Le cyberblog du coyote

 

Extra

Editorial

Ce blog a pour objectif principal d'augmenter la culture informatique de mes élèves. Il a aussi pour ambition de refléter l'actualité technologique dans ce domaine.

mercredi 19 septembre 2012

Faille de sécurité dans Internet Explorer 6, 7, 8 et 9

Une faille de sécurité compromet les navigateurs Microsoft Internet Explorer 6, 7, 8 et 9. Aucun correctif n'est disponible pour l'instant, cependant Microsoft propose, entre autres, d'installer Enhanced Mitigation Experience Toolkit (EMET), un utilitaire qui protège contre ce type de vulnérabilité. Plusieurs firmes de sécurité, plus pragmatiques, recommandent tout simplement d'utiliser un autre navigateur.
En pratique, un script malveillant pourrait être incorporé dans un email, une page d'un site créé pour l'occasion ou hacké. Via une faille dans la réutilisation des zones de mémoire du navigateur, le script pourrait exécuter du code, et donc infecter l'ordinateur ou voler des documents. Ce type de script circule déjà, et il est donc vivement recommandé de se protéger immédiatement.

Source : Sur-la-Toile

vendredi 3 août 2012

Rakshasa, Flashback... des virus informatiques de plus en plus tenaces

Certains virus informatiques deviennent de plus en plus difficiles à détecter et à éradiquer, mettant en danger les ordinateurs connectés du monde entier. Futura-Sciences fait le point sur les nouvelles formes d’intelligence dont ils font preuve à partir de deux exemples présentés lors de la conférence Black Hat 2012 de Las Vegas : Flashback et Rakshasa.

S’il y a belle lurette qu’ils n’effacent plus en quelques secondes toutes les données d’un disque dur, si les éditeurs de logiciels antivirus fournissent des outils de plus en plus efficaces et réactifs pour les contrer, les virus informatiques (et de manière générale, les malwares qui pullulent via Internet) restent tout de même très dangereux. Ils sont notamment capables de dérober de nombreuses données personnelles comme des mots de passe de connexion (à son Webmail, à sa banque en ligne, etc.) ou de lancer des attaques contre des sites et des systèmes informatiques afin d’empêcher leur bon fonctionnement.
Aucun ordinateur connecté ou presque n’est à l’abri, notamment ceux fonctionnant sous Windows ou Mac OS. Longtemps réputé inviolable, le système d’exploitation d’Apple a d’ailleurs été l’objet, cette année, d’une attaque de grande envergure de la part du virus Flashback. À son apogée, ce dernier avait réussi à contaminer plus de 600.000 Mac dans le monde, créant une belle panique et obligeant Apple et les éditeurs d’antivirus à se liguer pour trouver un correctif le plus rapidement possible. Ce qui fut fait au bout de quelques jours, décimant littéralement l’armée d’ordinateurs piratés en un peu plus d’une semaine.

Une technologie semblable à celle des DRM

Mais il sera difficile de faire entièrement disparaître ce virus Flashback et d'éviter qu’un de ses descendants n'arrive un jour à faire la même « carrière ». Paul Royal, chercheur à l’Institut de technologie de Géorgie (Atlanta, États-Unis) et plus particulièrement à sa division GTISC (Georgia Tech Information Security Center) a profité de la conférence Black Hat, qui s’est tenue à Las Vegas du 21 au 26 juillet dernier, pour démontrer sa perversité d’un nouveau genre.
Chaque exemplaire de Flashback (et de plus en plus de virus) est unique. C'est-à-dire qu’en s’installant sur un ordinateur, il crypte certaines parties de son code à partir d’informations ou d’éléments glanés sur le système contaminé. Cette méthode de marquage individuel de chaque virus se veut semblable à la technologie des DRM (Digital Rights Management) qui protège des fichiers numériques comme des chansons MP3 ou des films DivX contre la copie et identifie précisément chacun d’entre eux. À la différence que le but n’est pas de lutter contre le piratage mais d’empêcher l’analyse du virus sur un ordinateur différent.
Plus précisément, ce cryptage interdit l’analyse automatisée qu’effectuent les antivirus – sur les serveurs de leurs éditeurs – à partir d’échantillons de virus glanés sur les PC infectés, afin de compiler leurs caractéristiques communes et d’en dégager une « signature » qui permettra de les détecter à coup sûr. Or, si ces caractéristiques communes sont réduites à néant ou presque, il devient difficile, voire impossible, de dégager une signature. Tout du moins de manière automatisée. Un éditeur comme Symantec indique avoir procédé à l’analyse automatique de 403 millions de variantes de malwares en 2011 (contre 286 millions en 2010), pour obtenir une base active de 19 millions de signatures. Un travail impossible à réaliser manuellement, ou alors à un coût prohibitif. « Pour les antivirus, cela complique singulièrement les choses compte tenu de la quantité astronomique de malwares qui prolifèrent. Si cette technique est massivement adoptée par les pirates et les créateurs de virus, ces derniers prendront l’avantage en rendant les systèmes d’analyse automatisée des éditeurs inopérants », a expliqué Paul Royal lors de sa présentation.

