Le cyberblog du coyote

George Orwell avait prévu une époque de surveillance extrême de nos moindres faits et gestes. En réalité, ce n'est pas intervenu en 1984 et il n'y a pas de « Big Brother » humain, mais DES « Big Brothers » qui ont pour nom Google, Facebook et autres LinkedIn.... En bref, les algorithmes vous regardent.
Toute notre vie moderne est sous la coupe de programmes, en commençant par la finance internationale. Des chercheurs spécialisés regardent attentivement comment le « data mining » (exploitation de données) et les réseaux sociaux et autres communautés en ligne fournissent des tas d'informations. Partout, des algorithmes de plus en plus fins sont développés. Ce sont eux qui vous soumettent par exemple en ce moment même des publicités personnalisées sur votre navigateur web.
Les « gros sites » comme Google ou Amazon en utilisent des tonnes pour mieux cerner vos attentes, voire même les devancer (« Que pensez-vous de ce produit ? »). Les sites qui hébergent les mails vont décortiquer leur contenu pour mieux savoir ce que vous aimez (idéalement donc, il faudrait avoir votre propre serveur mail afin d'éviter cet écueil et c'est d'ailleurs une tendance en train de se concrétiser).
La plupart de ces algorithmes ne sont pas fondamentalement révolutionnaires. C'est en réalité le domaine d'application qui a été modifié. On réalise de plus en plus de « calculs parallèles » à très grande échelle. Concernant Facebook, on peut s'inquiéter de toute la « pieuvre » qui s'est formée avec les liaisons avec d'autres sites (Facebook Connect). Les gens ne vont pas sur Facebook et se déconnectent ensuite de leur compte. Ils restent connectés via les boutons « j'aime » et Facebook possède tellement de ramifications avec des sites qui n'ont rien à voir que l'entreprise continue facilement de constituer sa base de données sur votre dos.
Bien entendu, ce n'est pas vous en tant qu'individu unique (n'ayez pas cette prétention) qui intéresse des entreprises comme Facebook et il y a des aspects positifs (que mettent en avant les sociétés). Avec la sophistication des algorithmes, ceux-ci vont avoir un impact de plus en plus important sur votre vie, souvent à votre insu.
En effet, toute votre expérience en ligne va être « optimisée », avec plus ou moins de bonheur. Le souci avec cette tendance est que votre expérience en ligne risque de créer une « chambre d'écho ». Avec le temps, vous n'apprendrez plus grand-chose de nouveau, de « révolutionnaire ». Vous ne surferez plus vraiment : vous tournerez en rond dans votre propre monde en ligne. Par exemple, en caricaturant, si vous êtes de gauche en politique, plus rien ne viendra vous contredire : votre internet sera également « de gauche...
C'est ce que les experts nomment la « bulle filtre » ; des algorithmes invisibles qui filtrent pour vous. Enfin, soulignons un point qui fait actuellement débat : l'aide des algorithmes pour le diagnostic médical (ce qui permettrait des économies de visites chez le docteur).

Source : Sur-la-Toile

Appuyé par le FBI et la justice américaine, Microsoft a mis hors service un réseau de plus de 1.400 serveurs qui contrôlaient à distance des milliers de PC infectés avec un logiciel malveillant nommé Citadel. Ce « keylogger » toucherait plus de cinq millions de personnes à travers la planète.
Voilà déjà plusieurs années que Microsoft s’est engagé dans la lutte contre les botnets, qui prospèrent en se servant de centaines de milliers de PC « zombies » infectés par un malware qu’ils commandent à distance à l’insu de leurs propriétaires. Dans un billet de blog, Microsoft vient d'annoncer avoir fait tomber une partie du botnet Citadel dans une opération menée conjointement avec le Federal Bureau of Investigation (FBI), et avec un mandat délivré par un tribunal de l’État de Caroline du Nord.
Citadel est un keylogger, un logiciel malveillant capable d’enregistrer les informations provenant de la frappe sur le clavier. Cela permet aux cybercriminels de récupérer les données de connexion à des comptes bancaires et d’autres services sensibles. En tout, 1.462 serveurs de commande du botnet ont été désactivés lors de cette action coup de poing, la septième du genre menée par Microsoft dans le cadre de son Operation b54. Des marshals fédéraux accompagnés de représentants de la firme de Redmond se sont notamment rendus dans deux data centers situés en Pennsylvanie et dans le New Jersey pour y saisir des données concernant le botnet. Selon Microsoft, Citadel aurait causé près de 500 millions de dollars de pertes financières à des particuliers et des entreprises.

Cinq millions de personnes touchées par le botnet Citadel

Envoi massif de pourriels, vol de données personnelles, usurpation d’identité et propagation de virus sont les principaux méfaits commis par les botnets, dont les centres de commande sont souvent disséminés aux quatre coins du monde. Dans le cas de Citadel, Microsoft dit avoir découvert que le malware bloque l’accès aux principaux services antivirus en ligne. Plus de cinq millions de personnes à travers le monde seraient touchées par ce virus, les zones infectées les plus importantes se trouvant aux États-Unis, en Europe, en Inde, en Australie, à Hong Kong et à Singapour. Microsoft a d’ailleurs reconnu qu’en raison de « sa taille et sa complexité », il n’avait pas démantelé la totalité du botnet Citadel.
L’éditeur met à disposition du public un outil en ligne de détection et d’éradication des malwares. Au passage, Microsoft en profite pour inciter les utilisateurs à adopter les versions les plus récentes de Windows. Il dit avoir découvert que les botnets avaient été montés à partir de versions piratées de Windows XP grâce à des clés produits frauduleuses. « Windows Vista, Windows 7 et Windows 8 ont des mesures pour aider à protéger contre ce type d'abus de clés produits », explique Microsoft. Selon les derniers chiffres de NetMarketShare, Windows XP est encore le deuxième système d’exploitation le plus utilisé dans le monde avec 37,74 % de parts d’usage, derrière Windows 7 (44,85 %) et très loin devant Windows Vista (4,51 %) et Windows 8 (4,27 %).

