tablet, 230, 230 Tablet, 240, 300, 301, 41, 41 Tablet, 60, 60 Tablet, 60s, 61, 61 Tablet, 61s, X1, X1 Carbon, X1 Carbon Touch, X131e, X141e


motion


Notebooks & Tablets Models


Tablet PC C5t, C5te, C5v, CL900, CL910, F5t, F5te, F5v, J3500, J3600, R12


panasonic


Notebooks & Tablets Models


Toughbook Business-Rugged C1, F8, F9, S10, SX2, T5, T7, T8, W5, W7, W8, Y5, Y7


Toughbook Fully-Rugged 19, 30, 31


Toughbook Semi-Rugged 52, 53, 74, 74-E or higher, C2


Toughbook Ultra-Mobile-Rugged H1, H2, U1


Toughbook Vehicle-Mounted PDRC


Toughpad 4K, FZ-G1, FZ-M1


samsung


Smartphones, Notebooks & Tablets Models


ATIV Book 2 Notebooks NP200


ATIV Book 3 Notebooks NP300, NP305, NP350


ATIV Book 4 Notebooks NP400


ATIV Book 5 Notebooks NP500, NP530, NP535, NP550


ATIV Book 6 Notebooks NP600


ATIV Book 7 Notebooks NP700


ATIV Book 9 Notebooks NP900


Galaxy & ATIV Tablets ATIV XE700 T1C Pro, Galaxy Note 2014 Edition (10.1), Galaxy Note Pro (12.2), Galaxy Tab 3 (10.1), Galaxy Tab 3 (7.0) (AT&T, Sprint, T-Mobile), Galaxy Tab 4 (10.1, 8.0), Galaxy Tab 4 Education, Tab Pro (12.2, 10.1, 8.4)


Galaxy Smartphones Mega 6.3 (AT&T, Sprint, US Cellular), Note 3, S4, S4 Active, S4 Mini, S5


toshiba


Notebooks & Tablets Models


Portege R830, R835, R930, R935, Z830, Z835, Z930, Z935


Qosmio F750, F755, X770, X775, X870, X875


Satellite C650, C840, C850, C855, C870, L730, L740, L750, L770, L830, L840, L850, L855, L870, L875, P750, P770, P840, P850, P855, P870, P875, R845, R945, S850, S855, S870, U840


Satellite Pro C660, C665, C850, C870, L750, L770, L830, L850, L870, R850


Tecra A11, R840, R850, R940, R950


xplore


Notebooks & Tablets Models


IXC104C4 All models except IXC104M Military version



Déjà, pour vérifier si Computrace est présent sur votre ordinateur, vous pouvez lancer HijackThis et vérifier si l'un des processus suivants est lancé :



rpcnet.exe


rpcnetp.exe


32 bitsvchost.exe (tournant sur un OS en 64 bits)



Si les fichiers sont présents sur votre disque dur :



%Windir%\system32\rpcnet.exe


%Windir%\system32\rpcnetp.exe


%Windir%\system32\wceprv.dll


%Windir%\system32\identprv.dll


%Windir%\system32\Upgrd.exe


%Windir%\system32\autochk.exe.bak (FAT)


%Windir%\system32\autochk.exe.bak (NTFS)



Si vous voyez passer des requêtes DNS vers ces adresses :



search.namequery.com


search.us.namequery.com


search64.namequery.com


bh.namequery.com


namequery.nettrace.co.za


search2.namequery.com


m229.absolute.com ou toute m *. absolute.com



Si votre système se connecte à l'adresse IP suivante : 209.53.113.223



Si les clés suivantes sont présentes en base de registre :



HKLM\System\CurrentControlSet\Services\rpcnet


HKLM\System\CurrentControlSet\Services\rpcnetp



Mais alors ? Comment s'en débarrasser ?



Et bien malheureusement, il n'y a pas de solution miracle. Le plus sain est de changer de carte mère avec si possible un BIOS libre non signé comme Coreboot. Autrement, une autre solution qui ne dégage pas Computrace, mais qui permet de bloquer les connexions de l'agent, c'est d'entrer les URL ci-dessus dans votre fichier Hosts en les faisant pointer vers votre adresse localhost (127.0.0.1).



Autrement, je n'ai pas de solution pour le moment, mais si vous avez d'autres infos, je suis preneur.



L'avenir est sombre avec ce genre de choses surtout qu'Absolute n'est pas le seul sur ce marché. Des technologies similaires existent sous le nom de FailSafe dans les BIOS de Phoenix Technologies (en mode SMM avec tous les privilèges) et sous le nom de VPro sur les puces Intel.



Elles fonctionnent de manière totalement indépendante, sont persistantes, peu importe l'OS présent sur la machine et surtout elles sont capables d'exploiter le matos directement (carte WiFi, GPS...etc.). Le pire là-dedans, c'est que même si votre ordinateur est éteint, ça peut fonctionner. Vous ne me croyez pas ? Allez lire la doc d'Intel.



Il est scandaleux que les constructeurs intègrent ce genre de choses dans leurs ordinateurs surtout sans en informer leurs clients et pour le moment, on ne connait pas encore l'étendue des dégâts. Mis à part les PC, Computrace est aussi présent sur les appareils mobiles et les Mac, donc j'imagine le pire. Malheureusement, aucune étude sur Android ou iOs n'a été réalisée à ce jour pour savoir si Computrace y était implanté par défaut comme c'est le cas sur les PC.



Même chose avec Linux même si on sait que l'agent est dispo sous Linux et tourne sur RedHat 6, Ubuntu 10, Mint 9, openSuse 11, CentOS 5, Fedora 13 et Debian 5. On ne sait pas, par contre si le module présent dans le BIOS est capable de détecter la présence d'un Linux et d'installer le binaire équivalent à rpcnet.exe qui va bien.



Computrace travaille-t-il avec des agences de renseignement et des gouvernements ? Des attaques exploitant Computrace ont-elles déjà eu lieu ? Impossible à savoir pour le moment.



La seule réponse possible pour le moment, face à ce genre de chose est d'aller gueuler dans les oreilles de votre constructeur et d'opter pour du matériel libre. Mais malheureusement, cela doit représenter 0,0001% du parc de machines, tous types confondus et c'est encore très difficile à trouver pour les utilisateurs lambda. Il est aussi probable qu'installer Linux bloque le fonctionnement de Computrace même si celui-ci est présent dans le BIOS mais ce n'est qu'une supposition.



Comment faire pour supprimer Computrace De BIOS


sécurité informatique vol a parcouru un long chemin depuis l'époque des cadenas et des fils de sécurité. Computrace est un module informatique installé sur la carte mère de l'ordinateur. Il fonctionne indépendamment de l'ordinateur pour envoyer un signal GPS qui montre son emplacement. Activer ou l'activation de cette fonction est une option permanente pour ajouter encore plus de sécurité pour vos appareils informatiques . Non chaque ordinateur est livré avec Computrace , mais ceux qui ne viennent avec la fonction désactivée en entrée de base de l'ordinateur et du système de production . De l'intérieur du menu BIOS de l'ordinateur, activer ou désactiver Computrace en permanence - mais notez que vous ne pouvez pas le changer en arrière lorsque vous modifiez le paramètre juste une fois. Instructions


1



Éteignez votre ordinateur en maintenant le bouton "Power " sur la tour de l' ordinateur ou de la lunette haut du clavier si vous utilisez un ordinateur portable.


2



Mettez l'ordinateur arrière et attendre le logo du fabricant de votre ordinateur pour apparaître sur l'écran. Quand il apparaît , appuyez sur la touche d'accès BIOS comme on le voit sur ​​l'écran immédiatement d'entrer dans le menu du BIOS . Touches du BIOS varient entre les fabricants d'ordinateurs , mais en appuyant sur la touche " F2" "DEL" ou active généralement le menu du BIOS (voir Ressources) .


3



Sélectionnez l'onglet "Sécurité" sur le BIOS menu principal à l'aide des touches fléchées , comme vous ne pouvez pas utiliser la souris de l' ordinateur. Ici, vous verrez trois options pour Computrace . L'option « Désactivé » sera plus que probablement être déjà sélectionné.


4



Sélectionnez l'option "Désactiver" et appuyez sur "Entrée " du clavier pour désactiver Computrace sur l'ordinateur de façon permanente. Vous ne serez pas en mesure de réactiver le module Computrace une fois qu'il est désactivée. Appuyez sur la touche "Entrée" une fois de plus pour vérifier la sélection "Désactiver" .


5



Appuyez sur la touche "F10" pour enregistrer les nouveaux paramètres du BIOS et l'ordinateur va redémarrer dans le système d' exploitation de l'ordinateur .


Sujet déplacé et fusionné.

Lorsqu’un événement tragique comme celui de ce weekend nous frappe de plein fouet, la méfiance est généralement une des attitudes adoptée machinalement. C’est d’ailleurs celle à adopter si vous recevez un e-mail intitulé « On est tous Paris » reprenant l’email malicieux « On est tous Charlie » de cet hiver.http://img.phonandroid.com/2015/11/hoax-attentats-2.jpg
Hoaxbuster mail On est tous Charlie

Des quotidiens comme Le Monde et MetroNews ont d’ailleurs commencé à établir une liste de fausses rumeurs voire informations erronées et tout de même publiées sur les réseaux sociaux (http://www.phonandroid.com/tag/reseaux-sociaux) par exemple. Aux dernières nouvelles, un hoax, autrement dit une fausse histoire, envoyée en e-mail invite à la plus haute des vigilances en reprenant exactement les traits d’un même hoax celui ayant circulé après les attentats de Charlie Hebdo et de l’Hyper Casher en janvier dernier.
Vous risquez de recevoir un mail nommé « on est tous Paris » qui est diffusé à grande échelle depuis ce WEEKEND. Dans ce message une photo de bébé avec un bracelet de naissance où il est écrit « on est tous PARIS » vous invitant à cliquer sur la photo. NE CLIQUER PAS!!! ce message contient un malware (virus) qui permet de prendre le contrôle à distance de votre téléphone ou ordinateur et de récupérer toutes vos données et mots de passe. [Source : service de cyber criminalité du ministère francais de la défense]. Donc, envoyez ce message à vos contacts. C’est urgent et ca va très vite, ca circule depuis dimanche. La confirmation de cette info a été diffusée sur EUROPE 1 ce matin (sic) »
Premièrement, il est annoncé que l’information colportée a été « diffusée sur Europe 1 », c’est un mensonge, aucune trace à son sujet ne se retrouve aujourd’hui sur le site officiel ou sur les réseaux sociaux rattachés au groupe. Deuxièmement, le « service de cyber criminalité du ministère de la défense » mentionné n’existe pas du tout contrairement à l’Agence nationale de la sécurité des systèmes d’informations (ANSSI)
Sur le site de ce dernier, là encore aucune information n’apparaît traitant de la « menace » présentée au sein de l’e-mail. Ainsi, si les faits énoncés étaient avérés, l’Agence se serait chargée de diffuser l’information par ses propres moyens.
Autre remarque mettant la puce à l’oreille et probablement la plus évidente : les fautes d’orthographe. Si elles peuvent échapper à l’attention de temps à autre, un communiqué officiel de cette importance serait en temps normal lu et relu avant d’être approuvé. Côté mise en forme, c’est la même chose, faire insistance sur certains mots en les mettant en lettres capitales n’est pas un procédé respectant la convention typographique.
Le Monde qui a donc publié un guide afin de se repérer parmi les informations à retenir ou à jeter, résume en quelques mots simples ce dont il faut se méfier pour la sécurité (http://www.phonandroid.com/tag/securite) de ses données personnelles :
Méfiez-vous aussi des informations anxiogènes (type ‘ne prenez pas le métro, un ami a dit à un autre ami que la police s’attendait à d’autres attentats’, un message qui tourne apparemment depuis samedi matin) que vous pouvez recevoir via SMS, messages de proches, etc, et qui s’avèrent fréquemment être des rumeurs relayées de proche en proche, sans réelle source – Le Monde
Un malware (http://www.phonandroid.com/tag/malware)pourrait être compris dans le contenu et se télécharger sur votre ordinateur si vous vous décidiez à cliquer sur un lien conduisant sur une page invitant à accepter quelque chose pour lancer une vidéo. En résumé, si vous recevez cet e-mail se faisant étrangement discret (aucune capture d’écran atteste encore de son existence), supprimez-le directement.
**Hidden Content: Check the thread to see hidden data.**


Sujet déplacé et fusionné.

Des chercheurs en sécurité ont testé plusieurs services. Plus de la moitié étaient vulnérables. En cas de doute, il est conseillé de contacter son fournisseur.

http://img.bfmtv.com/c/630/420/2ee/b80015c58dd0ace674435e6271aef.jpg
Beaucoup d’internautes utilisent des services VPN tels que HideMyAss ou PrivacyInternetAccess pour cacher leur véritable adresse IP et -notamment- télécharger des fichiers multimédias, en s’estimant ainsi à l’abri des ayants-droits. Grave erreur ! Les ingénieurs de Perfect Privacy - un autre service VPN - ont découvert une faille baptisée « Port Fail » (https://www.perfect-privacy.com/blog/2015/11/26/ip-leak-vulnerability-affecting-vpn-providers-with-port-forwarding/) chez un bon nombre de leurs concurrents, qui permet de dévoiler facilement l’adresse IP d’un utilisateur.


L’attaque repose sur un mécanisme classique : le « port forwarding » (ou translation de port). Il permet de rendre accessible depuis l’internet certains services que l’on héberge, sans pour autant révéler son adresse IP. Un utilisateur A peut par exemple définir un certain port sur le serveur de son VPN pour rediriger automatiquement le trafic entrant vers son serveur FTP. Le problème : si un utilisateur B de ce même serveur VPN veut accéder à ce service FTP, il ne pourra pas bénéficier en même temps d’une protection de son adresse. La fonctionnalité de proxy est dans ce cas court-circuitée : l’utilisateur A verra l’adresse IP de l’utilisateur B.
[COLOR=#999999 !important]
Exemple d’attaque

Comme le souligne le hacker David Davidson dans une note de blog (http://0x27.me/2015/11/26/Practical-Exploitation-of-Portfail.html), cette faille est très pratique pour un ayant-droit souhaiterait faire la chasse aux pirates. Il suffit qu’il se connecte sur des réseaux peer-to-peer et qu’il collecte les adresses IP des participants. Evidemment, il ne s’agit pas de leurs véritables adresses IP mais de celle de leurs serveurs VPN.
Ensuite, il identifie les services VPN correspondants et ouvre un compte pour pouvoir utiliser les mêmes serveurs. Il retourne dans les réseaux peer-to-peer et propose le téléchargement d’une œuvre multimédia après avoir activé le « port forwarding ». Il pourra alors siphonner les adresses IP de tous ceux qui s’y connecteront.
Perfect Privacy a testé neuf services VPN concurrents. Cinq d’entre étaient vulnérables et ont, depuis, colmaté la faille. Parmi eux : Private Internet Access, Ovpn.to et nVPN. Mais d’autres services VPN sont peut-être vulnérables. Si vous avez un doute sur votre fournisseur, contactez-le et posez lui la question.
**Hidden Content: Check the thread to see hidden data.**

Sujet fusionné.

http://img.bfmtv.com/c/630/420/2ee/b80015c58dd0ace674435e6271aef.jpg








Des chercheurs en sécurité ont identifié un groupe de pirates probablement à la solde d’acteurs privés. Il pénètre en douce dans les réseaux de grandes entreprises pour voler des informations confidentielles.

Ils ont piraté Twitter (https://blog.twitter.com/2013/keeping-our-users-secure), Facebook, Apple et Microsoft et une quarantaine d’autres grandes entreprises durant ces trois dernières années. Ils ont un très bon niveau technique, et ils gagnent beaucoup d’argent. Bienvenue dans le monde de Butterfly, un groupe de pirates qui s’est spécialisé dans l’espionnage économique, des mercenaires probablement employés par des investisseurs ou des concurrents qui sont à la recherche d’informations confidentielles. C’est en tous les cas la conclusion à laquelle est venu Gavin O’Gorman. Cet analyste de Symantec a présenté aujourd’hui les détails techniques des attaques de Butterfly à l’occasion de la conférence de sécurité Botconf 2015, à Paris.


La piste du vol d’informations confidentielles a été particulièrement flagrante pour une compagnie aérienne nord-américaine et une société pharmaceutique. Dans les deux cas, le piratage a été exécuté peu de temps après la parution d’un article de presse qui annonçait un changement important pouvant influer sur le cours de bourse. « Ils pénètrent le réseau, volent les informations et les revendent à des brokers. Pour ces derniers, c’est finalement une façon très efficace de faire de l’argent, car l’opération est très difficile à pister », explique le chercheur.




http://img.bfmtv.com/c/800/520/751/224d3d02e417f08265bb7ddd55e0e.jpg Symantec - Victimes de Butterfly


En tous les cas, les affaires marchent visiblement très bien pour ces pirates, car ils utilisent des failles zero-day qu’ils achètent très probablement à la demande sur le marché noir. Compte tenu de la rapidité d’exécution de leurs campagnes, ils ne pourraient pas attendre que l’un d’entre eux mette la main sur une telle vulnérabilité. Ainsi, en février 2013, lorsqu’ils ont attaqué les sociétés high-tech, ils se sont appuyé sur une faille zero-day Java. En 2014, ils ont utilisé une faille zero-day dans Internet Explorer 10. « Une telle faille dans Internet Explorer coûte au moins 100.000 dollars, voire même plusieurs centaines de milliers de dollars », souligne Gavin O’Gorman.


Le niveau technique des pirates « n’est pas démentiel », mais suffisamment élevé pour susciter l’étonnement chez l’analyste de Symantec. Il a pu récupérer l’image d’un des serveurs de commande et contrôle (C&C). Celui-ci ne comportait rien, mise à part un gros fichier de 400 Go intitulé « HD-porn-corrupted_tofix.rar ». Evidemment, il ne s’agit pas réellement d’un fichier X, mais du fichier d’une machine virtuelle VirtualBox chiffrée en TrueCrypt. Les opérations de piratage étaient réalisées au travers de cette machine. Une fois terminées, rien d’exploitable ne pouvait être récupéré sur la machine physique, même en cas de perquisition. « C’est la première fois que je vois un telle niveau de sécurité opérationnelle dans un serveur C&C », ajoute Gavin O’Gorman qui, en revanche, a remarqué certaines lacunes au niveau de la détection de moteurs antivirus et ou du camouflage de processus en mémoire. C’est une raison de plus pourquoi Symantec ne pense pas qu’il s’agit là d’un service secret, car les agences de renseignement maitrisent plutôt bien ces sujets.



Peut-être basé aux Etats-Unis

Au niveau de l’équipe, plusieurs indices relatifs à la langue et aux horaires d’activité semblent indiquer qu’il s’agit d’un petit groupe dispersé aux quatre coins du monde, mais basé aux Etats-Unis. Par ailleurs, son niveau de dangerosité semble également plus élevé que pour d’autres groupes d’espionnage similaires. « Dans un cas, ils ont réussi à accéder physiquement à l’ordinateur d’une victime dans son domicile pour installer un malware », relate Gavin O’Gorman. Un mode opératoire qui fait penser au contre-espionnage et qui explique pourquoi l’analyste n’a pas voulu être filmé pendant sa présentation.


Symantec a publié un livre blanc (http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/butterfly-corporate-spies-out-for-financial-gain.pdf) en juillet dernier sur Butterfly, avec la clé de nombreux détails techniques. « Depuis, nous ne percevons plus aucune activité sur ce groupe. Il est probable qu’il soit en train de renouveler tous ses outils », ajoute l’analyste. Mais une chose est certaine, Butterfly frappera à nouveau.

http://img.bfmtv.com/c/630/420/add/92cebcd67e69d3c0ab739158ee38f.jpg








Microsoft a collaboré avec les forces de l'ordre de plusieurs pays pour mener une attaque contre les infrastructures du botnet Dorkbot.

Microsoft a annoncé en ce début décembre 2015 avoir participé au démantèlement de l’un des plus grands botnets du moment, Dorkbot. Ce réseau de machines zombies avait réussi à infecter plus d’un million de PC dans 190 pays.


Le malware distribué par le botnet, dont l’objectif était de voler des identifiants et mot de passe de services tels que Gmail, Facebook, PayPal ou encore Netflix, se propageait par des clés USB, des messages sur des réseaux sociaux ou des messageries instantanées, par e-mail ou encore via des téléchargements sur des sites malveillants. Dorkbot exploitait en effet la moindre faille logicielle ou un système de ver.


Si les premiers dégâts liés à Dorkbot ont été repérés en 2011, Microsoft rappelle que Windows Defender ainsi que d’autres antivirus étaient capables de détecter le danger. Les PC infectés étaient donc des machines ayant une ancienne version de Windows ou ne disposant pas d’antivirus. Et ils sont encore nombreux puisque Dorkbot a été détecté sur une moyenne de 100 000 PC chaque mois au cours du dernier semestre. Il était donc temps d’agir.



http://img.bfmtv.com/c/550/330/b9a/46f7b877d9dbf9a4543a4de74cb33.jpg Microsoft -


De plus, les créateurs du botnet avaient diffusé un kit sur le Deep Web, NgrBot, permettant de l’utiliser pour en construire d’autres plus puissants.



http://img.bfmtv.com/c/200/200/6c3/fb9e284a7973fa05ef026f2a72992.jpg





L’éditeur n’a toutefois pas détaillé comment il s’y était pris pour perturber les infrastuctures du botnet. Il s’est contenté de dire qu’il avait participé à une action coordonnée avec plusieurs agences de sécurité dont le FBI, Europol, le Cert polonais et la commission canadienne de radio-télévision et de télécommunications.

Ils piratent un ordinateur déconnecté grâce… à son capteur de température

20200

Les ondes électromagnétiques peuvent avoir de drôles d’effets sur les capteurs de température des processeurs. Deux chercheurs de l’ANSSI ont, du coup, imaginé une technique de piratage extravagante.

Depuis quelques années, les ordinateurs déconnectés stimulent beaucoup l'imagination des chercheurs en sécurité. Comment peut-on pirater ces machines totalement isolées que l'on trouve dans certains sites particulièrement sensibles (militaires, gouvernementaux, R&D…) ? A l'occasion de la conférence Botconf 2015, qui s'est terminée vendredi dernier, deux hackers de l'ANSSI – José Lopes Esteves et Chaouki Kasmi - ont présenté une nouvelle méthode pour injecter des données dans un tel ordinateur, en dépit du manque de connexion. Leur idée: s'appuyer sur les effets induits d'un signal électromagnétique.

Une expérience menée en laboratoire montre, en effet, qu'irradier un ordinateur avec des ondes électromagnétiques affole les capteurs de température du CPU. Les mesures peuvent augmenter de 5 à 25 degrés, en fonction de la fréquence du signal (200-600 MHz) et de l’intensité du champ électromagnétique (20-80 V/m). Un effet que les chercheurs utilisent, du coup, pour faire passer de l'information. Ils créent une onde radiofréquence et la modulent en amplitude pour insérer des 0 et des 1. Chaque « 1 » provoque une augmentation de la température mesurée, une information qu’un malware préalablement installé sur la machine pourra aisément décoder. Cette technique permettrait donc à un pirate de piloter son malware même si la machine est déconnectée du réseau.

20201

Evidemment, il ne faut pas espérer des transmissions très performantes. Avec cette technique, les chercheurs de l’ANSSI obtiennent un débit de 2,5 bits/s. L’émetteur, en revanche, n’est pas très complexe à réaliser et s’appuie principalement sur des outils de radio logicielle. Il faut, toutefois, réussir à le placer assez près de l’ordinateur cible, car le rayon d’action de ce canal de communication est de 5 à 30 mètres. « C’est une technique plutôt destinée aux hackers de haut vol », précisent les chercheurs. Par exemple ceux qui travaillent pour les agences de renseignement.

D’autres pistes sont explorées

Les chercheurs de l’ANSSI ne sont pas les seuls à explorer le piratage d’ordinateurs déconnectés. A l’occasion de la conférence Black Hat USA 2015, Ang Cui, chercheur de l’université de Columbia, a présenté « Funtenna1 », une technique qui permet d’exfiltrer des données d’un ordinateur par le biais des interférences d’ondes électromagnétiques. Les chercheurs de l’université Ben Gourion ont, quant à eux, présenté une technique basée sur les ondes FM en 20142.

Références :


Funtenna : **Hidden Content: Check the thread to see hidden data.**
[B][B][B][B]une technique basée sur les ondes FM : **Hidden Content: Check the thread to see hidden data.**

[B][B]
Source :
**Hidden Content: Check the thread to see hidden data.**

Tous les mois 77 000 comptes Steam sont piratéshttp://media.begeek.fr/2014/10/steam-logo-650x475.jpg


Le vol de comptes Steam, la plus grande plateforme de jeux vidéo PC dématérialisés, est devenu un vrai fléau selon Valve. Tous les mois se sont 77 000 comptes qui sont pillés.Steam (http://www.begeek.fr/steam), la plateforme de jeux PC en ligne, à malheureusement toujours connu des piratages depuis sa création en 2003 mais les vols de comptes n’ont jamais été aussi nombreux depuis 2013 et l’apparition d’une nouvelle fonctionnalité qui permet les échanges entre les joueurs. Valve (http://www.begeek.fr/valve)pousse donc les utilisateurs à renforcer la sécurité de leur compte.
Vols de compte Steam : un vrai fléauDepuis que l’échange d’articles achetés sur Steam est possible entre les joueurs, les pillages de compte sont en recrudescence. Face à ce fléau, Steam a décidé de réagir et un délai de 3 jours est imposé aux joueurs lors d’un échange si l’un d’eux n’utilise pas la double authentification. Un message avec un code est alors envoyé sur leur smartphone mais cette méthode n’est pas du goût de tous les utilisateurs et peu en font l’usage. Valve explique pourtant que cela permet de sécuriser leur compte.


