fbpx

Archive de l’étiquette Actu

ParDamien

Kaspersky découvre un cheval de Troie dans l’appli Android CamScanner, téléchargée 100 millions de fois

Très populaire, l’application CamScanner a été écartée de Google Playaprès la découverte d’un injecteur permettant d’insérer du code malveillant dans les smartphones.

Si vous étiez un(e) utilisateur(trice) Android de CamScanner, l’application qui permet de scanner, stocker et partager différents contenus en PDF ou JPEG via son smartphone, ne vous étonnez pas de ne plus avoir accès à celle-ci. Plus disponible sur le Google Play Store après le signalement des experts de Kaspersky, l’application éditée par INTSIG Information intégrait en effet des publicités contenant du code malveillant.

La tuile, pour une application aux 100 millions de téléchargements

Plus qu’une tuile, c’est une véritable désillusion pour les développeurs de CamScanner. Si ces derniers peuvent se consoler en étant toujours présents sur l’App Store, être éjectés d’Android ne doit pas être facile à encaisser. L’application totalisait plus de 100 millions de téléchargementsdepuis son arrivée sur le Play Store, en 2010, avant que les chercheurs de sécurité de Kaspersky ne passent par là.

Lire aussi :
Attention à ce faux site NordVPN qui installe un cheval de Troie sur votre ordinateur
Les spécialistes ont en effet découvert un dropper (un trojan qui introduit et installe le malware) qui permettait de déposer à distance un downloader malveillant sur l’appareil, grâce à un fichier crypté caché dans le code de CamScanner.

Après son activation, ce dernier permettait le téléchargement de fichiers malveillants sur le mobile de l’utilisateur.

Publicités intrusives et souscriptions à des abonnements sans accord des utilisateurs

Les utilisateurs touchés ont par exemple été dérangés par des publicités intrusives et ont constaté avoir souscrit à leur insu à des services payants. Sur Twitter, les développeurs de CamScanner ont reconnu que l’application avait hébergé un module publicitaire provenant de la société AdHub, qui générait des clics publicitaires non autorisés. « Nous allons immédiatement procéder à des actions en justice contre AdHub », indique l’éditeur dont l’application reste disponible sur son site internet officiel.

Concernant l’origine du problème, le chercher en sécurité Igor Golovin, de Kaspersky, a sa petite idée sur la question : « Ce n’est pas souvent que nous voyons une application avec une base d’utilisateurs fidèles et un si grand nombre d’installations distribuer des composants malveillants. Compte tenu des commentaires positifs sur la page de l’application Google Play et du fait que les chercheurs en sécurité n’avaient pas détecté d’activité malveillante auparavant, il semble que les modules malveillants ont été ajoutés dans l’application via une mise à jour. Cette affaire rappelle l’importance pour les consommateurs de protéger leurs appareils, même s’ils téléchargent leurs applications via les stores officiels ». CQFD.

ParDamien

Des failles de sécurité permettaient de prendre le contrôle à distance des caméras Nest Cam IQ

Même les caméras de Google ne sont pas à l’abri de vulnérabilités potentiellement importantes. Grand nom de la tech oblige, ces failles ont, bien entendu, été rapidement corrigées.

Les chercheurs en sécurité de Cisco Talos ont révélé une petite dizaine de failles de sécurité dans les caméras de surveillances Nest Cam IQ. La plus importante d’entre elles permettait de casser à distance le code d’appairage de la caméra et, le cas échéant, d’en prendre le contrôle total. Un attaquant pouvait dès lors espionner les locaux de l’utilisateur.

Une autre faille très importante faisait fuiter des données potentiellement sensibles stockées sur la caméra, telles que les données de configuration. Deux failles permettaient par ailleurs d’exécuter du code arbitraire sur l’appareil. Enfin, quatre failles ouvraient la voie à des attaques par déni de service.

Toutes ces failles ont été notifiées auprès de Google qui les a corrigées rapidement. Pour cela, la mise à jour s’installe automatiquement, à condition que la caméra soit connectée au Wi-Fi. Il est possible de le vérifier à la main. Pour cela, il suffit d’ouvrir l’application mobile, d’aller dans « Paramètres -> Informations techniques » et de relever le numéro de version de la caméra. Celui-ci doit être supérieur ou égal à 4620002.     

Source : Cisco Talos

ParDamien

Prévenir, détecter et survivre au cryptojacking

Dans le monde du cybercrime, certains se servent de tactiques de ransomwares ou passent par des sites web infectés pour détourner des ordinateurs et les utiliser pour le minage malveillant de crytomonnaies. Cette pratique est connue sous le nom de cryptojacking. Comment faire pour empêcher ce genre de piratage ?