Source : Futura-Sciences

D’après une enquête réalisée par le site DataGenetics, le mot de passe à quatre chiffres le moins utilisé serait 8068.
Pour réaliser son enquête, DataGenetics s’est appuyé sur des fuites de mots de passe récentes ayant circulé sur Internet. Il a ainsi eu accès à 3,4 millions de mots de passe utilisés. Par ailleurs, les combinaisons de mots de passe à quatre chiffres de 0 à 9 ne sont que 10 000. Évidemment, il a pu confirmer que le mot de passe le plus utilisé est 1234, adopté par près de 11 % des utilisateurs, suivi par 1111, par plus de 6 % et enfin 0000, par près de 2 %.
La plupart des autres combinaisons représentent des facilités de tape sur le clavier comme 2580, apparaissant en ligne droite sur le clavier d’un téléphone alphanumérique ou simplement des années de naissance ou des combinaisons de jours et de mois de naissance.
La combinaison la moins utilisée est enfin 8068, adoptée par seulement 25 utilisateurs sur 3,4 millions, soit 0,000744 %. « Maintenant que vous avons appris que, historiquement, 8068 est (était ?) le mot de passe à quatre chiffres le moins utilisé, s’il vous plait ne changer pas le vôtre vers celui-ci ! Les pirates peuvent également le lire ! », prévient l’auteur de l’article. Tous les mots de passe à quatre chiffres peuvent en effet être trouvés par un système de brute force en testant chaque combinaison possible. Quel que soit votre mot de passe, un pirate aura toujours une chance sur 10 000 de trouver le vôtre.

Source : Tom's Guide

Les éditeurs d’antivirus rapportent actuellement la montée en puissance d’une forme récente de malware, baptisée ransomware. Ces nuisibles bloquent totalement l’accès au système d’exploitation d’un ordinateur et réclament une somme conséquente pour libérer les données.
Symantec, Sophos, Avast!, McAfee… Tous les éditeurs de solutions de sécurité affirment qu’une menace provenant du Web se répand actuellement comme une traînée de poudre. Cette race spécifique de malware porte l’appellation de ransomware. Comme son nom le laisse supposer, il est bien question de rançon avec ces virus informatiques. Et l’otage, c’est l’ordinateur, avec les données qu’il contient.
Concrètement, l’utilisateur contamine sa machine en cliquant sur un des nombreux pièges tendus sur un site de streaming ou de téléchargement. Le nuisible s’introduit alors le plus souvent via les failles d’un composant Flash ou Java non mis à jour. L’autre voie de contamination privilégiée repose sur des pièces jointes ou des liens cliquables dans les mails. Ensuite, une séquence programmée, prend le contrôle à distance de l’ordinateur. L’accès à toutes les données de l’utilisateur est bloqué. Pour le reste, tout dépend de la déclinaison du ransomware.
Dans tous les cas, une page s’affiche sur toute la surface de l’écran avec les logos du FBI, de la police allemande ou française ou d’une autre autorité gouvernementale. Un message vous explique que vous êtes en infraction pour une multitude de motifs (images pédophiles, pornographie, violation de la législation sur les droits d’auteur). Parfois, pour intimider davantage, la webcam de l’ordinateur est déclenchée et l’utilisateur peut se voir sur la page.

Intimidation et fausses amendes avec les ransomwares

Pour débloquer la situation, une seule solution, affirme le message à l'écran : payer une amende salée sous 48 ou 72 heures sous peine de confiscation de la machine ou de suppression de toutes les données. La somme demandée est conséquente et il est demandé de la régler via un système de carte prépayée comme MoneyPak, Ukash ou Epay. Ces procédés souvent utilisés pour les sites de paris en ligne sont l’équivalent de certains mandats Cash et permettent de brouiller les pistes.
Si l’utilisateur règle cette rançon, le blocage ne disparaît pas pour autant. Dans le meilleur des cas, le message indique inlassablement que votre dossier est en cours de traitement, et que cela peut prendre plusieurs heures. De leur côté, les cybercriminels ont empoché la rançon, et restent quasiment intraçables.

Les ransomwares, des virus très lucratifs

Et comme les utilisateurs ont peur de perdre leurs données, cette menace fonctionne bien malgré son manque de crédibilité. D’après Symantec, 2,9 % des victimes sont prêtes à payer pour retrouver le contrôle de leur ordinateur. Et ceci malgré la rançon qui peut dépasser 400 dollars (de 50 à 100 euros en Europe). Ainsi, Symantec rapporte qu'un minuscule gang de cybercriminels est parvenu à contaminer 68.000 ordinateurs en un mois. Il aurait pu récupérer jusqu'à 400.000 dollars !
Jaromir Horejsi, un analyste du laboratoire d’Avast!, explique à Futura-Sciences que cette arnaque n’est pas une nouveauté. « Les premiers cas remontent à 2009. À l’origine, elle s’est développée dans les pays de l’Est avant de débarquer en Europe et aux États-Unis. » L’ingénieur précise qu’il existe 2 principaux types de ransomware. Le plus courant et le moins méchant fait partie de la famille baptisée Reveton. Une fenêtre vient masquer tout l’écran. Un pseudomessage officiel s’affiche alors. En coulisse, ces malwares modifient des clés de registre afin de se lancer automatiquement au démarrage de l’ordinateur. Le spécialiste explique que si c'est le cas, rien n'est perdu. « Lorsque le PC est infecté, il est souvent nécessaire de démarrer avec une clé USB ou un DVD pour nettoyer le registre ». Plus de peur que de mal donc...

MBRlock, le plus dangereux des ransomwares

En revanche, l’autre famille de ransomware, de type MBRlock, est beaucoup plus agressive. Le nuisible s’attaque directement au MBR (Master Boot Record) qui permet normalement d’amorcer le disque dur afin de démarrer. Il le remplace et met de côté l’original. À chaque allumage de l’ordinateur, MBRlock s'active au lieu du démarrage du système d’exploitation. Lui aussi affiche un message exigeant de payer au moins une vingtaine d’euros pour débloquer l’ordinateur. Cette façon de procéder provient essentiellement des pays russophones. L’argent doit être versé via un paiement par téléphone. Débloquer l'ordinateur est alors un peu plus compliqué, mais pas impossible. Il faut trouver un moyen de charger, via une clé USB ou un CD, un outil permettant de réécrire le MBR du système.
Quelle est la parade pour éviter ces nuisibles ? Jaromir Horejsi nous répond en rappelant qu’il faut appliquer les consignes habituelles de bon sens : « prendre son temps avant de cliquer accidentellement sur n’importe quoi et surtout mettre à jour l’ensemble des composants Flash et Java, ainsi que le système d’exploitation et la solution de sécurité ». Mais surtout, ne pas flancher sous la pression des cybercriminels, sous peine de tomber dans un piège encore plus grand.