Sur le blog de la plateforme de jeux vidéo, Valve justifie cette décision prise pour endiguer les piratages de comptes qui s’élèvent à 77 000 par mois. « Avoir votre compte volé, et vos items troqués, est une expérience terrible, et nous détestons que cela soit devenu plus courant pour nos clients » pouvait-on lire.
Les joueurs poussés à utiliser la protection renforcéeLes solutions existent pour éviter le vol d’objets dans les inventaires mais malheureusement peu de joueurs les utilisent. Ainsi, la fonctionnalité Steam Guard Mobile Authenticator, disponible aussi bien sur l’application desktop que mobile de Steam, permet d’effectuer une double authentification et permettra de valider un échange immédiatement, sans attendre 3 jours comme c’est le cas si l’un des 2 joueurs n’utilise pas cette méthode de sécurité renforcée.
« Chaque fois que nous mettons une étape de sécurité supplémentaire entre les actions des joueurs et le résultat escompté, nous rendons plus difficile l’utilisation de nos produits. Malheureusement, nous en sommes à un stade ou soit nous ajoutons une étape supplémentaire, soit nous stoppons le service » écrivait Valve. On imagine bien que même si cette méthode est plus contraignante, les utilisateurs feront le bon choix.
**Hidden Content: Check the thread to see hidden data.**

Microsoft participe au démantèlement de Dorkbot, un gigantesque botnet

20308

Microsoft a récemment annoncé avoir mené une opération avec les forces de l'ordre visant le démantèlement d'un gigantesque botnet : Dorkbot.

Microsoft a partagé une information selon laquelle la société aurait collaboré avec les autorités pour mettre un terme à l'un des plus importants botnet en exercice. Baptisé Dorkbot, ce botnet exploitait plus d'un million de PC dans plus de 190 pays.

Dorkbot s'appuyait sur un malware pour subtiliser les identifiants et mots de passe de services populaires comme Gmail, Facebook, Paypal ou Netflix. Sa propagation s'est surtout faite par clé USB, messages publiés sur les réseaux sociaux, emails, téléchargement sur des sites pirates, campagnes de phishing et messages instantanés. Grâce au recours à des formes variées de propagation, le botnet a rapidement établi un parc de plus d'un million de postes infectés.

20309

Le botnet avait été repéré en 2011 par quelques antivirus et le service Windows Defender; il ne concernait ainsi que des postes relativement anciens ou non équipés d'antivirus. À ce moment, le botnet voyait son parc de machines grandir d'environ 100 000 postes par mois.

Microsoft n'est pas très loquace lorsqu'il s'agit de détailler son implication et les solutions mises en oeuvre pour mettre le botnet à terre. L'opération a été menée conjointement avec des agences de sécurité de plusieurs pays, dont le FBI, le Cert Polonais, ou encore Europol.

source :
**Hidden Content: Check the thread to see hidden data.**

10 outils utilisés par les hackers pour cracker les mot de passe, ou comment mieux sécuriser les vôtres.

Cracker un mot de passe est malheureusement plus simple que ce que vous pensez. Pour s’en prémunir, mieux vaut vaut connaitre les outils utilisées par les hackers.
Infosec Institute (http://resources.infosecinstitute.com/10-popular-password-cracking-tools/) a révélé début 2015 quels sont les 10 outils les plus populaires pour cracker un mot de passe. Découvrez ci-dessous la liste complète de ces outils, fruit du travail du chercheur Pavitra Shankdhar.
Bien sûr il n’est pas question ici de promouvoir une quelconque incitation à utiliser ces outils à des fins malveillantes. Tous ces outils sont de toute façon disponibles pour le public, et doivent justement nous sensibiliser sur la nécessité de créer un mot de passe fort, et les outils mentionnés ci-après peuvent vous aider à tester la sécurité de vos mots de passe. Si vous cherchez des astuces pour ne pas que l’on découvre votre mot de passe, voici quelques bonnes pratiques et mots de passe à éviter (http://www.presse-citron.net/voici-les-25-mots-de-passe-que-vous-devriez-eviter/). Entre autre : utilisez de longs mots de passe, avec des chiffres, des caractères spéciaux, n’utilisez pas toujours le même mot de passe, n’utilisez pas le nom de votre chat, etc.


1. Brutus (http://www.darknet.org.uk/2006/09/brutus-password-cracker-download-brutus-aet2zip-aet2/)Il s’agit probablement de l’outil de plus populaire. Il fonctionne sous Windows, est rapide et flexible. Il n’a pas été mis à jour depuis des années mais peut néanmoins être utile.
2. RainbowCrack (http://project-rainbowcrack.com/)Cet outil qui tourne sur Windows et Linux est connu pour être plus rapide que les outils qui utilisent la traditionnelle méthode de cracking dite force brute (http://fr.wikipedia.org/wiki/Attaque_par_force_brute). Certaines ressources sont gratuites mais pour aller plus loin, des tables payantes sont également disponibles.
3. Wfuzz (http://www.edge-security.com/wfuzz.php)Wfuss est une application web qui utilise la méthode force brute. L’outil permet aussi de trouver des ressources cachées telles que des répertoires ou des scripts.
4. Cain and Abel (http://www.oxid.it/ca_um/)http://www.presse-citron.net/wordpress_prod/wp-content/uploads/2015/02/cain-abel-4.jpg
Cain and Abel est également un outil connu. Il tourne sous Windows et a été développé pour les administrateurs de réseaux, les professionnels de la sécurité et les testeurs.
5. John the Ripper (http://www.openwall.com/john/)John the Ripper est un outil open source disponible sous Linux, Unix et Mac OS X. L’outil permet de détecter les mots de passe qui sont faibles. Une version pro de l’outil est également disponible.
6. THC Hydra (https://www.thc.org/thc-hydra/)http://www.presse-citron.net/wordpress_prod/wp-content/uploads/2015/02/hydra_start.jpg
THC Hydra est un outil de cracking connu pour être rapide. L’outil est disponible sur Windows, Linux, Free BSD, Solaris et OS X. Les développeurs peuvent également participer au développement de l’outil.
7. Medusa (http://foofus.net/goons/jmk/medusa/medusa.html)Medusa est assez similaire à l’outil THC Hydra. Pour l’utiliser, il faut connaître le principe des lignes de commande. En local, l’outil peut tester 2000 mots de passe par minute.
8. OphCrack (http://ophcrack.sourceforge.net/)OphCrackest un outil de cracking disponible sous Windows, Linux et Mac. L’outil est gratuit et sa spécialité est le mots de passe Windows.
9. L0phtCrack (http://www.l0phtcrack.com/download.html)L0phtCrack est une alternative à OphCrack. Il permet également de réaliser des audits via des routines de scan à paramétrer quotidiennement, de manière hebdomadaire ou encore mensuelle.
10. Aircrack-NG (http://www.aircrack-ng.org/)http://www.presse-citron.net/wordpress_prod/wp-content/uploads/2015/02/aircrack-ng-5.jpg
Aircrack-NG permet de cracker les mots de passe WiFi. L’outil est disponible sous Linux et Windows.
Si le sujet de l’ethical hacking (http://www.infosecinstitute.com/courses/ethical_hacking_training.html) vous intéresse, sachez qu’il existe des formations qui vous permettront d’en apprendre plus sur la manière dont on peut cracker un mot de passe. En effet, de bonnes connaissances dans le domaine permettent aux chercheurs ou aux Chief Security Officers dans une entreprise d’auditer des applications et d’améliorer la sécurité. Les cyber criminels utilisent également ces outils mais le font pour de mauvaises raisons telles qu’accéder aux données de certains utilisateurs. Cet article doit donc être pour vous une prise de conscience : protégez-vous et utilisez des mots de passe forts. Utiliser ces outils à des fins malveillantes relève de votre propre responsabilité : voyez donc plutôt par là une opportunité d’apprendre plutôt qu’une possibilité de nuire à autrui.

N’utilisez pas l’antivirus gratuit MacKeeper pour Mac !


20389

MacKeeper est un antivirus gratuit pour Mac comme il en existe maintenant beaucoup. Malheureusement, celui-ci a récemment fait parler de lui pour avoir accidentellement exposé les données de plus de 13 millions d'utilisateurs. Pire encore, il semblerait que le logiciel ne tienne pas ses promesses.

C’est le chercheur en sécurité informatique Chris Vickery qui avait découvert ses données – comprenant notamment noms, numéros de téléphone, noms d’utilisateur et bien davantage -. Il en a bien évidemment avisé Zeobit, l’éditeur de MacKeeper. Fait inquiétant, l’expert ne cherchait pas spécialement à récupérer ces informations.

MacKeeper est proposé gratuitement au téléchargement, et après la période d’essai, il faut souscrire à un abonnement payant (jusqu’à 20€ par mois selon les options). Malheureusement, il semblerait que le logiciel ne fonctionne pas comme annoncé, exagérant parfois certaines menaces ou n’en détectant pas d’autres. Ces dernières années, Zeobit a reçu plusieurs plaintes officielles d’utilisateurs mécontents, coûtant plusieurs millions de dollars à l’éditeur…

Et pour multiplier encore et encore son nombre d’utilisateurs, Zeobit ne lésine pas sur la publicité, c’est d’ailleurs le plus grand publicitaire sur Mac – pop-ups, sponsoring, tests, sites spécialement conçus pour en faire la promotion, tout y passe.

Mais la grogne est bel et bien là, les articles expliquant comment désinstaller MacKeeper sont légion, et certains utilisateurs appellent même à leur faire supprimer leur compte développeur Apple.

Vous l’aurez compris, si MacKeeper est installé si votre machine, vous feriez mieux de vous en débarrasser – les alternatives sont nombreuses : Clean My Mac, MacCleanse ou OynX pour ne citer qu’elles. Et si vous êtes tenté, résistez !

Sécurité : Pirater un OS Linux ? Rien de plus simple. Il suffit d'appuyer 28 fois sur la touche 'backspace'. Deux chercheurs espagnols ont détecté une faille dans Grub qui permet de prendre le contrôle de la machine.



Ce sont deux chercheurs en sécurité informatique de l'Université de Valence qui ont découvert ce bien étrange bug niché dans plusieurs distributions de Linux. Il permet de contourner tout type d'authentification lors du démarrage de la machine en appuyant simplement sur backspace (parfois aussi mentionné 'Del' ou 'Delete') 28 fois. La vulnérabilité ne se situe pas au niveau du noyau, mais dans Grub2 (Grand Unified Bootloader), utilisé par la plupart des distributions Linux pour démarrer le système d'exploitation quand la machine est allumée.

http://www.zdnet.fr/i/edit/ne/2015/12/bomba.jpg
Schéma publié par les chercheurs Ismael Ripoll et Hector Marco dans le cadre de leur recherche. Les 16 bytes des 28 entrées de backspace provoquent une faille dans Grub. (Source : Ismael Ripoll et Hector Marco)

Né en 1995 sous les doigts du développeur Erich Boleyn, Grub est un chargeur (boot loader en Anglais). Soit le premier logiciel qui s'exécute quand un ordinateur démarre. Ensuite, il transfère le contrôle au logiciel noyau du système d'exploitation Linux. Ce dernier initialise alors le système GNU. La source de la vulnérabilité provient d'un défaut de dépassement d'entier ajouté dans la version 1.98 de Grub, datée de décembre 2009. - b391bdb2f2c5ccf29da66cecdbfb7566656a704d - affecte la fonction grub_password_get ().

Grub rescue shell
Voici comment exploiter cette vulnérabilité Linux : Si votre ordinateur est vulnérable à ce bug, il suffit de taper 28 fois la touche backspace à l'invite du nom d'utilisateur de Grub lors du démarrage de la machine. Cela ouvre un « Grub rescue shell » sous les versions 1.98 à 2.02 de Grub2. Et cette « Grub rescue shell » permet l'accès non authentifié à l'ordinateur, tout comme la possibilité de charger un autre environnement. A partir de ce shell, un attaquant pourrait accéder à l'ensemble des données de l'ordinateur, de les copier et de les effacer. Le pirate peut également installer sur la machine des logiciels malveillants ou un rootkit, affirment les chercheurs Ismael Ripoll et Hector Marco, qui ont publié leur recherche mardi dernier (http://hmarco.org/bugs/CVE-2015-8370-Grub2-authentication-bypass.html#exploit).

Et voici comment protéger le système Linux : La vulnérabilité affecte les versions de Grub publiées à partir de décembre 2009 à ce jour, mais les anciens systèmes Linux peuvent également être compromis. La bonne nouvelle , c'est que les deux chercheurs ont créé en urgence un correctif, disponible ici (http://www.zdnet.fr/actualites/hmarco.org/bugs/patches/0001-Fix-CVE-2015-8370-Grub2-user-pass-vulnerability.patch). Par ailleurs, de nombreuses distributions, y compris Ubuntu, Red Hat et Debian ont également publié des correctifs d'urgence pour résoudre le problème.

Si Linux est souvent considéré comme un système d'exploitation ultra sécurisé (par rapport aux autres), cette vulnérabilité de Grub est en tout cas un sain rappel du fait qu'il est grand temps de prendre en compte la sécurité physique des machines aussi sérieusement que la sécurité réseau.

Sujet fusionné.

http://img.bfmtv.com/c/630/420/ce0/6931b7d4273ab48ea23c844239a67.jpg





Une faille particulièrement bizarre a été découverte récemment, impactant la plupart des systèmes Linux. Heureusement, un patch est disponible.

Si vous utilisez un ordinateur sous Linux, il serait temps de faire une mise à jour. Les chercheurs en sécurité Hector Marco et Ismael Ripoll de l’université de Valence ont découvert récemment une faille plutôt bizarre qui permet de contourner la phase d’authentification sur la plupart des systèmes Linux. Lorsque l’ordinateur démarre et demande un login et un mot de passe, il suffit qu’un pirate tape 28 fois la touche arrière (backspace) et, bingo, il accède à une interface en ligne de commande avec les privilèges administrateur (rescue shell).


De là, il peut modifier le noyau du système (depuis une clé USB par exemple), copier la totalité du disque, installer un rootkit ou détruire des données. Toutefois, ce piratage ne peut pas être exploité à distance : il faut avoir un accès physique à la machine.


Cette faille provient d’un bug dans la gestion de la mémoire du logiciel de démarrage de l’ordinateur, à savoir Grub2 (General Unified Bootloader). C’est un logiciel standard utilisé par un grand nombre de distributions Linux depuis 2009. On le trouve notamment sur Ubuntu, Red Hat ou Debian. Autant dire que le risque est important.


Heureusement, ces distributions ont d’ores et déjà publié un patch qu’il est vivement conseillé d’installer. Pour les distributions plus exotiques, il est possible de corriger le bug à la main. Les chercheurs en sécurité expliquent tout en détail dans leur note de blog.

**Hidden Content: Check the thread to see hidden data.**

http://img.bfmtv.com/c/630/420/2ee/b80015c58dd0ace674435e6271aef.jpg






Ashley Madison, TV 5 Monde, Hacking Team, VTech… les hackers et les pirates n’ont pas chômé cette année. Voici les actions qui ont le plus marqué notre esprit.

[B]Uber se prend un cyber-nid de poule

http://img.bfmtv.com/c/630/420/de8/850784342f20b6fff513e58396452.jpg

L’année 2015 commence en douceur, avec le piratage de la base de données d’Uber. En février, l’entreprise annonce que les données de 50.000 conducteurs de VTC (http://www.01net.com/actualites/uber-un-hack-de-sa-base-aurait-compromis-les-donnees-de-50-000-personnes-647241.html) ont été volées. En réalité, le hack s’est déroulé en 2014, mais il a fallu neuf mois pour confirmer cette intrusion. Uber se veut rassurant et explique que cela ne représente « qu’un petit pourcentage » de l’ensemble des conducteurs. Un mois plus tard, le site Motherboard révèle la vente dans le Dark Net d’identifiants d’utilisateurs Uber (http://www.01net.com/actualites/uber-des-milliers-de-comptes-voles-se-retrouvent-en-vente-dans-le-darknet-650601.html). Là encore, la firme se veut apaisant : son infrastructure ne serait pas en cause, c’est la faute aux utilisateurs dont les mots de passe ne sont pas bons. Ben voyons.
Ecran noir sur TV 5 Monde

http://img.bfmtv.com/c/630/420/a74/14d032fe8a142694161be99b1322b.jpg

Des sites défacés, une diffusion en carafe pendant plusieurs heures, des ministres sur le pied de guerre… En avril 2015, le sabotage informatique de TV 5 Monde (http://www.01net.com/actualites/l-antenne-de-tv-5-monde-piratee-par-des-cyberdjihadistes-651618.html) marque tous les esprits. Les pirates se sont réclamés de Daesh, mais l’enquête - menée avec l’aide de l’ANSSI - a finalement pointé vers « APT28 » (http://www.01net.com/actualites/comment-les-hackers-du-gouvernement-russe-espionnent-l-europe-629549.html), un groupe de pirates russes de haut vol, connus pour des actions de cyberespionnage politique et économique en Europe. « C’est avéré, par le mode opératoire utilisé, que le but était de nous détruire », a estimé Yves Bigot, le DG de TV 5 Monde.

Pour éviter que cela ne se reproduise, la chaîne va investir 10 millions d’euros dans la cybersécurité ces prochaines années. Entre temps, les pirates d’APT 28 se sont jetés sur une autre victime, le Parlement allemand (Bundestag) qui va devoir renouveler en grandes parties son réseau informatique totalement vérolé.
Attention, il y a un hacker dans l’avion

http://img.bfmtv.com/c/570/422/152/645290a2a2ec53714b96ae4f01089.jpg


Chris RobertsEn mai 2015, Chris Roberts agite le secteur aéronautique. Dans un compte rendu du FBI, ce hacker explique avoir réussi, en tant que simple passager, à pirater quinze à vingt fois des avions en plein vol (http://www.01net.com/actualites/un-hacker-aurait-pris-le-controle-d-un-avion-en-vol-grace-a-son-systeme-de-divertissement-654810.html), entre 2011 et 2014. Dans certains cas, il aurait même réussi à modifier la trajectoire de l’avion. Pour y arriver, il se serait connecté depuis son siège au réseau de divertissement pour ensuite s’introduire dans le réseau qui gère le pilotage de l’appareil. Certains ont pris Chris Roberts pour un mythomane. Pourtant, les rapports qui pointent sur le manque de sécurité informatique dans l’aéronautique sont fréquents. Le GAO (http://www.01net.com/actualites/le-wi-fi-a-bord-des-avions-une-porte-ouverte-pour-les-hackers-652338.html), l'équivalent de la Cour des comptes des Etats-Unis, en avait publié un quelques semaines auparavant.
Hacking Team, l’arroseur arrosé

http://img.bfmtv.com/c/630/420/f61/4812c57839e9e7afeb18973c41683.jpg


Régulièrement épinglé par Reporters sans frontières, le fournisseur d’outils de cybersurveillance et de piratage Hacking Team est finalement victime de son propre jeu (http://www.01net.com/actualites/la-firme-despionnage-hacking-team-piratee-400-go-de-donnees-livrees-sur-le-net-659780.html) : il se fait complètement hacker en juillet. Des comptes Twitter sont détournés, des fichiers confidentiels sont dérobés, plus de 400 Go de données sont publiés sur le web, puis archivés par Wikileaks (https://wikileaks.org/hackingteam/emails/). La honte totale. On découvre au passage quelques clients de cette entreprise italienne : Arabie Saoudite, Singapour, Soudan… Des pays où les droits de l’Homme ne sont pas vraiment une priorité.
Jeep et Tesla, carton plein

http://img.bfmtv.com/c/630/420/332/d146765f2c584df4dfd3de7e7a85c.jpg


Activer les essuies-glace, monter le volume radio, actionner les freins, tourner le volant, couper le moteur… En août 2015, Charlie Miller et Chris Valasek montrent qu’il est possible de prendre le contrôle à distance d’une Jeep Cheerokee (http://www.01net.com/actualites/black-hat-2015-comment-les-hackers-ont-pirate-a-distance-la-jeep-cheerokee-661526.html), par une simple liaison 3G/4G. Leur vidéo fait le tour du web, Jeep est contraint de rappeler plus de 1,4 million de véhicules pour déployer un correctif. Certes, le hack est complexe et pas accessible au premier venu. Mais il montre bien le risque des voitures connectées. Au passage, il a permis à MM. Miller et Valasek de trouver un nouvel employeur : Uber (lire plus haut).
Durant le même mois, les hackers Marc Rogers et Kevin Mahaffey ont également pris en ligne de mire la voiture connectée, et pas n’importe laquelle : une Tesla Model S (http://www.01net.com/actualites/def-con-23-comment-des-hackers-ont-pirate-la-tesla-model-s-661667.html). Ils l’analysent de fond en comble et réussissent à installer une porte dérobée dans son firmware. Mais ils n’ont pas trouvé de nouveau job après.
Ashley Madison, hommes gogos et femmes fantômes

http://img.bfmtv.com/c/1256/708/bf4/f19271bb6ce07bac940102c50ea7d.jpg


En août 2015, c’est Game Over pour Ashley Madison. Des pirates qui se nomment « Impact Team » ont siphonné les bases de données de ce site de rencontres spécialisé dans l’adultère et ont « dumpé »des dizaines des Go de données (http://www.01net.com/actualites/ashley-madison-le-hack-qui-expose-les-phantasmes-de-37-millions-d-individus-adulteres-908424.html) (très) personnelles sur le Net. Quelques semaines plus tard, le PDG prend la porte et les utilisateurs du service une bonne leçon. Car l’analyse des données publiées révèle que face aux 20 millions d’hommes inscrits et actifs, il n’y avait que… 1492 femmes. Le réseau est une arnaque et comptaient des milliers de comptes féminins fantôme (http://www.01net.com/actualites/sur-ashley-madison-des-millions-d-hommes-face-a-une-poignee-d-utilisatrices-910546.html).
VTech et Hello Kitty offrent vos enfants aux pirates



[I]Fin novembre, c’est la panique dans les chaumières. Un pirate siphonne les serveurs de VTech, fabricant chinois de jouets connectés. Au total, plus 6,5 millions de comptes d’enfants (http://hightech.bfmtv.com/internet/vtech-65-millions-de-comptes-d-enfants-pirates-dont-1-million-de-francais-933615.html) sont hackés, dont plus d’un million en France. Parmi les données figurent des noms et des mots de passe, mais aussi des photos d’enfants et des conversations intimes. Pour les parents, c’est l’horreur. UFC-Que Choisir, pour sa part, décide de porter plainte (http://hightech.bfmtv.com/internet/piratage-ufc-que-choisir-porte-plainte-contre-vtech-938602.html) contre cette entreprise qui n’a visiblement pas assez bien sécurisé son infrastructure. Quelques semaines plus tard, c’est rebelote. Un autre hacker détecte une base de données en accès libre sur le web. Elle appartient à Hello Kitty (http://hightech.bfmtv.com/internet/hello-kitty-promet-une-enquete-sur-la-securite-de-ses-comptes-client-938820.html), célèbre marque japonaise pour enfants. Plus de 3 millions de comptes sont exposés. Tout ça, ce n’est pas très sérieux.


**Hidden Content: Check the thread to see hidden data.**

La sécurité sur Android pose toujours certaines questions, notamment au niveau de son utilité et des prétendus problèmes que ce genre d’application peut causer sur la batterie. Aujourd’hui le site spécialisé AV-Test publie une étude pour mettre tout le monde d’accord, sans oublier de donner les meilleures applications Antivirus sur Android.

http://img.phonandroid.com/2015/12/comparatif-antivirus-android-2015.jpg


La première idée reçue à laquelle AV-Test tord le cou est l’impact des applications Antivirus sur les performances et la batterie. Leurs tests montrent que pour la très grande majorité des cas, cela n’est pas le cas. L’autre point mis en avant concerne les failles de sécurités de l’OS mobile de Google, comme Stagefright (http://www.phonandroid.com/deux-nouvelles-failles-stagefright-menacent-totalite-appareils-android.html), qui sont loin d’être corrigées sur tous les terminaux.
En effet, certains constructeurs comme Google et Samsung (entre autres) se sont engagés à faire des mises à jour mensuelles de sécurité, mais cela ne suffit pas toujours. On ne parle même pas des téléphones les plus anciens ou sur de « vieilles versions » d’Android comme KitKat dont les failles non bouchées peuvent permettre à des applications malveillantes d’infecter votre smartphone.



http://img.phonandroid.com/2015/12/taux-reconnaissance-antivirus-android.jpg (http://img.phonandroid.com/2015/12/taux-reconnaissance-antivirus-android.jpg)
Une batterie de tests a donc été utilisée en condition pratique et théorique pendant 6 mois, de juillet à décembre 2015. Des applications malveillantes (20 000 malwares en tout) ont été volontairement installées pour mesurer la capacité de détection des différentes applications de sécurité Android sur le marché. La bonne nouvelle est que la grande majorité des antivirus pour Android (http://www.phonandroid.com/top-5-antivirus-proteger-systeme-android-dossier.html) s’en sortent très bien, et que certaines d’entre elles sont gratuites.
Si ce critère est le plus important, AV-Test a également tenu compte d’autres critères comme la consommation au niveau des performances et de la batterie, ainsi que les services supplémentaires offerts comme par exemple le blocage de l’appareil à distance en cas de perte ou de vol.Ce sont tout de même 7 applications qui sortent gagnantes de ces tests en obtenant la note maximale de 12,5 ou 13 sur 13. Voici le tableau récapitulatif des meilleures applications :



http://img.phonandroid.com/2015/12/meilleurs-antivirus-android-2015.jpg (http://img.phonandroid.com/2015/12/meilleurs-antivirus-android-2015.jpg)

Ransom32 : un premier ransomware en JavaScript


Il n'est pas encore multiplate-forme mais a le potentiel de l'être grâce à son codage en JavaScript. Le ransomware Ransom32 est en outre proposé en tant que service.