Le cryptojacking consiste à utiliser sans autorisation l’ordinateur d’un individu pour faire du minage de cryptomonnaie. Pour détourner un ordinateur, les pirates peuvent envoyer un lien malveillant par courriel dans le cadre d’une campagne de phishing : en cliquant sur le lien, la victime va charger un code de chiffrement de monnaie sur l’ordinateur. Ils peuvent aussi infecter un site web ou une publicité en ligne avec un code JavaScript qui s’exécute automatiquement, une fois la page chargée dans le navigateur de la victime. Peu importe la méthode, le code de chiffrement fonctionnera en arrière-plan, car les victimes ne se doutent de rien, puisqu’elles peuvent utiliser leur ordinateur normalement. Le seul symptôme qu’elles pourraient constater, c’est une baisse de performance de leur machine ou des lenteurs dans l’exécution des tâches.

Personne ne sait avec certitude quelle quantité de cryptomonnaie est extraite par cryptojacking, mais il ne fait aucun doute que cette pratique est endémique. Au début, le minage malveillant de crytomonnaies via le navigateur des victimes a connu un développement rapide, mais cette méthode a semble-t-il perdu du terrain, probablement à cause de la volatilité de la cryptomonnaie. En novembre 2017, Adguard, l’éditeur de bloqueurs de publicité et de logiciels de protection de la vie privée, a fait état d’un taux de croissance de 31 % du cryptojacking par navigateur. Ses recherches ont permis de trouver 33 000 sites web exécutant des scripts de cryptomining. Adguard a estimé que, combinés ensemble, ces sites totalisaient un milliard de visiteurs mensuels.

Coinhive, le mineur JavaScript le plus connu

En février 2018, le chercheur en sécurité Bad Packets Report a identifié 34 474 sites exécutant Coinhive, le mineur JavaScript le plus connu, également utilisé pour des activités légitimes de cryptomining. En juillet 2018, Check Point Software Technologies, un fournisseur mondial de solutions de sécurité informatique, avait signalé que quatre des dix principaux logiciels malveillants qu’il avait découverts étaient des mineurs de cryptomonnaie, Coinhive et Cryptoloot arrivant en tête. Pourtant, le rapport « Cybersecurity Threatscape Q1 2019 » sur la cybersécurité publié par Positive Technology montre que le cryptominage ne représente plus que 7% de toutes les attaques, contre 23%, début 2018. Ce rapport suggère que les cybercriminels délaissent le minage malveillant de crytomonnaies au profit des ransomwares, perçus comme plus rentables.

« Le minage de crytomonnaies n’en est qu’à ses débuts. Il faut s’attendre à des évolutions et à une croissance importante de cette pratique », met de son côté en garde Marc Laliberte, analyste spécialisé dans les menaces du fournisseur de solutions de sécurité réseau WatchGuard Technologies. Il note que Coinhive est facile à déployer et qu’il a généré 300 000 dollars de revenus le premier mois après sa sortie. « C’est de l’argent facile. Et ce chiffre a encore augmenté depuis ». En janvier 2018, des chercheurs ont découvert le réseau de botnets de minage de cryptomonnaie appelé Smominru. Celui-ci a infecté plus d’un demi-million de machines, principalement en Russie, en Inde et à Taiwan. Le botnet ciblait les serveurs Windows pour exploiter Monero. Selon l’entreprise de cybersécurité Proofpoint, Smominru avait généré près de 3,6 millions de dollars en valeur fin janvier.

Des kits de cryptominage à 30 $

Le minage malveillant de crytomonnaies ne nécessite même pas de compétences techniques importantes. Selon le rapport de Digital Shadows intitulé « The New Gold Rush Cryptocurrencies Are the New Frontier of Fraud », on peut acheter des kits de cryptojacking sur le Dark web pour à peine 30 dollars. Mais la vraie raison pour laquelle le cryptojacking est populaire auprès des pirates informatiques, c’est qu’ils peuvent gagner plus d’argent avec moins de risques. « Pour les pirates, le minage malveillant de crytomonnaies coûte moins cher et il est plus rentable que les ransomwares », a déclaré Alex Vaystikh, directeur technique et cofondateur de SecBI, une start-up israélienne spécialisée dans le développement de solutions de cyber sécurité. « Avec un logiciel de ransomware, le pirate arrive à extorquer de l’argent à trois personnes pour 100 ordinateurs infectés », a-t-il expliqué. Avec le cryptojacking, les 100 machines infectées travaillent toutes pour le hacker pour extraire la cryptomonnaie. « Le pirate pourrait récolter autant d’argent qu’avec le paiement de trois rançons, mais le cryptomining génère continuellement de l’argent », a-t-il ajouté.  