Source : Futura-Sciences

Une faille de sécurité compromet les navigateurs Microsoft Internet Explorer 6, 7, 8 et 9. Aucun correctif n'est disponible pour l'instant, cependant Microsoft propose, entre autres, d'installer Enhanced Mitigation Experience Toolkit (EMET), un utilitaire qui protège contre ce type de vulnérabilité. Plusieurs firmes de sécurité, plus pragmatiques, recommandent tout simplement d'utiliser un autre navigateur.
En pratique, un script malveillant pourrait être incorporé dans un email, une page d'un site créé pour l'occasion ou hacké. Via une faille dans la réutilisation des zones de mémoire du navigateur, le script pourrait exécuter du code, et donc infecter l'ordinateur ou voler des documents. Ce type de script circule déjà, et il est donc vivement recommandé de se protéger immédiatement.

Source : Sur-la-Toile

Certains virus informatiques deviennent de plus en plus difficiles à détecter et à éradiquer, mettant en danger les ordinateurs connectés du monde entier. Futura-Sciences fait le point sur les nouvelles formes d’intelligence dont ils font preuve à partir de deux exemples présentés lors de la conférence Black Hat 2012 de Las Vegas : Flashback et Rakshasa.

S’il y a belle lurette qu’ils n’effacent plus en quelques secondes toutes les données d’un disque dur, si les éditeurs de logiciels antivirus fournissent des outils de plus en plus efficaces et réactifs pour les contrer, les virus informatiques (et de manière générale, les malwares qui pullulent via Internet) restent tout de même très dangereux. Ils sont notamment capables de dérober de nombreuses données personnelles comme des mots de passe de connexion (à son Webmail, à sa banque en ligne, etc.) ou de lancer des attaques contre des sites et des systèmes informatiques afin d’empêcher leur bon fonctionnement.
Aucun ordinateur connecté ou presque n’est à l’abri, notamment ceux fonctionnant sous Windows ou Mac OS. Longtemps réputé inviolable, le système d’exploitation d’Apple a d’ailleurs été l’objet, cette année, d’une attaque de grande envergure de la part du virus Flashback. À son apogée, ce dernier avait réussi à contaminer plus de 600.000 Mac dans le monde, créant une belle panique et obligeant Apple et les éditeurs d’antivirus à se liguer pour trouver un correctif le plus rapidement possible. Ce qui fut fait au bout de quelques jours, décimant littéralement l’armée d’ordinateurs piratés en un peu plus d’une semaine.

Une technologie semblable à celle des DRM

Mais il sera difficile de faire entièrement disparaître ce virus Flashback et d'éviter qu’un de ses descendants n'arrive un jour à faire la même « carrière ». Paul Royal, chercheur à l’Institut de technologie de Géorgie (Atlanta, États-Unis) et plus particulièrement à sa division GTISC (Georgia Tech Information Security Center) a profité de la conférence Black Hat, qui s’est tenue à Las Vegas du 21 au 26 juillet dernier, pour démontrer sa perversité d’un nouveau genre.
Chaque exemplaire de Flashback (et de plus en plus de virus) est unique. C'est-à-dire qu’en s’installant sur un ordinateur, il crypte certaines parties de son code à partir d’informations ou d’éléments glanés sur le système contaminé. Cette méthode de marquage individuel de chaque virus se veut semblable à la technologie des DRM (Digital Rights Management) qui protège des fichiers numériques comme des chansons MP3 ou des films DivX contre la copie et identifie précisément chacun d’entre eux. À la différence que le but n’est pas de lutter contre le piratage mais d’empêcher l’analyse du virus sur un ordinateur différent.
Plus précisément, ce cryptage interdit l’analyse automatisée qu’effectuent les antivirus – sur les serveurs de leurs éditeurs – à partir d’échantillons de virus glanés sur les PC infectés, afin de compiler leurs caractéristiques communes et d’en dégager une « signature » qui permettra de les détecter à coup sûr. Or, si ces caractéristiques communes sont réduites à néant ou presque, il devient difficile, voire impossible, de dégager une signature. Tout du moins de manière automatisée. Un éditeur comme Symantec indique avoir procédé à l’analyse automatique de 403 millions de variantes de malwares en 2011 (contre 286 millions en 2010), pour obtenir une base active de 19 millions de signatures. Un travail impossible à réaliser manuellement, ou alors à un coût prohibitif. « Pour les antivirus, cela complique singulièrement les choses compte tenu de la quantité astronomique de malwares qui prolifèrent. Si cette technique est massivement adoptée par les pirates et les créateurs de virus, ces derniers prendront l’avantage en rendant les systèmes d’analyse automatisée des éditeurs inopérants », a expliqué Paul Royal lors de sa présentation.