Rakshasa : un virus réplicateur dans le Bios

Mais ce n’est pas là le seul danger qui guette nos ordinateurs à cause de ces virus intelligents. Toujours lors de la conférence Black Hat, le Français Jonathan Brossard, expert en sécurité et directeur général de Toucan System, a montré sa création, baptisée Rakshasa. Il s’agit d’un malware conçu à partir des Bios (Basic Input Output System) open source Coreboot et SeaBIOS, capable de s’introduire dans un ordinateur par Internet – ou d’être introduit « manuellement » lors de son assemblage – et de remplacer son Bios en étant donc intégré directement à la carte mère. Le nettoyage du disque dur par l’antivirus, et même son remplacement par un disque neuf, ne sert à rien : le PC reste vérolé. Idem si l’on arrive à comprendre ce qui s'est passé et à nettoyer ou changer le Bios, puisque Rakshasa réussit à se glisser dans la mémoire vive de tous les périphériques reliés à la carte mère (lecteur CD-Rom, carte réseau, etc.) pour pouvoir se réinjecter ensuite dans le Bios fraîchement épuré. « Si quelqu’un réussit à installer un tel malware sur un ordinateur neuf, il le contamine à vie et peut ainsi "posséder" son propriétaire, décrit Jonathan Brossard, précisant qu’un autre scénario d’attaque peut consister à vous contaminer lorsque vous achetez une carte réseau. »
Nettoyer un ordinateur d’un virus classique est aujourd’hui chose aisée. Supprimer un malware de Bios intelligent comme Rakshasa demande de toutes autres compétences et autrement plus de temps puisqu’il faudrait reprogrammer un à un tous les composants reliés à la carte mère. Tout cela laisse augurer encore de beaux jours pour le chassé-croisé permanent entre pirates et éditeurs d’antivirus, en espérant que les premiers ne prennent pas une avance irrémédiable, dans les prochains mois, sur les seconds, grâce à ces nouvelles techniques malignes.

Source : Futura-Sciences

dimanche 17 juin 2012

200 PlayStation décryptent votre mot de passe

Lorsqu’il explique que, quelques étages sous son bureau, il possède un réseau de 220 PlayStation, Arjen Lenstra est habitué à faire face à tous types de réactions. Il y a ceux qui pensent à un gag. Ceux qui sont intrigués ou incrédule. «D’autres estiment que ça ne fait pas très sérieux et que ce type de matériel n’est guère compatible avec la réputation d’une grande école comme l’EPFL», s’amuse le professeur.
Le sous-sol, pourtant, n’a rien d’une salle de jeux. Les consoles sont alignées dans d’immenses armoires. Un bruit sourd de ventilateurs remplit la pièce. Au centre, un seul et unique écran, austère, qui sert à programmer les machines. «Allez, choisissez un mot de passe de six caractères qui comprend à la fois des lettres et des chiffres, nous allons essayer de le décoder», invite l’assistant du professeur, Maxime Augier. Le sésame est ensuite encrypté. Ainsi «alis834» devient «9812 eb6d 77d5 818a 5cea a022 ada b975». C’est sous cette forme, appelée «hash», que les sites Web stockent généralement les mots de passe.

Les maths avant le jeu

C’est aussi ce type d’informations que récupèrent les hackers lorsqu’ils parviennent à s’introduire sur un serveur. Tout récemment, le réseau social professionnel LinkedIn s’est fait voler 6,5 millions de «hash». Pour les utiliser, les pirates doivent ensuite parvenir à les décoder. Et si le cryptage d’un mot de passe se fait en une fraction de seconde, le chemin inverse est nettement plus compliqué voire quasi impossible pour l’utilisateur lambda.
C’est là où la puissance combinée des 220 PlayStation devient utile. «Chacune contient 9 processeurs extrêmement puissants. Ils sont conçus pour gérer des graphismes complexes et peuvent effectuer 3,2 milliards d’opérations chaque seconde, explique Arjen Lenstra, dans un anglais qui trahit ses origines hollandaises. Notre installation fournit le travail d’environ 8000 ordinateurs de bureau.» Jolie performance, mais pas suffisante. Si les machines devaient tester systématiquement tous les mots de passes de 6 caractères possibles, cela prendrait, malgré leur puissance, plusieurs jours ou plusieurs semaines en fonction de la complexité de la méthode de cryptage. Il s’agit donc de minimiser, en amont, le nombre d’opérations. «C’est là que les mathématiques sont très utiles, explique le professeur. Nous tentons de comprendre au mieux l’algorithme qui a crypté les données pour mieux faire le chemin inverse.» Ainsi Arjen Lenstra et ses équipes parviennent à des résultats spectaculaires. Il n’aura fallu que 63 secondes aux PlayStation pour décoder le mot de passe que nous avions fourni. Nouveau test avec un sésame de sept caractères. Les consoles mettront 106 secondes pour le trouver.
Il existe des dizaines de méthodes de cryptage, certaines plus efficaces que d’autres. Le but ultime des recherches de l’Institut de cryptologie de l’EPFL est d’améliorer la sécurité en détectant les algorithmes les plus vulnérables. «La sécurité absolue n’existe pas, résume Arjen Lenstra. La vraie question est de savoir quels moyens des personnes malintentionnées devront engager pour casser une protection.» Pour ce spécialiste, qui a notamment été vice-président en charge de la sécurité de Citigroup, l’un des plus grands instituts financiers au monde, décoder les mots de passe cryptés de LinkedIn serait un jeu d’enfant. «Il n’y a pas vraiment de challenge.» L’une de ses plus importantes découvertes, publiée au mois de février dernier, concerne les certificats de sécurité utilisés par certaines banques et magasins en ligne. Pour le consommateur, ils se matérialisent par un petit cadenas qui s’affiche à côté de l’adresse du site visité. Ce symbole, censé rassurer l’internaute, ne serait pas infaillible. «Même si, dans la plupart des cas, il l’est, nous avons pu démontrer qu’il est possible pour des pirates d’usurper ce certificat et donc d’intercepter des informations», explique le professeur. Les sites concernés ont été prévenus et vivement invités à choisir un cryptage plus complexe.

Et bientôt les smartphones?