Un autre avantage certain, c’est que le risque d’être pris et identifié est également beaucoup moins élevé que l’utilisation d’un ransomware. Le code de cryptomining fonctionne très discrètement et peut passer inaperçu pendant longtemps. Une fois découvert, il est très difficile de remonter jusqu’à la source, et les victimes n’ont pas beaucoup de raison de lancer une enquête, puisque rien n’a été volé ou crypté. Les pirates préfèrent aussi les cryptomonnaies anonymes comme Monero et Zcash à des crytomonnaies plus populaires comme Bitcoin parce qu’avec ces cryptomonnaies, il est plus difficile de remonter jusqu’à eux.

Deux méthodes pour détourner l’ordinateur d’une victime

Les pirates disposent principalement de deux méthodes pour détourner l’ordinateur d’une victime et l’utiliser pour extraire secrètement des cryptomonnaies. La première consiste à piéger la victime en la poussant à charger un code de cryptomining sur leur ordinateur. Pour cela, ils utilisent des tactiques d’hameçonnage bien connues : les victimes reçoivent un courriel en apparence légitime et cliquent sur un lien qui va exécuter un code qui provoque le chargement d’un script de cryptomining sur l’ordinateur. Le script s’exécute ensuite en arrière-plan pendant que la victime travaille. L’autre méthode consiste à injecter un script sur un site web ou une publicité diffusée sur plusieurs sites. Quand les victimes visitent le site ou que la publicité infectée apparaît dans leur navigateur, le script s’exécute automatiquement. Aucun code n’est stocké sur les ordinateurs des victimes. Quelle que soit la méthode utilisée, le code exécute des formules mathématiques complexes sur les ordinateurs des victimes et envoie les résultats à un serveur contrôlé par les pirates. Ces derniers recourent souvent aux deux méthodes pour maximiser leur rendement. « Les attaques utilisent les astuces qui prévalaient avec les vieux malwares pour déposer des logiciels plus fiables et plus persistants sur les ordinateurs des victimes en guise de solution de repli », a encore expliqué M. Vaystikh. Par exemple, sur 100 minages malveillants d’extraction de cryptomonnaies, 10 % génèrent des revenus à partir du code chargé sur les machines des victimes, et 90 % génèrent des revenus depuis un navigateur web.

Contrairement à la plupart des autres malwares, les scripts de cryptojacking n’endommagent pas les ordinateurs ou les données des victimes. Ils volent des ressources processeur. Mais si, pour un utilisateur lambda, la baisse de performance de sa machine est au plus un désagrément, ce n’est pas le cas pour une entreprise dont plusieurs machines ont été piratées. Le cryptojacking peut se traduire par des coûts réels en terme d’assistance et de temps pour trouver la cause des problèmes de performance. L’entreprise peut aller jusqu’à remplacer des composants ou des systèmes dans l’espoir de résoudre le problème.

PowerGhost, variante de MinerGate, BadShell…

Les méthodes de détournement utilisées pour le cryptominage sont souvent dérivées de celles exploitées par d’autres types de malwares, tels que les ransomwares ou les adwares, constate Travis Farral, directeur de la stratégie de sécurité chez Anomali. En voici quelques exemples. PowerGhost a été décrit dans le rapport Illicit Cryptocurrency Mining Threat de la Cyber Threat Alliance. Il a été en premier lieu analysé par Fortinet. De son côté, Palo Alto Networks a analysé une variante de MinerGate capable de détecter les mouvements de la souris afin de suspendre ses activités de minage pendant l’utilisation de l’ordinateur. L’objectif étant d’éviter que la baisse de performance de la machine soit repérée. Découvert par Comodo Cybersecurity, BadShell utilise des processus Windows légitimes pour perpétrer son cryptominage. Un script PowerShell injecte le code du malware dans un processus d’exécution existant.