Rakshasa : un virus réplicateur dans le Bios

Mais ce n’est pas là le seul danger qui guette nos ordinateurs à cause de ces virus intelligents. Toujours lors de la conférence Black Hat, le Français Jonathan Brossard, expert en sécurité et directeur général de Toucan System, a montré sa création, baptisée Rakshasa. Il s’agit d’un malware conçu à partir des Bios (Basic Input Output System) open source Coreboot et SeaBIOS, capable de s’introduire dans un ordinateur par Internet – ou d’être introduit « manuellement » lors de son assemblage – et de remplacer son Bios en étant donc intégré directement à la carte mère. Le nettoyage du disque dur par l’antivirus, et même son remplacement par un disque neuf, ne sert à rien : le PC reste vérolé. Idem si l’on arrive à comprendre ce qui s'est passé et à nettoyer ou changer le Bios, puisque Rakshasa réussit à se glisser dans la mémoire vive de tous les périphériques reliés à la carte mère (lecteur CD-Rom, carte réseau, etc.) pour pouvoir se réinjecter ensuite dans le Bios fraîchement épuré. « Si quelqu’un réussit à installer un tel malware sur un ordinateur neuf, il le contamine à vie et peut ainsi "posséder" son propriétaire, décrit Jonathan Brossard, précisant qu’un autre scénario d’attaque peut consister à vous contaminer lorsque vous achetez une carte réseau. »
Nettoyer un ordinateur d’un virus classique est aujourd’hui chose aisée. Supprimer un malware de Bios intelligent comme Rakshasa demande de toutes autres compétences et autrement plus de temps puisqu’il faudrait reprogrammer un à un tous les composants reliés à la carte mère. Tout cela laisse augurer encore de beaux jours pour le chassé-croisé permanent entre pirates et éditeurs d’antivirus, en espérant que les premiers ne prennent pas une avance irrémédiable, dans les prochains mois, sur les seconds, grâce à ces nouvelles techniques malignes.

Source : Futura-Sciences

Lorsqu’il explique que, quelques étages sous son bureau, il possède un réseau de 220 PlayStation, Arjen Lenstra est habitué à faire face à tous types de réactions. Il y a ceux qui pensent à un gag. Ceux qui sont intrigués ou incrédule. «D’autres estiment que ça ne fait pas très sérieux et que ce type de matériel n’est guère compatible avec la réputation d’une grande école comme l’EPFL», s’amuse le professeur.
Le sous-sol, pourtant, n’a rien d’une salle de jeux. Les consoles sont alignées dans d’immenses armoires. Un bruit sourd de ventilateurs remplit la pièce. Au centre, un seul et unique écran, austère, qui sert à programmer les machines. «Allez, choisissez un mot de passe de six caractères qui comprend à la fois des lettres et des chiffres, nous allons essayer de le décoder», invite l’assistant du professeur, Maxime Augier. Le sésame est ensuite encrypté. Ainsi «alis834» devient «9812 eb6d 77d5 818a 5cea a022 ada b975». C’est sous cette forme, appelée «hash», que les sites Web stockent généralement les mots de passe.

Les maths avant le jeu

C’est aussi ce type d’informations que récupèrent les hackers lorsqu’ils parviennent à s’introduire sur un serveur. Tout récemment, le réseau social professionnel LinkedIn s’est fait voler 6,5 millions de «hash». Pour les utiliser, les pirates doivent ensuite parvenir à les décoder. Et si le cryptage d’un mot de passe se fait en une fraction de seconde, le chemin inverse est nettement plus compliqué voire quasi impossible pour l’utilisateur lambda.
C’est là où la puissance combinée des 220 PlayStation devient utile. «Chacune contient 9 processeurs extrêmement puissants. Ils sont conçus pour gérer des graphismes complexes et peuvent effectuer 3,2 milliards d’opérations chaque seconde, explique Arjen Lenstra, dans un anglais qui trahit ses origines hollandaises. Notre installation fournit le travail d’environ 8000 ordinateurs de bureau.» Jolie performance, mais pas suffisante. Si les machines devaient tester systématiquement tous les mots de passes de 6 caractères possibles, cela prendrait, malgré leur puissance, plusieurs jours ou plusieurs semaines en fonction de la complexité de la méthode de cryptage. Il s’agit donc de minimiser, en amont, le nombre d’opérations. «C’est là que les mathématiques sont très utiles, explique le professeur. Nous tentons de comprendre au mieux l’algorithme qui a crypté les données pour mieux faire le chemin inverse.» Ainsi Arjen Lenstra et ses équipes parviennent à des résultats spectaculaires. Il n’aura fallu que 63 secondes aux PlayStation pour décoder le mot de passe que nous avions fourni. Nouveau test avec un sésame de sept caractères. Les consoles mettront 106 secondes pour le trouver.
Il existe des dizaines de méthodes de cryptage, certaines plus efficaces que d’autres. Le but ultime des recherches de l’Institut de cryptologie de l’EPFL est d’améliorer la sécurité en détectant les algorithmes les plus vulnérables. «La sécurité absolue n’existe pas, résume Arjen Lenstra. La vraie question est de savoir quels moyens des personnes malintentionnées devront engager pour casser une protection.» Pour ce spécialiste, qui a notamment été vice-président en charge de la sécurité de Citigroup, l’un des plus grands instituts financiers au monde, décoder les mots de passe cryptés de LinkedIn serait un jeu d’enfant. «Il n’y a pas vraiment de challenge.» L’une de ses plus importantes découvertes, publiée au mois de février dernier, concerne les certificats de sécurité utilisés par certaines banques et magasins en ligne. Pour le consommateur, ils se matérialisent par un petit cadenas qui s’affiche à côté de l’adresse du site visité. Ce symbole, censé rassurer l’internaute, ne serait pas infaillible. «Même si, dans la plupart des cas, il l’est, nous avons pu démontrer qu’il est possible pour des pirates d’usurper ce certificat et donc d’intercepter des informations», explique le professeur. Les sites concernés ont été prévenus et vivement invités à choisir un cryptage plus complexe.

Et bientôt les smartphones?

Les défis à relever en matière de sécurité informatique sont nombreux et les PlayStation de l’EPFL n’ont pas fini de calculer. «Elles sont actuellement utilisées par des étudiants pour différents projets», indique Arjen Lenstra sans vouloir entrer dans les détails. En fait, les consoles ont presque travaillé sans interruption depuis leur installation il y a près de six ans dans le cadre d’un projet financé par le Fonds national de la recherche. «Seules une dizaine de machines sont tombées en pannes», constate Maxime Augier. L’installation, en revanche, craint les coupures de courant. «Il n’y a alors pas d’autres solutions que d’aller, manuellement, appuyer sur les 220 boutons pour les rallumer. Heureusement, cela ne s’est produit que deux fois!»
Pour Arjen Lenstra, l’utilisation d’objets du quotidien pour réaliser des opérations mathématiques est presque une tradition. «Dans les années 1990, nous avions utilisé des fax, se souvient-il. Parce qu’ils sont fabriqués en masse, les appareils électroniques destinés au grand public ont un rapport qualité-prix imbattable!» La prochaine étape? «Pourquoi pas les téléphones portables. Ils sont petits et possèdent une capacité de calcul impressionnante. Il faut juste que nous trouvions un modèle bon marché que l’on puisse acheter en quantité et sans abonnement…»

Source : Le Matin

Flame, un nouveau malware découvert par Kaspersky est opérationnel depuis au moins deux ans. Très sophistiqué, il est capable d’espionner un individu, une entreprise ou d’autres entités en dérobant plusieurs sortes de données informatiques.

