HP, Acer, Asus, Dell,… leurs logiciels préinstallés ouvrent la porte aux pirates
http://img.bfmtv.com/c/630/420/add/9...39158ee38f.jpg
DR
Les logiciels de mises à jour des principales marques informatiques sont parsemés de failles de sécurité permettant l’exécution de code arbitraire à distance.
Ceux qui se rappellent des scandales Lenovo Superfish et eDellRoot le savent bien : les logiciels préinstallés par les constructeurs informatiques ne sont pas forcément d’une sécurité à toute épreuve. Dans ces deux cas emblématiques, des chercheurs avaient trouvés des certificats de sécurité bidon permettant de réaliser des attaques par interception.
Mais en réalité, il ne s’agissait que de la partie émergée de l’iceberg. Trois autres chercheurs de la société Duo Labs viennent de se pencher sur les outils de mise à jour des fournisseurs. Ils portent des noms rassurants comme « Dell Update », « Acer Care Center » ou « Lenovo Solution Center ». Ils sont particulièrement critiques car ils permettent de télécharger et exécuter des programmes.
Les chercheurs ont analysés une dizaine d’ordinateurs à travers cinq marques : Dell, HP, Asus, Acer et Lenovo. Le résultat est affligeant. Ils ont trouvé une douzaine de failles et chaque fabricant comptait au moins une vulnérabilité permettant l’exécution de code arbitraire à distance au moyen d’une attaque par interception. Pour peu qu’un pirate arrive à se mettre sur le même réseau que vous, vous êtes donc cuits. Dans certains cas, l’attaque est même plutôt triviale.
http://img.bfmtv.com/c/910/866/e8a/5...74fd846861.jpgToutes ces failles sont liées à des mauvaises pratiques dans le processus de mise à jour implémenté. Celui-ci se fait toujours en deux étapes : la transmission d’un fichier « manifeste » qui indique à la machine les fichiers à télécharger et le téléchargement des mises à jour proprement dit. Pour faire cela en toute sécurité, il faut que les échanges ses fassent de manière chiffrée (TLS) et que le manifeste et les mises à jour soient signés. Or, parmi les huit logiciels de mise à jour rencontrés, un seul applique toutes ces mesures de sécurité : Lenovo Solution Center. Malheureusement, la marque chinoise dispose également d’un autre logiciel de mise à jour où aucune sécurité n’est implémentée (Lenovo UpdateAgent). C’est également le cas pour Asus et Acer.
http://img.bfmtv.com/c/910/778/203/6...52c576e7f3.jpgLorsque le manifeste n’est pas signé, ni transmis de manière chiffrée, un pirate peut aisément le modifier à la volée et insérer des logiciels à télécharger. Et quand c’est également le cas pour les mises à jour, c’est open bar : il pourra installer tout ce qu’il veut sur la machine. Seulement sécuriser les mises à jour, comme c’est le cas pour HP, n’est pas suffisant. Certes, un pirate ne pourra alors installer qu’un logiciel signé HP, mais certains d’entre eux permettent justement l’exécution de code arbitraire. Chez Dell, le processus est relativement bien sécurisé, si l’on fait abstraction de l’énormité du certificat bidon eDellRoot.
Certaines de ces failles ont depuis été colmatées, notamment chez Dell, HP et Lenovo qui a, depuis la publication du rapport, recommandé la désinstallation pure et simple de certains logiciels comme le Lenovo Accelerator Application. Chez Asus et Acer, en revanche, c’est silence radio.
**Contenu caché: Cliquez sur Thanks pour afficher. **
Le piratage s’invite dans la primaire américaine
Le piratage s’invite dans la primaire américaine
Sécurité : Le Democratic National Comittee aurait été victime d’un piratage. Plusieurs documents appartenant au parti démocrate américain ont été publiés sur le web par un pirate répondant au pseudonyme de Guccifer 2.0.
http://www.zdnet.fr/i/authors/redaction-zdnet.png
Alors que la phase des primaires touche à son terme pour les deux principaux partis, un piratage vient chambouler le parti démocrate. Dans un article publié mercredi, le Washington Post annonçait ainsi que le Democratic National Comitee (DNC), l’organisme dirigeant du parti démocrate, avait été victime d’une cyberattaque et que plusieurs documents internes avaient été exfiltrés par les assaillants. Le DNC expliquait que les attaquants avaient ainsi pu avoir accès à de nombreuses informations confidentielles telles que les mails échangés par les utilisateurs ainsi que les bases de données et documents utilisés pour les recherches sur les candidats de l’opposition, notamment Donald Trump.
http://www.zdnet.fr/i/edit/ne/2015/02/clinton_140x.jpg
Le DNC précisait néanmoins en début de semaine qu’aucune information « sensible » n’avait été dérobée et que les attaquants n’avaient pas eu accès aux informations financières du parti.