Sur la conférence EmTech Digital, en mars, Darktrace a relaté l’histoire d’un client, une banque européenne, qui avait identifié des événements inhabituels sur ses serveurs, liés à un ralentissement de ses processus exécutés pendant la nuit. Une inspection plus poussée a révélé qu’un employé malveillant avait installé un système de cryptominage. Toujours en mars dernier, Avast Software a rapporté que des logiciels de cryptojacking utilisaient GitHub comme hôte pour un malware de cryptominage. Des forks ont été créés à partir de projets légitimes. Le malware est alors caché dans la structure du répertoire de ce projet dérivé. En utilisant un schéma de phishing, les cybercriminels abusent les utilisateurs en leur faisant télécharger ce malware à travers, par exemple, une alerte de mise à jour de leur lecteur Flash ou en proposant un site de contenus pour adultes. Un autre exemple montre que des cryptojackers ont découvert une faille rTorrent liée à une mauvaise configuration qui permet d’accéder à certains clients rTorrent sans authentification sur une communication XML-RPC. Ils scannent Internet pour trouver des clients exposés sur lesquels ils déploient ensuite un cryptominer Monero. F5 Networks a révélé cette faille en février.

Facexworm, WinstarNssmMiner, CoinMiner…

Le malware Facexworm a pour sa part été découvert en premier par Kaspersky Labs en 2017. C’est une extension de Google Chrome qui utilise Facebook Messenger pour infecter les ordinateurs. Au départ, Facexworm diffuse des adwares. Au début de l’année, Trend Micro a trouvé une variante qui ciblait les échanges de cryptodevises et qui était capable de diffuser du code de cryptominage, toujours en infectant les comptes Facebook pour transmettre les liens malveillants. Au passage, les identifiants des comptes peuvent être volés, ce qui permet d’injecter du code de cryptojacking dans ces pages web. En mai, 360 Total Security a identifié un cryptominer qui se propage rapidement et s’avère efficace. Sous le nom de WinstarNssmMiner, ce malware réserve aussi une mauvaise surprise à quiconque cherche à le supprimer : il plante l’ordinateur.

Le cryptojacking s’est suffisamment répandu pour que les pirates conçoivent leurs malwares de telle façon qu’ils puissent trouver et supprimer les cryptominers qui fonctionnent déjà sur les systèmes qu’ils infectent.  C’est le cas de CoinMiner qui, selon Comodo, cherche la présence d’un processus AMDDriver64 sur les systèmes Windows. Avec CoinMiner, on trouve deux listes, $malwares et $malwares2, qui contiennent les noms des processus connus pour être utilisés par d’autres cryptominers, ce qui permet ensuite de détruire ces processus.

Une campagne ciblant les routeurs MikroTik

En septembre 2018, Bad Packets a rapporté qu’il avait surveillé plus de 80 campagnes de cryptojacking qui ciblaient les routeurs MikroTik, fournissant la preuve que des centaines de milliers d’équipements étaient compromis. Les campagnes exploitent une faille connue (CVE-2018-14847) pour laquelle MikroTik a fourni un correctif. Tous les utilisateurs ne toutefois pas installé. Comme MikroTik produit des routeurs pour les opérateurs, les auteurs de cryptojacking avaient un large accès aux systèmes susceptibles être infectés.

ci-dessous, présente les bonnes pratiques pour s’en prémunir, détecter une attaque et la contrer.

1 – Comment prévenir le cryptojacking 

– Formation des utilisateurs. Pour minimiser les risques d’être victime de cryptojacking, les entreprises peuvent mettre en place différentes mesures. Il convient d’abord d’introduire la menace dans les formations de sensibilisation à la sécurité, en mettant l’accent sur les tentatives de type phishing qui déclenchent le chargement de scripts sur les ordinateurs des utilisateurs. « La formation contribuera à vous protéger alors que les solutions techniques peuvent échouer », explique Marc Laliberté, analyste spécialisé dans les menaces chez WatchGuard Technologies. Ce dernier estime que le phishing restera la principale méthode pour la diffusion des malwares de tout type.  

– Installation d’ad-blockers ou d’extensions. La formation des employés ne suffira pas si le cryptojacking s’auto-exécute lors de la visite de sites web légitimes. « Il n’est pas évident de dire aux utilisateurs quels sont les sites web sur lesquels ils ne doivent pas aller », note Alex Vaystikh, cofondateur et CTO de SecBI. L’une des premières mesures de prévention du cryptojacking est la mise en place de bloqueurs de publicité ou d’extensions anti-cryptominage sur les navigateurs web. Puisque les scripts de cryptojacking sont souvent délivrés à travers des publicités sur le web, installer un ad-blocker peut être un moyen efficace de les arrêter. Certains de ces outils, comme Ad Blocker Plus, peuvent détecter ces scripts. Marc Laliberte recommande pour sa part des extensions comme No Coin et MinerBlock, qui ont été conçues pour les repérer et les bloquer. 