Lire l'article sur Futura-Sciences.

Une étude révèle que les sites de nature pornographique sont beaucoup plus sûrs que les sites idéologiques et religieux
Symantec, qui surveille les activités cybercriminelles dans plus de 200 pays, révèle que les sites Internet à visée idéologique ou religieuse seraient trois fois plus vulnérables face aux pirates et aux virus que les sites « pour adultes ».
Si les sites pornographiques sont plus sûrs que les sites religieux, ils ne sont pas non plus complètement inoffensifs. En effet, Symantec ajoute : «Il est intéressant de voir que les sites hébergeant des contenus pour adultes ou pornographiques ne se classent pas dans le top 5, mais au 10e rang.»
La professionnalisation des sites coquins serait responsable de leur plus grande sûreté, analyse le groupe informatique : «Nous supposons que c’est parce que les propriétaires de sites porno gagnent leur argent sur internet et ont un intérêt direct à ce que leurs sites restent dénués de programmes malveillants.»

Source : Jeanne Dorllan, mcetv

Ce sont 45.000 identifiants de comptes Facebook qui ont été dérobés et qui pourraient être utilisés pour diffuser le ver Ramnit sur les profils des « amis » de ces utilisateurs. Très coriace, ce ver représentait déjà plus de 17 % des infections cet été. Les utilisateurs ayant tendance à n’employer qu’un seul mot de passe pour tous leurs services Internet, les pirates pourraient en profiter pour accéder aux informations personnelles des individus et des institutions.

Les techniciens du laboratoire de Securlert, une société spécialisée en sécurité informatique, ont découvert une base de données de 45.000 mots de passe et identifiants d’accès à Facebook volés grâce à une variante du ver Ramnit. À noter que 69 % des comptes infectés seraient localisés en Grande-Bretagne et 27 % en France. À partir de cette base de profils, les pirates peuvent propager le ver auprès des « amis » des comptes Facebook des liens piégés pour étendre la contamination.
C’est en mai 2010 que Ramnit a été identifié pour la première fois par Microsoft. Il volait alors les logins FTP pour infecter les sites Web. Depuis 2011, il vise le monde financier en étant fusionné avec le cheval de Troie Zeus. Depuis, différentes variantes se sont propagées sur Internet. Le virus poursuit désormais sa sinistre épopée en ayant contaminé, au moins, 800.000 machines de septembre à fin décembre 2011, via des programmes, des sites Web infectés ou encore des supports amovibles (clé USB, cartes SD, disques durs, CD...). Selon un rapport de Symantec, il représentait 17,3 % de l’ensemble des malwares détectés l’été dernier.
Toutefois, si le virus circule effectivement sur son réseau, Facebook a précisé à ZDNet que les identifiants récupérés par Ramnit sont majoritairement périmés et pourraient avoir été dérobés plusieurs mois auparavant. En conséquence, l’éditeur minimise l’infection en indiquant que le chiffre pourrait être diminué de moitié.

Liens Facebook : réfléchir avant de cliquer et non l’inverse

Cette division par deux est plutôt théorique car la plupart des utilisateurs adoptent souvent le même mot de passe pour tous leurs profils en ligne (Facebook, Twitter, GMail…). Quand un cybercriminel aura mis la main dessus, les dégâts peuvent être considérables… C’est pourquoi Facebook recommande également d’utiliser différents mots de passe pour les divers comptes Internet. Sachez qu’il existe des logiciels de gestion de mot de passe et que certains navigateurs, comme Firefox, incluent même cette option. Il faut alors employer un seul mot de passe général qui est le sésame pour accéder à tous les autres. Encore faut-il utiliser systématiquement la même machine…
Concrètement, lorsqu’un compte Facebook est infecté par Ramnit, des liens provenant de l’attaque sont affichés sur les profils ou envoyés via des messages privés à tous les contacts de l’utilisateur. Malheureusement, avec Facebook « tout » est « lien » et il est aisé de cliquer ici ou là. C’est pour cette raison que, pour éviter la propagation, l’éditeur du réseau social conseille depuis longtemps « de ne jamais cliquer sur des liens étranges et de communiquer toute activité suspecte découverte sur le réseau ». Toutefois, il annonce travailler avec ses partenaires pour renforcer la protection de ses systèmes antivirus.