20663

Dans la famille très en vogue des ransomwares (http://www.generation-nt.com/ransomware-france-cert-fr-phishing-ctb-locker-actualite-1911693.html) (ou rançongiciels), Ransom32 est un nouveau spécimen dont la particularité notable est qu'il a été entièrement écrit en JavaScript. Une première. En l'occurrence, il s'appuie sur le framework NW.js utilisé dans le développement d'applications JavaScript pour Windows, OS X et Linux.

Potentiellement, cela donne à Ransom32 un côté multiplate-forme. Dans les faits, ce n'est actuellement pas le cas. Pour le moment, l'analyse d'un chercheur en sécurité de Emsisoft montre que le ransomware est une exclusivité Windows. Quelques menues modifications suffiraient cependant pour lui permettre d'aller au-delà.

Ransom32 est proposé aux cybercriminels selon un modèle " Ransomware as a Service " via un serveur caché dans le réseau Tor. Il est intégré dans un exécutable Chromium utilisant NW.js, et distribué dans une archive WinRAR auto-extractible.

Dans la copie analysée par Emsisoft, Ransom32 chiffre un maximum de fichiers personnels de l'utilisateur en AES avec une clé 128 bits. Pour cela, il se connecte à un serveur de commande et contrôle grâce à un composant Tor.

20665

Le paiement d'une rançon demandée est rarement un choix judicieux... même si le FBI peut le conseiller. Rappelons que face à la menace incarnée par les ransomwares, la meilleure mesure de protection demeure une stratégie de sauvegarde de ses données.

Mac OS X et iOS en tête du classement des failles de sécurité 2015

Presque 400 vulnérabilités ont été trouvées dans le système d’Apple cette année, plus que jamais auparavant. Pour autant, cela ne veut pas dire qu’il est moins sécurisé qu’un autre logiciel.

Voilà un honneur dont Apple aurait peut-être voulu s’en passer. Selon le site CVEdetails.com, Mac OS X se retrouve en tête du classement du nombre de failles de sécurité trouvées en 2015. L’année passée, les chercheurs en sécurité ont trouvé 384 failles dans le système d’exploitation d’Apple. C’est un nouveau record. Il est suivi par un autre OS d'Apple, iOS (375 failles) et de Flash Player (314). A titre de comparaison, 151 vulnérabilités ont été trouvés dans Windows 8.1 et 130 dans Android.

20684

20685

Que peut-on déduire de tous ces chiffres ? Eh bien pas grand-chose en réalité. Le fait que l’on ait trouvé beaucoup de failles de sécurité dans un système ne signifie pas qu’il soit moins sécurisé qu’un autre. Cela veut simplement dire qu’il a été ausculté par un grand nombre de chercheurs en sécurité, ce qui est même plutôt rassurant.

Par ailleurs, ce classement ne tient évidemment pas compte des failles qui n’ont pas été rendues publiques, mais qui peuvent circuler sous le manteau dans le Darknet. Il ne rend pas compte non plus du risque réel lié aux pirates. L’exemple flagrant est iOS. Le système mobile d’Apple totalise trois fois plus de failles qu’Android, alors que ce dernier attire la quasi-totalité des malwares circulant sur smartphones.

La criticité, un indicateur plus intéressant

Il peut être plus intéressant de regarder la criticité moyenne des failles trouvées, car on peut le voir comme un indicateur pour la qualité du code sous-jacent vis-à-vis de la sécurité. Pour Mac OS X, la moyenne pondérée est relativement faible (6,8 sur 10). Les scores les plus bas sont ceux d’Oracle MySQL (5,0), d’Oracle Fusion Middleware (5,4) et de Linux Kernel (5,5). Les scores les plus hauts sont atteints pour Adobe Air SDK (9,6), Adobe Air (9,5), Microsoft Office (9,4) et Adobe Flash Player (9,4).


source :
**Hidden Content: Check the thread to see hidden data.**

http://img.bfmtv.com/c/630/420/2ee/b80015c58dd0ace674435e6271aef.jpg








Basé sur une technologie multiplateforme, le code du malware peut toucher aussi bien des systèmes Windows que Mac OS X ou Linux. Les éditeurs antivirus ont par ailleurs du mal à le détecter.

Pour « Junkcan », utilisateur du forum de BleepingComputer.com, le passage à la nouvelle année a été plutôt amère. Quelques jours avant le réveillon, il découvre que les données de son PC sous Windows 10 ont été chiffrées par un ransomware d’un type nouveau et que beaucoup de logiciels antivirus actuels ne détectent pas encore.


Baptisé « Ransom32 », c’est le premier rançongiciel écrit en JavaScript. Il s’appuie sur le framework NW.js qui permet d’utiliser ce langage Web pour créer de vraies applications « Desktop ». Contrairement aux services Web, qui s’exécutent dans un bac à sable du navigateur, celles-ci ont accès à toutes les ressources de la machine.


http://img.bfmtv.com/c/730/456/179/00710321d9282703c38f394115193.jpg
Emsisoft - Ransom32 vous prie de passer à la caisse.





Pour le pirate, le principal avantage est que NW.js est multiplateforme. Le même code malveillant peut être diffusé aussi bien sur Windows que sur Mac OS X ou Linux, ce qui lui permet de toucher une population d’utilisateurs beaucoup plus large.


Un effet de levier que les chercheurs de BleepingComputer trouvent plutôt inquiétant (http://www.bleepingcomputer.com/news/security/ransom32-is-the-first-ransomware-written-in-javascript/), même si pour l’instant les pirates semblent se contenter de cibler le système de Microsoft. « Un autre grand avantage pour le pirate est que NW.js est un framework légitime. Il n’est donc pas étonnant que la détection par signature soit toujours si incroyablement mauvaise deux semaines après la création du malware », explique Fabian Wosar, chercheur en sécurité chez Emsisoft, dans une note de blog (http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomware/). Actuellement, un peu moins de la moitié des 54 éditeurs référencés par VirusTotal.com (https://www.virustotal.com/en/file/01d3becf7f1abe4599b8c2f5153443d8b5e3ede50f65889939 323b223ee2944a/analysis/) détectent Ransom32.


Double chiffrement

L’architecture fonctionnelle de ce malware, en revanche, est assez classique. Une fois installé, il entre en contact avec le serveur de commande et contrôle, au moyen d’un client Tor embarqué. Après avoir récupéré les éléments cryptographiques, les données sont chiffrées en AES 128 bit. Le malware utilise pour chaque fichier une clé de chiffrement différente. Celle-ci est ensuite chiffrée à son tour par une clé publique RSA du pirate. La clé privée correspondante n’étant pas stockée sur la machine, il est impossible de déchiffrer les données sans l’aide de ce dernier.


http://img.bfmtv.com/c/730/730/78f/135e8040df01a0c5c0f9fc9af0b25.jpg
Emsisoft - Interface d'administration de Ransom32

A noter, enfin, que Ransom32 fait partie de la famille sans cesse grandissante des « ransomware-as-a-service ». Création et gestion du malware sont totalement automatisées, tout se faisant en ligne. Pas besoin de savoir coder pour le diffuser. En contrepartie, le gestionnaire de la plateforme d’administration se prend une marge de 25 % sur les paiements effectués par les victimes. En mai 2015, McAfee avait déjà détecté une première plateforme de ce type, sous le nom de « Tox » (http://www.01net.com/actualites/tox-le-service-en-ligne-pour-creer-des-ransomwares-cles-en-main-655811.html).

http://img.bfmtv.com/c/630/420/620/2b3b07a3e9b706b9aee24a126f83a.jpg







L’arrêt de cet algorithme de chiffrement est entravé par l’incompatibilité de certains terminaux ou produits de sécurité. Les acteurs du web comme Mozilla ou Facebook sont pour l’instant contraint de le garder en magasin contre leur volonté.

Séquence rétropédalage chez Mozilla. L’éditeur vient de diffuser la mise à jour 43.0.4 de son navigateur Firefox avec comme principal changement l’autorisation générale des certificats de sécurité HTTPS basés sur SHA-1. C’est un retour en arrière, car depuis le 15 décembre dernier, le navigateur open source avait partiellement bloqué ce type de certificats, dans le but de les bloquer totalement d’ici au 1er janvier 2017 pour ne plus qu’autoriser SHA-2, son successeur. Pourquoi ? SHA-1, algorithme cryptographique utilisé pour la signature des certificats, n’est plus tellement sécurisé. En octobre dernier, trois chercheurs en sécurité ont tiré la sonnette d’alarme (https://sites.google.com/site/itstheshappening/). Ils ont montré qu’une infrastructure de calcul de 75.000 dollars suffisait désormais pour le casser, ouvrant la porte à l’usurpation de sites web.






Mais Mozilla a été contraint de faire marche arrière (https://blog.mozilla.org/security/2016/01/06/man-in-the-middle-interfering-with-increased-security/), car le blocage partiel de SHA-1 empêchait certains internautes, dont la connexion passait par un proxy SSL, d’accéder au web. Les proxies SSL sont utilisés en entreprise (http://www.01net.com/actualites/votre-patron-espionne-t-il-vos-flux-ssl-faites-le-test-612328.html) ou dans certains produits de sécurité grand public (http://www.01net.com/actualites/privdog-et-lavasoft-ces-logiciels-de-securite-qui-creent-des-failles-de-securite-646602.html) pour intercepter et déchiffrer les flux web, dans le but de détecter des menaces. Pour cela, ils utilisent des certificats faits maison, basés parfois sur SHA-1. Résultat : l’internaute arrivait alors systématiquement sur un message d’erreur. Dans la version 43.0.4, ce dysfonctionnement n’existe plus. La fondation ne compte pas stopper pour autant l’arrêt progressif de SHA-1 dans son navigateur, mais il doit désormais attendre que les éditeurs de proxy SSL fassent le premier pas.


6 % des navigateurs en Chine sont incompatibles

Il n’y a pas que chez Mozilla que l’algorithme SHA-1 crée des soucis. Selon MIT Technology Review (http://www.technologyreview.com/news/545051/this-browser-upgrade-could-block-users-in-developing-nations-from-most-of-the-web/), les grands acteurs du Net tels que Facebook ou CloudFlare sont également contraints de préserver cette technologie peu sécurisée pour ne pas se couper des utilisateurs situés dans les pays en voie de développement en Asie et en Afrique. Une part non négligeable d’entre eux utilise, en effet, des terminaux anciens ou peu évolués, incompatibles avec SHA-2. Selon CloudFlare, qui opère un réseau mondial d’acheminement de contenus multimédias, plus de 6% des navigateurs en Chine ne supporte pas SHA-2. Ce qui représente quand même plusieurs dizaines de millions d’utilisateurs.


Bref, même si le manque de sécurité de SHA-1 est désormais bel et bien démontré, il faudra encore le trainer comme un boulet pendant un certain temps…

Le 23 décembre dernier, l'Ukraine a été victime d'une panne électrique importante, touchant durant plusieurs heures quelque 700 000 foyers. Et selon les premiers rapports d'experts, c'est bel et bien un virus qui en serait à l'origine. Il s'agirait alors de la première attaque réussie contre une installation industrielle vitale d'un pays.

Le scénario a déjà été évoqué en fiction, et même considéré sérieusement par nombre de gouvernements. Mais il ne s'était jusqu'alors pas encore produit. La possible attaque contre le réseau électrique ukrainien ravive les craintes d'une attaque informatique de grande ampleur contre une infrastructure vitale.

À la fin du mois dernier, les installations de la société Prykarpattyaoblenergo situées dans la région d'Ivano-Frankivsk n'ont pu distribuer l'énergie correctement, suite à une panne importante.

Très rapidement, l'hypothèse d'une cyberattaque russe a fait son chemin, notamment auprès du gouvernement ukrainien, sans pour autant obtenir de confirmation.


http://img.clubic.com/08305248-photo-reseau-electrique.jpg (http://img.clubic.com/08305248-photo-reseau-electrique.jpg)


Depuis, différentes sociétés de sécurité informatique, dont Eset (http://www.eset.com/int/about/press/articles/malware/article/eset-finds-connection-between-cyber-espionage-and-electricity-outage-in-ukraine/), éditeur de NOD32 (http://www.clubic.com/telecharger-fiche21922-eset-nod32-antivirus.html), ont communiqué sur l'incident, assurant avoir établi un lien entre cette panne électrique et un malware nommé BlackEnergy.

Ce cheval de Troie, découvert en 2007, a, depuis, évolué et aurait notamment gagné de nouveaux composants, dont un serveur SSH et un utilitaire nommé KillDisk. Ce dernier, dont le nom est sans équivoque, est chargé de détruire des portions de disques durs, et les données qui s'y trouvent.

D'après Eset, le code malveillant était simplement dissimulé dans un document Office, puis déployé dans le système de Prykarpattyaoblenergo. L'éditeur n'est toutefois pas certain du rôle de KillDisk : a-t-il servi directement à mettre hors service le réseau, ou servait-il simplement à ralentir son redémarrage ? Autre hypothèse : les responsables de la société de distribution d'énergie auraient coupé eux-mêmes le réseau après s'être aperçus du piratage.

Quoi qu'il en soit, si le piratage est avéré, il restera à en établir la source. Avec des conséquences politiques et diplomatiques qui pourraient être significatives.


Sujet déplacé et fusionné.

L'année 2016 verra un changement majeur dans la façon dont opèrent les cybercriminels. Le domaine probablement le plus impacté par cette refonte sera celui des PUA, dont l'activité s'est déjà accrue sur des plates-formes telles que Mac OS X et Android.

http://www.info-utiles.fr/Images2016/BD-encart-2016.jpg​
Suite aux nombreuses fermetures de réseaux de machines zombies et arrestations en 2015, les nouveaux cybercriminels transiteront probablement vers des systèmes de monétisation publicitaire spécifiques aux adwares agressifs, plutôt que de développer de nouvelles souches de malwares. Si pour le moment les botnets constituent toujours une partie importante de l'écosystème de la cybercriminalité, nous assisterons à une augmentation de la sophistication des PUA et des programmes incluant plus de greywares à l'installation.

La publicité sur le Web va également évoluer : étant donné le taux d'adoption ainsi que la popularité des bloqueurs de publicités, les régies publicitaires chercheront à utiliser des mécanismes plus agressifs afin de contourner ces blocages.

Les APT abandonneront le facteur de longévité

Les entreprises et les institutions gouvernementales feront toujours face à des attaques de ce type tout au long de 2016. Cependant, les APT (Advanced Persistent Threats, menaces persistantes avancées) mettront l'accent sur l'obfuscation et la récolte d'informations plutôt que sur la longévité. Les pirates ne s'infiltreront sur le réseau de l'entreprise que quelques jours, voire quelques heures.

Le monde de l'entreprise connaîtra une augmentation des attaques ciblées et des bots fortement obfusqués, avec une courte durée de vie et des mises à jour fréquentes, estime Dragoş Gavriluţ, Chef d'équipe au sein des Laboratoires antimalwares de Bitdefender. La plupart de ces attaques se spécialiseront dans le vol d'informations.

Également, l'évolution latérale de l'infrastructure des fournisseurs de services Cloud ira de pair avec l'avènement d'outils permettant aux pirates de compromettre l'hyperviseur à partir d'une instance virtuelle et de passer d'une machine virtuelle à l'autre. Ce scénario est particulièrement dangereux dans des environnements de « mauvais voisinage », où un tiers mal intentionné serait amené à partager des ressources sur un système physique avec un fournisseur de services ou une entreprise légitimes.

Des malwares mobiles de plus en plus sophistiqués

Du côté des particuliers, les types de malware sous Android sont désormais globalement les mêmes que sous Windows. Alors que les rootkits sont en perte de vitesse sur Windows, ils vont probablement devenir monnaie courante sur Android et iOS, car les deux plates-formes sont de plus en plus complexes et offrent une large surface d'attaque, affirme Sorin Dudea, Chef de l'équipe de recherche antimalwares.

De nouveaux malwares mobiles, aux comportements similaires à ceux des vers, ou un réseau botnet mobile géant, sont deux autres possibilités envisagées pour l'année prochaine, selon Viorel Canja, Responsable des Laboratoires antimalwares et antispam chez Bitdefender. Ces attaques pourraient être la conséquence de techniques d'ingénierie sociale ou de l'exploitation de vulnérabilités majeures (telles que Stagefright) sur des plates-formes non patchées.

L'Internet des Objets (IOT) et la vie privée

http://www.info-utiles.fr/Images2016/logo-BD-2016.jpg

La façon dont nous gérons notre vie privée va aussi changer durant l'année 2016. En effet, les récents vols de données ont contribué à mettre une quantité importante d'informations personnelles en libre accès sur Internet, rendant ainsi le « doxing » (processus de compilation et d'agrégation des informations numériques sur les individus et leurs identités physiques) beaucoup plus facile pour des tiers.

Les objets connectés vont devenir de plus en plus répandus, donc plus attrayants pour les cybercriminels. Compte tenu de leur cycle de développement très court et des limites matérielles et logicielles inhérentes à ce type d'objet, de nombreuses failles de sécurité seront présentes et exploitables par les cybercriminels ; c'est pourquoi la plupart des objets connectés seront compromis en 2016, ajoute Bogdan Dumitru, Directeur des Technologies chez Bitdefender.

Également, les réglementations de surveillance de type « Big Brother », que de plus en plus de pays essaient de mettre en place pour contrecarrer le terrorisme, déclencheront des conflits quant à la souveraineté des données et le contrôle de leur mode de chiffrement.

Les ransomwares deviennent multiplateformes

Les ransomwares sont probablement la menace la plus importante pour les internautes depuis 2014 et resteront l'un des plus importants vecteurs de cybercriminalité en 2016. Alors que certains pirates préfèrent l'approche du chiffrement de fichiers, certaines versions plus novatrices se concentreront sur le développement de « l'extortionware » (malware qui bloque les comptes de services en ligne ou expose les données personnelles aux yeux de tous sur Internet).

Les ransomwares visant Linux vont se complexifier et pourraient tirer parti des vulnérabilités connues dans le noyau du système d'exploitation pour pénétrer plus profondément dans le système de fichiers. Les botnets qui forcent les identifiants de connexion pour les systèmes de gestion de contenu pourraient aussi se développer. Ces identifiants pourraient être ensuite utilisés par les opérateurs de ransomwares visant Linux pour automatiser le chiffrement d'une partie importante d'Internet.

Enfin, les ransomwares chiffrant les fichiers s'étendront probablement aux systèmes sous Mac OS X, corrélant ainsi avec les travaux de Rafael Salema Marques et sa mise en garde illustrée autour de son ‘proof of concept' malware nommé Mabouia. En effet, si le principe de conception de Mabouia reste pour le moment privé, il pourrait être créé par des cybercriminels enrichissant alors leurs offres orientées MaaS (Malware-As-A-Service).


Sujet fusionné.

http://www.journaldugeek.com/wp-content/blogs.dir/1/files/2012/07/Interface-samsung-apps.jpg




Applis malveillantes sur Smart TV sous Android, dongles de streaming media bardés de failles… les téléviseurs connectés sont une cible facile.

Les télés connectées ont de plus en plus de succès, mais pas seulement chez les consommateurs. Les pirates aussi s’y intéressent beaucoup, et cela d’autant plus que les systèmes proposés ne respectent pas forcément les bonnes pratiques en matière de sécurité. Deux sociétés spécialisées en sécurité viennent de révéler presque concomitamment des failles majeures dans ce domaine.


La première, Trend Micro (http://blog.trendmicro.com/trendlabs-security-intelligence/android-based-smart-tvs-hit-by-backdoor-spread-via-malicious-app/), a détecté des applications malveillantes pour Smart TV sous Android. Diffusées par des sites web tiers, elles proposent à l’utilisateur de regarder des chaînes internationales, par exemple asiatiques. Mais en réalité, elles installent une porte dérobée qui permet au pirate d’installer n’importe quelle application sur le téléviseur. Il pourra donc, à partir de là, mettre la main sur des données personnelles et infecter d’autres appareils connectés au réseau domestique.


http://img.bfmtv.com/c/554/361/6fa/527d9b9bb8d6ade2c2767052ba36a.jpg Trend Micro - Un site de malwares pour Smart TV






Le code malveillant s’appuie sur une faille plutôt ancienne (CVE-2014-7911) qui n’existe que dans les versions d’Android antérieures à Lollipop (5.0). Mais malheureusement « la plupart des smart TV utilisent des versions anciennes d’Android où cette faille est présente », explique Trend Micro. Par ailleurs, une mise à niveau du système n’est pas toujours possible car ces télés « sont limitées au niveau du hardware ». Le principal conseil que l’on peut donc donner est de ne pas télécharger des applications sur des boutiques applicatives inconnues et de se limiter à Google Play.


Un hotspot wifi bien peu sécurisé

La société Check Point (http://blog.checkpoint.com/wp-content/uploads/2015/12/EZCast_Report_Check_Point.pdf), de son côté, s’est penché sur le dongle EzCast fabriqué par Action Micro. A l’instar du Google Chromecast (dont elle copie d’ailleurs le design matériel), cet objet connecté permet d’afficher le contenu d’un ordinateur sur un écran télé. Il serait utilisé par plusieurs millions de personnes dans le monde, d’après le fournisseur. Les experts de Check Point y ont détecté d’emblée deux vulnérabilités permettant aux pirates d’en prendre le contrôle à distance. Il suffit, pour cela, d’envoyer un email avec un lien HTML piégé.
http://img.bfmtv.com/c/717/600/4d3/4d677d193a4758495630304457421.jpg

EzCast - Si le pirate se trouve à proximité de sa victime, il peut également s’attaquer directement à l’EzCast, car celui-ci crée en permanence son propre hotspot wifi, sécurisé uniquement par un mot de passe constitué de huit chiffres. « Une telle combinatoire est trop limitée. Un hacker peut le casser par force brute en l’espace de vingt minutes », explique Thierry Karsenti, vice-président technique Check Point Europe. Contacté par l’éditeur en juillet dernier, le fabricant n’a jusqu’à présent donné aucune réaction. Les utilisateurs n’ont donc, à ce jour, aucun moyen pour se protéger. Mieux vaut donc opter pour une solution alternative.

http://img.bfmtv.com/c/630/420/446/800874d169e0df3792f2104034ce2.jpg








Il a fallu exactement 30 secondes aux chercheurs en sécurité de Google pour détecter une faille qui permet d’exécuter du code arbitraire à distance et voler tous les mots de passe des utilisateurs. Heureusement, un patch est disponible.

Ce n’est pas l’arroseur arrosé, c’est l’arroseur trempé jusqu’au cou en train de se noyer. Il y a quelques jours, le chercheur en sécurité Tavis Ormandy de Google a mis la main sur une énorme faille de sécurité (https://code.google.com/p/google-security-research/issues/detail?id=693) dans l’antivirus Trend Micro, permettant de pirater à distance l’ordinateur sur lequel il était installé.


Depuis un site web, un pirate pouvait faire exécuter n’importe quel code sans que cela nécessite une interaction de la part de l’utilisateur. Par exemple : installer un malware, désinstaller l’antivirus, effacer le disque dur, etc. Il pouvait également récupérer en clair tous les identifiants web stockés par le gestionnaire de mots de passe de Trend Micro. Pour réaliser ces attaques, il suffisait que l’utilisateur clique sur un lien web piégé. C’est tout.






Le pire, c’est que cette faille n’était pas difficile à trouver. Tavis Ormandy explique avoir mis « exactement 30 secondes » pour réaliser une exécution de code arbitraire à distance. Le problème se trouve dans le gestionnaire de mots de passe de Trend Micro. Celui-ci est écrit en Javascript et acceptait librement tout un tas de requêtes au travers d’une interface de programmation (API) remarquablement mal écrite. Selon Tavis Ormandy, « près de 70 API »étaient accessibles depuis le web. Parmi elles figuraient, entre autres, la copie de la base de mots de passe ainsi que son déchiffrement à distance. Rarement un piratage n’aura été aussi simple !