– Logiciel antivirus et filtrage. On peut également recourir à un logiciel de protection du terminal capable de détecter les crypto miners connus. De nombreux éditeurs de logiciels antivirus ont ajouté cette fonction dans leur produit. « L’antivirus peut constituer un bon moyen de protéger les postes du cryptominage », estime Travis Farral, directeur de la stratégie de sécurité chez Anomali. Il faut juste être averti que les auteurs de programmes de cryptominage changent constamment leurs techniques afin, justement, de ne pas être détectés par l’ordinateur. 

L’équipe informatique doit par ailleurs vérifier que ses outils de filtrage sont bien mis à jour. Si une page web délivrant des scripts de cryptojacking est repérée, elle doit s’assurer que les utilisateurs ne pourront pas y accéder. Il faut surveiller les extensions des navigateurs. Certains attaquants utilisent des extensions malveillantes ou bien infiltrent les extensions légitimes pour exécuter des scripts de cryptominage.

– S’appuyer sur le MDM. Pour les équipements mobiles, utiliser une solution de MDM (mobile device management) permet de mieux contrôler ce qui se trouve sur les terminaux des utilisateurs. Les politiques BYOD (bring your own device) représente un défi lorsqu’il s’agit de prévenir le cryptominage. « Le MDM peut contribuer grandement à la sécurité du BYOD », confirme Marc Laliberte. Ces  solutions aident à gérer les apps et les extensions sur les terminaux des utilisateurs. Elles s’adressent plutôt aux grandes entreprises et les plus petites ne peuvent pas se les offrir. Cela dit, M. Laliberte note que les mobiles ne sont pas aussi vulnérables que les postes de travail et les serveurs parce qu’ils ont moins de puissance de traitement. Ils sont donc moins intéressants pour les hackers. 

Aucune des bonnes pratiques énumérées ci-dessus n’est infaillible. Sur ce constat et compte-tenu de l’augmentation du cryptojacking, une société comme Coalition, spécialisée dans la couverture du cyber-risque, a créé un service d’assurance couvrant la fraude. Il propose de rembourser les entreprises des pertes financières directes liées à une utilisation frauduleuses de ses services métiers. Cela inclut le cryptominage. 

2 – Comment détecter le cryptominage

Tout comme les ransomwares, le cryptojacking peut affecter une entreprise en dépit de tous les efforts déployés pour s’en prémunir. Il peut être difficile de détecter que l’on en est victime, en particulier s’il n’y a que quelques systèmes qui ont été compromis. Il ne faut pas compter sur ses outils de protection des terminaux pour mettre fin au crypominage. « Le code peut se dissimuler des outils de détection qui s’appuient sur les signatures », prévient M. Laliberte. « Les outils antivirus pour desktop ne les voient pas ».  

– Former le helpdesk. Pour détecter une activité suspecte de cette nature, il faut au préalable former ses équipes de helpdesk à repérer les signe de cryptominage. Quelquefois, la première indication est une hausse des plaintes sur la lenteur des performances des ordinateurs, pointe M. Vaystikh, de SecBI. Cela doit constituer un indice pour enquêter plus avant. L’équipe de helpdesk doit également vérifier s’il n’y a pas une surchauffe des systèmes qui pourrait causer de pannes sur les CPU ou sur les ventilateurs, ajoute M. Laliberte. « La chaleur [provenant d’une utilisation excessive des CPU] pourrait endommager et réduire la durée de vie des équipements », indique-t-il. C’est particulièrement vrai en ce qui concerne les terminaux mobiles tels que les tablettes et les smartphones. 

– Surveiller le trafic réseau. On peut aussi passer par une solution de monitoring du réseau. M. Vaystikh explique que le cryptojacking est plus facile à repérer dans un réseau d’entreprise que chez les particuliers car les solutions grand public de protection ne le détecte généralement pas. C’est facile en revanche pour les applications de surveillance du réseau dont sont équipées la plupart des grandes organisations. Cela dit, toutes ne disposent pas d’outils capables d’analyser l’information permettant une détection précise. SecBI a notamment développer une solution basée sur l’intelligence artificielle pour analyse les données du réseau afin de détecter le cryptominage et d’autres menaces spécifiques. Marc Laliberte, de WatchGuard Technology, estime que la surveillance du réseau est le meilleur moyen de repérer ce type d’activité souterraine : « En passant en revue l’ensemble du trafic we, on a plus de chance de détecter des cryptominers ». De nombreuses solutions de monitoring mènent des inspections qui descendent jusqu’à l’activité de chaque utilisateur afin de pouvoir identifier quels sont les terminaux affectés. « Si vous avez un bon filtre sur un serveur sur lequel vous surveillez la mise en oeuvre de connexions externes, cela peut constituer un bon moyen de détecter les malwares de cryptomining », estime M. Farral. Il avertit cependant que les auteurs de cryptominers peuvent aussi concevoir leurs malwares pour esquiver cette méthode de détection. 