Source : Futura-Sciences

Une équipe de chercheurs de l'Université Concordia a mis au point une nouvelle technique permettant d'identifier efficacement les auteurs de courriels anonymes. Des essais ont montré que cette méthode atteint un degré de précision élevé et, à la différence de nombreuses autres, peut fournir des preuves recevables en cour. Cette découverte fait l'objet d'une étude parue dans la revue Digital Investigation.
"Depuis quelques années, nous observons une augmentation alarmante des crimes cybernétiques commis à l'aide de courriels anonymes", affirme Benjamin Fung, coauteur de l'étude, professeur en ingénierie des systèmes d'information à l'Université Concordia et expert en exploration de données, soit l'extraction d'informations utiles jusque-là inconnues à partir d'une grande quantité de données brutes. "Ces courriels peuvent contenir des menaces ou de la pornographie infantile, faciliter les communications entre criminels ou encore transmettre des virus."
Si la police utilise souvent l'adresse IP pour repérer la maison ou l'appartement d'où provient un courriel, elle peut trouver plusieurs personnes à cette adresse. Il lui faut donc un moyen fiable et efficace de déterminer lequel des suspects a rédigé les courriels examinés.
Afin de répondre à ce besoin, M. Fung et ses collègues ont conçu une nouvelle méthode inspirée de techniques utilisées pour la reconnaissance de la parole et l'exploration de données. Leur approche repose sur l'identification des caractéristiques fréquentes, c'est à-dire des combinaisons uniques de particularités récurrentes dans les courriels d'un suspect.
Pour déterminer si un suspect est l'auteur d'un courriel, on distingue d'abord les caractéristiques trouvées dans des courriels rédigés par ce dernier. On élimine ensuite toutes les caractéristiques figurant également dans les courriels d'autres suspects.
Les récurrences restantes deviennent des caractéristiques propres à l'auteur des courriels analysés. Elles constituent en quelque sorte l'"empreinte écrite" du suspect, soit un identificateur aussi précis qu'une empreinte digitale. "Supposons, par exemple, qu'un courriel anonyme contienne des coquilles ou des erreurs grammaticales, ou qu'il soit entièrement rédigé en lettres minuscules, explique le professeur Fung. Nous utilisons ces caractéristiques pour créer une empreinte écrite. Grâce à cette méthode, nous pouvons déterminer avec une grande exactitude l'auteur d'un courriel et déduire son sexe, sa nationalité et son niveau d'instruction."
Afin de tester la précision de leur technique, le professeur Fung et ses collègues ont examiné le Enron Email Dataset, un ensemble de données de plus de 200 000 courriels réellement rédigés par 158 employés d'Enron Corporation. En analysant un échantillon de 10 courriels par sujet – avec 10 sujets au total, soit 100 courriels en tout –, ils ont ainsi pu identifier leurs auteurs avec une précision allant de 80 % à 90 %.
"Notre technique est conçue pour fournir une preuve crédible qui peut être présentée en cour, précise M. Fung. Pour qu'une preuve soit recevable, les enquêteurs doivent pouvoir expliquer comment ils sont arrivés à leurs conclusions. C'est ce que notre méthode permet de faire."
Cette nouvelle technique d'identification a été développée en collaboration avec Mourad Debbabi et Farkhund Iqbal de Concordia. "Nos formations diversifiées nous ont permis d'appliquer des techniques d'exploration de données à de réels problèmes de cybercriminalité, déclare le professeur Fung. Voilà qui illustre parfaitement à quel point la recherche interdisciplinaire porte fruit."

Source : Techno-Science

Repéré il y a quelques semaines, Duqu, un cheval de Troie qui se glisse dans un fichier Word, est comparé à Stuxnet et pourrait préfigurer une attaque très ciblée contre des sites industriels. Microsoft estime le risque faible et vient seulement de publier un patch.
Le 9 octobre dernier, l’éditeur Symantec publiait sa découverte d’un virus nommé Duqu (car il génère deux fichiers dont le nom commence par DQ), « qui semble le précurseur d’une attaque de type Stuxnet ». Il partage en effet une partie de son code avec ce virus qui, en 2010, avait ciblé des équipements industriels, du type de ceux utilisés en Iran dans des installations industrielles.
Duqu exploite une faille de Windows jusque-là inconnue et se glisse dans les routines du système d’exploitation chargées de l’affichage des polices de caractères TrueType. Cet intrus peut alors « exécuter du code en mode kernel », vient d’expliquer Microsoft dans un communiqué. Autrement dit, obtenir les droits les plus élevés et pouvoir tout faire dans l’ordinateur et par exemple installer de nouveaux programmes ou ouvrir les comptes utilisateurs. Ce serait là le travail de Duqu : explorer le poste de travail, collecter des données, les envoyer sur des serveurs distants et télécharger des logiciels. Deux de ces serveurs ont été repérés et débranchés, en Inde puis en Belgique. De son côté, Microsoft, qui juge le risque faible, dit travailler à un correctif et, en attendant qu'il soit publié, propose une méthode pour éviter l'intrusion : désactiver la reconnaissance des polices TrueType.

Un robot espion spécialisé dans le renseignement
Ce cheval de Troie, cependant, ne se réplique pas. Il a été volontairement envoyé par courrier électronique dans des documents Word « à six organisations » et ce dans huit pays selon le dernier communiqué de Symantec : France, Hollande, Inde, Iran, Soudan, Suisse, Ukraine et Vietnam. D’autres distributeurs l’ont signalé également en Autriche, en Hongrie, en Indonésie, au Royaume-Uni ainsi que dans d’autres entités en Iran. Il ne s’agit donc pas d’un virus se propageant aveuglément au hasard des ordinateurs rencontrés. Duqu serait bien un agent en mission très spéciale chargé de s’infiltrer dans certaines « organisations » et semble-t-il de préparer une attaque plus massive.

Source : Futura-Sciences

L'efficacité des CAPTCHAs est remise en question par des chercheurs de Stanford, en effet, ceux-ci ont conçu un logiciel permettant de décoder beaucoup de CAPTCHAs, ces codes censés protéger les sites web contre l'utilisation de robots. Les CAPTCHAs sont en général considérés comme une barrière protectrice sûre, ce logiciel remet en cause cette barrière. Trois chercheurs de Stanford sont parvenus à décoder différents types de CAPTCHAs utilisés fréquemment sur Internet en développant des algorithmes inspirés de ceux utilisés par les robots pour s'orienter dans différents environnements.
Ce qui ressort est plutôt bluffant, le programme baptisé « Decaptcha » s'est montré plutôt efficace une fois lancé sur le Net en décodant 66% des CAPTCHAs proposés par le site Authorize.net, 70% de ceux utilisés par Blizzard Entertainment ou encore 73% de ceux de captcha.com. Mais ne s'arrêtant pas à ces sites, l'expérience a été moins concluante avec eBay (43%) ou encore Reddit (24%).

