Le cyberblog du coyote

Un groupe de pirates nommé LulzSec vient de publier les login / emails et mots de passe d'environ 26 000 utilisateurs d'un site pornographique, Pron.com. Le groupe a mis en exergue que certains emails sont manifestement issus de personnels du gouvernement (dont des militaires) en raison des extensions (.mil et .gov).
Le groupe a demandé aux abonnés de Twitter de s'amuser avec ces données pour voir si les mêmes codes ne permettraient pas, par hasard, d'avoir accès aux comptes Facebook, puis de dire aux amis et personnes de la famille que le membre de Facebook a aussi un compte sur Pron (important : visiter le compte de quelqu'un sans son autorisation est comme rentrer dans l'appartement de quelqu'un parce qu'on a trouvé la clé, c'est puni par la loi et non-éthique...).
Heureusement, l'équipe de sécurité de Facebook a vite réagi en faisant elle-même la correspondance : les mots de passe ne fonctionnent plus. Cela ne concerne que Facebook toutefois. Cela doit rappeler à tous qu'il est nécessaire de varier autant que possible les mots de passe (et qu'ils soient assez compliqués).

Source : Sur-la-Toile

Des membres du groupe LulzSec affirment avoir fracturé les serveurs de Sony Pictures et de Sony BMG. Une fois entrés, ils ont eu « accès à tout » et ont pu faire le plein de musique et de bons de réduction… mis en ligne sur les réseaux BitTorrent.
« C’est pour la bonne cause » expliquent en substance les hackers du groupe LulzSec dans un communiqué pour détailler leur exploit (au sens informatique du terme), réalisé le jeudi 2 juin, et qui vient donc quelques semaines après le piratage du réseau PSN.
L’histoire qu’ils racontent est celle d’un piratage simple à base « d’injection SQL » dans les bases de données de Sony Pictures et Sony BMG Pays-Bas et Belgique. « We accessed EVERYTHING » (« nous avons eu accès à TOUT ») s’extasient les informaticiens pirates. Le mot « tout » ne semble pas trop fort : un million de comptes personnels ont été ouverts, avec identifiants et mots de passe, 75.000 codes permettant de télécharger de la musique et 3,5 millions de bons de réduction.

Le butin offert à la planète

Les pirates disent-ils vrai ? Pour le prouver, les membres du groupe ont déposé sur les réseaux BitTorrent une partie de ce trésor, qui devient donc accessible à tout le monde. D’après ces cambrioleurs virtuels, cet acte n’a pas d’autre objectif que de montrer combien les données enregistrées chez Sony sont mal protégées. « Parmi ce que nous avons récolté, aucun bit n’était crypté, assène le communiqué. Sony stocke un million de mots de passe comme du simple texte. » Sony n’a pas encore répondu. Au moment où ce piratage était révélé, l’entreprise japonaise était en train de plancher sur la réponse à donner à la lettre que lui a adressée le Congrès des États-Unis, le 29 avril, pour exiger des explications sur l’affaire PSN.

Source : Futura-Sciences

Sur Facebook, les spams touchent de plus en plus les utilisateurs non avertis. Depuis quelques temps, des messages circulent sur le réseau social proposant aux internautes de connaître les personnes qui consultent leur profil. Une curiosité qui se paie par le prix de l'embarras une fois les données piratées.

Les spammeurs ont trouvé leur nouvelle cible : les réseaux sociaux. Facebook, plus particulièrement, se retrouve en proie aux nombreuses menaces de hackers. La dernière en date consiste à proposer aux utilisateurs de voir qui consulte leur profil. Un piège habilement élaboré qui se base sur la tendance des internautes à vouloir à tout prix savoir qui s'intéresse à leurs informations.
Le site begeek en fait d'ailleurs la surprenante constatation. Pour en faire l'expérience, il propose de taper dans barre Google "savoir qui". Les suggestions proposées par le moteur de recherche, basées sur le nombre de requêtes, font apparaître en troisième position "savoir qui consulte mon profil facebook". Il est pourtant impossible d'obtenir de telles informations, comme le rappelle Facebook qui précise qu'aucune application de ce type ne verra le jour pour conserver le principe même du réseau.
Au lieu d'assouvir la curiosité des internautes, la fausse application les redirige vers une page hébergée à l'étranger sur laquelle il est demandé de coller une ligne de code dans sa barre d'adresse avant de répondre à un questionnaire de sécurité. Une opération aux nombreuses conséquences comme le piratage de ses informations personnelles et la propagation de nouveaux liens piégés sur les profils de ses amis.
Selon une récente étude réalisée par BitDefender, 68% des utilisateurs de Facebook estiment ne pas avoir conscience des menaces liées aux publications douteuses sur leur profil. L'ignorance de ces risques est responsable des nombreux clics générés sur ces liens malveillants.