Les défis à relever en matière de sécurité informatique sont nombreux et les PlayStation de l’EPFL n’ont pas fini de calculer. «Elles sont actuellement utilisées par des étudiants pour différents projets», indique Arjen Lenstra sans vouloir entrer dans les détails. En fait, les consoles ont presque travaillé sans interruption depuis leur installation il y a près de six ans dans le cadre d’un projet financé par le Fonds national de la recherche. «Seules une dizaine de machines sont tombées en pannes», constate Maxime Augier. L’installation, en revanche, craint les coupures de courant. «Il n’y a alors pas d’autres solutions que d’aller, manuellement, appuyer sur les 220 boutons pour les rallumer. Heureusement, cela ne s’est produit que deux fois!»
Pour Arjen Lenstra, l’utilisation d’objets du quotidien pour réaliser des opérations mathématiques est presque une tradition. «Dans les années 1990, nous avions utilisé des fax, se souvient-il. Parce qu’ils sont fabriqués en masse, les appareils électroniques destinés au grand public ont un rapport qualité-prix imbattable!» La prochaine étape? «Pourquoi pas les téléphones portables. Ils sont petits et possèdent une capacité de calcul impressionnante. Il faut juste que nous trouvions un modèle bon marché que l’on puisse acheter en quantité et sans abonnement…»

Source : Le Matin

mercredi 30 mai 2012

Flame, un virus encore plus redoutable que Stuxnet et Duqu

Flame, un nouveau malware découvert par Kaspersky est opérationnel depuis au moins deux ans. Très sophistiqué, il est capable d’espionner un individu, une entreprise ou d’autres entités en dérobant plusieurs sortes de données informatiques.

Lire l'article sur Futura-Sciences.

mercredi 2 mai 2012

Les sites religieux plus infectés que les sites porno

Une étude révèle que les sites de nature pornographique sont beaucoup plus sûrs que les sites idéologiques et religieux
Symantec, qui surveille les activités cybercriminelles dans plus de 200 pays, révèle que les sites Internet à visée idéologique ou religieuse seraient trois fois plus vulnérables face aux pirates et aux virus que les sites « pour adultes ».
Si les sites pornographiques sont plus sûrs que les sites religieux, ils ne sont pas non plus complètement inoffensifs. En effet, Symantec ajoute : «Il est intéressant de voir que les sites hébergeant des contenus pour adultes ou pornographiques ne se classent pas dans le top 5, mais au 10e rang.»
La professionnalisation des sites coquins serait responsable de leur plus grande sûreté, analyse le groupe informatique : «Nous supposons que c’est parce que les propriétaires de sites porno gagnent leur argent sur internet et ont un intérêt direct à ce que leurs sites restent dénués de programmes malveillants.»

Source : Jeanne Dorllan, mcetv

mercredi 11 janvier 2012

Le ver Ramnit dérobe les identifiants de 45.000 comptes Facebook

Ce sont 45.000 identifiants de comptes Facebook qui ont été dérobés et qui pourraient être utilisés pour diffuser le ver Ramnit sur les profils des « amis » de ces utilisateurs. Très coriace, ce ver représentait déjà plus de 17 % des infections cet été. Les utilisateurs ayant tendance à n’employer qu’un seul mot de passe pour tous leurs services Internet, les pirates pourraient en profiter pour accéder aux informations personnelles des individus et des institutions.

Les techniciens du laboratoire de Securlert, une société spécialisée en sécurité informatique, ont découvert une base de données de 45.000 mots de passe et identifiants d’accès à Facebook volés grâce à une variante du ver Ramnit. À noter que 69 % des comptes infectés seraient localisés en Grande-Bretagne et 27 % en France. À partir de cette base de profils, les pirates peuvent propager le ver auprès des « amis » des comptes Facebook des liens piégés pour étendre la contamination.
C’est en mai 2010 que Ramnit a été identifié pour la première fois par Microsoft. Il volait alors les logins FTP pour infecter les sites Web. Depuis 2011, il vise le monde financier en étant fusionné avec le cheval de Troie Zeus. Depuis, différentes variantes se sont propagées sur Internet. Le virus poursuit désormais sa sinistre épopée en ayant contaminé, au moins, 800.000 machines de septembre à fin décembre 2011, via des programmes, des sites Web infectés ou encore des supports amovibles (clé USB, cartes SD, disques durs, CD...). Selon un rapport de Symantec, il représentait 17,3 % de l’ensemble des malwares détectés l’été dernier.
Toutefois, si le virus circule effectivement sur son réseau, Facebook a précisé à ZDNet que les identifiants récupérés par Ramnit sont majoritairement périmés et pourraient avoir été dérobés plusieurs mois auparavant. En conséquence, l’éditeur minimise l’infection en indiquant que le chiffre pourrait être diminué de moitié.

Liens Facebook : réfléchir avant de cliquer et non l’inverse

Cette division par deux est plutôt théorique car la plupart des utilisateurs adoptent souvent le même mot de passe pour tous leurs profils en ligne (Facebook, Twitter, GMail…). Quand un cybercriminel aura mis la main dessus, les dégâts peuvent être considérables… C’est pourquoi Facebook recommande également d’utiliser différents mots de passe pour les divers comptes Internet. Sachez qu’il existe des logiciels de gestion de mot de passe et que certains navigateurs, comme Firefox, incluent même cette option. Il faut alors employer un seul mot de passe général qui est le sésame pour accéder à tous les autres. Encore faut-il utiliser systématiquement la même machine…
Concrètement, lorsqu’un compte Facebook est infecté par Ramnit, des liens provenant de l’attaque sont affichés sur les profils ou envoyés via des messages privés à tous les contacts de l’utilisateur. Malheureusement, avec Facebook « tout » est « lien » et il est aisé de cliquer ici ou là. C’est pour cette raison que, pour éviter la propagation, l’éditeur du réseau social conseille depuis longtemps « de ne jamais cliquer sur des liens étranges et de communiquer toute activité suspecte découverte sur le réseau ». Toutefois, il annonce travailler avec ses partenaires pour renforcer la protection de ses systèmes antivirus.