Et ce n’est pas tout. Au passage, Tavis Ormandy découvre que le navigateur embarqué de Trend Micro, baptisé « Secure Browser », est en réalité une vieille version de Chromium (41) dans lequel le bac à sable – une fonction de sécurité de base dans les navigateurs - a été désactivé par défaut. « C’est la chose la plus ridicule que je n’ai jamais vue », souligne le chercheur en sécurité. Très poli dans ses répliques (https://code.google.com/p/google-security-research/issues/detail?id=693#c12), l’éditeur Trend Micro a bien évidemment reconnu ses erreurs. Il vient de publier un patch (http://blog.trendmicro.com/information-on-reported-vulnerabilities-in-trend-micro-password-manager/) qu’il est vivement conseillé de télécharger.

http://www.lavoixdunord.fr/sites/default/files/articles/ophotos/20160119/373338445_B977619201Z.1_20160119174701_000_GKP6148 H6.1-0.jpg

Selon un classement établi parSplashdata (http://splashdata.com/blog/), et basé sur deux millions de données en Europe et aux Etats-Unis, les mots de passe les plus utilisés sur Internet sont toujours les plus simples à trouver.
Depuis 4 ans, « 123456 » et « Password » occupent les deux premières places du podium. Entre la déclinaison à 4 chiffres ( « 1234 ») et celle à 9 chiffres (« 123456789 »), la série de chiffres toute bête occupe six places parmi les dix premières, c’est dire si le danger est grand de se voir piraté !
Du côté des mots de passe avec du sens, « Football » (7e) et « baseball » (10e) font leur entrée dans le top 25 cette année et sont les plus prisés côté sports. « Welcome » arrive 11e.
« Dragon », « Master » et « Monkey » sont des classiques du genre tandis qu’ont débarqué en force cette année les mots de passe inspirés par Star Wars : « Princess », « Solo » et Starwars » se font une place dans le top 25.
[FONT=inherit]Top 25 des mots de passe les plus utilisés en 2015 :


1. 123456
2. password
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. football
8. 1234
9. 1234567
10. baseball
11. welcome
12. 1234567890
13. abc123
14. 111111
15. 1qaz2wsx
16. dragon
17. master
18. monkey
19. letmein
20. login
21. princess
22. qwertyuiop
23. solo
24. passw0rd
[B][B][B]25. starwars**Hidden Content: Check the thread to see hidden data.**

[COLOR=#333333][FONT=Verdana]











La lutte incessante contre les botnets soulève de nouvelles questions et Microsoft s'interroge sur la prise de contrôle à distance des PC.

Ces dernières années, la division de sécurité de Microsoft renforce ses efforts pour lutter contre le spam. Outre les travaux effectués sur les filtres de ses logiciels, Microsoft s'attaque directement aux botnets en partenariat avec les forces de l'ordre, Interpol et divers spécialistes de la sécurité.

Microsoft a ainsi pris part aux enquêtes et mené à bien la fermeture de plusieurs réseaux d'ordinateurs zombis comme Waledac, Kelihos, Rustock, Nitol ou encore Simba. Ce dernier, par exemple, avait infecté 770 000 machines en six mois en téléchargeant des malwares pour la prise de contrôle à distance des PC.

Selon le magazine The Register, John Frank, vice-président des affaires gouvernementales chez Microsoft Europe, explique : « Nous pouvons détecter jusqu'à quatre fois par heure lorsque votre PC est infecté et renvoie des informations à un tiers ». L'homme affirme que la lutte pourrait être plus efficace avec une meilleure coordination entre les sociétés technologiques et les différentes autres autorités.

https://maghrebstar.com/attachment.php?attachmentid=2879&d=1453230096

M. Frank soulève quelques questions qui pourraient redessiner la sécurité informatique dans sa globalité. « Dans votre voiture, vous seriez immédiatement arrêtés si quelque chose ne fonctionnait pas », affirme-t-il. Et d'ajouter que si les voitures non sécurisées n'ont pas le droit de circuler librement, pourquoi un PC infecté pourrait-il se connecter sur Internet, surtout s'il est indirectement utilisé pour commettre un crime ?

La position de Microsoft est donc assez ambiguë. D'une part, John Frank est précisément chargé de veiller à ce qu'aucun backdoor ne soit mis en place permettant aux autorités d'accéder aux données non chiffrées des utilisateurs européens sans leur consentement, mais d'autre part il suggère pouvoir accéder aux PC des internautes pour en couper leur accès à Internet lorsqu'ils sont infectés.












LastPass : attention, vos mots de passe ne sont pas en sécurité




http://img.bfmtv.com/c/630/420/bf5/c532c18d5048314b5c5c0cf8080d2.jpg



Un site Web piégé suffit pour compromettre les données d’un utilisateur du service de gestion de mots de passe multi-plates-formes LastPass pour peu qu'il ne soit pas très attentif. Explications.

Si vous êtes utilisateur de LastPass, vérifiez bien où vous mettez votre mot de passe maître lors de votre prochaine connexion. Car il pourrait s’agir d’une tentative de phishing.


A l’occasion de la conférence Shmoocon 2016 (http://shmoocon.org/), le chercheur en sécurité Sean Cassidy a expliqué qu’une telle attaque n’était pas très compliquée à réaliser sur un navigateur Web et il en a fait la démonstration sur Google Chrome.
Intitulée « LostPass », son attaque s’appuie tout d’abord sur une faille de type « Cross-site-request-forgery » (CSRF) dans l’interface de programmation de LastPass. Désormais corrigée, elle permettait à n’importe quel site Web de déconnecter un utilisateur de ce gestionnaire de mot de passe. Un attaquant pouvait donc créer un site Web doté de cette fonctionnalité, puis afficher dans la fenêtre du navigateur le bandeau de notification correspondant (« Votre session LastPass a expiré. Reconnectez-vous. »).


http://img.bfmtv.com/c/1029/319/58b/d87ec24e9c73302ab063d2705d707.jpg





Si l’utilisateur tombe dans le panneau, l’attaquant lui présente une copie parfaite de l’écran d’authentification, pour récupérer les identifiants et se connecter dans la foulée à LastPass. Si ce dernier demande un deuxième facteur d’authentification, pas de problème : l’attaquant peut proposer là aussi le bon écran pour récupérer ce deuxième code secret. Et bingo, il a accès à toute la base de données de mots de passe.


Durant ces dernières étapes, bien que cela soit difficile à découvrir, un utilisateur attentif pourrait remarquer le pot aux roses, car l’URL n’est pas correcte.


http://img.bfmtv.com/c/1027/561/29e/76d78ff82ef85841b44abc7801480.jpg Sur Firefox, l’attaque est plus compliquée à mener. Les notifications et les écrans de connexion n’apparaissent pas dans une page HTML du navigateur, mais dans des fenêtres séparées dont l’allure dépend du système d’exploitation. Toutefois, il n’est pas impossible de réaliser un leurre plus ou moins convaincant. « J’ai réalisé une version expérimentale [de l’attaque] pour Firefox sur OS X et Windows 8 », souligne le chercheur en sécurité dans une note de blog (https://www.seancassidy.me/lostpass.html).
[B]Une série de contremesures

Contacté par Sean Cassidy, LastPass a depuis corrigé la faille CSRF. Toutefois, cela n’aurait pas été suffisant, car un utilisateur pourrait très bien ne pas remarquer qu’il est toujours connecté et se laisser berner quand même. L’éditeur a donc mis en place un dispositif (https://lastpass.com/support.php?cmd=showfaq&id=10072) qui alerte automatiquement l’utilisateur s’il insère son mot de passe maître dans une page web qui n’appartient pas à LastPass. Il a également généralisé sa procédure de vérification par email à toute tentative de connexion venant d’une adresse IP ou d’un terminal inconnu, que l’utilisateur dispose d’une authentification en deux étapes ou non. « Cela atténue l’attaque de manière considérable, mais ne l’élimine pas », estime pour sa part Sean Cassidy, sans donner davantage de précisions.

http://img.bfmtv.com/c/630/420/934/1cbaa5c0af580234fe5c41ac68dce.jpg






Les BIOS et autres UEFI sont de plus en plus la cible de logiciels malveillants particulièrement pernicieux. Un service en ligne permet désormais de les ausculter.

Parmi les infections informatiques les plus redoutables figurent sans nul doute celles qui visent le logiciel qui permet de démarrer le système d’exploitation. Le pirate qui arrive à se loger dans cette partie de l’ordinateur est particulièrement bien à l’abri, car les antivirus sont incapables de le détecter. Autre avantage : le code malveillant reste sur l’ordinateur même si le système est totalement réinstallé. Ce type de malware est donc idéal pour l’espionnage et très vogue chez les agences de renseignement et autres officines privées.


Pour lutter contre ce fléau, le site de détection de malware VirusTotal propose désormais un service d’analyse des BIOS (https://www.virustotal.com/en/file/57a0c38bf7cf516ee0e870311828dba5069dc6f1b6ad13d1fd ff268ed674f823/analysis/). Celui-ci va, par exemple, comparer le code exécutable du firmware aux codes diffusés par les fournisseurs, ce qui permet de détecter son origine. S’il n’y a aucune différence entre les deux codes, c’est évidemment un bon signe.

Le service d’analyse va également décortiquer le logiciel en ses différents constituants applicatifs pour détecter, le cas échéant, une anomalie. Une rubrique particulièrement intéressante est celle des « exécutables Windows ». En théorie, un BIOS ne devrait pas en avoir. S’il y en a, deux solutions : soit le fournisseur s’appuie sur le BIOS pour injecter des applications faites maison dans Windows, soit c’est un malware.
http://img.bfmtv.com/c/804/291/6c1/7c68fe617920cb4b8c14bff884a3b.jpg


Dans certains cas rares, l’application faite maison est en même temps un malware. VirusTotal référence, à titre d’exemple, le cas de Lenovo et de soninjecteur de pourriciels (http://www.01net.com/actualites/de-nouveau-lenovo-a-preinstalle-du-pourriciel-sur-ses-pc-907258.html), désigné ici par « NovoSecEngine2 ».
http://img.bfmtv.com/c/844/211/be4/0081eae453e72dcbf0f2d9e4ce056.jpg


Dans une note de blog (http://blog.virustotal.com/2016/01/putting-spotlight-on-firmware-malware_27.html), VirusTotal fournit une liste d’outils permettant de réaliser une copie de son propre BIOS. Il suffit ensuite de le téléverser auprès de la société pour qu’elle puisse en faire l’analyse. Il y a néanmoins un bémol : certains malwares de BIOS sont tellement sophistiqués qu’ils reconnaissent la présence d’un tel outil et arrivent à gommer les anomalies au moment de la copie. Selon VirusTotal, le moyen le plus sûr est encore « de se connecter physiquement à la puce du BIOS et de faire un dump de façon électronique ». Ce qui n’est pas forcément à la portée de tout le monde.




**Hidden Content: Check the thread to see hidden data.**

http://img.bfmtv.com/c/630/420/2ee/b80015c58dd0ace674435e6271aef.jpg






Une librairie open source permet aux développeurs de diffuser des mises à jour d’applications mobiles en court-circuitant le processus de vérification d’Apple. Une bonne idée, mais une pratique plutôt risquée.

La réputation d'Apple et de son App Store en matière de sécurité n'est plus à faire. Pourtant, les analystes de FireEye (https://www.fireeye.com/blog/threat-research/2016/01/hot_or_not_the_bene.html) viennent de sonner l’alerte sur une technique qui permet de contourner les procédures de vérification draconiennes de la firme de Cupertino et de télécharger du code arbitraire dans une application. L'idée est de s'appuyer sur JSPatch, une librairie tierce qui permet à une application iOS de télécharger du code JavaScript depuis le Web, de le transformer un code Objective-C – le langage de programmation historique d'Apple – puis de l'injecter à la volée dans l'application en question.
http://img.bfmtv.com/c/200/200/1ad/8aa600e519258fa2e51de7927859f.jpg






Le code de JSPatch est disponible en open source sur GitHub. Il a été créé par un informaticien chinois qui se fait appeler « band590 » et dont la motivation est assez légitime. Sa librairie permet en effet d’apporter des mises à jour urgentes aux applications sans passer par la procédure de vérification d’Apple qui nécessite souvent plus d’une semaine. Le problème, évidemment, c’est que JSPatch peut être utilisé de façon malveillante.

Un pirate pourrait ainsi créer une application en apparence inoffensive qui, une fois installée sur un terminal, téléchargerait un malware directement depuis Internet. L’utilisateur n'y verrait que du feu. Autre méthode d’attaque : un pirate pourrait intercepter un code JavaScript inoffensif et le remplacer par une version malveillante, sans que l’utilisateur ou le développeur n'aient le moindre doute.
http://img.bfmtv.com/c/800/631/8ff/6ff45ec0e350c66d1b2fdf079a24b.jpg


FireEye -FireEye donne quelques exemples d’exploitation malicieuse, comme l’accès au répertoire des photos, au presse-papier (très utile pour siphonner les mots de passe) ou encore aux paramètres systèmes de bas niveau.
Dans ce dernier cas, FireEye utilise en effet les interfaces de programmation dites « privées » réservées à Apple. Une application qui en ferait usage serait automatiquement bloquée au niveau de l’App Store… sauf évidemment si le code n’est injecté que par la suite avec JSPatch.
Mais il ne faut pas dramatiser non plus cette trouvaille. Selon FireEye, il n’existe pour l’instant que 1220 applications qui utilisent cette librairie. C’est une goutte d’eau dans l’océan de l’App Store et cela concerne avant tout avec des applications chinoises. Pour l’instant, le problème est donc marginal, mais il pourrait faire tache d’huile.
**Hidden Content: Check the thread to see hidden data.**

Ce malware Java renaît de ses cendres et frappe encore plus fort qu’avant. Tous les secteurs économiques sont touchés. Et pourtant, ce n'est l'oeuvre que d'une seule personne.

Plus de 68 000 personnes ou organisations infectées ces six derniers mois, plus de 1 800 utilisateurs décomptés dans les forums pour cybercriminels. Il n’y a pas de doute : Adwind est la nouvelle « killer app » du cybercrime.


Disponible clé en main sous la forme de malware-as-a-service, ce logiciel d’espionnage forme - avec toutes ses variantes - l’une des plus importantes plates-formes malicieuses en activité à ce jour. C’est la conclusion à laquelle sont arrivés les chercheurs en sécurité de Kaspersky, qui viennent de présenter une étude complète sur ce malware, à l’occasion de la conférence Security Analyst Summit.


Ce succès a mis des années à se construire. Adwind existe depuis 2012 et a connu de nombreuses modifications et de changements de noms. On le retrouve notamment sous les appellations Frutas, Unrecom ou AlienSpy, qui était la dernière version avant qu’elle soit épinglée par la société Fidelis en avril 2015 (https://www.fidelissecurity.com/sites/default/files/FTA_1015_Alienspy_FINAL.pdf), infligeant un sérieux coup à ce business illégal.


Mais le reflux n’a été que de courte durée. Fin 2015, les chercheurs de Kaspersky détectent une nouvelle variante encore plus virulente, en bloquant un email piégé envoyé à une banque singapourienne. En menant l’enquête, les limiers de Kaspersky découvrent rapidement deux cent autres courriels piégés de la même façon. Pas de de doute : Adwind est de retour, cette fois sous encore un autre nom: « JSocket ». Et selon l’éditeur, la vague d’attaques actuelle est sans précédent.


http://img.bfmtv.com/c/800/1132/ed5/9352cddcc8d54962c6e218a293b8f.jpg Kaspersky -

Ce qui rend ce logiciel si attirant, c’est qu’il est écrit en Java. Il est donc parfaitement « cross platform » et fonctionne aussi bien sur Windows, OS X, Linux que sur Android. Plutôt pratique pour un pirate qui cherche à rentabiliser au mieux son action. Côté fonctionnalités, c’est également l’opulence : keylogger, capture d’écrans à distance, enregistrement audio/photo/vidéo, transfert de fichiers, collecte d’informations techniques, vol d’adresses Bitcoin, vol de certificats VPN, etc.


Pour l’utiliser, il suffit de s’inscrire et de payer. Le logiciel est commercialisé sous forme de service. Les développeurs opèrent à découvert. Leur site est accessible sur Internet, pas besoin de passer par Tor. Il existe même une chaine YouTube. Plusieurs formules d’abonnement sont disponibles, allant de 25 dollars pour 15 jours d’utilisation (« Basic ») à 300 dollars pour un an (« Ultimate »). Quand l’abonnement est écoulé, le pirate n’a plus aucun contrôle sur les machines infectées.

même d’un scanner antivirus embarquant 23 moteurs différents, permettant au pirate de savoir si sa version est détectable ou non.
On pourrait se dire que pour se protéger, il suffit de désinstaller Java de sa machine. Erreur: parmi les nombreuses options proposées figure également un « downloader » capable d’installer Java et même de façon persistante. Bref, Adwind est un véritable couteau suisse pour l’espionnage et le vol de données, c’est pourquoi on le rencontre dans presque tous les secteurs économiques et dans beaucoup de pays de la planète. Au total, plus de 400 000 personnes ou organisations ont été infectées entre 2013 et début 2016 par Adwind et ses différentes variantes.


http://img.bfmtv.com/c/800/653/0a7/f6c5169c84605a4d190d4801188aa.jpg Kaspersky -

Facile à utiliser, Adwind attire des criminels d’horizons assez divers : petits cyberescrocs qui veulent monter en compétence, compétiteurs peu scrupuleux, cybermercenaires, particuliers indélicats qui espionnent leurs voisins, etc. « Le criminel qui a attaqué la banque singapourienne était loin d’être un hacker professionnel, et nous pensons que c’est le cas pour la plupart des clients d’Adwind », souligne Aleksandr Gostev, expert sécurité en chef chez Kaspersky. Une forme de démocratisation du cybercrime qui est plutôt inquiétante. « Beaucoup de clients se trouvent, en particulier, au Nigeria qui cherchent à renouveler leur méthodes d'arnaques », ajoute M. Gostev.


Mais le plus surprenant: selon Kaspersky, cette plateforme de malware est l’oeuvre d’une seule personne, très probablement un développeur mexicain âgé entre 22 et 30 ans. C’est en tous les cas ce que révèle les éléments de langages et les dates de compilation trouvés dans les exemplaires de ce malware. « Cet homme est un très bon développeur. Il a créé un business profitable qui génère environ 200000 dollars par an », estime M. Gostev. Et visiblement, il n’est pas du tout gêné par les forces de l’ordre de son pays

source : Etats-Unis. Un hacker divulgue les identités de 20 000 agents du FBI (http://www.ouest-france.fr/monde/etats-unis/etats-unis-les-comptes-de-20-000-employes-du-fbi-pirates-et-publies-4025854)


http://www.ouest-france.fr/sites/default/files/styles/image-640x360/public/2016/02/09/etats-unis.les-comptes-de-20-000-employes-du-fbi-pirates-et-publies.jpg?itok=5_r6p9D9

Un hacker a publié, dimanche, les données personnelles de 20 000 employés du FBI. Il assure également détenir 200 gigabytes de fichiers du département de la Justice. Les noms, les fonctions et les coordonnées de quelque 30 000 employés du Bureau fédéral d'enquête (FBI) (http://www.ouest-france.fr/monde/etats-unis/piratage-le-fbi-vise-et-sony-de-nouveau-touche-457919) et du département de la Sécurité intérieure américaine ont été volés et mis en ligne, ce dimanche soir.
L'accès à un fichier crypté partagé sur TwitterDès le coup d'envoi du match du Super Bowl, dixit Les Échos (http://www.lesechos.fr/tech-medias/hightech/021683325849-les-comptes-de-30000-employes-du-fbi-et-de-la-securite-interieure-pirates-1198848.php), un cyberpirate, qui avait copieusement pioché dans les serveurs des services du gouvernement américain, a publié les informations relatives à 20 000 agents du FBI (parmi lesquels environ 1 000 œuvrent dans les services de renseignements) et de 9 000 employés du département de la Sécurité intérieure (DHS).
Le site américain Motherboard (http://motherboard.vice.com/read/hacker-plans-to-dump-alleged-details-of-20000-fbi-9000-dhs-employees) a pu constater « que plusieurs de ces coordonnées sont exactes ». L'accès à un fichier crypté contenant le listing a notamment été partagé sur Twitter, accompagné du hashtag #FreePalestine et commence par « c’est pour la Palestine, Ramallah, la Bande de Gaza. C’est pour l’enfant qui cherche une réponse ».


La liste a également été publiée partiellement sur CryptoBin (https://cryptobin.org/78u0h164). Pour y accéder, il suffisait, hier, de rentrer un mot de passe tout simplement renseigné par le présumé hacker sur son compte Twitter.
Une enquête du département de la JusticeÀ noter que le hacker a assuré détenir également 200 gigabytes de fichiers (http://www.ouest-france.fr/monde/piratage-informatique-comment-proteger-son-ordinateur-2561774)provenant du département de la Justice, qui contiendraient, selon ses dires, des emails militaires et des numéros de cartes de crédit.
De son côté, dans un communiqué, un porte-parole du département de la Justice a affirmé, ce mardi, que « cet accès non-autorisé fait l’objet d’une enquête ». Et malgré les données personnelles publiées, il a assuré qu'il n'y avait « aucune indication à ce stade montrant qu’il y a eu la moindre brèche menant vers une information personnelle sensible ».

Sécurité : L'extension qui permet de streamer des Torrents au sein de son navigateur est bien pratique mais elle peut être à la source d'attaques et de fuites de données.

Torrents Time, le plugin permettant de lire dans le navigateur des fichiers torrent connaît un succès planétaire, surtout depuis qu'il est intégré nativement à des plates-formes comme Pirate Bay. Mais outre le fait de s'attirer les foudres des ayants-droit, le plug-in semble être également une source de danger.

Selon plusieurs spécialistes qui l'ont décortiqué Torrents Time serait truffé de failles de sécurité. Selon Andrew Sampson, une simple ligne de code en Javascript permettrait à n'importe quel site de pousser n'importe quel fichier sur la machine d'un utilisateur équipé de ce plug-in. Il serait également très simple d'espionner les activités de l'utilisateur, notamment ce qu'il télécharge et à partir de quel navigateur.

Last but not least, les sites comme Pirate Bay qui ont installé sur toutes leurs pages Torrents Time seraient vulnérables à des attaques de type XSS (Cross site scripting).

Sur Torrent Freak, les développeurs de Torrents Time tentent de défendre leur création mais visiblement, les trous de sécurité sont bel et bien présents. Méfiance donc.


Sujet fusionné.

Les hackers menacent les sites fédéraux suite au suicide de Madison_18/02/16 - 18h03


http://static1.7sur7.be/static/photo/2016/9/5/3/20160218170611/media_xll_8417028.png

Le groupe de hackers Downsec Belgium exige jeudi des résultats dans l'affaire Madison Wintgens, une adolescente de Herstal qui se serait suicidée à la suite d'insultes incessantes sur les réseaux sociaux, sous peine de faire "tomber pendant plusieurs heures deux sites ministériels". Ces activistes s'en étaient déjà pris mardi au serveur de la Fédération Wallonie-Bruxelles et au site de la ministre de l'Enseignement, Joëlle Milquet, dont ils déplorent "l'inaction" face au décès de l'adolescente.

Dans une vidéo YouTube, les pirates informatiques exigent la publication d'un communiqué de la justice sur l'évolution de l'enquête concernant Madison Wintgens. Si tel n'est pas le cas pour vendredi à 9h00, Downsec Belgium s'en prendra à deux sites ministériels.

Les hackers demandent également au gouvernement de "faire le ménage" parmi ses ministres et visent explicitement Joëlle Milquet. Le SPF Technologie de l'information et de la communication est au courant de la menace et en alerte, a indiqué sa porte-parole à l'agence Belga. Downsec Belgium s'en était déjà notamment pris aux sites de la Région wallonne et du Comité R. Il s'agissait d'attaques par déni de service, à savoir l'envoi massif de requêtes à un site pour le saturer.

Plus récemment, les hackers ont visé de la même manière le serveur du site enseignement.be, également dans le cadre de l'affaire Madison. Etnic, le gestionnaire de l'outil informatique pour les services de la Fédération Wallonie-Bruxelles, va déposer plainte concernant cette attaque. L'entreprise précise que le site des inscriptions en première secondaire n'a lui pas été touché.

"Ce sont nos pare-feu qui ont souffert", explique un administrateur. "Nous avons pu isoler le serveur d'enseignement.be mardi vers 14h00 et rouvrir les autres. L'attaque s'est poursuivie jusqu'à mercredi en fin de matinée. Nous avons pris des dispositions techniques et finalement pu rouvrir le serveur concerné vers 14h45. C'est malgré tout râlant car nous sommes sur le point de recruter un technicien capable d'installer un dispositif qui protège de ce type d'attaque. Néanmoins, nous estimons que Belnet, en tant que fournisseur d'accès, n'a pas joué son rôle. Lorsqu'il voit arriver des centaines de requêtes sur un site comme enseignement.be, il se doit de les arrêter."

Belnet se dit "toujours vigilant" quant à de possibles attaques et donc informé de la menace sur des sites ministériels. "Nous disposons de procédures techniques pour bloquer ce genre d'attaque", assure le provider des services publics, sans faire davantage de commentaires.


Sujet déplace et fusionné.

http://img.bfmtv.com/c/630/420/5e7/dabed237d8d6c48281872e83e7db4.jpg







Les ordinateurs peuvent être piégés par l’intermédiaire du système de résolution DNS. Mais pour les particuliers, le risque est assez limité.