Pour aller plus loin: Elie Bursztein, Matthieu Martin, John C. Mitchell, Text-based CAPTCHA Strengths and Weaknesses, ACM Computer and Communication security 2011 (CSS’2011)

Sources : Sur-la-Toile, Clubic.com

Le département fédéral de justice et police de Suisse (DFJP) a confirmé en fin de semaine dernière qu'un logiciel espion semblable à celui qui a fait scandale en Allemagne a été utilisé chez les Helvètes.
Des pirates allemands avaient révélé l'utilisation, par la police du pays, du logiciel R2D2 il y a une dizaine de jours. Ce programme invisible permet de surveiller les conversations via Skype, consulter les courriels envoyés et reçus, prendre des captures d'écran, enregistrer chaque touche du clavier sur laquelle l'utilisateur a tapé, ou encore activer à distance un microphone ou une webcam pour voir et entendre ce qui se dit dans la pièce. A Berlin, les témoignages accablants se sont multipliés jusqu'à ce que le Bundestag confirme ce que tout le monde savait. On s'attend à une réaction similaire en Suisse.
Toutefois, selon Guildo Balmer, le porte-parole du DFJP, ce logiciel n'aurait été utilisé que dans quelques cas pour élucider des crimes graves. Le porte-parole a évoqué des enquêtes en cours pour la justification de l'utilisation d'un tel logiciel. L'existence de bases légales suffisantes pour autoriser l'utilisation de tels logiciels est toutefois contestée.
La commission des affaires juridiques du Conseil national a été informée la semaine dernière de l'utilisation en Suisse de logiciels d'espionnage. Toutefois, la livraison de tels logiciels à la Suisse par l'entreprise allemande Digitask, (déjà à l'origine du scandale en Allemagne) était apparemment connue.
La société affirme d'ailleurs avoir vendu des dispositif de surveillance similaire à d'autres pays comme l'Autriche et les Pays-Bas.

Source : Branchez-vous

Un virus informatique a atteint sa cible : les « Predators » et « Reapers » américains qui servent de plus en plus dans l'US army. Il a été détecté il y a deux semaines, mais cela n'a pas empêché les drones de continuer de voler non seulement dans des zones de conflit, mais aussi dans les bases situées sur le territoire américain.
A priori, aucune information Top Secret n'a été perdue ou envoyée en dehors du réseau (pour l'instant), mais le virus a tenu bon ses positions contre les manoeuvres pour s'en débarrasser. En gros : on l'efface et il revient. Les spécialistes pensent que ce virus est bénin, mais on n'en est pas bien certain. On ne sait pas mieux si l'attaque est intentionnelle et sa profondeur.
Le virus aurait intégré le réseau militaire par le biais de disques durs portatifs afin de charger de nouvelles cartes et transférer des vidéos de missions. Il ne sera plus question de les utiliser après cela...

Source : Sur-la-Toile

Des pirates peuvent mettre la main sur des données confidentielles en récupérant des e-mails mal adressés. C’est ce que démontrent deux chercheurs qui sont parvenus à intercepter 120 000 messagesen quelques mois.

Une bête faute de frappe. Au moment d’entrer l’adresse e-mail de votre correspondant, vous oubliez une lettre. xyz@edipress. ch au lieu de xyz@edipresse. ch. Lorsque vous vous en apercevez, le message est déjà parti. Aucun problème, il suffit de renvoyer le message à la bonne adresse, pensez-vous. L’histoire pourrait s’arrêter là.
Mais il se pourrait aussi qu’un inconnu récupère le message que vous pensiez perdu dans les tréfonds du web. Pour cela, il lui suffit d’avoir acheté le nom de domaine edipress. ch. Improbable? Pas forcément. Deux spécialistes en sécurité informatique ont tenté l’expérience. «Nous avons loué trente noms de domaines proches de ceux de multinationales», explique l’un d’entre eux, Garrett Gee. Et ensuite? «Nous avons simplement attendu six mois. »
Le résultat est impressionnant. «Nous-même sommes surpris de la quantité de messages égarés auxquels nous avons eu accès. » En un semestre, 120 000 e-mails pesant au total plus de 20 gigas leur sont parvenus. Certains contenaient des données sensibles, comme des noms d’utilisateurs et des mots de passe. «Il y avait aussi des documents internes aux entreprises, comme cette liste de toutes les cargaisons transportées par les navires d’une grande compagnie pétrolière», raconte Garrett Gee.
«On connaissait déjà les dangers du typosquatting, cette technique qui consiste à créer un site dont l’adresse ressemble à celle d’un autre, généralement très fréquenté», explique Candid Wüest, spécialisé dans l’identification de nouvelles menaces chez Symantec. Certains de ces domaines squattés affichent simplement de la publicité, d’autres tentent d’infecter l’ordinateur de l’internaute distrait avec un logiciel malveillant. «Mais grâce à cette nouvelle recherche, nous pouvons maintenant mesurer l’ampleur des risques liés aux fautes de frappes dans les courriers électroniques. »
Et ce n’est pas tout: Garrett Gee et son collègue Peter Kim ont fait une autre découverte. Au cours de leur recherche, ils se sont aperçus qu’un nombre conséquent de noms de domaines proches de ceux de grandes firmes étaient déjà enregistrés par des entités basées en Chine. Autrement dit, certaines personnes n’ont pas attendu pour se mettre au typosquatting. Et contrairement aux chercheurs qui assurent avoir dûment détruit toutes les données en leur possession, rien ne garantit que des personnes malintentionnées ne se servent des informations récoltées pour pirater des ordinateurs ou faire de l’espionnage industriel. «Attention toutefois à ne pas accuser trop vite les Chinois, tempère Candid Wüest de Symantec. Enregistrer un nom de domaine en Asie est moins contraignant qu’en Europe ou aux Etats-Unis. Il est possible de le faire sans avoir à révéler sa véritable identité. Il est donc tout à fait plausible que derrière des serveurs enregistrés en Chine se cachent en réalité des entreprises basées ailleurs dans le monde. »
Cette pratique est-elle légale? «La difficulté réside dans le fait qu’il s’agit d’un vol passif, analyse Nicolas Capt, avocat spécialisé dans les nouvelles technologies. Il n’y a pas de démarche active pour intercepter les e-mails. C’est comme un piège que l’on tend en espérant que quelqu’un tombe dedans. » Si le vol n’est donc pas forcément punissable, l’usage qui est fait des données peut en revanche être illégal. «On peut imaginer qu’une société porte plainte pour concurrence déloyale, mais la procédure risque de s’enliser en raison de la difficulté qu’on aura à dénicher les véritables responsables à l’étranger. »
Pour se protéger, mieux vaut donc agir en amont. «C’est aux entreprises de surveiller les noms de domaines proches de leur raison sociale. L’Organisation mondiale de la propriété intellectuelle prévoit des procédures accélérées qui leur permettent de récupérer tout nom de domaine similaire au point d’entraîner la confusion, souligne Nicolas Capt. En attendant que l’on trouve un moyen d’empêcher les internautes de faire des fautes de frappes, c’est la meilleure solution. »