Source : Futura-Sciences

mardi 22 novembre 2011

Identification des auteurs de courriels anonymes

Une équipe de chercheurs de l'Université Concordia a mis au point une nouvelle technique permettant d'identifier efficacement les auteurs de courriels anonymes. Des essais ont montré que cette méthode atteint un degré de précision élevé et, à la différence de nombreuses autres, peut fournir des preuves recevables en cour. Cette découverte fait l'objet d'une étude parue dans la revue Digital Investigation.
"Depuis quelques années, nous observons une augmentation alarmante des crimes cybernétiques commis à l'aide de courriels anonymes", affirme Benjamin Fung, coauteur de l'étude, professeur en ingénierie des systèmes d'information à l'Université Concordia et expert en exploration de données, soit l'extraction d'informations utiles jusque-là inconnues à partir d'une grande quantité de données brutes. "Ces courriels peuvent contenir des menaces ou de la pornographie infantile, faciliter les communications entre criminels ou encore transmettre des virus."
Si la police utilise souvent l'adresse IP pour repérer la maison ou l'appartement d'où provient un courriel, elle peut trouver plusieurs personnes à cette adresse. Il lui faut donc un moyen fiable et efficace de déterminer lequel des suspects a rédigé les courriels examinés.
Afin de répondre à ce besoin, M. Fung et ses collègues ont conçu une nouvelle méthode inspirée de techniques utilisées pour la reconnaissance de la parole et l'exploration de données. Leur approche repose sur l'identification des caractéristiques fréquentes, c'est à-dire des combinaisons uniques de particularités récurrentes dans les courriels d'un suspect.
Pour déterminer si un suspect est l'auteur d'un courriel, on distingue d'abord les caractéristiques trouvées dans des courriels rédigés par ce dernier. On élimine ensuite toutes les caractéristiques figurant également dans les courriels d'autres suspects.
Les récurrences restantes deviennent des caractéristiques propres à l'auteur des courriels analysés. Elles constituent en quelque sorte l'"empreinte écrite" du suspect, soit un identificateur aussi précis qu'une empreinte digitale. "Supposons, par exemple, qu'un courriel anonyme contienne des coquilles ou des erreurs grammaticales, ou qu'il soit entièrement rédigé en lettres minuscules, explique le professeur Fung. Nous utilisons ces caractéristiques pour créer une empreinte écrite. Grâce à cette méthode, nous pouvons déterminer avec une grande exactitude l'auteur d'un courriel et déduire son sexe, sa nationalité et son niveau d'instruction."
Afin de tester la précision de leur technique, le professeur Fung et ses collègues ont examiné le Enron Email Dataset, un ensemble de données de plus de 200 000 courriels réellement rédigés par 158 employés d'Enron Corporation. En analysant un échantillon de 10 courriels par sujet – avec 10 sujets au total, soit 100 courriels en tout –, ils ont ainsi pu identifier leurs auteurs avec une précision allant de 80 % à 90 %.
"Notre technique est conçue pour fournir une preuve crédible qui peut être présentée en cour, précise M. Fung. Pour qu'une preuve soit recevable, les enquêteurs doivent pouvoir expliquer comment ils sont arrivés à leurs conclusions. C'est ce que notre méthode permet de faire."
Cette nouvelle technique d'identification a été développée en collaboration avec Mourad Debbabi et Farkhund Iqbal de Concordia. "Nos formations diversifiées nous ont permis d'appliquer des techniques d'exploration de données à de réels problèmes de cybercriminalité, déclare le professeur Fung. Voilà qui illustre parfaitement à quel point la recherche interdisciplinaire porte fruit."

Source : Techno-Science

lundi 7 novembre 2011

Le virus informatique Duqu est en France (et en Suisse)

Repéré il y a quelques semaines, Duqu, un cheval de Troie qui se glisse dans un fichier Word, est comparé à Stuxnet et pourrait préfigurer une attaque très ciblée contre des sites industriels. Microsoft estime le risque faible et vient seulement de publier un patch.
Le 9 octobre dernier, l’éditeur Symantec publiait sa découverte d’un virus nommé Duqu (car il génère deux fichiers dont le nom commence par DQ), « qui semble le précurseur d’une attaque de type Stuxnet ». Il partage en effet une partie de son code avec ce virus qui, en 2010, avait ciblé des équipements industriels, du type de ceux utilisés en Iran dans des installations industrielles.
Duqu exploite une faille de Windows jusque-là inconnue et se glisse dans les routines du système d’exploitation chargées de l’affichage des polices de caractères TrueType. Cet intrus peut alors « exécuter du code en mode kernel », vient d’expliquer Microsoft dans un communiqué. Autrement dit, obtenir les droits les plus élevés et pouvoir tout faire dans l’ordinateur et par exemple installer de nouveaux programmes ou ouvrir les comptes utilisateurs. Ce serait là le travail de Duqu : explorer le poste de travail, collecter des données, les envoyer sur des serveurs distants et télécharger des logiciels. Deux de ces serveurs ont été repérés et débranchés, en Inde puis en Belgique. De son côté, Microsoft, qui juge le risque faible, dit travailler à un correctif et, en attendant qu'il soit publié, propose une méthode pour éviter l'intrusion : désactiver la reconnaissance des polices TrueType.