L’article du Washington Post attribuait l’attaque à des cyberattaquants russes. Le quotidien américain s’appuyait pour cela sur les premières conclusions tirées par la firme de cybersécurité Crowdstrike, chargée d’enquêter sur la cyberattaque. Dans un communiqué publié mercredi, Crowdstrike expliquait en effet avoir reconnu des méthodes employées par deux acteurs connus de la cybercriminalité, baptisés Cozy Bear et Fancy Bear. Ces groupes avaient déjà été identifiés comme étant à l’origine d’attaques visant les ordinateurs de la maison blanche ainsi que plusieurs autres cibles à travers le monde.
Jugements hâtifs?
Mais sur un site Wordpress, un internaute revendiquant être l’origine de l’attaque est venu contester ces premières informations. L’internaute utilise le pseudo de Guccifer 2.0, en lien avec le cybercriminel roumain actuellement en attente de procès pour plusieurs piratages aux US et en Roumanie. Celui-ci conteste avoir agi en lien avec un groupe de cybercriminels reconnu et explique avoir pénétré le réseau du DNC seul. Une tâche qu’il qualifie « d’extrêmement facile », ajoutant que « n’importe quel autre hacker pourrait en avoir fait autant. »
Sur le site, le Guccifer 2.0 conteste également les déclarations du DNC et publie plusieurs documents listant les principaux donneurs financiers du Parti. « Je suis resté pendant plus d’un an et demi dans le réseau du DNC, vous ne pensiez quand même pas que j’avais simplement sauvegardé deux documents ? » explique le hacker dans son message. Guccifer 2.0 explique que les documents volés ont été transmis à Wikileaks, qui se chargera de les publier à l’avenir.
Le parti démocrate a refusé de commenter l’information et ne confirme pas l’authenticité des documents publiés par Guccifer 2.0. Mais ceux-ci, notamment les documents de recherche sur Donald Trump, semblent inédits et particulièrement fouillés, ce qui écarte la possibilité de faux documents sans l'éliminer totalement. Crowdstrike de son côté explique dans un communiqué s’en tenir à son analyse initiale et évoque « une campagne de désinformation » de la part des cyberattaquants Russes.
Hillary Clinton avait déjà été sous le feu des critiques pour ses libertés prises avec sa messagerie en tant que ministre des Affaires étrangères, mais il semblerait que le parti démocrate ne soit pas encore sorti des controverses autour de la cybersécurité.
**Contenu caché: Cliquez sur Thanks pour afficher. **
L'ex-PDG de Twitter, Dick Costolo, victime d'un piratage
http://www.jeanmarcmorandini.com/sit...twitter2_3.jpg
Hier, l'ancien PDG de Twitter , Dick Costolo, a vu ses comptes Twitter et Pinterest piratés.
Trois messages ont ainsi été envoyés par le groupe de hackers OurMine depuis son compte personnel, rapporte CNBC .
Sur son compte Pinterest, les internautes pouvaient découvrir une image du groupe en question.
Dans la soirée, Dick Costolo a expliqué que les pirates n'avaient pas eu directement accès à son compte, mais à un service tiers.
Au début du mois, Mark Zuckerberg , le cofondateur et directeur général de Facebook, avait dû sécuriser ses comptes Twitter et Pinterest après le piratage de ces derniers.
Des pirates informatiques avaient prétendu en avoir pris le contrôle.
http://www.jeanmarcmorandini.com/sit...ickcostolo.jpg
**Contenu caché: Cliquez sur Thanks pour afficher. **
Attention, les logiciels de rançon ont plus que jamais le vent en poupe
http://img.bfmtv.com/c/1256/708/add/...39158ee38f.jpg
Les utilisateurs de smartphone sont de plus en plus en ligne de mire des cybercriminels. Sur les plateformes mobiles, les attaques sont en croissance de 5 à 6 %.
CryptoWall, TeslaCrypt,Petya, Ransom32, Locky, Jigsaw… Semaine après semaine, les campagnes de "ransomwares" se succèdent et rien ne semble devoir les arrêter. Parmi les derniers spécimens détectés: "RAA", un logiciel de rançonnage entièrement écrit en Javascript et particulièrement virulent. Mais le mode opératoire reste toujours plus ou moins le même. Le logiciel malveillant arrive par email dans une pièce jointe. Si celle-ci est exécutée, tout ou partie des données de l'ordinateur sont chiffrées. La victime est alors invitée à payer une rançon de plusieurs centaines d'euros (voire plusieurs milliers d'euros, quand c'est une entreprise).
Selon Avast, éditeur de l'antivirus éponyme, cette tendance devrait encore durer au moins un an ou deux. "Pour les cybercriminels, les ransomwares sont un moyen facile et peu cher pour se faire de l'argent, car c'est difficile à supprimer, et la plupart des victimes finissent par payer pour récupérer leurs données", explique Ondrej Vlcek, directeur opérationnel d’Avast. Bref, c'est lucratif et sans risque.