– Inspecter ses sites web. Il faut aussi surveiller ses propres sites web pour y rechercher d’éventuels codes de cryptominage. M. Farral explique que les cryptojackers trouvent des moyens de glisser des bits de code Javascript sur les serveurs web. « Le serveur lui-même n’est pas la cible, mais quiconque visite le site web risque d’être infecté », rappelle-t-il. Il recommande donc de vérifier régulièrement s’il n’y a pas eu de changements dans les fichiers sur le serveur web ou de modifictions sur les pages web elles-mêmes. 

– S’informer en permanence. Il convient enfin de se tenir au courant des tendances de cryptojacking. Les méthodes de diffusion et les code de cryptominage eux-mêmes évoluent constamment. La compréhension du logiciel et des comportements peut aider à détecter ces activités, souligne encore Travis Farral. « Une organisation avisée doit se maintenir informée sur ce qui se passe ». Dès lors que l’on comprend par quels mécanismes ce type d’activité se diffuse, on saura identifier que tel kit d’exploitation va être utilisé pour diffuser des programmes de cryptojacking. Les protections contre ces kits d’exploitation permettront de se prémunir d’une infection par cryptominer, explique le directeur de la stratégie sécurité chez Anomali.

3 – Comment répondre à une attaque de cryptojacking

– « Tuer » les scripts. Lorsqu’il s’agit d’attaques Javascript passant par le navigateur web, la solution est simple une fois que le cryptominage est détecté. On supprime l’onglet du navigateur qui exécute le script. L’équipe informatique devrait à ce moment-là noter l’URL du site web d’où vient le script afin de mettre à jour les filtres web de l’entreprise pour la bloquer. Il faut alors envisager de déployer des outils anti-cryptominage pour aider à prévenir de futures attaques.

– Mettre à jour les extensions. « Si une extension infecte le navigateur, cela ne servira à rien de fermer l’onglet », précise Marc Laliberte, de WatchGuard. « Il faut mettre à jour toutes les extensions et supprimer celles dont on n’a pas besoin ou qui sont infectées ». 

– Apprendre et s’adapter. L’expérience doit permettre de mieux comprendre l’attaquant a pu compromettre les systèmes. Il faut actualiser les formations des utilisateurs, de l’équipe de helpdesk et de l’équipe IT pour qu’ils soient mieux armés pour identifier les tentatives de cryptojacking afin de pouvoir réagir en conséquence.

Sources : Lemondeinformatique

ParDamien

Piratage : un faux site NordVPN récupère vos données bancaires

Des experts en sécurité ont mis au jour une campagne de piratage qui touche plusieurs sites web, dont NordVPN.

Avec la multiplication des menaces sur internet, les VPN ont gagné en popularité. Effet pervers : cela attise l’intérêt de personnes malintentionnées. Des pirates ont ainsi réalisé une copie du site web de NordVPN afin de dérober les données bancaires des utilisateurs.

La manigance a été révélée par des chercheurs en sécurité de Dr.WEB. Un design identique au site original, une adresse web très proche (.club au lieu de .com) et un certificat SSL valide, la formule est parfaitement rodée. Le cheval de Troie « Win32.Bolik.2 » s’installe en même temps que la véritable application NordVPN, chez les utilisateurs qui la téléchargent via le site frauduleux, ouvrant ainsi une porte dérobée sur l’ordinateur. Le pirate n’a alors plus qu’à se servir et récupérer toutes les données sensibles dont il a besoin. 

NordVPN n’est pas le seul site concerné 

Toujours selon Dr.WEB, plusieurs sites internet seraient concernés. Une véritable offensive, lancée le 8 août dernier, qui toucherait principalement « un public anglophone« . Dernièrement, des sites web de programmes de bureautique ont aussi été clonés, tels que invoicesoftware360 ou clipoffice. Le cheval de Troie « Win32.Bolik.2 » était alors accompagné du malware PWS.Stealer.