Un robot espion spécialisé dans le renseignement
Ce cheval de Troie, cependant, ne se réplique pas. Il a été volontairement envoyé par courrier électronique dans des documents Word « à six organisations » et ce dans huit pays selon le dernier communiqué de Symantec : France, Hollande, Inde, Iran, Soudan, Suisse, Ukraine et Vietnam. D’autres distributeurs l’ont signalé également en Autriche, en Hongrie, en Indonésie, au Royaume-Uni ainsi que dans d’autres entités en Iran. Il ne s’agit donc pas d’un virus se propageant aveuglément au hasard des ordinateurs rencontrés. Duqu serait bien un agent en mission très spéciale chargé de s’infiltrer dans certaines « organisations » et semble-t-il de préparer une attaque plus massive.

Source : Futura-Sciences

jeudi 3 novembre 2011

Les CAPTCHAs pas aussi sécurisés qu'on ne le pense

L'efficacité des CAPTCHAs est remise en question par des chercheurs de Stanford, en effet, ceux-ci ont conçu un logiciel permettant de décoder beaucoup de CAPTCHAs, ces codes censés protéger les sites web contre l'utilisation de robots. Les CAPTCHAs sont en général considérés comme une barrière protectrice sûre, ce logiciel remet en cause cette barrière. Trois chercheurs de Stanford sont parvenus à décoder différents types de CAPTCHAs utilisés fréquemment sur Internet en développant des algorithmes inspirés de ceux utilisés par les robots pour s'orienter dans différents environnements.
Ce qui ressort est plutôt bluffant, le programme baptisé « Decaptcha » s'est montré plutôt efficace une fois lancé sur le Net en décodant 66% des CAPTCHAs proposés par le site Authorize.net, 70% de ceux utilisés par Blizzard Entertainment ou encore 73% de ceux de captcha.com. Mais ne s'arrêtant pas à ces sites, l'expérience a été moins concluante avec eBay (43%) ou encore Reddit (24%).

Pour aller plus loin: Elie Bursztein, Matthieu Martin, John C. Mitchell, Text-based CAPTCHA Strengths and Weaknesses, ACM Computer and Communication security 2011 (CSS’2011)

Sources : Sur-la-Toile, Clubic.com

mardi 18 octobre 2011

La Suisse cède au logiciel espion

Le département fédéral de justice et police de Suisse (DFJP) a confirmé en fin de semaine dernière qu'un logiciel espion semblable à celui qui a fait scandale en Allemagne a été utilisé chez les Helvètes.
Des pirates allemands avaient révélé l'utilisation, par la police du pays, du logiciel R2D2 il y a une dizaine de jours. Ce programme invisible permet de surveiller les conversations via Skype, consulter les courriels envoyés et reçus, prendre des captures d'écran, enregistrer chaque touche du clavier sur laquelle l'utilisateur a tapé, ou encore activer à distance un microphone ou une webcam pour voir et entendre ce qui se dit dans la pièce. A Berlin, les témoignages accablants se sont multipliés jusqu'à ce que le Bundestag confirme ce que tout le monde savait. On s'attend à une réaction similaire en Suisse.
Toutefois, selon Guildo Balmer, le porte-parole du DFJP, ce logiciel n'aurait été utilisé que dans quelques cas pour élucider des crimes graves. Le porte-parole a évoqué des enquêtes en cours pour la justification de l'utilisation d'un tel logiciel. L'existence de bases légales suffisantes pour autoriser l'utilisation de tels logiciels est toutefois contestée.
La commission des affaires juridiques du Conseil national a été informée la semaine dernière de l'utilisation en Suisse de logiciels d'espionnage. Toutefois, la livraison de tels logiciels à la Suisse par l'entreprise allemande Digitask, (déjà à l'origine du scandale en Allemagne) était apparemment connue.
La société affirme d'ailleurs avoir vendu des dispositif de surveillance similaire à d'autres pays comme l'Autriche et les Pays-Bas.

Source : Branchez-vous

mercredi 12 octobre 2011

La flotte de drones US frappée par un virus

Un virus informatique a atteint sa cible : les « Predators » et « Reapers » américains qui servent de plus en plus dans l'US army. Il a été détecté il y a deux semaines, mais cela n'a pas empêché les drones de continuer de voler non seulement dans des zones de conflit, mais aussi dans les bases situées sur le territoire américain.
A priori, aucune information Top Secret n'a été perdue ou envoyée en dehors du réseau (pour l'instant), mais le virus a tenu bon ses positions contre les manoeuvres pour s'en débarrasser. En gros : on l'efface et il revient. Les spécialistes pensent que ce virus est bénin, mais on n'en est pas bien certain. On ne sait pas mieux si l'attaque est intentionnelle et sa profondeur.
Le virus aurait intégré le réseau militaire par le biais de disques durs portatifs afin de charger de nouvelles cartes et transférer des vidéos de missions. Il ne sera plus question de les utiliser après cela...

Source : Sur-la-Toile

lundi 19 septembre 2011

Vos fautes de frappe dans les e-mails peuvent profiter aux hackers

Des pirates peuvent mettre la main sur des données confidentielles en récupérant des e-mails mal adressés. C’est ce que démontrent deux chercheurs qui sont parvenus à intercepter 120 000 messagesen quelques mois.