La solution: faire des sauvegardes régulières
Cette vague de malveillance pourrait d'ailleurs se transformer en raz-de-marée, car les auteurs de ces logiciels cherche de plus en plus à cibler les smartphones qui, on le sait, contiennent des données particulièrement sensibles et personnelles. Chez Avast, plus de 200.000 utilisateurs ont été confrontés à un ransomware sur leur appareil mobile en 2015. "Nous constatons une croissance de 5 à 6 % entre le début 2015 et le début 2016", souligne Ondrej Vlcek.
Un bon moyen pour se protéger des ransomwares est de ne pas ouvrir les pièces jointes de personnes que vous ne connaissez pas et, surtout, de faire régulièrement une sauvegarde de vos données sur un disque de stockage qui n'est pas connecté en permanence avec l'ordinateur. En effet, certains ransomwares sont capables de détecter la présence d'un disque et en profite pour le chiffrer aussi.
**Contenu caché: Cliquez sur Thanks pour afficher. **
Pourquoi les banques françaises sont vulnérables aux cyberattaques.
http://img.bfmtv.com/c/1256/708/cea/...627824276.jpeg
Pour la Banque de France, plusieurs incidents récents de grande ampleur montrent le caractère de plus en plus sophistiqué de ces attaques informatiques et l’importance des risques associés. -
**Contenu caché: Cliquez sur Thanks pour afficher. **
creative commons-Wikimedia
La Banque de France estime "urgent" que les dirigeants des groupes bancaires français prennent la mesure des risques en matière de cybersécurité. Elle les incite à renforcer l'arsenal de leurs sociétés contre les attaques informatiques.
Le système financier français est-il à la merci d'ennemis aussi invisibles que redoutables, incarnés par les pirates informatiques? Dans son rapport d'évaluation des risques et vulnérabilités du système français. La Banque de France tire la sonnette d'alarme. "La dépendance du secteur bancaire à l’informatique et le mouvement d’externalisation de fonctions sensibles le rendent plus vulnérable aux risques opérationnels, et notamment aux cyberattaques" estime la banque centrale française.
Son rapport invoque "plusieurs incidents informatiques récents de grande ampleur montrant le caractère de plus en plus sophistiqué de ces attaques et l’importance des risques associés" tel celui ayant affecté en début d'année, le réseau interbancaire Swift, pourtant ultrasécurisé (cf encadré ci-dessous).
Les banques elles-mêmes sont conscientes de la menace qui les guette. La Société Générale indique que "la volumétrie des attaques qui visent le groupe est multipliée chaque année par deux à dix fois le volume de l’année précédente".
Mais, pour la Banque de France, ce sont les directions générales des institutions françaises qu'il faut encore convaincre de renforcer leur arsenal contre les cyberattaques.
La BCE va jouer au gendarme
"Il devient urgent que les dirigeants de banques prennent la pleine mesure des risques en matière de cybersécurité et que les dispositifs de sécurité soient renforcés. La sensibilisation des dirigeants est primordiale afin qu’ils intègrent ces risques dans la stratégie d’entreprise et allouent les budgets nécessaires à la mise en place de dispositifs visant à réduire les risques liés à la cybersécurité" explique le rapport de la Banque de France.
Elle incite fortement les banques françaises à adapter leur dispositif de sécurité informatique en profondeur. Outre la supervision adéquate des prestations qu'elles confient à des prestataires (développement d'applications, centre d'appels), elles sont invitées à tester des plans d’urgence, leur permettant de poursuivre leur activité bancaire, en cas d'attaques informatiques de grande ampleur.
Comme si cela n'était pas suffisant, la banque de France prévient que la BCE va jouer au "gendarme" chargé de vérifier le niveau de sécurité des systèmes informatiques. La banque centrale européenne a diligenté des missions sur la cybersécurité depuis début 2015, dont plusieurs dans des groupes français. La BCE a aussi initié en février 2016 la collecte d’incidents de cybersécurité significatifs auprès de quelques banques et prévoit d’étendre ce dispositif à tous les établissements significatifs en 2017.
Le cas d'école du piratage du réseau interbancaire Swift
Alors qu'environ 2,5 milliards d’ordres de paiement transitent annuellement via le réseau Swift, qui compte 9.600 banques, le transfert frauduleux de 81 millions de dollars au détriment de la Banque centrale du Bangladesh en février 2016, a constitué une première alerte de grande ampleur. Cette perte a été rendue possible par l’envoi d’ordres de transfert via le réseau Swift.
Cette attaque informatique a profité de la vulnérabilité de certains équipements de la banque connectée localement au réseau Swift. Selon la Banque de France, cet incident met en évidence plusieurs points faibles :
-la sous-estimation des risques par les dirigeants,
-un système d’information insuffisamment sécurisé, en particulier une gestion inadéquate des droits d’accès des administrateurs des systèmes,
-des dispositifs de contrôle défaillants.
**Contenu caché: Cliquez sur Thanks pour afficher. **