Google (https://googleonlinesecurity.blogspot.fr/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.html) et Red Hat (https://access.redhat.com/errata/RHSA-2016:0175) ont découvert une faille critique dans une des librairies de base de Linux, à savoir GNU C Library (glibc). Les chercheurs en sécurité ont trouvé un dépassement de tampon mémoire dans l’une des fonctions relatives à la résolution DNS (« getaddrinfo »). Lorsque le système effectue une requête DNS, un attaquant pourrait utiliser cette faille pour renvoyer une réponse piégée permettant l’exécution de code arbitraire. En d’autres termes, cette faille permet de pirater les machines Linux à distance.




Heureusement, un patch est disponible et il est d’ores et déjà implémenté dans une série de distributions telles que Red Hat, Ubuntu ou Debian. Reste, comme toujours, le problème des objets connectés qui s’appuient très souvent sur un Linux pour fonctionner. Il n’y pas d’autres solutions que d’attendre la mise à disposition d’une mise à jour du firmware.


Il ne faut pas paniquer pour autant. Beaucoup d’objets connectés n’utilisent pas glibc mais sa variante uclibc, plus légère et non vulnérable. Et même si l’appareil utilise glibc, le risque n’est pas le même dans tous les cas. Pour exploiter cette faille, il faut déjà que le système fasse des requêtes DNS, ce qui n’est pas forcément le cas d’un disque dur en réseau par exemple.



Et même si votre appareil sous Linux effectue des requêtes DNS, encore faut-il qu’elles atterrissent sur une machine contrôlée par l’adversaire. Autre possibilité : l’attaquant dispose d’un accès au réseau (Wi-Fi par exemple) et intercepte la requête pour renvoyer sa réponse piégée. Dans les deux cas, ce n’est pas forcément évident à réaliser. Pour les particuliers, le risque est donc globalement assez limité.

http://img.bfmtv.com/c/630/420/7e8/d43ed30904e36b3aa9832b207d813.jpg








Des chercheurs en sécurité informatique ont identifié des centaines d'applications, dont de fausses copies de GTA, contenant un cheval de Troie.

Télécharger des applications depuis le Google Play Store (https://play.google.com/store?utm_source=emea_Med&utm_medium=hasem&utm_content=May1415&utm_campaign=Evergreen&pcampaignid=MKT-EG-emea-fr-all-Med-hasem-py-Evergreen-May1415-1.HASEM_kwid_43700008756589874&gclid=CKH08p7lnMsCFeRecgodSmABRA&gclsrc=ds#/now) n'est pas forcément un gage de sécurité, selon des chercheurs de l'entreprise de sécurité informatique ESET (http://www.eset.com/fr/). Lukas Stefanko (https://twitter.com/lukasstefanko), employé de la firme, a publié une liste (http://www.welivesecurity.com/2016/02/23/appendix-porn-clicker-trojans-at-google-play/) de près de 350 applications qui ont été disponibles sur le portail d'applications Android durant les sept derniers mois. Toutes ont en commun de cacher un virus de type Trojan (https://fr.wikipedia.org/wiki/Cheval_de_Troie_%28informatique%29) qui s'installe et prend le contrôle du smartphone afin de permettre aux cybercriminels de gagner de l'argent sur le dos de l'utilisateur piégé.


Le principe de fonctionnement est plutôt simple. Une fois le logiciel malveillant installé, il ouvre discrètement un navigateur en toile de fond. L'appareil se connecte alors à des sites - en général pornographiques - et clique automatiquement sur les bannières de publicité. Les revenus générés profitent ensuite aux auteurs de l'application malveillante.




Pour ESET, le problème n'est pas nouveau mais semble s'intensifier depuis un an. Selon l'entreprise, une dizaine d'applications malveillantes passerait à travers les contrôles de sécurité de Google chaque semaine. Surtout, elles ressemblent souvent à des logiciels ou jeux bien connus du grand public.

Depuis août dernier, on compte ainsi 75 applications dont le titre était en rapport avec le jeu GTA (dont 19 dénommées GTA Vice City Free). Avec en prime des icônes visuellement très proches de l'originale. Pour l'utilisateur, il y a cependant plusieurs moyens de ne pas se faire prendre au piège.


http://img.bfmtv.com/c/561/603/210/3f56793b9d36f71e7d8b6df679260.PNG

ESET - De fausses applications GTA

Comme le rappelle Lukas Stefanko (http://www.welivesecurity.com/2016/02/24/porn-clicker-trojans-google-play-analysis/), la solution se trouve généralement dans la note des utilisateurs, évidemment très basse lorsqu'il s'agit d'une "fausse" application. Par ailleurs, les jeux ou logiciels les plus téléchargés bénéficient souvent de la mention "super développeur", qui permet de s'assurer que le contenu est totalement sans risque. Enfin, il vaut mieux toujours se rappeler que trouver gratuitement un jeu valant une dizaine d'euros est un peu trop beau pour être vrai.

Lorsqu'ils scannent l'Internet en toute discrétion à la recherche de proies, les attaquants s'appuient préférentiellement sur une liste de mots de passe qui n'est pas tout à fait celle attendue.

http://img.generation-nt.com/mots-passe-rapid7_0096006401633998.png

Le projet Heisenberg de la société de sécurité Rapid7 est un ensemble de pots de miel (honeypots) déployés à l'échelle mondiale. Ils sont dits à faible interaction dans la mesure où ils se contentent d'émuler les poignées de main pour l'authentification de plusieurs protocoles et rien de plus.

Les pots de miel s'appuient sur des adresses IP qui ne sont pas publiques. A priori, une tentative de connexion non sollicitée à l'un d'eux est le fruit d'une attaque qui passe en revue une large gamme d'adresses IP. Dans une étude, Rapid7 se concentre en particulier sur les tentatives avec le protocole RDP (Remote Desktop Protocol).

Collectés sur une période allant de mars 2015 à février 2016, les logs de ces honeypots fournissent une idée de ce que les attaques opportunistes utilisent pour tester des systèmes de points de vente basés sur Windows mais aussi des ordinateurs compromis s'appuyant sur RDP pour des services de Bureau à distance.

Quelque 221 2030 tentatives de connexion différentes ont été enregistrées depuis 5 076 adresses IP distinctes à travers 119 pays dont la plupart en Chine (39,9 %) et aux États-Unis (24,9 %). Elles ont eu recours à 1 806 noms d'utilisateur et 3 969 mots de passe différents pour donc des attaques par force brute et avec dictionnaire.

Le Top 10 des mots de passe testés ne fait pas apparaître 12345 et password qui sont souvent pointés du doigt mais des sésames encore plus faibles tels que x, Zz, 1. Nec plus ultra : " ...... ". Cela en dit long sur ce que pensent les hackers des pratiques en matière de mots de passe… On trouvera également dans le Top 10 ci-dessous des mots de passe comme St@rt123, P@ssw0rd et admin.

http://img.generation-nt.com/02AF01E701633999.png



Pour les noms d'utilisateur, moins de surprise avec administrator, user1 ou encore admin. Les attaquants semblent dès lors particulièrement en quête d'une intrusion dans des points de vente et bases de données.

http://img.generation-nt.com/02C301E201634000.png

À titre indicatif, la combinaison d'identifiants la plus testée est le nom d'utilisateur " administrator " avec le mot de passe " x ".

Bonsoir ; svp appliquez vous j'ai remarqué que vous balancez n'importe ou pourquoi je me démerde
à créer des sujets ,c'est pour chaque discussion se mette à sa place
et dorénavant je ne ferai plus votre travail dont le forum ou je suis responsable.
Et de ce fait votre poste est fusionné.
Bon courage.

​Un beau jour, vous recevez un e-mail d’une de vos connaissances, qui se trouve en difficulté lors d’un voyage et vous demande une aide financière. Il pourrait bien s’agir d’une arnaque suite à un piratage de boite e-mail


http://arnaqueinternet.com/wp-content/uploads/2012/12/hacker.jpg

Un piratage de boite e-mail n’est pas, contrairement aux autres arnaques par e-mail, une demande d’argent venant d’un quasi-inconnu ou d’une personne rencontrée virtuellement, il y a peu, sur un site de rencontre. C’est bien un ami, un membre de famille, un collègue qui vous envoie un appel à l’aide par e-mail, suite à un problème lors d’un déplacement.

Bizarre, vous ne saviez pas que cette personne était en déplacement. Mais comme il s’agit bien d’une personne que vous connaissez depuis longtemps, vous croyez qu’il n’y a pas de risque. Et pourtant, c’est bien une arnaque. Votre contact a été victime d’un piratage de boite e-mail.

En réalité, un escroc a auparavant procédé à ce qu’on appelle un piratage de boite e-mail de cette personne. Puis, le pirate a envoyé un message à tous les contacts en se faisant passer pour la personne en question. Ci-dessous un exemple de courriel :

« Bonjour,piratage de boite e-mail
Dis moi, Où es tu actuellement ? J’espère ne pas te déranger ?
Je suis en déplacement à Londres et malheureusement j’ai eu un problème ou j’aurais besoin de ton aide
plus précisément une aide financière. C’est très sérieux.
je t’en supplie contactes moi par mail,c’est urgent et vraiment très délicat.
J’attends ta réponse avec impatience, car au moment ou je t écris, j’ai les larmes aux yeux.
Je suis en attente de te lire.
Bien cordialement«

Si vous mordez à l’hameçon, l’usurpateur vous demandera de l’argent par Western Union ou autres services d’envoi d’argent à distance.

Le meilleur moyen de prévenir cette tentative d’escroquerie est de téléphoner à ladite personne. Elle vous révèlera le plus souvent n’avoir pas bougé de chez elle. Mais si jamais la personne est injoignable pour une raison quelconque, cela renforcera la possibilité qu’il lui soit vraiment arrivé un problème et l’arnaque a des chances de réussir. D’autant plus que, s’agissant d’un proche, on n’hésite moins à intervenir en cas de besoin.

Merci à AF pour l’exemple de courriel reçu dans le cadre d’un piratage de boite e-mail.


Sujet fusionné.

http://img.bfmtv.com/c/500/370/774/25ad1384c7a1fe55d73def08a0f67.jpg

Ce malware infecte les départements des ressources humaines des entreprises en se faisant passer pour une candidature spontanée. L’utilisateur ne peut plus accéder à son ordinateur dès lors qu’il a été infecté.

Une nouvelle variété de ransomware vient d’être détectée par plusieurs chercheurs en sécurité. Baptisé « Petya », il ne contente pas de chiffrer les données personnelles, mais bloque carrément l’accès à l’ordinateur. L’utilisateur ne peut plus lancer Windows sauf, évidemment, s’il paye une rançon d’environ un bitcoin (soit 367 euros). Les pirates semblent cibler surtout les entreprises. Le malware arrive au travers d’un email envoyé aux départements des ressources humaines. Voici un exemple rédigé en allemand.
http://img.bfmtv.com/c/800/430/cb9/973330d9ca4d2c571ff0f63f8fe06.jpgGData -http://img.bfmtv.com/c/800/450/af3/7ba9c4890798c4794633e47f33634.jpgGdata -


Le message a l’air d’une candidature spontanée avec, à la fin, un lien Dropbox sur lequel le destinataire pourra télécharger le CV. Ce dernier est en réalité un exécutable malveillant qui va infecter l’ordinateur en deux phases, comme l’explique la chercheuse polonaise Hasherezade.
[FONT=Arial]

Dans une première phase, Petya va écraser le début du disque et, en particulier, le Master Boot Record (MBR) qui permet à l’ordinateur de démarrer. Parallèlement, il effectue une sauvegarde chiffrée de la table de partitionnement. Le chiffrement n’est pas très complexe : il s’agit simplement d’un codage en XOR. A ce stade, les dégâts ne sont donc pas insurmontables. L’utilisateur pourrait extraire les disques de l’ordinateur, les monter au travers d’un autre système d’exploitation (Linux par exemple) et réaliser une copie de sauvegarde complète.
Les choses se compliquent lors de la seconde phase. Après avoir écrasé le MBR, le malware provoque un écran bleu de la mort et un redémarrage de l’ordinateur. S’affiche alors un écran qui simule une vérification de disque (CHKDSK). En réalité, le malware est en train de modifier le système de fichiers de l’ordinateur et de chiffrer partiellement son contenu. Par la suite, une tête de mort est affichée, suivi d’un message qui explique comment payer la rançon. A ce stade, l’accès aux données n’est plus possible, en tous cas pas de manière simple. Contrairement à ce qu’affirme le pirate, « il n’est pas vrai que le disque soit entièrement chiffré. Si nous utilisons des outils d’analyse forensique, nous voyons beaucoup d’éléments valides, dont du texte », souligne Hasherezade.
http://img.bfmtv.com/c/689/239/c5b/14f142b96b46a295f59ccf068ee76.jpgGdata -http://img.bfmtv.com/c/719/403/548/42997bddc534de75cffa1be823b45.jpgGData -http://img.bfmtv.com/c/750/516/55c/1e7d291e8ab603a35d308264c3486.jpgGData -Le fait que les pirates utilisent Dropbox pour diffuser leur malware est assez malin. D’une part, cela leur évite d’intégrer une pièce jointe dans l’email qui risque d’être détecté par l’antivirus. Dropbox, par ailleurs, est assez connu en entreprise et, surtout, c’est un domaine web qui ne provoque pas de blocage au niveau des pare-feux. C’est un domaine de confiance.
« Au-delà de l’utilisation du lien Dropbox, les hackers passent ici sur une technique beaucoup plus efficace de social engineering. Jusqu’à présent, la mode était aux fausses factures à payer. Cette technique ayant perdu en efficacité, grâce aux relais d’information et notamment grâce aux média, la technique de la fausse candidature est excellente. Quoi de plus normal que de recevoir un email avec un document word en pièce jointe pour un email de candidature, ou un CV à télécharger via un lien ? Quoi de plus normal qu’une candidature spontanée de la part d’une personne que l'on ne connaît pas ? De plus, les adresses e-mail qui permettent de postuler dans une entreprise sont souvent disponibles publiquement sur son site web et diffusées à de nombreuses personnes en interne. Il y a fort à parier que nous retrouverons prochainement des vagues de ransomware utilisant cette technique de propagation », explique Florian Coulmier, responsable production et cyber criminalité de Vade Retro Technology.
Un conseil que l’on peut donc donner est de ne jamais télécharger un fichier depuis une source inconnue. Et si cela n’est pas possible, pour des raisons professionnelles comme ici, il faut imaginer un dispositif permettant de télécharger les fichiers de manière sécurisée, par exemple sur une machine dédiée et déconnectée ne comportant pas de données importantes, ou sur une machine virtuelle.
[I][I]Mise à jour le 4 avril: L'entreprise Dropbox tient à signaler qu'elle a supprimé les liens qui menait vers le malware aussi rapidement que possible et qu'elle prenait cette utilisation abusive de son service très au sérieux. [I]« Une équipe dédiée travaille en continu pour surveiller et prévenir tout usage frauduleux de Dropbox. Bien que ces attaques ne soient pas liées à une faille de sécurité de Dropbox, une enquête est en cours et des procédures ont été mises en place pour faire cesser ces activités illégales de manière proactive, dès leur apparition. En outre, nous avons dernièrement publié un article (https://blogs.dropbox.com/dropbox/2016/02/safer-internet-day-2016/)sur les conseils à adopter pour garantir la sécurité des utilisateurs sur Internet. »


**Hidden Content: Check the thread to see hidden data.**

[COLOR=#292929][FONT=Helvetica Neue]
http://img.phonandroid.com/2016/04/piratage-choper-navigateur-web.jpeg

Et si votre navigateur était bloqué parce que vous vous êtes fait choper en train de pirater ? Cette idée peut vous paraître folle et pourtant elle pourrait bien se concrétiser. Plus précisément, le navigateur de l’utilisateur pratiquant le piratage pourrait être détourné. Explications.

Cette information surprenante, c’est le site Torrentfreak (https://torrentfreak.com/rightscorp-plans-to-hijack-pirates-browsers-until-a-fine-is-paid-160402/) qui nous la révèle. Cette idée de faire participer les géants du web à la lutte contre le piratage a été imaginée par l’entreprise Rightscorp qui est une société liée à l’industrie du divertissement. Le principe est simple : faire participer les créateurs de navigateurs Firefox, Google Chrome (http://www.phonandroid.com/tag/chrome), Safari ou encore Edge à lutte contre piratage. Les fournisseurs d’accès à internet seraient aussi de la partie.


Rightscorp aurait donc besoin de l’aide de ces acteurs pour détourner l’usage des navigateurs dès lors qu’ils détectent une pratique illicite sur le web. En fait, il s’agirait de présenter un système de type « ransomware » qui empêcherait donc l’internaute d’utiliser son navigateur le temps qu’il n’aura pas payer une amende aux ayants droit pour piratage de leurs contenus.

Dans ce système de droit d’auteur adaptable, les abonnés reçoivent chaque préavis de règlement directement dans leur navigateur (…) Son implémentation aura besoin de l’accord des fournisseurs d’accès. Nous avons eu des discussions avec plusieurs d’entre eux sur la mise en place de ce système et avons l’intention d’intensifier ces efforts. Ils ont la technologie pour afficher nos avertissements sur les navigateurs de leurs abonnés. – Rightscorp –
Rightscorp ne préconise pas un blocage mais immédiat mais un système reposant sur plusieurs avertissements sur une période bien précise. Par exemple un utilsiateur qui aurait téléchargé 10 contenus illégalement en un mois serait sanctionné et ne pourrait alors utiliser son navigateur que s’il paie une amende.
Mais pour y parvenir, la société a également besoin des FAI qui leur fourniront les informations nécessaires pour accéder aux contenus des abonnés comme c’est le cas avec Hadopi (http://www.phonandroid.com/tag/hadopi). La question de la vie privée se pose alors puisque Rightscorp est une société privée.
Par ailleurs, même si l’idée de Righscorp peut être intéressante, elle sera confrontée à des barrières de taille. D’abord en terme de vie privée, mais également sur le principe même du « ransomware » (http://www.phonandroid.com/vous-aimez-sites-pornos-attention-arnaques-ransomwares.html). Ce système de rançon qui prend l’utilisateur en otage est relativement discutable.
Mais le plus gros problème reste technique. Car si les internautes utilisent un VPN ou s’il modifie les serveurs DNS, il pourra détourner le système proposé par Rightscorp en quelques secondes. Et même sans cela, le simple fait de passer par un système de partage peeer-to-peer comme BitTorrent par exemple permettra à l’internaute de ne pas être repéré. Autant dire que l’idée de Rightscorp risque de toucher seulement une petite partie des utilisateurs pirates.


**Hidden Content: Check the thread to see hidden data.**

http://www.zebulon.fr/medias/images/actualites/300x/Photo-Petya-ransomware-logiciel-malveillant-malware-rancon-crypter_1459894426_300x.jpg

Après Locky et KeRanger, un nouveau ransomware sévit depuis quelques jours et sa technique sans grande originalité, est de contaminer un ordinateur via un mail corrompu, afin de pouvoir chiffrer les données d'un PC pour demander ensuite une rançon en échange du retour à la normale !
Encore un ransomware en liberté, son nom : PetyaLa rançon que le logiciel malveillant Petya réclame est d'une valeur d'environ 350 euros, soit 0,9 bitcoin. La particularité de Petya, c'est principalement son très haut niveau de cryptage, qui utilise rien de moins que du AES 256 et une clé RSA 4096 bits. Pour contaminer un PC, ce ransomware utilise un bon vieux mail suggérant une offre d'emploi, avec un fichier de candidature à récupérer sur Dropbox.

En réalité, ce fichier vous l'aurez compris, est le logiciel malveillant que vous téléchargez sur le PC... Une fois installé, ce dernier redémarre la machine et vous pose devant le fameux dilemme, dois-je payer pour retrouver mes fichiers devenus impossibles à consulter ? Certains internautes ont expliqué qu'il était possible de réinstaller l'OS, pour passer outre le paiement de la rançon aux pirates. Cette technique se fera cependant au prix d'une perte définitive des fichiers, car Petya est assez vicieux et il crypte aussi la table de fichier principale, nécessaire pour indexer les fichiers sur le disque dur.

DropBox a fait savoir qu'il avait depuis supprimé les liens vers des fichiers corrompus sur son service, mais rien ne dit que les pirates ne récidivront pas, donc restez sur vos gardes.

Vous l'aurez compris la plus grande méfiance est de mise pour éviter de voir son ordinateur pris en otage par le ransomware Petya ou un autre malware d'ailleurs. On remet également une couche sur la nécessité de toujours bien réfléchir avant de cliquer sur un lien dans un mail. Comme le disent souvent certains spécialistes en sécurité informatique, la plus grosse faille dans la sécurité se trouve souvent entre la chaise et le clavier d'un PC !

**Hidden Content: Check the thread to see hidden data.**

SITES PORNOS : 273 000 UTILISATEURS PIRATÉS ET MENACÉS PAR UN HACKER
[COLOR=#292929][FONT=Helvetica Neue]Vous visitez souvent les sites pornos ? Alors il n’est pas impossible que vos données personnelles soient en danger. Un hacker est parvenu à pirater les compte de 273 000 utilisateurs et menace aujourd’hui de revendre leur données privées au marché noir.



http://img.phonandroid.com/2016/04/hacker-porno.jpg

Un pirate américain revendique aujourd’hui être parvenu à dérober les données personnelles de plus d’un quart de million d’utilisateurs de sites pornographiques (http://www.phonandroid.com/porno-mobile-les-plus-gros-consommateurs-sont-sur-android.html). Données qui comprennent notamment leurs adresses IP mais également leurs noms et prénoms, pseudos, mots de passe, adresses email et pire encore, adresses postales. Des informations obtenues par le biais d’une injection SQL. Le type d’attaque qui, pour un expert, reste un jeu d’enfant.


Un piratage par justifié par une volonté du hacker, TheNeoBoss, de mettre en avant les pratiques informatiques du site internet avant de prévenir la société éditrice du site, Paper Street Media, de l’existence de cette faille de sécurité qui lui a permis de réaliser son attaque. Il a ensuite tenté d’obtenir une rémunération pour son travail comme en obtiennent parfois certains hackers (http://www.phonandroid.com/youtube-hacker-empeche-toutes-videos-effacees-5000-dollars-recompense.html) dans le cadre de programmes visant à recenser les failles de sécurité d’un système.
Malheureusement pour lui et les utilisateurs piratés, la société a refusé. Il a donc mis en vente les données sur le site Dream Market, grande place du marché noir, au prix de 366 euros. Quel altruisme de sa part ! Contactée par le site américain Motherboard, Paper Street Media affirme que le piratage en question remonte à 2008 et que ces données ne sont plus valides. Toutefois, une capture d’écran fournie par le hacker et portant la date du 31 mars 2016 laisse planer le doute.
**Hidden Content: Check the thread to see hidden data.**

(http://www.phonandroid.com/sites-pornos-273-000-utilisateurs-pirates-menaces-hacker.html)

http://img.bfmtv.com/c/630/420/add/92cebcd67e69d3c0ab739158ee38f.jpg

L'éditeur a publié un patch d'urgence qui supprime une vulnérabilité qui était d'ores et déjà activement exploitée par des pirates. Il est vivement conseillé de mettre à jour le logiciel.

Mise à jour le 8 avril
Bonne nouvelle. Adobe a diffusé le patch qui corrige la faille zero-day découverte il y a quelques jours dans Flash par des chercheurs en sécurité. Pour l'obtenir, il faut télécharger la version 21.0.0.213 du logiciel. Pour plus de précisions, consultez la note de sécurité d'Adobe (https://helpx.adobe.com/security/products/flash-player/apsb16-10.html).

L'urgence était de mise car cette faille est d'ores et déjà activement exploitée dans le cadre d'un kit de piratage appelé Magnitude. Selon Trend Micro (http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2016-1019-zero-day-integrated-in-exploit-kit/), les pirates s'en servent notamment pour installer par la suite le ransomware Locky qui sévit actuellement sur toute la Toile (et particulièrement en France). Selon FireEye (https://www.fireeye.com/blog/threat-research/2016/04/cve-2016-1019_a_new.html), la faille était liée à un bug de gestion de mémoire dans une API non documentée baptisée « ASnative ».

Article publié le 7 avril
Si vous utilisez Adobe Flash, ne loupez pas la mise à jour urgente que l’éditeur devrait publier aujourd’hui, jeudi 7 avril. Elle va corriger une faille de sécurité zero-day découverte il y a quelques jours par des chercheurs en sécurité (CVE-2016-1019). Cette faille critique permet à un pirate de provoquer un crash de l’application et de prendre le contrôle du système. Or, elle est d’ores et déjà activement exploitée sur la Toile. Tous les systèmes sont impactés : Windows (y compris version 10), Linux, Mac OS X, Chrome OS.
En attendant cette mise à jour, sachez qu’une version patchée de Flash (21.0.0.182) permet d’éviter ce piratage, mais elle ne supprime pas la faille. Vérifiez que vous avez bien cette dernière version du logiciel. En cas de doute, il est recommandé de désactiver tout simplement Adobe Flash dans votre navigateur. Ce conseil est d’ailleurs valable de manière générale, étant donnée la fragilité de cette technologie.


**Hidden Content: Check the thread to see hidden data.**

http://img.bfmtv.com/c/630/420/c8e/c03ba0181d048eb44abdbec9a7612.jpg

Les autorités américaines recommandent aux utilisateurs de Windows de désinstaller le logiciel vidéo d'Apple.