Une bête faute de frappe. Au moment d’entrer l’adresse e-mail de votre correspondant, vous oubliez une lettre. xyz@edipress. ch au lieu de xyz@edipresse. ch. Lorsque vous vous en apercevez, le message est déjà parti. Aucun problème, il suffit de renvoyer le message à la bonne adresse, pensez-vous. L’histoire pourrait s’arrêter là.
Mais il se pourrait aussi qu’un inconnu récupère le message que vous pensiez perdu dans les tréfonds du web. Pour cela, il lui suffit d’avoir acheté le nom de domaine edipress. ch. Improbable? Pas forcément. Deux spécialistes en sécurité informatique ont tenté l’expérience. «Nous avons loué trente noms de domaines proches de ceux de multinationales», explique l’un d’entre eux, Garrett Gee. Et ensuite? «Nous avons simplement attendu six mois. »
Le résultat est impressionnant. «Nous-même sommes surpris de la quantité de messages égarés auxquels nous avons eu accès. » En un semestre, 120 000 e-mails pesant au total plus de 20 gigas leur sont parvenus. Certains contenaient des données sensibles, comme des noms d’utilisateurs et des mots de passe. «Il y avait aussi des documents internes aux entreprises, comme cette liste de toutes les cargaisons transportées par les navires d’une grande compagnie pétrolière», raconte Garrett Gee.
«On connaissait déjà les dangers du typosquatting, cette technique qui consiste à créer un site dont l’adresse ressemble à celle d’un autre, généralement très fréquenté», explique Candid Wüest, spécialisé dans l’identification de nouvelles menaces chez Symantec. Certains de ces domaines squattés affichent simplement de la publicité, d’autres tentent d’infecter l’ordinateur de l’internaute distrait avec un logiciel malveillant. «Mais grâce à cette nouvelle recherche, nous pouvons maintenant mesurer l’ampleur des risques liés aux fautes de frappes dans les courriers électroniques. »
Et ce n’est pas tout: Garrett Gee et son collègue Peter Kim ont fait une autre découverte. Au cours de leur recherche, ils se sont aperçus qu’un nombre conséquent de noms de domaines proches de ceux de grandes firmes étaient déjà enregistrés par des entités basées en Chine. Autrement dit, certaines personnes n’ont pas attendu pour se mettre au typosquatting. Et contrairement aux chercheurs qui assurent avoir dûment détruit toutes les données en leur possession, rien ne garantit que des personnes malintentionnées ne se servent des informations récoltées pour pirater des ordinateurs ou faire de l’espionnage industriel. «Attention toutefois à ne pas accuser trop vite les Chinois, tempère Candid Wüest de Symantec. Enregistrer un nom de domaine en Asie est moins contraignant qu’en Europe ou aux Etats-Unis. Il est possible de le faire sans avoir à révéler sa véritable identité. Il est donc tout à fait plausible que derrière des serveurs enregistrés en Chine se cachent en réalité des entreprises basées ailleurs dans le monde. »
Cette pratique est-elle légale? «La difficulté réside dans le fait qu’il s’agit d’un vol passif, analyse Nicolas Capt, avocat spécialisé dans les nouvelles technologies. Il n’y a pas de démarche active pour intercepter les e-mails. C’est comme un piège que l’on tend en espérant que quelqu’un tombe dedans. » Si le vol n’est donc pas forcément punissable, l’usage qui est fait des données peut en revanche être illégal. «On peut imaginer qu’une société porte plainte pour concurrence déloyale, mais la procédure risque de s’enliser en raison de la difficulté qu’on aura à dénicher les véritables responsables à l’étranger. »
Pour se protéger, mieux vaut donc agir en amont. «C’est aux entreprises de surveiller les noms de domaines proches de leur raison sociale. L’Organisation mondiale de la propriété intellectuelle prévoit des procédures accélérées qui leur permettent de récupérer tout nom de domaine similaire au point d’entraîner la confusion, souligne Nicolas Capt. En attendant que l’on trouve un moyen d’empêcher les internautes de faire des fautes de frappes, c’est la meilleure solution. »

Article d'Alexandre Haederli paru dans Le matin Dimanche du 18 septembre 2011

mercredi 3 août 2011

Le «virus social » qui vole les mots de passe sur les photos de Facebook

Il faut réfléchir à deux fois avant de mettre en ligne vos photos de vacances sur Facebook. Vous pourriez aider des pirates à voler de l'information grâce à vous. Un botnet nommé Stegobot sévit actuellement. Il prend le contrôle d'un ordinateur en demandant aux utilisateurs de cliquer sur un fichier attaché à un email ou en visitant des sites web piratés. La ruse de ce bot est de ne pas contacter son « maître » directement, mais en utilisant le réseau social, en rebondissant d'ami en ami.
Ce programme cache de l'information dans les images, sans changer l'apparence de celles-ci. En effet, il est possible de stocker 50 kb dans une image 720*720. C'est largement assez pour stocker vos mots de passe et numéros de carte bancaire trouvés sur votre disque dur. Le programme attend donc tranquillement qu'un de vos amis regarde votre profil. Il n'y a pas besoin de cliquer sur l'image, car Facebook télécharge les fichiers. Si votre ami est aussi infecté, toute image chargée va aussi faire passer les données volées.

Sources : Sur-la-Toile, New Scientist

mardi 5 juillet 2011

TDL-4, le super botnet qui fait peur

Le « top bot », selon l’expression de ses découvreurs, serait la « menace la plus sophistiquée » sévissant actuellement sur Internet. Transmis par des rogues, installé dans la MBR et capable de chasser les virus concurrents, il aurait infecté 4,5 millions de PC sous Windows en trois mois pour créer des botnets, c’est-à-dire des réseaux clandestins.
Deux informaticiens travaillant chez l’éditeur d’antivirus Kaspersky, Igor Soumenkov et Sergey Golovanov, viennent de décrire une sorte de monstre, créateur de botnets, ces réseaux d’ordinateurs devenus zombies (c’est le terme) à l’insu de leur propriétaire et destinés à convoyer spams et virus ou à installer des pièges par phishing. Le nouveau venu n’est pas tout à fait un inconnu, expliquent ses découvreurs, puisqu’il est une variante, ou plutôt une évolution, du logiciel malveillant TDSS, apparu en 2008.
De nombreux perfectionnements ont été apportés depuis la version précédente, baptisée TDL-3, qui augmentent considérablement la dangerosité de ce parasite, affirment les deux informaticiens. TDL-4, compatible avec les systèmes 64 bits, infecte la MBR (Master Boot Record), c’est-à-dire le premier enregistrement sur le disque dur, chargé dans la mémoire au démarrage de l’ordinateur, donc avant même le système d’exploitation. Il est alors difficilement détectable. TDL-4 installe un rootkit, donc un ensemble d’outils logiciels pour modifier le système d’exploitation et se rendre indétectable.