Article d'Alexandre Haederli paru dans Le matin Dimanche du 18 septembre 2011

Il faut réfléchir à deux fois avant de mettre en ligne vos photos de vacances sur Facebook. Vous pourriez aider des pirates à voler de l'information grâce à vous. Un botnet nommé Stegobot sévit actuellement. Il prend le contrôle d'un ordinateur en demandant aux utilisateurs de cliquer sur un fichier attaché à un email ou en visitant des sites web piratés. La ruse de ce bot est de ne pas contacter son « maître » directement, mais en utilisant le réseau social, en rebondissant d'ami en ami.
Ce programme cache de l'information dans les images, sans changer l'apparence de celles-ci. En effet, il est possible de stocker 50 kb dans une image 720*720. C'est largement assez pour stocker vos mots de passe et numéros de carte bancaire trouvés sur votre disque dur. Le programme attend donc tranquillement qu'un de vos amis regarde votre profil. Il n'y a pas besoin de cliquer sur l'image, car Facebook télécharge les fichiers. Si votre ami est aussi infecté, toute image chargée va aussi faire passer les données volées.

Sources : Sur-la-Toile, New Scientist

Le « top bot », selon l’expression de ses découvreurs, serait la « menace la plus sophistiquée » sévissant actuellement sur Internet. Transmis par des rogues, installé dans la MBR et capable de chasser les virus concurrents, il aurait infecté 4,5 millions de PC sous Windows en trois mois pour créer des botnets, c’est-à-dire des réseaux clandestins.
Deux informaticiens travaillant chez l’éditeur d’antivirus Kaspersky, Igor Soumenkov et Sergey Golovanov, viennent de décrire une sorte de monstre, créateur de botnets, ces réseaux d’ordinateurs devenus zombies (c’est le terme) à l’insu de leur propriétaire et destinés à convoyer spams et virus ou à installer des pièges par phishing. Le nouveau venu n’est pas tout à fait un inconnu, expliquent ses découvreurs, puisqu’il est une variante, ou plutôt une évolution, du logiciel malveillant TDSS, apparu en 2008.
De nombreux perfectionnements ont été apportés depuis la version précédente, baptisée TDL-3, qui augmentent considérablement la dangerosité de ce parasite, affirment les deux informaticiens. TDL-4, compatible avec les systèmes 64 bits, infecte la MBR (Master Boot Record), c’est-à-dire le premier enregistrement sur le disque dur, chargé dans la mémoire au démarrage de l’ordinateur, donc avant même le système d’exploitation. Il est alors difficilement détectable. TDL-4 installe un rootkit, donc un ensemble d’outils logiciels pour modifier le système d’exploitation et se rendre indétectable.

Un vrai business

En tout, TDL-4 installerait une trentaine de logiciels sur le PC, et même un antivirus ! En effet, ce parasite est programmé pour éliminer ses concurrents s’il y en a (il en connaît 20, dont Zeus), afin d’être seul maître à bord. L’intérêt est double. Tout d’abord, la compétition règne entre cybercriminels et ces botnets sont des affaires lucratives. De plus, l’éradication de virus peut éviter d’éveiller les soupçons de l’utilisateur, qui sera peut-être même ravi de voir son ordinateur fonctionner plus vite… Bref, l’objet, intégralement démonté par les deux informaticiens, pourrait susciter l’admiration s’il n’était pas franchement malveillant, servant à véhiculer toutes les plaies du Web. Il est aussi une opération marketing, cet engin parasite ou ses services étant vendus.
Ses auteurs, expliquent les deux informaticiens, ont commercialisé le code de TDL-3 à d’autres cybercriminels, au risque de faire de l’ombre à son successeur. Mais TDL-4 serait si sophistiqué que cette concurrence de l’ancien ne gênerait pas le jeune loup.
Le dernier-né serait vendu par licence, avec un programme d’affiliation. Les deux informaticiens estiment qu'il en coûte de 20 à 200 dollars (14 à 140 euros) pour infecter un millier de PC. De quoi envoyer des spams… Il y aurait des options : toujours selon la même source, l’installation d’un proxy sur un PC infecté serait facturée 100 dollars par mois (environ 70 euros). Ce business nauséabond est-il une affaire florissante ?

Source : Futura-Sciences

LulzSec, Anonymous, The Jester, attaque DDoS... Pour s'y retrouver, 20 minutes propose un petit lexique.

On peut raisonnablement estimer qu'un « hacker » sur quatre travaille secrètement pour les États-Unis (par le biais du FBI). Cela permet de suivre ce que font les vrais pirates, ni vu, ni connu. Lorsque le FBI débusque un pirate, il commence par faire des menaces de longs moments passés en prison... Ainsi, des pirates se convertissent en informateurs. Ces informateurs sont déjà bien engagés dans la communauté des spécialistes du piratage et dénoncent les tentatives de fraudes à grande échelle afin d'espérer d'écoper de moins lourdes sentences. Certains informateurs sont les mêmes qui tiennent des forums illégaux avec des informations volées concernant des cartes de crédit.
Ce genre de travail en coulisse aurait mis au moins une douzaine de criminels de poids derrière les barreaux. Les pirates vivent maintenant dans la paranoïa. Un exemple célèbre est Lamo, le « judas » des pirates, qui a « donné » au FBI Bradley Manning qui avait fourni des informations à Wikileaks. Il y a maintenant des groupes d' « Anonymous » qui se battent contre d'autres groupes d' « Anonymous » (Dieu reconnaîtra les siens) afin de trouver leurs adresses IP.

Source : Sur-la-Toile