Disponible sur Windows depuis maintenant 24 ans, QuickTime présenterait aujourd'hui trop de risques en termes de sécurité. C'est la conclusion (https://www.us-cert.gov/ncas/alerts/TA16-105A) du gouvernement américain, qui recommande tout simplement de supprimer définitivement l'application multimédia d'Apple. S'appuyant sur un rapport de l'éditeur de logiciels de sécurité Trend Micro (http://blog.trendmicro.com/urgent-call-action-uninstall-quicktime-windows-today/), le département de la Sécurité intérieure explique que deux failles critiques ont été découvertes ces derniers mois.Les utilisateurs de QuickTime pour Windows sont aujourd'hui exposés à des attaques permettant à des individus mal intentionnés d'exécuter des malwares sur leur machine, en ouvrant une page Web ou un fichier corrompu. Christopher Budd - responsable chez Trend Micro - explique qu'Apple ne sortira plus de correctif de sécurité pour son logiciel, rendant ce dernier obsolète.



Pour le moment, aucune attaque profitant d'une de ces failles n'a été recensée, mais rien ne dit que ce ne sera pas le cas à l'avenir. Sans suivi de la firme de Cupertino, la seule méthode de protection efficace reste donc la désinstallation pure et simple (https://support.apple.com/fr-fr/HT205771) du logiciel - toujours téléchargeable (http://www.apple.com/fr/quicktime/download/) sur le site officiel d'Apple dans sa version 7.7.9 pour Windows Vista ou Windows 7. Jusqu'à maintenant, QuickTime n'était donc pas officiellement compatible avec les dernières versions de Windows. La fin du support d'Apple ne fait que confirmer l'abandon définitif de son logiciel.L'entreprise californienne n'a pas souhaité commenter ces nouvelles vulnérabilités de QuickTime sur Windows. Evidemment, cette injonction à se débarrasser du lecteur vidéo ne concerne pas les utilisateurs d'OS X.

**Hidden Content: Check the thread to see hidden data.**


[COLOR=#336699][FONT=franklin gothic medium]Sujet fusionné.

La France a fait son retour en 2015 dans le top 10 des pays où la cybercriminalité est la plus active, selon le rapport annuel de la société américaine de sécurité informatique Symantec, publié mardi.
L'Hexagone, touché en particulier par les "rançongiciels" (ransomwares en anglais) pour lesquelles il entre dans le top 5, est passé en un an de la 14e à la 9e place d'un classement qui reste dominé par le même podium, avec la Chine, les Etats-Unis et l'Inde.
"La France était sortie du top 10 pendant quelques années du fait de l'arrivée des pays émergents notamment, son retour est donc une surprise, mais il s'explique tant du fait de la qualité des infrastructures que par le fait qu'il s'agisse d'une économie mature", a analysé Laurent Heslault, directeur des stratégies de sécurité chez Symantec.
Une remontée en particulier due à une nouvelle hausse des "rançongiciels", qui ont représenté plus de 391.000 attaques en France en 2015, soit 2,6 fois plus qu'un an plus tôt, selon les chiffres publiés par l'entreprise.
"On va privilégier des pays avec des débits très élevés pour attaquer des pays qui ont un débit moins élevé. Les attaques en déni de service sont facilitées avec la fibre. Pour les +rançongiciels+, ce qui entre en ligne de compte c'est la capacité de payer des personnes ciblées, qui pousse à agir dans des pays riches", a détaillé M. Heslault.
Outre la France, les Etats-Unis, le Canada, le Royaume-Uni et l'Allemagne sont les autres pays principalement concernés par ce type de délinquance numérique.
"Quand une technique fonctionne, ça se sait très vite dans le milieu et les attaques sont recopiées. Certains revendent parfois l'outil avec même des contrats de support classiques. On voit les +rançongiciels+ se développer désormais sur Android (le système d'exploitation mobile de Google, NDLR) et même sur des montres connectées", a ajouté Laurent Heslault.
Les arnaques sur les réseaux sociaux ont également fortement augmenté durant l'année écoulée, un domaine où la France se classe 2e en Europe et 4e au niveau mondial, avec pas moins de 300.000 arnaques détectées.
"Sur les réseaux sociaux, on constate que le vecteur d'infection reste l'utilisateur lui-même. A plus de 70%, les arnaques sont véhiculées par l'utilisateur, le plus souvent de manière involontaire. Ça tourne autour de la curiosité le plus souvent et on se retrouve à télécharger soi-même un logiciel malveillant", a précisé Laurent Heslault.
Au niveau mondial, les vulnérabilités "zero-day", c'est-à-dire qui utilisent des failles non détectées jusque-là dans un logiciel, ont été multipliées par deux par rapport à 2014 pour atteindre un nombre record de 54 découvertes.
[COLOR=#333333][FONT=helvetica]Le nombre de programmes malveillants découverts a également fortement progressé pour atteindre les 430 millions de variantes inédites découvertes en 2015.

**Hidden Content: Check the thread to see hidden data.**

Sécurité : Dans un article de recherche réalisé en partenariat avec des chercheurs américains, Google revient sur les alertes qu’il transmet aux administrateurs de sites web lorsqu’une infection est détectée.

Le piratage de site web n’a rien d’un phénomène mineur et Google est bien décidé à lutter contre la propagation de ce type de tendance. Le géant des moteurs de recherches a mis en place différents outils visant à lutter contre ce type d’attaques, allant de SafeSearch aux équipes chargées de contacter directement les administrateurs des sites signalés comme potentiellement dangereux pour les utilisateurs.

Dans un article de recherche (https://static.googleusercontent.com/media/research.google.com/en//pubs/archive/44924.pdf) publié par des chercheurs de l’université de Berkeley et de l’International Computer Science Institute, le moteur de recherche revient sur l’efficacité de ces outils (http://googleresearch.blogspot.fr/2016/04/helping-webmasters-re-secure-their-sites.html) et des méthodes employées pour lutter contre le phénomène. Et les auteurs du document constatent que celles-ci ne sont pas toutes aussi efficaces.

http://www.zdnet.fr/i/edit/ne/2014/12/virus-malware-code-warning.jpg​
Mieux vaut prévenir que guérir
« La prolifération des menaces sur le web, tel que les téléchargements en drive-by, les redirections dissimulées ou encore les scams, provient notamment de la capacité des mécréants à infecter et prendre le contrôle de serveurs web » expliquent les auteurs de l’article. Le terme « mécréant » est certes peu commun, mais il a visiblement été retenu ici pour designer les cybercriminels qui s’attaquent aux sites web.

Les auteurs notent également que la majorité des cibles sont des sites ayant recours à des CMS populaires tels que Wordpress ou Joomla. Pour faire face à ces attaques, Google dispose de deux principaux moyens d’alertes : d’une part, l’API SafeBrowsing peut signaler aux utilisateurs un site infecté directement dans leur navigateur, de l’autre, Google peut également entrer directement en contact avec les administrateurs du site pour résoudre le problème. Ces données ont été compilées sur 760.000 incidents détectés par Google impliquant des sites web compromis repérés par le moteur de recherche.

Sans grande surprise, la méthode la plus efficace pour résoudre ce type d’incident reste le mail envoyé aux administrateurs. Dans 75% des cas, lorsque Google parvient à contacter les administrateurs du site directement par mail, ces derniers parviennent à faire cesser l’infection dont leur serveur est victime. Le mail reste donc la voie privilégiée, mais les avertissements affichés directement dans le navigateur fonctionnent également.

Bien que ceux-ci soient initialement prévus pour protéger et avertir les utilisateurs plutôt que les administrateurs des sites infectés, les chercheurs expliquent que ce type de notification permettait également de signaler les infections, bien que la proportion soit ici moindre (54% pour les alertes dans le navigateur, 43% pour les alertes signalées sur la page de recherche).

Les auteurs soulignent également l'importance de la prévention et de la sensibilisation des administrateurs de "petits" sites web afin de limiter la portée des attaques. L’étude note au passage que si dans l’ensemble, les administrateurs parviennent généralement à corriger la faille ayant conduit à l’infection initiale, 12% des sites ayant été infectés sont à nouveau infectés dans les 30 jours ayant suivi l’alerte.


Sujet déplacé et fusionné.

http://img.bfmtv.com/c/630/420/add/92cebcd67e69d3c0ab739158ee38f.jpg


Des chercheurs ont montré qu’il est relativement aisé d’identifier des documents accessibles en lecture ou écriture en scannant toutes les adresses réduites possibles par force brute.Tout le monde en conviendra : les réducteurs de liens sont bien pratiques. Ils permettent de partager un lien facile à lire et à retenir, qui prend peu de place et qui ne se retrouvera pas cassé en deux dans un email par exemple. Mais attention : si vous utilisez des liens raccourcis pour partager l’accès à un dossier ou un document stocké dans le cloud, vous risquez que de voir ces données tomber en de mauvaises mains, et même de récupérer des malwares sur votre ordinateur. Pourquoi ? Parce que les liens raccourcis sont bien trop simples.

En effet, la plupart des réducteurs de liens – tel que Bit.ly – transforment une adresse complexe en un « token » de 5 ou 6 caractères, ce qui n’est pas beaucoup. Un pirate peut donc essayer toutes les combinaisons possibles pour tomber sur des documents accessibles en lecture, voire même en écriture. Dans le cas où il détecterait des dossiers entiers accessibles en écriture, il pourrait y insérer des documents piégés avec des malwares qui pourraient se retrouver automatiquement sur l’ordinateur de l’utilisateur, si celui-ci a activé la fonction de synchronisation.


Les chercheurs en sécurité Martin Georgiev et Vitaly Shmatikov ont exploré ce vecteur d’attaque de façon automatisée et ont montré dans leur rapport (http://arxiv.org/pdf/1604.02734v1.pdf)qu’il était relativement aisé. Ils ont généré de manière aléatoire 200 millions de tokens Bit.ly à 5 ou 6 caractères. Parmi eux, environ 70 millions correspondaient à des adresses réelles, dont environ 66.000 pointaient, à priori, vers des fichiers ou des dossiers sur Microsoft OneDrive ou Microsoft SkyDrive.
Parmi ces adresses, 47.365 étaient réellement actives et donnaient accès à des documents. Chacune correspondait à un compte utilisateur différent. Parmi les comptes OneDrive ainsi détectés (24.199), les chercheurs ont en trouvé 1.711 qui disposaient d’au moins un répertoire accessible librement en écriture, soit environ 7 %.
Mais comment les chercheurs ont-ils fait pour identifier ces répertoires ? Le format d’URL créé par Microsoft était assez prédictible et permettait de trouver l’adresse du répertoire racine à partir de n’importe quel lien de fichier. Il suffisait ensuite de scanner les liens qui y figuraient pour identifier les dossiers. A ce jour, cette méthode n’est pas plus possible, car Microsoft a depuis modifié son format d’URL.
Google, beaucoup moins représentéLes chercheurs ont également trouvé des liens actifs vers des dossiers Google Drive, mais seulement 33. Deux raisons expliquent ce faible chiffre : les chercheurs ne pouvaient pas accéder aux répertoires racine, et le service Bit.ly n’était pas intégré à la fonction de partage de Google Drive, contrairement aux services de Microsoft. Google Drive est donc beaucoup moins représenté dans le panel Bit.ly que OneDrive. A ce jour, Bit.ly n’est plus intégré dans ces services.
Enfin, les chercheurs ont également scanné le service de réduction d’URL intégré dans Google Maps (goog.le/maps). Sur 63 millions de tokens générés, 23 millions correspondaient à des cartes réelles. Par ailleurs, ils ont trouvé presque 200.000 liens vers des cartes dans leur panel d’adresses Bit.ly. Le risque, dans ce cas, est celle de la fuite de données personnelles. Selon les deux chercheurs, ces cartes permettraient de reconstituer l’activité d’un utilisateur, voire même son identité grâce à des techniques de recoupement. Google a depuis modifié son réducteur. Ses tokens utilisent désormais le double de caractères, ce qui rend le scan aléatoire quasiment impossible.
Que faut-il retenir de tout cela ? Si vous partagez l’accès à des documents sensibles stockés dans le cloud, il vaut mieux accorder l’accès de façon nominative et non au travers d’un lien. Et si vous utilisez quand même un lien, évitez absolument les réducteurs d’URL.
**Hidden Content: Check the thread to see hidden data.**

http://i.f1g.fr/media/figaro/805x453_crop/2016/04/21/XVM25a6d888-07a2-11e6-b343-ee4e2863feef.jpg

Nouveau né dans la famille des logiciels de rançon, Jigsaw menace de supprimer définitivement les fichiers de ses victimes. Des solutions permettent néanmoins de le rendre inopéran.

Il porte le nom d'un personnage de film d'horreur, et ce n'est pas sans raison. Récemment découvert par plusieurs éditeurs informatiques, le ransomware (ou «rançongiciel») Jigsaw ne se contente pas de chiffrer les données. Diffusé à travers des sites de téléchargement ou des sites pornographiques, il menace aussi de supprimer définitivement les fichiers si la victime refuse de payer une rançon.
Ce logiciel malveillant commence par supprimer un fichier au bout d'une heure et augmente le nombre de suppressions toutes les heures. Le montant de la rançon initialement fixé, équivalent à 150 dollars en bitcoin, augmente également au fur et à mesure. En l'absence de paiement, les fichiers chiffrés sont supprimés au bout de 72 heures. Si la victime éteint son ordinateur, elle prend le risque de perdre ses fichiers. «Essayez de tenter quelque chose d'amusant et l'ordinateur appliquera des mesures de sécurité pour détruire vos fichiers», avertit le message.
Un logiciel encore rudimentaire«Aussi terrifiant qu'il puisse être, Jigsaw repose sur une structure très simple», expliquent des spécialistes deTrendMicro (http://blog.trendmicro.com/trendlabs-security-intelligence/jigsaw-ransomware-plays-games-victims/). Des chercheurs ont d'ores et déjà trouvé la solution pour contrer ce nouveau logiciel. Il faut ouvrir le gestionnaire de tâches de Windows et de fermer les processus firefox.exe et drpbx.exe créés par le ransomware. Il faut ensuite ouvrir Windows MSConfig et supprimer l'entrée de démarrage %UserProfile%AppDataRoamingFrfxfirefox.exe, qui stoppera le processus de destruction. Dernière étape: installer Jigsaw Decrypter, un logiciel gratuit proposé par BleedingComputers.com (http://www.bleepingcomputer.com/news/security/jigsaw-ransomware-decrypted-will-delete-your-files-until-you-pay-the-ransom/) et permettant de déchiffrer les données.
[COLOR=#333333][FONT=droid_sans]Jigsaw rejoint la famille des ransomwares, très active ces derniers mois et partie pour être laprincipale menace informatique de l'année (http://premium.lefigaro.fr/secteur/high-tech/2016/03/23/32001-20160323ARTFIG00294-les-logiciels-de-rancon-une-menace-qui-prolifere.php). Outre Locky, qui a pris pour cible l'Agence France Presse (http://premium.lefigaro.fr/secteur/high-tech/2016/03/21/32001-20160321ARTFIG00183-l-afp-victime-de-deux-tentatives-de-piratage-au-rancongiciel.php) et les abonnés de Free Mobile (http://premium.lefigaro.fr/secteur/high-tech/2016/03/12/32001-20160312ARTFIG00014-locky-le-rancongiciel-qui-cible-les-abonnes-de-free.php), cette famille a vu l'arrivée début avril de Petya, logiciel capable de bloquer totalement un ordinateur en plus de prendre en otage les données. Alors que ces ransomwares se diffusent habituellement à travers des mails frauduleux, on ignore encore de quelle manière est installé Jigsaw. Pour éviter ces déconvenues, les éditeurs de logiciels de sécurité proposent d'effectuer une sauvegarde régulière (http://premium.lefigaro.fr/secteur/high-tech/2016/03/31/32001-20160331ARTFIG00140-sauvegarder-ses-donnees-un-geste-simple-mais-neglige.php) de ses données sur des supports de stockage externes. Mais ils rappellent que les auteurs de ces attaques ne cessent d'adapter leur technique.

**Hidden Content: Check the thread to see hidden data.**

Sécurité : Suite à la récente cyber attaque la Banque du Bangladesh, l'organisme SWIFT vient de reconnaître que son logiciel a été utilisé pour cacher des preuves de transferts frauduleux.

SWIFT (Society for Worldwide Interbank Financial Telecommunication), le réseau financier mondial que les banques utilisent pour transférer des milliards de dollars chaque jour, vient d'avertir ses clients "d'un certain nombre de récents incidents de cybersécurité" sur son réseau : les attaquants ont utilisé son système pour envoyer des messages frauduleux.
http://www.zdnet.fr/i/edit/ne/2016/04/swift.jpg

Cette révélation intervient alors que les autorités du Bangladesh continuent leur enquête sur le vol de 81 millions de dollars en février dernier. Le transfert litigieux a transité d'un compte de la Banque du Bangladesh vers la New York Federal Reserve Bank. Un des enquêteurs, Mohammad Shah Alam, du Forensic Training Institute du Bangladesh, a déclaré à Reuters que la Banque du Bangladesh était une cible facile pour les cybercriminels (http://www.zdnet.com/article/bangladesh-bank-heist-made-possible-through-poor-security/) car il n'y avait pas de pare-feu et que par ailleurs des commutateurs d'entrée de gamme étaient utilisés pour connecter les systèmes informatiques de la banque à SWIFT.
5 paiements frauduleux sur 35 ont été autorisésLes chercheurs en cyber-sécurité qui travaillent sur ce hold-up ont expliqué le mois dernier qu'un logiciel malveillant avait été installé sur les systèmes informatiques de la Banque du Bangladesh (http://www.zdnet.com/article/malware-was-at-the-root-of-80-million-bangladesh-bank-heist/). Ce malware a permis aux attaquants de se dissimuler avant de prendre l'argent. Un rapport interne de la Banque du Bangladesh (http://www.zdnet.com/article/bangladesh-bank-debates-lawsuit-against-federal-reserve-over-cyber-fraud/) mentionne que la Réserve Fédérale a été négligente : elle a validé les fausses transactions. Le rapport parle de «faute majeure». Il indique également que 5 paiements frauduleux sur 35 ont été autorisés (pour un total de 951 millions de dollars), et que des entités situées aux Philippines et au Sri Lanka ont reçu une partie des fonds volés. Et c'est une faute d'orthographe commise par les cybercriminels qui a empêché 20 autres millions de dollars de disparaître en plus des comptes de la Banque du Bangladesh.

Ce vol a provoqué la démission du responsable de la Banque du Bangladesh, Atiur Rahman, 64 ans (http://www.zdnet.com/article/bangladesh-bank-chief-throws-in-the-towel-after-cyberattack/). Il n'avait pas jugé bon d'informer le ministre des finances du Bangladesh, A M A Muhith, de l'incident. Ce dernier avait appris cet évènement dans la presse étrangère.

SWIFT a reconnu que l'attaque incluait la modification des logiciels SWIFT sur les ordinateurs de la banque pour dissimuler les preuves de transferts frauduleux. "SWIFT est au courant d'un certain nombre d'incidents de cyber récents dans lesquels des personnes malveillantes dans l'entreprise, ou des pirates externes, ont réussi à envoyer des messages SWIFT depuis les back-offices, PC ou postes de travail des institutions financières connectées au réseau SWIFT" avertit l'organisme dans une message d'avertissement à ses clients.

L'avertissement, émit par SWIFT via une alerte confidentielle envoyée sur son réseau lundi, ne donne ni le nom des victimes ou le montant des sommes dérobées. SWIFT a également publié une mise à jour de sécurité pour le logiciel que les banques utilisent pour accéder à son réseau.
SWIFT : 3 000 institutions financières, 11 000 banques[COLOR=#252525][FONT=Verdana]Cette mise à jour doit sécuriser son système vis à vis du malware que les chercheurs de BAE Systems (http://baesystemsai.blogspot.fr/2016/04/two-bytes-to-951m.html)soupçonnent avoir été utilisé dans le hold-up de la Banque du Bangladesh. Les preuves collectées par BAE suggèrent que les pirates ont manipulé le logiciel Alliance Access de SWIFT, que les banques utilisent pour s'interfacer avec la plate-forme de messagerie de SWIFT, afin de brouiller les pistes. BAE a cependant mentionné ne pas pouvoir expliquer comment les commandes frauduleuses ont été créés et poussés à travers le système. SWIFT a cependant fourni des éléments sur la façon dont tout cela est arrivé. L'organisme explique que le modus operandi était similaire dans toutes les opérations frauduleuses. Les agresseurs ont obtenu des informations d'identification valides et ont pu créer et approuver des messages SWIFT.

SWIFT (Society for Worldwide Interbank Financial Telecommunication) est une coopérative détenue par 3 000 institutions financières. Sa plate-forme de messagerie est utilisé par 11 000 banques et autres institutions à travers le monde et est considéré comme un pilier du système financier mondial. SWIFT a dit aux clients que la mise à jour de sécurité doit être installée avant le 12 mai.


**Hidden Content: Check the thread to see hidden data.**

Quand la simple évocation d'une attaque Ddos fait casquer les entreprises.
Sécurité : Selon Cloudflare, des criminels se réclamant du collectif Armada menacent depuis deux mois des entreprises d’attaques Ddos si celles-ci ne paient pas une rançon en bitcoin. Mais Cloudflare explique n’avoir jamais détecté d’attaque Ddos provenant d'eux.

e nom du Collectif Armada vous dit peut être quelque chose : ce groupe informel de cybercriminels s’était fait connaître en 2015 pour avoir menacé plusieurs entreprises d’attaques DdoS (http://www.zdnet.fr/actualites/vague-d-attaques-ddos-sur-les-services-mails-securises-39828124.htm) si celles-ci ne payaient pas une rançon. Le groupe s’était notamment attaqué à Protonmail, perturbant ses services pendant plusieurs jours en novembre 2015. Le collectif Armada avait depuis fait profil bas, notamment suite à l’arrestation de deux suspects proches du collectif par les autorités en janvier.
http://www.zdnet.fr/i/edit/ne/2015/03/ddosattaque-140x105.jpgMais en mars, le Cert gouvernemental suisse (http://www.govcert.admin.ch/blog/19/armada-collective-is-back-extorting-financial-institutions-in-switzerland) publiait une alerte faisant état de menaces reçues par de nombreuses entreprises, similaires à celles utilisées par le collectif Armada. Mais selon CloudFlare, ces demandes de rançons sont nettement moins sérieuses que celles du collectif Armada ayant sévi en fin d’année 2015.
En effet, CloudFlare explique dans un post de blog (https://blog.cloudflare.com/empty-ddos-threats-meet-the-armada-collective/)que plus d’une centaine de ses clients ont reçu ce type de demande de rançon, mais qu’aucune attaque Ddos n’a été détectée, que les entreprises aient payé ou non. Un constat surprenant que CloudFlare explique avoir recoupé avec les données d’autres fournisseurs de solution anti-Ddos.
100.000 euros rançonnés sur du ventCloudFlare soupçonne également les cybercriminels derrière ces fausses menaces de ne pas être en mesure de savoir quelles victimes ont payé et lesquelles ne l’ont pas fait. La société fait ainsi savoir que plusieurs de ses clients ont reçu de multiples demandes de rançon de la part des cybercriminels, qui demandaient à chaque fois la même somme à différentes entreprises.
Le Bitcoin étant par essence anonyme, il semble donc complexe pour un attaquant de parvenir à savoir quelles entreprises ont payé la somme exigée. Mais la combine semble néanmoins rentable : selon les estimations de Chainanalysis (https://www.chainalysis.com/), société spécialisée dans l’analyse de blockchain, les cybercriminels sont parvenus à récupérer environ 100.000 dollars en bitcoin simplement via l’envoi de menace de Ddos.
Le collectif Armada originel procédait de son côté bien à des Ddos visant à perturber les services des victimes qui refusaient de payer, mais ceux-ci étaient bien inférieurs en terme de puissance à ceux évoqués par les imposteurs. La tactique du FUD (https://en.wikipedia.org/wiki/Fear,_uncertainty_and_doubt#Security_industry) est bien connue dans le monde du marketing et il est finalement naturel que les cybercriminels s'en inspirent.
[COLOR=#252525][FONT=Verdana]En s’appuyant sur la relative popularité du groupe Armada, les cybercriminels se servent ici de ce simple nom pour pousser leurs victimes à payer rapidement pour s’éviter un hypothétique Ddos qui ne viendra jamais. Mais comme le rappelle le Cert-Ch, la seule bonne attitude dans ce type de situation est de ne jamais payer.