Veillez à bien vérifier le nom de domaine lorsque vous accédez à un site web et redoublez d’attention, il est très facile de se faire piéger. Comme le rapporte nos confrères de 01net, le site n’est plus actif, mais il est possible qu’il réapparaisse sous un autre nom.

 Source : Dr.Web et CNETFrance
ParDamien

DAS : de nombreux fabricants dépasseraient la limite légale

Apple et Samsung sont notamment cités dans l’enquête du Chicago Tribune.

Une enquête du Chicago Tribune révèle que de nombreux smartphones dépasseraient la limite de DAS mis en place par les autorités sanitaires. Le Débit d’absorption spécifique (DAS) est un indice qui permet de déterminer le rayonnement électromagnétique émis par un appareil radioélectrique, par exemple un smartphone. Cette limite réglementaire est fixée à 2 W/kg dans l’Union européenne et 1,6 W/kg aux États-Unis.

Un manque de transparence ? 

Comme le rappelle 60 millions de consommateurs, les effets de ces ondes « font l’objet de débats scientifiques » et sont sujets à caution. De nombreux facteurs sont à prendre en compte, comme l’intensité, la distance ou le taux d’exposition. Mais il faut bien avouer que l’opacité qui entoure le processus de test amène à se poser des questions. Selon le quotidien américain, les fabricants n’ont qu’un seul téléphone à faire passer, ils choisissent eux-mêmes le laboratoire et déterminent la distance de la mesure (jusqu’à 25 mm). Une souplesse qui a poussé le Chicago Tribune a réalisé ses propres tests. 

Samsung et Apple seraient concernés

Résultat, dans des conditions de test plus réalistes, de nombreuses marques seraient au-dessus des normes en vigueur ; Motorola, Apple, Samsung et BLU sont notamment citées. L’iPhone 8 afficherait un DAS de 2,64 W/kg à 2 mm de distance, et l’iPhone 7 atteindrait 2,81 W/kg. Mais les résultats sont encore plus inquiétants pour Samsung. Le Galaxy S9 atteindrait 3,8 W/kg à 2 mm de distance, le Galaxy S8 8,22 W/kg.

Cette affaire n’est pas sans rappeler celle du DieselGate qui a éclaboussé tout le secteur automobile. Depuis, un nouveau cycle d’homologation a été mis en place afin de calculer en condition réelle les émissions de Co2 des voitures. Les choses vont peut-être aller dans ce sens pour les appareils radioélectriques.

Sources : CNETFrance

ParDamien

Black Hat 2019 : « La culture de la sécurité doit changer », selon Dino Dai Zovi

Lors de la conférence Black Hat qui s’est tenue du 3 au 8 août à Las Vegas, Dino Dai Zovi a plaidé pour l’adoption d’une nouvelle culture de la sécurité. Aujourd’hui, la sécurité est l’affaire de tous et les risques sont partagés. L’automatisation avec boucles de feedback est également essentielle pour répondre aux défis d’une sécurité à l’échelle.

La sécurité est l’affaire de tous, a insisté Dino Dai Zovi, ingénieur chez Square, sur la conférence Black Hat 2019. (Crédit : Black Hat)

Lors de son discours d’ouverture précédé par des éclairages et des effets sonores rock, l’ingénieur en sécurité de Square, Dino Dai Zovi, a déclaré à la foule venue l’écouter que la culture était un levier essentiel pour automatiser la sécurité dans l’entreprise. « En affirmant que la sécurité est l’affaire de tous, vous favoriserez une attitude plus responsable qui comprend que les risques sont partagés, mais vous valorisez aussi la coopération et épargnerez le porteur de mauvaise nouvelle », a déclaré Dino Dai Zovi. Alors que le monde fait face à une pénurie massive de compétences en cybersécurité, il faut inciter les équipes chargées de la sécurité des SI, dont les injonctions crissent comme les ongles sur un tableau noir, à être plus ouvertes. « Nous ne sommes plus des étrangers », a-t-il déclaré. « Nous faisons partie des mêmes communautés et des mêmes organisations et nous devons réfléchir à la meilleure façon de mettre cette réalité à profit pour améliorer la sécurité ».