Source : MaxiSciences

Vous en cauchemardiez ? Sony l'a fait. Des informaticiens affirment que des pirates se disent en possession de 2,2 millions de numéros de cartes bancaires volés chez Sony grâce au piratage du réseau PSN et du service Qriocity.
C’est en se promenant dans des forums confidentiels fréquentés par des hackers que des spécialistes de sécurité informatique ont repéré des discussions concernant 2,2 millions de numéros de cartes bancaires, avec les noms et adresses de leurs propriétaires. Ce magot ne serait autre que le trésor de guerre récupéré par le ou les pirates du réseau PlayStation Network (PSN) et du service Qriocity, de Sony.
L’information est diffusée par le New York Times, qui rapporte notamment les propos de Kevin Stevens, l’un de ces experts, travaillant chez Trend Micro. D’après lui, des forumeurs mystérieux évoquent une mise sur le marché de ces précieuses données, avec un tarif global de 100.000 dollars. Les voleurs auraient même tenté de revendre le tout à Sony, qui aurait refusé.

Reprise du service la semaine prochaine

Non confirmées, ces rumeurs pourraient n’être que des vantardises de hackers. Sony a répondu que les numéros de cartes et les données personnelles étaient cryptés, ce qui n’a pas vraiment rassuré les populations. D'une part, Sony elle-même a évoqué un tel piratage de numéros : « Bien qu’il n’y ait aucune preuve que des données de cartes bancaires aient été volées, nous ne pouvons écarter cette possibilité », et a conseillé à tous les utilisateurs de PSP qui auraient effectué des achats sur ces réseaux à l’aide d’une carte de crédit de surveiller leur compte bancaire…
D’autre part, les hackers semblent avoir ouvert les bases de données internes du réseau de Sony, « ce qui leur aurait donné accès à tout, y compris les numéros de cartes bancaires », souligne, cité par le New York Times, Mathew Solnik, informaticien spécialisé dans la sécurité et qui a lui aussi suivi les discussions des pirates sur les forums.
Sur son blog en anglais, Sony disait espérer remettre en route ses services PSN et Qriocity aux environs de mercredi prochain. Sur une autre liste FAQ, publiée ce matin, Sony affirme que les données personnelles (listes d’amis, historique des téléchargements, trophées gagnés hors connexion…) seront restaurées une fois le service repris. Par ailleurs, sur la FAQ en français, l’entreprise évoque – vaguement – un dédommagement.

Source : Futura-Sciences

La Suisse devient toujours plus sûre en matière de sécurité sur Internet, malgré une année 2010 record en cyberattaques.

Malgré la forte croissance des cyberattaques dans le monde, la Suisse devient toujours plus sûre en la matière. Elle s’est classée au 43e rang au niveau des activités malveillantes sur Internet l’an dernier, alors qu’elle était 35e en 2010, selon le rapport annuel de Symantec.
La firme américaine de sécurité informatique, qui analyse chaque jour des millions d’informations grâce notamment à des leurres installés sur Internet, a indiqué mardi une augmentation de 93% des attaques en ligne en 2010 dans le monde. Elle a répertorié 286 millions de logiciels malveillants pour quelque 3 milliards d’attaques.
L’amélioration de la situation en Suisse pourrait venir de la hausse des activités cybercriminelles dans d’autres pays comme les Pays-Bas et la Corée du sud. Ces Etats ont ainsi rattrapé la Suisse au classement mondial. Les prestataires de services Internet helvétiques s’engagent aussi activement contre les attaques.