**Hidden Content: Check the thread to see hidden data.**

Spotify hacké, des centaines d'informations confidentielles des utilisateurs mises en ligne.
http://www.jeanmarcmorandini.com/sites/jeanmarcmorandini.com/files/styles/liste-centrale-grande/public/spotify_1.jpg

Le blog américain TechCrunch (http://techcrunch.com/2016/04/25/hundreds-of-spotify-credentials-appear-online-users-report-accounts-hacked-emails-changed/)a révélé que le service de streaming musical "Spotify" aurait fait l'objet d'une attaque pirate.
Les informations d'une centaine d'utilisateurs telles que les adresses mail, les mots de passe, les comptes premiums et également la date de renouvellement des comptes ont été publiées sur le site Pastebin (site permettant de copier de nombreuses lignes de texte pour un affichage public, généralement utilisé dans le milieu du code).
TechCrunch (http://techcrunch.com/2016/04/25/hundreds-of-spotify-credentials-appear-online-users-report-accounts-hacked-emails-changed/)indique que l’attaque est mondiale et peut donc concerner n’importe quel utilisateur.
.
http://www.jeanmarcmorandini.com/sites/jeanmarcmorandini.com/files/corps/codes.jpg
.gtf
La firme dément elle cette information, "nous n'avons pas été piraté. Les registres de nos utilisateurs sont en sécurité. Nous surveillons Pastebin et d’autres sites régulièrement, et lorsque nous y trouvons des informations d’authentification de Spotify, nous vérifions d’abord leur authenticité, puis nous informons immédiatement les utilisateurs concernés le cas échéant en leur demandant de changer leurs mots de passe."
Certains clients ont pourtant reçu un mail indiquant que leur adresse email avait changé alors qu'aucune démarche n'avait été faite. "Nous vous annonçons que votre adresse email a été changée récemment. Si c'est le cas ne vous inquiétez pas".
http://www.jeanmarcmorandini.com/sites/jeanmarcmorandini.com/files/corps/spotify.jpg
D'autres ont vu leur playlist de musique complètement effacée , voir n'ont pas pu accéder à leur compte.
[COLOR=#333333][FONT=helvetica]Il est donc conseillé aux utilisateurs de Spotify de modifier leurs mots de passe afin de ne pas avoir de mauvaise surprise.

**Hidden Content: Check the thread to see hidden data.**

La dernière étude des Bitdefender Labs expose les risques dans un foyer via l'analyse de quatre objets connectés très populaires

Les chercheurs des Bitdefender Labs ont réalisé une étude sur quatre périphériques de l'Internet des Objets (IdO) destinés au grand public, afin d'en savoir plus sur la sécurisation des données de l'utilisateur et les risques dans un foyer connecté :

http://www.info-utiles.fr/Images2016/Gamme-BD-2016-boites.jpg

1. L'interrupteur connecté WeMo Switch qui utilise le réseau WiFi existant pour contrôler les appareils électroniques (télévisions, lampes, chauffages, ventilateurs, etc.), quel que soit l'endroit où vous vous trouvez ;
2. L'ampoule LED Lifx Bulb connectée via WiFi, compatible avec Nest ;
3. Le kit LinkHub, incluant des ampoules GE Link et un hub pour gérer à distance les lampes, individuellement ou par groupes, les synchroniser avec d'autres périphériques connectés et automatiser l'éclairage selon l'emploi du temps ;
4. Le récepteur audio Wifi Cobblestone de Muzo pour diffuser de la musique depuis son smartphone ou sa tablette, via le réseau WiFi.

L'analyse révèle que les mécanismes d'authentification de ces objets connectés peuvent être contournés et donc exposer potentiellement les foyers et leurs occupants à une violation de leur vie privée. Les chercheurs de Bitdefender sont parvenus à découvrir le mot de passe pour accéder à l'objet connecté et à intercepter les identifiant et mot de passe WiFi de l'utilisateur.



http://www.info-utiles.fr/Images2016/BD-piratage-maison-connectee.jpg



Les failles identifiées par l'équipe de recherche Bitdefender concernent des protocoles non protégés et donc vulnérables, des autorisations et authentifications insuffisantes, un manque de chiffrement lors de la configuration via le hotspot (données envoyées en clair) ou encore des identifiants faibles.

L'IdO pose des problèmes de sécurité spécifiques, et par conséquent, nécessite une nouvelle approche intégrée de la cyber-sécurité domestique, qui passe de la sécurité centrée sur le périphérique à une solution capable de protéger un nombre illimité d'appareils et d'intercepter les attaques là où elles se produisent : sur le réseau.

Si des marques comme Philips et Apple ont créé un écosystème verrouillé, l'interopérabilité reste essentielle à ce stade du développement des nouveaux objets connectés. Il est donc plus que temps que les constructeurs prennent en compte nativement la sécurité dans le développement de leurs différents appareils.


Sujet fusionné.

Non, un hacker russe ne vient pas de pirater des centaines de millions de comptes mails
http://img.bfmtv.com/c/500/370/add/92cebcd67e69d3c0ab739158ee38f.jpg


Les données récupérées par la firme de sécurité Hold Security auprès d’un hacker ne proviennent pas d’un nouveau piratage massif de plusieurs messageries, mais d’une collecte de données anciennes.La nouvelle a fait le tour du Web : un hacker russe aurait réussi à pirater la bagatelle 276 millions de comptes mail (http://www.reuters.com/article/us-cyber-passwords-idUSKCN0XV1I6). La source : Hold Security (http://holdsecurity.com/news/the_collector_breach/), une entreprise américaine coutumière de ce genre d’annonces fracassantes... qui lui servent bien pour vendre ses services. Il y a deux ans, Hold Security avait fait encore mieux, en révélant l’existence de CyberVor, un groupe de hackers à la tête d’un trésor de plus d’un milliard de mots de passe (http://www.01net.com/actualites/comment-un-gang-de-pirates-a-t-il-pu-voler-plus-d-un-milliard-de-mots-de-passe-624854.html) !
Mais aujourd’hui comme à l’époque, il faut prendre les chiffres avancés par cette entreprise avec de grandes précautions. Car en réalité, Hold Security n’est pas tombé sur un petit génie du piratage, plutôt sur un collectionneur qui a écumé le dark web à la recherche de sésames plus ou moins frais. La firme ne s’en cache pas, d’ailleurs, expliquant dans son communiqué que ses chercheurs avaient rapidement conclu, après avoir consulté un échantillon des données du hacker, qu’il s’agissait d’une collection de « multiples failles qui avaient eu lieu précédemment ». Notre hacker n'a pas pénétré Gmail, Yahoo Mail ou Outlook.com. Il a simplement agrégé des millions de mots de passe pour la plupart déjà connus.

« 99,9 % de données invalides »
Il aurait été au demeurant très surprenant qu’un pirate disposant de millions de mots de passe récents les abandonne pour un malheureux euro. En vrai, Hold Security n’a découvert, parmi les 272 millions de combinaisons adresse mail / mot de passe uniques (sur un total de plus d’un milliard !) que 42,5 millions qui n’avaient pas déjà été repérés.
Ce qui ne veut absolument pas dire qu’ils fonctionnent. Et de nombreux indices tendent à prouver que les informations de ce mystérieux pirate russe seraient de piètre qualité. Mail.ru, le fournisseur de mail russe dont 57 millions de comptes figurent dans la base, a par exemple communiqué sur cette découverte (https://corp.mail.ru/en/press/releases/9613/) d’un ton un poil moqueur. En expliquant que ses vérifications ont montré que 99,9 % des entrées de la base étaient… invalides. « Cette base de données est probablement une compilation de quelques vieux dumps collectés en piratant des services web sur lesquels les gens se connectent avec leur adresse mail. Il convient donc de penser que le seul objectif de ce rapport était de créer du buzz dans les médias et d’attirer l’attention du public sur les offres commerciales de Holden » indique notamment Mail.ru. CQFD.
[I]Inutile de céder à la panique, donc. Mais ce non-événement peut toutefois être une excellente excuse pour changer vos mots de passe. En matière de sécurité informatique, on n’est jamais trop prudent !


**Hidden Content: Check the thread to see hidden data.**

DES MILLIONS DE COMPTES GMAIL, HOTMAIL ET YAHOO! PIRATÉS ET VENDUS POUR UN PRIX DÉRISOIRE !

[COLOR=#2D2D2D][FONT=Droid Sans]En ce moment sur le marché noir du Web, se vend une liste de plusieurs millions de comptes Gmail, Hotmail, Yahoo! et Mail.ru pour la modique somme de 50 roubles soit moins d'un euro, donc méfiez-vous des activités suspectes sur votre boite mail.


http://static.hitek.fr/img/actualite/2016/05/06/w_yahoo-mail-gmail-1-1.jpg
MOINS D'UN EURO POUR PLUSIEURS MILLIONS DE COMPTES
C'est [I]Alex Holden qui a découvert cette vente, spécialiste de la sécurité informatique pour la société Hold Security (http://holdsecurity.com/about/leadership/), et nous demande de faire attention aux fonctionnements anormaux sur nos comptes de messagerie. Apparemment, les différentes sociétés touchées ne se sont rendues compte de rien donc ce n'est pas très rassurant.



Dans cette fameuse liste qui est actuellement en vente, on retrouve pas moins de 24 millions de comptes Gmail, 33 millions de comptes Hotmail, 40 millions de comptes Yahoo! et 57 millions de comptes Mail.ru, le service le plus utilisé en Russie. Au total, il y aurait plus de 272,3 millions de comptes et le pire c'est que n'importe qui peut l'acheter puisqu'elle est vendue pour seulement 50 roubles soit moins d'un euro. Le pirate propose même de la donner gratuitement à certains contre quelques likes ou des commentaires positifs sur des forums spécialisés, il rechercherait avant tout la reconnaissance...
Néanmoins, votre compte n'est peut-être pas dans cette liste, mais le mieux reste tout de même de changer votre mot de passe.
MISE À JOUR[COLOR=#2D2D2D][FONT=Droid Sans]La société Hold Security est arrivée à rentrer en contact avec ce hacker qui en finalité n'est qu'un jeune gamin Russe. Cette longue liste de comptes mail, qui pèse tout de même environ 10 gigaoctets, n'est en fait qu'une accumulation des comptes qui avaient déjà été piratés précédemment dans d'autres affaires. En comparant ces informations à celles qui avaient déjà été récupérées par la société, Hold Security s'est rendu compte qu'il n'y avait que 15% de nouveaux comptes.


**Hidden Content: Check the thread to see hidden data.**

10 conseils pour lutter contre les ransomware dans l'entreprise (avant d'être attaqué)
Sécurité : Un ransomware ? C'est un logiciel malveillant qui infecte le système d'information, et le bloque. Une rançon doit ensuite être payée par l'entreprise pour retrouver données et usage des applications. Quelques conseils pour éviter cette péripétie qui peut-être fort couteuse.

L'actualité regorge de cas d'entreprises prises au piège de ransomware plus ou moins vicieux (lire à titre d'exemple : Samsam : une faille dans Jboss ouvre la porte au ransomware (http://www.zdnet.fr/actualites/samsam-une-faille-dans-jboss-ouvre-la-porte-au-ransomware-39835808.htm)). Un ransomware ? C'est un logiciel malveillant qui infecte les ordinateurs, serveurs, et smartphones ; et les bloque. Une rançon doit ensuite être payée débloquer les systèmes infectés. Dès lors, comment faire pour ne pas se faire piéger ? Voici 10 conseils utiles pour que les entreprises ne voient pas leurs systèmes d'information pris en otage.


http://www.zdnet.fr/i/edit/ne/2016/01/ransomware-600.jpg

1. Une stratégie de sauvegarde et de restaurationIl faut "mettre en place une stratégie de sauvegarde et de restauration" affirme Guillaume Lovet, expert en sécurité chez Fortinet. Et ce très régulièrement. Pourquoi ? Parce que si les données sont sauvegardées et stockées offline, il est possible de mettre en place rapidement un PRA et court-circuiter le ransomware.

2. Utiliser des outils de sécurité adaptésUtiliser des outils de sécurité email et web qui analysent les pièces jointes de mail et les sites web visités. Et ce tout simplement parceque ce sont deux vecteurs d'attaque privilégiés par les auteurs de ransomware. "Ces outils doivent intégrer les fonctionnalités d’une sandbox de manière à ce qu’un fichier, nouvellement identifié ou non reconnu, puisse être exécuté et analysé dans un environnement sécurisé et cloisonné" conseille Fortinet.

3. Patcher et mettre à jour les outils de l'entrepriseSystèmes d'exploitation et logiciels doivent être régulièrement patchés et mis à jour. Et ce pour la simple raison que les malwares, dont font partie les ransomwares, utilisent également des failles de sécurité. La mise à jour des outil doit permettre de limiter ce risque.

4. Patcher aussi les outils de sécuritéEt le travail de mise à jour ne doit pas se limiter à ces outils. Les outils de sécurité eux même, antivirus, pare-feu et autres anti-malware doivent également être mis à jour régulièrement. Sour peine de voir là aussi le système d'information pris en otage.

5. Mettre une "liste d'application" en placeFortinet conseille également l'utilisation d'une "liste d’applications". C'est une méthode assez restrictive pour les collaborateurs de l'entreprise puisqu'elle empêche le téléchargement et l'exécution des applications qui ne sont pas validées par les responsables de la sécurité informatique de l'entreprise. Un peu d'éducation devrait néanmoins déminer la frustration des utilisateurs. Et mieux sécuriser le SI.

6. Segmenter le réseauCôté réseau, il est également possible de segmenter virtuellement le réseau de l'entreprise en différentes zones de sécurité. L'intérêt ? Empêcher une infection de ransomware présente dans une zone de se propager à d’autres. "Établissez et appliquez des autorisations et privilèges d’accès" conseille l'expert de Fortinet à ce sujet. Ainsi, "un nombre restreint d’utilisateurs présente le potentiel de contaminer les applications métiers, les données ou les services critiques".

8. Une politique de BYOD dans l'entrepriseCôté processus, la mise en place d'une politique de sécurité concernant le BYOD (Bring your Own Device) doit aussi encadrer les pratiques et éviter l'afflux de ransomware. Cette politique détermine les règles de fonctionnement des appareils mobiles dans l'entreprise. Absence d’anti-malware, signatures antivirales périmées, systèmes d’exploitation non patchés ; si les appareils mobiles que les collaborateurs, visiteurs et clients mettent en danger le SI de l'entreprise, mieux vaut qu'ils ne s'y connectent pas.

9. Apprendre de ses erreursEn dépit de toutes ces mesures préventives, il est fort possible que vous deviez néanmoins subir les désagréments d'un ransomware. C'est l'occasion d'apprendre. Mais pour ce faire, il faut mettre en place des outils post-incident "pour analyser l’origine de la menace" et "le délai de présence (et donc de nocuité)" explique Fortinet.

10. Ne PAS compter sur les collaborateurs[COLOR=#252525][FONT=Verdana]Enfin, "ne comptez PAS sur vos collaborateurs pour assurer la sécurité de votre entreprise" souligne Guillaume Lovet. "Même s’il est important de les sensibiliser davantage à la sécurité aux travers de formations (afin qu’ils apprennent à ne pas télécharger de fichiers, cliquer sur des pièces jointes à des emails suspects ou sur des liens internet non sollicités). L’être humain reste le maillon faible de votre chaîne de sécurité, et vous devez en tenir compte".

**Hidden Content: Check the thread to see hidden data.**

http://img.bfmtv.com/c/630/420/ef1/272b8c6b12a883bf1fe2302451d04.jpg
CC, Flickr (William Grootonk)






Un nouveau programme permet de pirater des distributeurs automatiques à distance, sans support matériel. Soit pour retirer de l'argent sans débiter un compte, soit pour voler les données bancaires des utilisateurs...Les distributeurs de billets sont depuis plusieurs années l’une des cibles préférées de certains pirates, notamment lorsqu’il s’agit de dérober des données bancaires. Généralement, les criminels ajoutent un petit boîtier à la fente existante, qui scanne le numéro de carte qu'un utilisateur introduit pour retirer de l'argent. Une caméra permet ensuite de récupérer le code. Mais ce procédé est en train de laisser la place à une nouvelle méthode bien plus pernicieuse.
Selon le blog (http://www.kaspersky.com/about/news/virus/2016/ATM-is-a-New-Skimmer?ClickID=arwlory0zva9ykvkrnkontzytt5n5n9rns vs) de l’éditeur d’antivirus Kaspersky, une équipe de hackers russes a mis au point un programme capable de soutirer de l’argent sans aucune trace et sans aucune présence physique, grâce à un logiciel. Le casse parfait, en somme.
Baptisé Backdoor.Win32.Skimer, le malware peut être installé par accès direct ou par le réseau interne de la banque. Une fois en place, il donne un accès total à la machine. Le programme n’est pas nouveau, mais ses dernières mises à jour permettent aux escrocs de se passer de CD (http://www.01net.com/actualites/ils-piratent-des-distributeurs-de-billets-et-retirent-des-millions-de-dollars-628318.html) pour l’installation.


https://youtu.be/hOcFy02c7x0

Une fois le programme activé - en insérant une simple carte magnétique, les hackers ont alors plusieurs possibilités : retirer autant d’argent qu’ils le désirent ou collecter les données concernant les cartes bancaires des utilisateurs - incluant le code secret. C’est souvent la seconde option qui l’emporte, afin de créer de fausses cartes bancaires par la suite. Ces dernières permettront d’effectuer des retraits sur des distributeurs non infectés, rendant bien plus longue la détection de ceux qui le sont. Le logiciel peut ainsi être utilisé de longs mois avant d’être repéré.
Pour les clients, ce nouveau malware est d’autant plus problématique qu’il ne laisse aucune trace visuelle. Même en étant très attentif, il est impossible de se rendre compte de la fraude. Toujours selon Kaspersky, de nombreux distributeurs sont susceptibles d’être infectés, aux Etats-Unis, en Chine, en Russie, mais aussi en Espagne ou en France. Pour les victimes, la seule solution est de faire opposition rapidement et de prendre contact avec son agence. La banque est tenue de rembourser (http://www.abe-infoservice.fr/banque/moyens-de-paiement/carte-bancaire/la-fraude-a-la-carte-bancaire-ce-quil-faut-savoir.html) toutes les sommes indûment débitées.

**Hidden Content: Check the thread to see hidden data.**

http://img.bfmtv.com/c/1000/600/634/afbb2ad1a26f8b22d3ebb586f899e.jpg
A - AFP





[COLOR=#333333][FONT=Arial]Au total, 13 interpellations ont été menées par la gendarmerie des Landesselon le Parisien (http://www.leparisien.fr/faits-divers/piratage-de-cartes-bancaires-un-vaste-reseau-demantele-dans-le-sud-24-05-2016-5825167.php#xtor=AD-1481423553). Huit des personnes arrêtées ont été mises en examen dans le cadre du démantèlement d'un réseau de piratage de cartes bancaires qui s'étendait à tout le sud de la France, de la région Paca à l'Aquitaine.
Un million d'euros de butinLa stratégie du réseau, dont le chef âgé de 54 ans a été arrêté lui aussi, consistait à fabriquer de faux distributeurs de billets équipés d'une micro-caméra et d'un lecteur de bande magnétique. Apposés sur de vrais distributeurs, ils devenaient ainsi de véritables éponges à numéros de carte.
Une fois récupérés, ces numéros étaient dupliqués sur des cartes vierges, ainsi transformées en cartes bancaires opérationnelles. Le système, indétectable par l'usager du distributeur, devenait en revanche très coûteux quelque temps plus tard.
[B][I]Car une fois utilisées, les cartes bancaires débitaient bien l'argent sur le compte en banque des victimes. En tout, un million d'euros auraient ainsi été volés par la bande, le plus souvent retirés à l'étranger pour éviter que l'enquête ne progresse trop vite.

**Hidden Content: Check the thread to see hidden data.**

Débat sur la cybersécurité

le 25.05.16|10h00

L’Algérie toujours vulnérable


Avec la démocratisation d’internet, l’utilisation à très grande échelle des réseaux sociaux
et l’ouverture sur le monde, la menace des attaques cybercriminelles sont devenues chaque
jour un peu plus réelles, malgré leur scène de crime virtuelle. Un danger qui ne menace pas
seulement les personnes mais aussi des institutions privées et aussi la sécurité des pays et du monde.
Instaurer la cybersécurité mondiale nécessite, selon les experts internationaux et les commandants
des forces armées venus de plusieurs pays, notamment des Etats-Unis, du Canada et de France,
assister au séminaire international sur la cybersécurité, placé sous le thème «Le cyberespace,
enjeux et défis», un travail commun à l’international sanctionné d’une extrême intelligence.
Une menace internationale
Pour ces experts, qui enrichissent le débat durant ce colloque international qui prendra fin aujourd’hui,
il est impératif d’identifier non seulement les crimes et les criminels, mais surtout ne pas se tromper
d’ennemi. «Les ennemis ne sont pas Google, facebook ou encore Amazon. Ces compagnies sont plutôt
des alliés qui peuvent être d’un très grand apport sécuritaire. Des cas concrets, notamment aux Etats-Unis,
le prouvent. D’après l’ONU, la population mondiale est encore plus touchée par les crimes cybernétiques
que par la criminalité classique.Au cours des trois dernières années, entre 1 et 17% de la population en
ligne dans 21 pays ont été atteints par la cybercriminalité contre 5% seulement par la criminalité classique.
Durant cette même période, 2 à 16% des entreprises dans le monde ont été victimes de cyberattaques.
En 2015, 30 000 entreprises ont été victimes de cyberattaques et quelque 500 millions de personnes l’ont
été aussi, dont près de 300 000 sujets à des vols de données personnelles», déclare Marc Tejtel,
directeur adjoint au programme de développement des lois commerciales au département américain
du Commerce.S’appuyant sur ces chiffres, cet expert international n’a pas caché sa crainte de cette
grande menace mais aussi son optimisme quant à la possibilité de maîtrise de ce fléau,
notamment avec la présence de conventions internationales. Le mieux, pour cet expert,
serait une convention universelle. «Il faut signaler qu’aucun pays n’est épargné et que la démarche
internationale visant à instaurer une cybersécurité doit impérativement inclure trois principes fondamentaux»,
ajoute-t-il.«Il s’agit de la coopération internationale, les mesures d’urgence et la préservation de la preuve électronique. La cybercriminalité est de plus en plus dévastatrice pour trois raisons principales
le progrès technique marqué par la digitalisation croissante permettant transparence et productivité ;
les données dans le ‘‘nuage’’ ou cloud computing ; la diffusion des mobiles.
S’ajoute à cela la sophistication croissante des hackers et la vulnérabilité des systèmes.»
Des hackers en chapeau blanc
Dans cet environnement connecté où la vulnérabilité face à ces attaques et le manque de maîtrise
du cyberespace sont communs à tous les pays, les spécialistes de la sécurité virtuelle ont orienté
leur débat vers l’obligation d’instaurer une gouvernance d’internet qui viserait à maîtriser la puissance
du monde virtuel et surtout à préserver l’empreinte numérique. Cela sans pour autant toucher aux libertés individuelles.Dans cette démarche de gouvernance, les conférenciers appellent à la construction d’une
relation de confiance entre les Etats et pourquoi pas s’appuyer sur des hackers «gentils» qu’ils ont
dénommés «hackers en chapeau blanc». Ces derniers mettraient toute leur intelligence à aider les
Etats à renforcer leurs systèmes immunitaires contre les vrais hackers qui portent atteinte à la sécurité
des personnes physiques et morales. Allouer des sommes conséquentes pour la protection
du cyberespace serait d’un énorme apport dans cette démarche à l’international.
L’Algérie en transformation numérique
Pour la Gendarmerie nationale, organisatrice de cet événement, de telles rencontres sont bénéfiques
dans le sens où l’Algérie est en pleine transformation numérique et a impérativement besoin de s’inspirer
des expériences internationales dans ce domaine. «Le combat que les acteurs de la cybersécurité doivent impérativement gagner est d’exercer un rôle commun dans la préservation du cyberespace et identifier des mécanismes pratiques de coopération afin de mieux appréhender les enjeux inhérents.
Ce séminaire réaffirme notre volonté d’adhérer pleinement à l’édification de la société de l’information dans
laquelle l’Algérie s’est engagée résolument», a déclaré le général-major Menad Nouba, commandant de la Gendarmerie nationale. Dans ce sens, il a rappelé tous les efforts fournis par l’Algérie, notamment en
matière de législation, à savoir la loi encadrant les transactions électroniques, entre autres la signature
électronique, le dispositif appuyant les investigations et la reconnaissance des preuves numériques
devant les instance de justice et celui de la protection des droits d’auteur et des droits voisins.
Pour Hind Benmiloud, avocate agréée à la Cour suprême, il est obligatoire de réguler le cyberespace
«Aujourd’hui, nous avons plusieurs acteurs dans cet espace virtuel. En plus de l’Etat, il y a les prestataires
de services qui sont les fournisseurs d’accès à internet, les hébergeurs, les éditeurs de logiciels et
les utilisateurs. Etant donné que tout ce monde vit dans ce cyberespace, il s’agit aujourd’hui de trouver
un équilibre entre la liberté, la protection de la vie privée et des données et le contrôle.
Ce dernier élément est obligatoire dans le sens où il n’y a pas de frontière dans le monde virtuel,
laissant la porte grande ouverte à tout type de dérives. L’Algérie n’a pas le droit, aujourd’hui, de rester
en retrait de cette obligation mondiale de protéger ses usagers d’internet des attaques en appréhendant
toutes ces technologies et en s’inscrivant non pas dans une politique de surveillance, mais de bienveillance.»
Toutefois, certains experts algériens présents à cette rencontre ont estimé que l’Algérie reste encore très
vulnérable en matière de cybersécurité. Malgré tous les efforts déployés, le vide juridique persiste.
La définition des droits et des devoirs de chaque internaute sans pour autant toucher aux libertés
personnelles ou imposer des restrictions sur certains sites internet s’impose avec vigueur.