Pour Dino Dai Zovi, la sécurité doit devenir la responsabilité de chacun et l’échec doit être perçu comme un moyen de s’améliorer, et non comme un motif pour blâmer un coupable. C’est, selon lui, le meilleur moyen de diffuser une culture de la sécurité dans l’entreprise. « Il faut encourager la participation de chacun et commencer par dire « oui » au lieu de « non ». C’est mieux, pour engager une conversation, et c’est aussi plus constructif », a-t-il ajouté. « Ça veut dire que l’on veut aider à résoudre les problèmes et améliorer la sécurité. Ce genre d’attitude peut entraîner un vrai changement et avoir un réel impact ».

Le DevSecOps, clé du succès pour l’avenir

Dire « oui » c’est aussi dire « oui » au DevSecOps. Le logiciel s’empare du monde et de la sécurité en même temps. « L’intégration de la sécurité dans les DevOps, tant sur le plan culturel que technique, est essentielle », a encore affirmé l’ingénieur en sécurité de Square. Les défenseurs sont en surnombre et ont besoin d’utiliser des logiciels pour étendre leurs défenses. L’automatisation des logiciels peut permettre de décupler ses forces quand les adversaires ont plus de ressources et de personnels que vous. Chez Square, les ingénieurs de la sécurité ont dû écrire du code comme le reste de l’entreprise, ce qui a beaucoup favorisé la collaboration et l’empathie », a-t-il encore déclaré lors de sa présentation.

« Un élément est souvent négligé pour réussir une approche DevSecOps », a-t-il ajouté. « Il ne faut pas se limiter à la fiabilité, il faut aussi de l’observabilité. Sans sérieuse boucle de rétroaction pour mesurer le bon fonctionnement de l’automatisation, les choses peuvent rapidement dérailler. « Se concentrer exclusivement sur la fiabilité, c’est comme construire un coffre-fort et l’abandonner dans un parking », a-t-il expliqué. « Les équipes de sécurité ne peuvent pas sécuriser ce qu’elles ne voient pas. L’accepter éviterait à des ingénieurs DevOps d’exécuter leur modèle sur une instance cloud aléatoire avec des données d’entreprise, et garantirait que la sécurité est intégrée à chaque étape du processus DevOps, sans besoin de resserrer les boulons après coup ».

La sécurité d’entreprise, c’est comme le parachutisme

« Les professionnels de la sécurité pourraient s’inspirer de toutes les améliorations de sécurité apportées aux parachutes au cours des 50 dernières années », a déclaré Dino Dai Zovi, lui-même parachutiste. Ce dernier a cité l’exemple de Bill Booth, pionnier légendaire de la sécurité dans le parachutisme. En effet, ce « savant fou », a inventé plusieurs des dispositifs de sécurité appliqués depuis dans le monde entier. « Personne n’a réglementé ces changements », a souligné l’ingénieur en sécurité de Square. « Quand Bill Booth a demandé : « Comment puis-je être plus en sécurité en sautant d’un avion ? » Il n’y avait pas d’expert en sécurité pour dire : « Avez-vous envisagé de ne pas sauter ? »

La métaphore est bien sûr, loin d’être parfaite. Sécurité et sûreté ne sont pas équivalentes. En règle générale, il n’y a pas de parachutiste adverse qui cherche à déchiqueter votre parachute en plein vol. Néanmoins, la métaphore vaut la peine d’être méditée. Les entreprises peuvent-elles permettre des activités à première vue dangereuses – sauter d’un avion – mais qui, après mûre réflexion, ne sont peut-être pas aussi dangereuses qu’elles l’imaginaient ? « Les humains ont tendance à surestimer les risques comme le terrorisme ou les failles zero-days et à sous-estimer les risques de maladies cardiaques ou d’attaques par bourrage d’identifiants ». L’équipe de sécurité existe pour permettre à l’entreprise son activité, et non l’inverse. Au départ, la meilleure chose à faire serait plutôt de réfléchir soigneusement sur la véritable nature des risques et à la façon de les atténuer.

Manque d’empathie et pénurie de compétences en codage

Si, comme on peut le penser, Dino Dai Zovi a raison, cela signifie que les professionnels de la cybersécurité de demain auront besoin de meilleures compétences en codage et, surtout, de plus de compétences en général. L’empathie, la communication, la compréhension ont longtemps fait défaut dans les tranchées de la sécurité, et il est clair que cette culture héritée est aujourd’hui contre-productive pour assurer une mission de sécurisation globale. Il est facile d’automatiser les fonctions de sécurité à l’aide d’un logiciel. C’est un peu plus difficile de provoquer un changement culturel radical où la sécurité devient la responsabilité de tous et où les équipes de sécurité sont plus aimables, plus compréhensives et témoignent de plus d’empathie.

%d blogueurs aiment cette page :