Un vrai business

En tout, TDL-4 installerait une trentaine de logiciels sur le PC, et même un antivirus ! En effet, ce parasite est programmé pour éliminer ses concurrents s’il y en a (il en connaît 20, dont Zeus), afin d’être seul maître à bord. L’intérêt est double. Tout d’abord, la compétition règne entre cybercriminels et ces botnets sont des affaires lucratives. De plus, l’éradication de virus peut éviter d’éveiller les soupçons de l’utilisateur, qui sera peut-être même ravi de voir son ordinateur fonctionner plus vite… Bref, l’objet, intégralement démonté par les deux informaticiens, pourrait susciter l’admiration s’il n’était pas franchement malveillant, servant à véhiculer toutes les plaies du Web. Il est aussi une opération marketing, cet engin parasite ou ses services étant vendus.
Ses auteurs, expliquent les deux informaticiens, ont commercialisé le code de TDL-3 à d’autres cybercriminels, au risque de faire de l’ombre à son successeur. Mais TDL-4 serait si sophistiqué que cette concurrence de l’ancien ne gênerait pas le jeune loup.
Le dernier-né serait vendu par licence, avec un programme d’affiliation. Les deux informaticiens estiment qu'il en coûte de 20 à 200 dollars (14 à 140 euros) pour infecter un millier de PC. De quoi envoyer des spams… Il y aurait des options : toujours selon la même source, l’installation d’un proxy sur un PC infecté serait facturée 100 dollars par mois (environ 70 euros). Ce business nauséabond est-il une affaire florissante ?

Source : Futura-Sciences

dimanche 26 juin 2011

Guerre des hackers : le lexique pour s'y retrouver

LulzSec, Anonymous, The Jester, attaque DDoS... Pour s'y retrouver, 20 minutes propose un petit lexique.

mercredi 15 juin 2011

Un pirate sur quatre travaille pour le FBI

On peut raisonnablement estimer qu'un « hacker » sur quatre travaille secrètement pour les États-Unis (par le biais du FBI). Cela permet de suivre ce que font les vrais pirates, ni vu, ni connu. Lorsque le FBI débusque un pirate, il commence par faire des menaces de longs moments passés en prison... Ainsi, des pirates se convertissent en informateurs. Ces informateurs sont déjà bien engagés dans la communauté des spécialistes du piratage et dénoncent les tentatives de fraudes à grande échelle afin d'espérer d'écoper de moins lourdes sentences. Certains informateurs sont les mêmes qui tiennent des forums illégaux avec des informations volées concernant des cartes de crédit.
Ce genre de travail en coulisse aurait mis au moins une douzaine de criminels de poids derrière les barreaux. Les pirates vivent maintenant dans la paranoïa. Un exemple célèbre est Lamo, le « judas » des pirates, qui a « donné » au FBI Bradley Manning qui avait fourni des informations à Wikileaks. Il y a maintenant des groupes d' « Anonymous » qui se battent contre d'autres groupes d' « Anonymous » (Dieu reconnaîtra les siens) afin de trouver leurs adresses IP.

Source : Sur-la-Toile

mardi 14 juin 2011

26 000 utilisateurs d'un site X se retrouvent "tout nus"

Un groupe de pirates nommé LulzSec vient de publier les login / emails et mots de passe d'environ 26 000 utilisateurs d'un site pornographique, Pron.com. Le groupe a mis en exergue que certains emails sont manifestement issus de personnels du gouvernement (dont des militaires) en raison des extensions (.mil et .gov).
Le groupe a demandé aux abonnés de Twitter de s'amuser avec ces données pour voir si les mêmes codes ne permettraient pas, par hasard, d'avoir accès aux comptes Facebook, puis de dire aux amis et personnes de la famille que le membre de Facebook a aussi un compte sur Pron (important : visiter le compte de quelqu'un sans son autorisation est comme rentrer dans l'appartement de quelqu'un parce qu'on a trouvé la clé, c'est puni par la loi et non-éthique...).
Heureusement, l'équipe de sécurité de Facebook a vite réagi en faisant elle-même la correspondance : les mots de passe ne fonctionnent plus. Cela ne concerne que Facebook toutefois. Cela doit rappeler à tous qu'il est nécessaire de varier autant que possible les mots de passe (et qu'ils soient assez compliqués).

Source : Sur-la-Toile

vendredi 3 juin 2011

Des hackers disent avoir - encore - piraté les serveurs de Sony

Des membres du groupe LulzSec affirment avoir fracturé les serveurs de Sony Pictures et de Sony BMG. Une fois entrés, ils ont eu « accès à tout » et ont pu faire le plein de musique et de bons de réduction… mis en ligne sur les réseaux BitTorrent.
« C’est pour la bonne cause » expliquent en substance les hackers du groupe LulzSec dans un communiqué pour détailler leur exploit (au sens informatique du terme), réalisé le jeudi 2 juin, et qui vient donc quelques semaines après le piratage du réseau PSN.
L’histoire qu’ils racontent est celle d’un piratage simple à base « d’injection SQL » dans les bases de données de Sony Pictures et Sony BMG Pays-Bas et Belgique. « We accessed EVERYTHING » (« nous avons eu accès à TOUT ») s’extasient les informaticiens pirates. Le mot « tout » ne semble pas trop fort : un million de comptes personnels ont été ouverts, avec identifiants et mots de passe, 75.000 codes permettant de télécharger de la musique et 3,5 millions de bons de réduction.