Asma Bersali

Le phishing connait un regain d'activité en France ces derniers mois, et actuellement, ce sont les abonnés de Free qui sont particulièrement ciblés.

http://img.generation-nt.com/logo-free_0096006401323962.png

À chaque semaine sa nouvelle campagne de phishing : l'arnaque à l'usurpation d'identité connait un regain d'activité ces derniers temps, et même si le système est toujours le même, il se voudrait toujours aussi efficace pour les cybercriminels.

Actuellement, c'est une campagne de phishing qui usurpe l'identité du FAI Free qui fait rage, comme le rapportent nos confrères d'Univers Freebox. Un email, envoyé par Free.fr indique ainsi à l'abonné que son virement mensuel a échoué (les fautes d'orthographe en plus), il est ainsi invité à procéder au règlement manuel de son abonnement, via un lien qui se veut, évidemment frauduleux.

http://img.generation-nt.com/free-phishing_01B0000001636560.png

Le lien en question renvoie vers une copie du service de paiement de Free, qui collecte alors les données bancaires des internautes se laissant piéger.

Pour éviter de tomber dans ce genre d'arnaque, les consignes restent les mêmes que d'habitude : ne cliquez jamais sur des liens intégrés aux emails, préférez vous rendre par vous-même dans vos espaces personnels, veillez à la présence d'un cadenas dans la barre d'URL de votre navigateur, assurant d'une connexion sécurisée en HTTPS...


Sujet déplace et fusionné .

http://img.bfmtv.com/c/630/420/db1/df544a4e320d55eb9397ec2545421.jpg


Des fichiers avec des centaines de millions de comptes ont récemment été mis en vente sur le Darkweb. Si vous êtes concernés, il est urgent de changer vos mots de passe.

[COLOR=#333333][FONT=Arial]LinkedIn (http://www.01net.com/actualites/plus-de-100-millions-de-mots-de-passe-linkedin-en-vente-sur-le-darkweb-975506.html), 164 millions d'identifiants de comptes. Myspace, (http://hightech.bfmtv.com/internet/plus-de-360-millions-de-mots-de-passe-myspace-en-vente-sur-le-darkweb-978566.html) 360 millions d'identifiants. Fling, 40 millions d'identifiants. Et maintenant Tumblr, 65 millions d'identifiants. Depuis quelques semaines, d'énormes bases de données sont apparues sur The Real Web, une place de marché sur le Darkweb. Toutes ces données ont plusieurs choses en commun : elles sont toutes proposées par le même pirate (« peace_of_mind »), elles datent de plusieurs années et les mots de passe sont aisément récupérables. Sauf pour Tumblr qui, semble-t-il, a correctement chiffré les mots de passe dans sa base de données.
http://img.bfmtv.com/c/900/637/5cf/c6ca4266c776c10e8604b88594ead.jpgCapture écran The Real Deal -Même si ces données volées ne sont pas « fraiches », elles peuvent causer beaucoup de dégâts. Car de nombreux d’utilisateurs ne changent jamais leur mot de passe. Pire : ils utilisent toujours le même mot de passe sur plusieurs sites. Or, c’est exactement cela que cherchent les pirates. Les acheteurs potentiels ne sont pas forcément intéressés par LinkedIn, MySpace, Tumblr ou Fling. Pour eux, ces bases ne sont qu’une espèce de matière brute qui, une fois raffinée, permettra de générer encore plus profit. Ainsi, ils vont essayer les identifiants sur plein d’autres sites. Leur espoir est de pouvoir rentrer ainsi sur un compte email pour diffuser du spam ou des malwares. Ou d’accéder à des comptes bancaires. Ou encore de constituer des identités complètes à des fins d’usurpation.
Il suffit de renseigner son adresse email

Pour savoir si vous figurez dans les bases volées, il suffit d’aller surhaveibeenpwned.com (https://haveibeenpwned.com/) ou leakedsource.com (https://www.leakedsource.com/). Ces sites sont gérés par des chercheurs en sécurité qui récupèrent une copie des bases volées et les rendent interrogeables. Sur haveibeenpwned.com, il suffit d’entrer un nom d'utilisateur ou une adresse email pour savoir si l’on figure dans une des bases volées. Sur leakedsource.com, on peut également effectuer une recherche à partir du numéro de téléphone ou d'une adresse IP.
http://img.bfmtv.com/c/900/512/a00/99f47dbc1027a3e50849041b28b83.jpgCaptures d'écran de haveibeenpwned.com et leakedsource.com -Si le résultat est positif, vous devez immédiatement changer votre mot de passe sur le site concerné, ainsi que sur tous les autres sites où vous avez utilisé le même mot de passe.
Pour choisir un bon mot de passe, évitez les noms communs, même s’ils sont séparés par des chiffres ou des caractères spéciaux (exemple : mon45toutou$). Ils ne sont pas assez forts et peuvent être cassés par force brute.
Le mieux est de choisir un mot de passe totalement aléatoire de 10 caractères ou plus, combinant des lettres, des chiffres et des caractères spéciaux. Evidemment, il est très compliqué de retenir un tel mot de passe. C’est pourquoi nous recommandons l’usage d’un gestionnaire de mot de passe. Il en existe des gratuits (KeePass) et des payants (LastPass, Dashlane, OnePass), et ils proposent tous des outils de génération de mots de passe aléatoires.

**Hidden Content: Check the thread to see hidden data.**

[LIST]




ZCryptor : un ransomware se propage tel un ver
[COLOR=#333333][FONT=Verdana]
[LIST]
[COLOR=#333333]Microsoft sonne l'alerte au sujet d'un nouveau type de ransomware qui adopte le comportement d'un ver informatique pour se répandre.

La firme de Redmond a publié une alerte (https://blogs.technet.microsoft.com/mmpc/2016/05/26/link-lnk-to-ransom/) pour les utilisateurs de Windows afin de les prévenir de l'existence d'un nouveau type de ransomware. Identifié en tant que ZCryptor, ce ransomware est diffusé par le biais d'emails de spam, des macros pour Office ou de faux fichiers d'installation pour Flash Player.

Après infection, ZCryptor se dépatouille pour être exécuté au démarrage. Grâce à un fichier HTML, il va afficher une demande de rançon de 1,2 bitcoin (plus de 500 €) pour retrouver l'accès à des fichiers qui auront été chiffrés et dotés d'une extension .zcrypt. Le spectre des types de fichiers affectés est assez large. À défaut de paiement dans les quatre jours, la rançon passe à 5 bitcoins (plus de 2 000 €).

http://img.generation-nt.com/01B000B401636551.png (http://www.generation-nt.com/zoom-1636551,1929260-zcryptor-demande-rancon.html)
Du très classique pour un ransomware (http://www.generation-nt.com/ransomware-philanthrope-cryptomix-cryptxxx-cryptowall-actualite-1928688.html) mais l'originalité de ZCryptor et qu'il se prend pour un ver informatique. Il a ainsi la capacité de se propager sur d'autres systèmes via des supports amovibles ainsi que des disques réseau. Une action notamment possible grâce à un fichier autorun.inf malveillant.

Trend Micro (http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ransom_zcrypt.a) confirme le comportement de ver informatique pour ZCryptor. Un des rares ransomwares à être capable de se diffuser par lui-même. " [I]Il laisse une copie de lui-même dans des disques amovibles, rendant à risque l'utilisation de périphériques USB. "
C'est donc une autre mauvaise nouvelle dans le domaine des ransomwares, même si la menace ZCryptor semble parfaitement identifiée.


**Hidden Content: Check the thread to see hidden data.**

http://img.bfmtv.com/c/630/420/add/92cebcd67e69d3c0ab739158ee38f.jpg
DR






Les logiciels de mises à jour des principales marques informatiques sont parsemés de failles de sécurité permettant l’exécution de code arbitraire à distance.Ceux qui se rappellent des scandales Lenovo Superfish (http://www.01net.com/actualites/lenovo-preinstallait-un-adware-et-un-certificat-de-securite-bidon-sur-ses-pc-646161.html) et eDellRoot (http://www.01net.com/actualites/dell-a-installe-un-certificat-de-securite-bidon-dans-ses-propres-pc-932511.html) le savent bien : les logiciels préinstallés par les constructeurs informatiques ne sont pas forcément d’une sécurité à toute épreuve. Dans ces deux cas emblématiques, des chercheurs avaient trouvés des certificats de sécurité bidon permettant de réaliser des attaques par interception.
Mais en réalité, il ne s’agissait que de la partie émergée de l’iceberg. Trois autres chercheurs de la société Duo Labs (https://duo.com/blog/out-of-box-exploitation-a-security-analysis-of-oem-updaters) viennent de se pencher sur les outils de mise à jour des fournisseurs. Ils portent des noms rassurants comme « Dell Update », « Acer Care Center » ou « Lenovo Solution Center ». Ils sont particulièrement critiques car ils permettent de télécharger et exécuter des programmes.
Les chercheurs ont analysés une dizaine d’ordinateurs à travers cinq marques : Dell, HP, Asus, Acer et Lenovo. Le résultat est affligeant. Ils ont trouvé une douzaine de failles et chaque fabricant comptait au moins une vulnérabilité permettant l’exécution de code arbitraire à distance au moyen d’une attaque par interception. Pour peu qu’un pirate arrive à se mettre sur le même réseau que vous, vous êtes donc cuits. Dans certains cas, l’attaque est même plutôt triviale.
http://img.bfmtv.com/c/910/866/e8a/5108b9494749417dcc474fd846861.jpgToutes ces failles sont liées à des mauvaises pratiques dans le processus de mise à jour implémenté. Celui-ci se fait toujours en deux étapes : la transmission d’un fichier « manifeste » qui indique à la machine les fichiers à télécharger et le téléchargement des mises à jour proprement dit. Pour faire cela en toute sécurité, il faut que les échanges ses fassent de manière chiffrée (TLS) et que le manifeste et les mises à jour soient signés. Or, parmi les huit logiciels de mise à jour rencontrés, un seul applique toutes ces mesures de sécurité : Lenovo Solution Center. Malheureusement, la marque chinoise dispose également d’un autre logiciel de mise à jour où aucune sécurité n’est implémentée (Lenovo UpdateAgent). C’est également le cas pour Asus et Acer.
http://img.bfmtv.com/c/910/778/203/63ac07664a7f77c206652c576e7f3.jpgLorsque le manifeste n’est pas signé, ni transmis de manière chiffrée, un pirate peut aisément le modifier à la volée et insérer des logiciels à télécharger. Et quand c’est également le cas pour les mises à jour, c’est open bar : il pourra installer tout ce qu’il veut sur la machine. Seulement sécuriser les mises à jour, comme c’est le cas pour HP, n’est pas suffisant. Certes, un pirate ne pourra alors installer qu’un logiciel signé HP, mais certains d’entre eux permettent justement l’exécution de code arbitraire. Chez Dell, le processus est relativement bien sécurisé, si l’on fait abstraction de l’énormité du certificat bidon eDellRoot.
Certaines de ces failles ont depuis été colmatées, notamment chez Dell, HP et Lenovo qui a, depuis la publication du rapport, recommandé la désinstallation pure et simple (https://support.lenovo.com/fr/fr/product_security/len_6718) de certains logiciels comme le Lenovo Accelerator Application. Chez Asus et Acer, en revanche, c’est silence radio.

**Hidden Content: Check the thread to see hidden data.**

Le piratage s’invite dans la primaire américaine

[FONT=inherit]Sécurité : Le Democratic National Comittee aurait été victime d’un piratage. Plusieurs documents appartenant au parti démocrate américain ont été publiés sur le web par un pirate répondant au pseudonyme de Guccifer 2.0.
http://www.zdnet.fr/i/authors/redaction-zdnet.png



Alors que la phase des primaires touche à son terme pour les deux principaux partis, un piratage vient chambouler le parti démocrate. Dans un article publié mercredi, le Washington Post (https://www.washingtonpost.com/world/national-security/russian-government-hackers-penetrated-dnc-stole-opposition-research-on-trump/2016/06/14/cf006cb4-316e-11e6-8ff7-7b6c1998b7a0_story.html?postshare=7401465918761361 ) annonçait ainsi que le Democratic National Comitee (DNC), l’organisme dirigeant du parti démocrate, avait été victime d’une cyberattaque et que plusieurs documents internes avaient été exfiltrés par les assaillants. Le DNC expliquait que les attaquants avaient ainsi pu avoir accès à de nombreuses informations confidentielles telles que les mails échangés par les utilisateurs ainsi que les bases de données et documents utilisés pour les recherches sur les candidats de l’opposition, notamment Donald Trump.
http://www.zdnet.fr/i/edit/ne/2015/02/clinton_140x.jpg

Le DNC précisait néanmoins en début de semaine qu’aucune information « sensible » n’avait été dérobée et que les attaquants n’avaient pas eu accès aux informations financières du parti.
L’article du Washington Post attribuait l’attaque à des cyberattaquants russes. Le quotidien américain s’appuyait pour cela sur les premières conclusions tirées par la firme de cybersécurité Crowdstrike, chargée d’enquêter sur la cyberattaque. Dans un communiqué publié mercredi (https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/), Crowdstrike expliquait en effet avoir reconnu des méthodes employées par deux acteurs connus de la cybercriminalité, baptisés Cozy Bear et Fancy Bear. Ces groupes avaient déjà été identifiés comme étant à l’origine d’attaques visant les ordinateurs de la maison blanche ainsi que plusieurs autres cibles à travers le monde.
Jugements hâtifs?

Mais sur un site Wordpress, un internaute revendiquant être l’origine de l’attaque est venu contester ces premières informations. L’internaute utilise le pseudo de Guccifer 2.0, en lien avec le cybercriminel roumain actuellement en attente de procès pour plusieurs piratages aux US et en Roumanie. Celui-ci conteste avoir agi en lien avec un groupe de cybercriminels reconnu et explique avoir pénétré le réseau du DNC seul. Une tâche qu’il qualifie « d’extrêmement facile », ajoutant que « n’importe quel autre hacker pourrait en avoir fait autant. »
Sur le site, le Guccifer 2.0 conteste également les déclarations du DNC et publie plusieurs documents listant les principaux donneurs financiers du Parti. « Je suis resté pendant plus d’un an et demi dans le réseau du DNC, vous ne pensiez quand même pas que j’avais simplement sauvegardé deux documents ? » explique le hacker dans son message. Guccifer 2.0 explique que les documents volés ont été transmis à Wikileaks, qui se chargera de les publier à l’avenir.
Le parti démocrate a refusé de commenter l’information et ne confirme pas l’authenticité des documents publiés par Guccifer 2.0. Mais ceux-ci, notamment les documents de recherche sur Donald Trump, semblent inédits et particulièrement fouillés, ce qui écarte la possibilité de faux documents sans l'éliminer totalement. Crowdstrike de son côté explique dans un communiqué s’en tenir à son analyse initiale et évoque « une campagne de désinformation » de la part des cyberattaquants Russes.
Hillary Clinton avait déjà été sous le feu des critiques pour ses libertés prises avec sa messagerie (http://www.zdnet.fr/actualites/archivage-les-courriels-prives-d-hillary-clinton-au-centre-d-un-scandale-39815708.htm)en tant que ministre des Affaires étrangères, mais il semblerait que le parti démocrate ne soit pas encore sorti des controverses autour de la cybersécurité.


**Hidden Content: Check the thread to see hidden data.**

http://www.jeanmarcmorandini.com/sites/jeanmarcmorandini.com/files/styles/liste-centrale-grande/public/twitter2_3.jpg

Hier, l'ancien PDG de Twitter (http://www.twitter.fr/), Dick Costolo, a vu ses comptes Twitter et Pinterest piratés.
Trois messages ont ainsi été envoyés par le groupe de hackers OurMine depuis son compte personnel, rapporte CNBC (http://www.cnbc.com/2016/06/20/former-twitter-ceo-dick-costolo-was-hacked.html).
Sur son compte Pinterest, les internautes pouvaient découvrir une image du groupe en question.
Dans la soirée, Dick Costolo a expliqué que les pirates n'avaient pas eu directement accès à son compte, mais à un service tiers.
Au début du mois, Mark Zuckerberg (http://www.jeanmarcmorandini.com/article-354613-facebook-oblige-de-securiser-des-comptes-internet-de-mark-zuckerberg.html), le cofondateur et directeur général de Facebook, avait dû sécuriser ses comptes Twitter et Pinterest après le piratage de ces derniers.
[COLOR=#333333][FONT=helvetica]Des pirates informatiques avaient prétendu en avoir pris le contrôle.

http://www.jeanmarcmorandini.com/sites/jeanmarcmorandini.com/files/corps/dickcostolo.jpg

**Hidden Content: Check the thread to see hidden data.**

http://img.bfmtv.com/c/1256/708/add/92cebcd67e69d3c0ab739158ee38f.jpg

Les utilisateurs de smartphone sont de plus en plus en ligne de mire des cybercriminels. Sur les plateformes mobiles, les attaques sont en croissance de 5 à 6 %.

CryptoWall (http://www.01net.com/actualites/cryptowall-le-ransomware-qui-donne-la-migraine-aux-forces-de-l-ordre-934345.html), TeslaCrypt (http://hightech.bfmtv.com/internet/les-pirates-du-ransomware-teslacrypt-jettent-l-eponge-et-se-disent-desoles-975981.html),Petya (http://www.01net.com/actualites/petya-le-ransomware-qui-bloque-completement-votre-ordinateur-963357.html), Ransom32 (http://www.01net.com/actualites/ransom32-le-premier-ransomware-javascript-inquiete-les-chercheurs-en-securite-941248.html), Locky, Jigsaw (http://www.01net.com/actualites/comment-le-ransomware-jigsaw-joue-avec-les-nerfs-de-ses-victimes-968351.html)… Semaine après semaine, les campagnes de "ransomwares" se succèdent et rien ne semble devoir les arrêter. Parmi les derniers spécimens détectés: "RAA", un logiciel de rançonnage entièrement écrit en Javascript et particulièrement virulent. Mais le mode opératoire reste toujours plus ou moins le même. Le logiciel malveillant arrive par email dans une pièce jointe. Si celle-ci est exécutée, tout ou partie des données de l'ordinateur sont chiffrées. La victime est alors invitée à payer une rançon de plusieurs centaines d'euros (voire plusieurs milliers d'euros, quand c'est une entreprise).
Selon Avast, éditeur de l'antivirus éponyme, cette tendance devrait encore durer au moins un an ou deux. "Pour les cybercriminels, les ransomwares sont un moyen facile et peu cher pour se faire de l'argent, car c'est difficile à supprimer, et la plupart des victimes finissent par payer pour récupérer leurs données", explique Ondrej Vlcek, directeur opérationnel d’Avast. Bref, c'est lucratif et sans risque.
La solution: faire des sauvegardes régulières

Cette vague de malveillance pourrait d'ailleurs se transformer en raz-de-marée, car les auteurs de ces logiciels cherche de plus en plus à cibler les smartphones qui, on le sait, contiennent des données particulièrement sensibles et personnelles. Chez Avast, plus de 200.000 utilisateurs ont été confrontés à un ransomware sur leur appareil mobile en 2015. "Nous constatons une croissance de 5 à 6 % entre le début 2015 et le début 2016", souligne Ondrej Vlcek.
Un bon moyen pour se protéger des ransomwares est de ne pas ouvrir les pièces jointes de personnes que vous ne connaissez pas et, surtout, de faire régulièrement une sauvegarde de vos données sur un disque de stockage qui n'est pas connecté en permanence avec l'ordinateur. En effet, certains ransomwares sont capables de détecter la présence d'un disque et en profite pour le chiffrer aussi.

**Hidden Content: Check the thread to see hidden data.**



Pourquoi les banques françaises sont vulnérables aux cyberattaques.



http://img.bfmtv.com/c/1256/708/cea/94513d4b9e5cf340dfdd627824276.jpeg
Pour la Banque de France, plusieurs incidents récents de grande ampleur montrent le caractère de plus en plus sophistiqué de ces attaques informatiques et l’importance des risques associés. - **Hidden Content: Check the thread to see hidden data.**creative commons-Wikimedia


La Banque de France estime "urgent" que les dirigeants des groupes bancaires français prennent la mesure des risques en matière de cybersécurité. Elle les incite à renforcer l'arsenal de leurs sociétés contre les attaques informatiques.

Le système financier français est-il à la merci d'ennemis aussi invisibles que redoutables, incarnés par les pirates informatiques? Dans son rapport d'évaluation (https://www.banque-france.fr/fileadmin/user_upload/banque_de_france/publications/Evaluation-de-Risques_2016-06_Systeme-Financier-Francais.pdf) des risques et vulnérabilités du système français. La Banque de France tire la sonnette d'alarme. "La dépendance du secteur bancaire à l’informatique et le mouvement d’externalisation de fonctions sensibles le rendent plus vulnérable aux risques opérationnels, et notamment aux cyberattaques" estime la banque centrale française.
Son rapport invoque "plusieurs incidents informatiques récents (http://hightech.bfmtv.com/internet/l-ombre-de-la-coree-du-nord-plane-sur-les-cyberattaques-du-reseau-bancaire-swift-974136.html) de grande ampleur montrant le caractère de plus en plus sophistiqué de ces attaques et l’importance des risques associés" tel celui ayant affecté en début d'année, le réseau interbancaire Swift, pourtant ultrasécurisé (cf encadré ci-dessous).
Les banques elles-mêmes sont conscientes de la menace qui les guette. La Société Générale indique que "la volumétrie des attaques qui visent le groupe est multipliée chaque année par deux à dix fois le volume de l’année précédente".
Mais, pour la Banque de France, ce sont les directions générales des institutions françaises qu'il faut encore convaincre de renforcer leur arsenal contre les cyberattaques.
La BCE va jouer au gendarme

"Il devient urgent que les dirigeants de banques prennent la pleine mesure des risques en matière de cybersécurité et que les dispositifs de sécurité soient renforcés. La sensibilisation des dirigeants est primordiale afin qu’ils intègrent ces risques dans la stratégie d’entreprise et allouent les budgets nécessaires à la mise en place de dispositifs visant à réduire les risques liés à la cybersécurité" explique le rapport de la Banque de France.
Elle incite fortement les banques françaises à adapter leur dispositif de sécurité informatique en profondeur. Outre la supervision adéquate des prestations qu'elles confient à des prestataires (développement d'applications, centre d'appels), elles sont invitées à tester des plans d’urgence, leur permettant de poursuivre leur activité bancaire, en cas d'attaques informatiques de grande ampleur.
Comme si cela n'était pas suffisant, la banque de France prévient que la BCE va jouer au "gendarme" chargé de vérifier le niveau de sécurité des systèmes informatiques. La banque centrale européenne a diligenté des missions sur la cybersécurité depuis début 2015, dont plusieurs dans des groupes français. La BCE a aussi initié en février 2016 la collecte d’incidents de cybersécurité significatifs auprès de quelques banques et prévoit d’étendre ce dispositif à tous les établissements significatifs en 2017.
Le cas d'école du piratage du réseau interbancaire Swift


Alors qu'environ 2,5 milliards d’ordres de paiement transitent annuellement via le réseau Swift, qui compte 9.600 banques, le transfert frauduleux de 81 millions de dollars au détriment de la Banque centrale du Bangladesh en février 2016, a constitué une première alerte de grande ampleur. Cette perte a été rendue possible par l’envoi d’ordres de transfert via le réseau Swift.
Cette attaque informatique a profité de la vulnérabilité de certains équipements de la banque connectée localement au réseau Swift. Selon la Banque de France, cet incident met en évidence plusieurs points faibles :
-la sous-estimation des risques par les dirigeants,
-un système d’information insuffisamment sécurisé, en particulier une gestion inadéquate des droits d’accès des administrateurs des systèmes,
-des dispositifs de contrôle défaillants.

**Hidden Content: Check the thread to see hidden data.**

Progressivement la sécurité des comptes se renforce, notamment avec l’authentification à double facteurs. De plus en plus de services utilisent ce protocole de sécurité pour améliorer la sureté de leurs applications ou des données de leurs clients. Google souhaite cependant simplifier la méthode.

http://www.presse-citron.net/wordpress_prod/wp-content/uploads/2015/04/Mot-de-passe-login-pixabay.pngLorsque l’on parle d’authentification à double facteurs, on pense souvent à une première étape avec les identifiants de l’utilisateur et une seconde étape par l’envoi d’un SMS sur le smartphone associé ou l’utilisation d’une clé de sécurité. Google a décidé de simplifier ce protocole de sécurité, afin de faciliter la démocratisation de ce système par toutes les entreprises.Une double authentification via une simple notificationLa firme de Mountain View a donc choisi de permettre à un utilisateur d’utiliser un appareil connecté au compte pour authentifier une connexion. Concrètement cela signifie qu’il ne sera plus nécessaire d’envoyer un SMS et de valider l’opération en recevant un code. Le nouveau système de double authentification enverra une fenêtre sur le smartphone en cours d’utilisation et connecté aux comptes. De cette façon, il suffira de valider l’opération en acceptant la notification.Pour le moment peu d’utilisateurs peuvent profiter de ce nouveau système de sécurité, mais Google a affirmé que ce dernier serait déployé progressivement sur les terminaux Android dans les jours à venir, ainsi que sur les appareils sous iOS disposant de Google Search. Les utilisateurs devraient apprécier cette simplification, car il est vrai que la double authentification actuelle est souvent contraignante et pas toujours pratique quand le SMS met du temps à arriver.**Hidden Content: Check the thread to see hidden data.**