Le butin offert à la planète

Les pirates disent-ils vrai ? Pour le prouver, les membres du groupe ont déposé sur les réseaux BitTorrent une partie de ce trésor, qui devient donc accessible à tout le monde. D’après ces cambrioleurs virtuels, cet acte n’a pas d’autre objectif que de montrer combien les données enregistrées chez Sony sont mal protégées. « Parmi ce que nous avons récolté, aucun bit n’était crypté, assène le communiqué. Sony stocke un million de mots de passe comme du simple texte. » Sony n’a pas encore répondu. Au moment où ce piratage était révélé, l’entreprise japonaise était en train de plancher sur la réponse à donner à la lettre que lui a adressée le Congrès des États-Unis, le 29 avril, pour exiger des explications sur l’affaire PSN.

Source : Futura-Sciences

jeudi 19 mai 2011

Facebook : gare au spam "qui regarde mon profil"

Sur Facebook, les spams touchent de plus en plus les utilisateurs non avertis. Depuis quelques temps, des messages circulent sur le réseau social proposant aux internautes de connaître les personnes qui consultent leur profil. Une curiosité qui se paie par le prix de l'embarras une fois les données piratées.

Les spammeurs ont trouvé leur nouvelle cible : les réseaux sociaux. Facebook, plus particulièrement, se retrouve en proie aux nombreuses menaces de hackers. La dernière en date consiste à proposer aux utilisateurs de voir qui consulte leur profil. Un piège habilement élaboré qui se base sur la tendance des internautes à vouloir à tout prix savoir qui s'intéresse à leurs informations.
Le site begeek en fait d'ailleurs la surprenante constatation. Pour en faire l'expérience, il propose de taper dans barre Google "savoir qui". Les suggestions proposées par le moteur de recherche, basées sur le nombre de requêtes, font apparaître en troisième position "savoir qui consulte mon profil facebook". Il est pourtant impossible d'obtenir de telles informations, comme le rappelle Facebook qui précise qu'aucune application de ce type ne verra le jour pour conserver le principe même du réseau.
Au lieu d'assouvir la curiosité des internautes, la fausse application les redirige vers une page hébergée à l'étranger sur laquelle il est demandé de coller une ligne de code dans sa barre d'adresse avant de répondre à un questionnaire de sécurité. Une opération aux nombreuses conséquences comme le piratage de ses informations personnelles et la propagation de nouveaux liens piégés sur les profils de ses amis.
Selon une récente étude réalisée par BitDefender, 68% des utilisateurs de Facebook estiment ne pas avoir conscience des menaces liées aux publications douteuses sur leur profil. L'ignorance de ces risques est responsable des nombreux clics générés sur ces liens malveillants.

Source : MaxiSciences

vendredi 29 avril 2011

Piratage PSN : 2 millions de numéros de cartes bancaires sur le marché ?

Vous en cauchemardiez ? Sony l'a fait. Des informaticiens affirment que des pirates se disent en possession de 2,2 millions de numéros de cartes bancaires volés chez Sony grâce au piratage du réseau PSN et du service Qriocity.
C’est en se promenant dans des forums confidentiels fréquentés par des hackers que des spécialistes de sécurité informatique ont repéré des discussions concernant 2,2 millions de numéros de cartes bancaires, avec les noms et adresses de leurs propriétaires. Ce magot ne serait autre que le trésor de guerre récupéré par le ou les pirates du réseau PlayStation Network (PSN) et du service Qriocity, de Sony.
L’information est diffusée par le New York Times, qui rapporte notamment les propos de Kevin Stevens, l’un de ces experts, travaillant chez Trend Micro. D’après lui, des forumeurs mystérieux évoquent une mise sur le marché de ces précieuses données, avec un tarif global de 100.000 dollars. Les voleurs auraient même tenté de revendre le tout à Sony, qui aurait refusé.

Reprise du service la semaine prochaine

Non confirmées, ces rumeurs pourraient n’être que des vantardises de hackers. Sony a répondu que les numéros de cartes et les données personnelles étaient cryptés, ce qui n’a pas vraiment rassuré les populations. D'une part, Sony elle-même a évoqué un tel piratage de numéros : « Bien qu’il n’y ait aucune preuve que des données de cartes bancaires aient été volées, nous ne pouvons écarter cette possibilité », et a conseillé à tous les utilisateurs de PSP qui auraient effectué des achats sur ces réseaux à l’aide d’une carte de crédit de surveiller leur compte bancaire…
D’autre part, les hackers semblent avoir ouvert les bases de données internes du réseau de Sony, « ce qui leur aurait donné accès à tout, y compris les numéros de cartes bancaires », souligne, cité par le New York Times, Mathew Solnik, informaticien spécialisé dans la sécurité et qui a lui aussi suivi les discussions des pirates sur les forums.
Sur son blog en anglais, Sony disait espérer remettre en route ses services PSN et Qriocity aux environs de mercredi prochain. Sur une autre liste FAQ, publiée ce matin, Sony affirme que les données personnelles (listes d’amis, historique des téléchargements, trophées gagnés hors connexion…) seront restaurées une fois le service repris. Par ailleurs, sur la FAQ en français, l’entreprise évoque – vaguement – un dédommagement.

Source : Futura-Sciences