Attaques ciblées

Actuellement, les cyberattaques sont de plus en plus ciblées et furtives. Elles abandonnent progressivement le vecteur du spam pour se tourner vers les réseaux sociaux et les téléphones mobiles. «On vise des populations précises avec l’objectif de voler tout type d’information ayant une valeur», résume Laurent Heslault, directeur européen des technologies de sécurité chez Symantec.
Exemple typique de cette régression des «attaques en masse» au profit d’actions ciblées, la diminution des spams qui «ont connu une année noire en 2010: alors qu’on recensait en août dernier 250 milliards de spams envoyés par jour, on en est actuellement à quelque 20 à 30 milliards quotidiens», a indiqué M. Heslaut.
«Avant, on envoyait un virus à la terre entière. Maintenant, des sortes d’usines multiplient les variantes et vont délivrer un logiciel malveillant unique pour chaque ordinateur», détaille-t-il.

Attaques contre les mobiles

Les activités qui tournaient autour du spam se reportent aussi désormais clairement vers les réseaux sociaux, nouveaux vecteurs de propagation. «On va bombarder les murs d’utilisateurs de liens qui vont envoyer l’internaute peu méfiant vers des sites infectés», explique Laurent Heslault.
Le rapport cible également la recrudescence (+42%) des attaques en direction des téléphones mobiles. «Dans de nombreux cas, les cybercriminels ont infesté des utilisateurs de portables en introduisant un programme malveillant dans des applications existantes légitimes», souligne Symantec.

Source : 24 heures

Les "Petites histoires d’internet" sont de courtes bandes dessinées sur des situations fâcheuses que l'on peut vivre avec les technologies de l'information et de la communication (TIC) – couramment rapportées aux services fédéraux ou cantonaux compétents. Les sujets vont de la transmission de données personnelles aux activités criminelles sur l'internet en passant par la protection insuffisante des enfants et des jeunes, les abus dont sont victimes les consommateurs ou encore les ordinateurs et les réseaux WLAN non sécurisés. Chaque histoire est accompagnée de liens vers les organisations pouvant fournir de plus amples informations.

Largement exposé dans les médias, le virus Stuxnet aurait été conçu par un Etat cherchant à démanteler par la force le programme nucléaire iranien. Ah bon? Pas si sûr.

Lire l'article Stuxnet, ou le mythe de la cyberguerre mondiale sur OWNI (daté du 29 septembre 2010)

Étrange histoire que celle de ce virus conçu pour détruire une installation industrielle. Les spécialistes qui l'ont disséqué ont découvert qu'il ciblait certains systèmes de Siemens et pensent que ce Troyen, véhiculé par des clés USB, est spécifiquement dirigé contre la centrale nucléaire iranienne de Bushehr.

Stuxnet, un ver informatique, serait le premier malware à s'attaquer au contrôle en temps réel d'un système industriel. Découvert en juillet 2010, Worm.Win32.Stuxnet a été étudié, entre autre, par un informaticien allemand, Ralph Langner, qui en a décrypté le fonctionnement.
Stuxnet s'appuierait sur le logiciel de supervision WinCC, conçu par Siemens et destiné à piloter depuis un ordinateur sous Windows des systèmes Scada (Supervisory Control and Data Acquisition). Selon cet expert, Stuxnet, qui se révèle particulièrement sophistiqué, ne s'installe pas n'importe où mais dans certains automates programmables industriels de Siemens. De là, il peut commander différents équipements, « comme des valves, par exemple ».
Selon les informations rapportées par PC World, un expert, le Canadien Eric Byres (responsable de Byres Security), qui avait étudié Stuxnet en juillet, aurait, lui, découvert un détail supplémentaire. Le virus modifierait spécifiquement un certain sous-programme destiné à contrôler en temps réel des processus très rapides avec un temps de réponse de 100 millisecondes.
Le ver se laisse transporter sur des clés USB ou des cartes de mémoires Flash et se propage aussi via des réseaux locaux, et même via des imprimantes connectées. On sait qu'il exploite plusieurs failles de Windows, comme l'ont montré les différentes études réalisées, notamment par Microsoft; ce qui lui permettrait de prendre à distance le contrôle d'une machine. L'affaire est prise au sérieux aussi par Siemens, qui a diffusé une méthode et un correctif pour détecter et extirper ce malware.

D'où vient-il ? Où va-t-il ?

À quoi pourrait-il servir ? « Il pourrait par exemple mettre en panne une centrifugeuse, a expliqué Eric Byres (propos rapportés par PC World), mais il pourrait être utilisé dans bien d'autres buts. La seule que je puisse dire c'est que c'est quelque chose conçu pour casser. »
Il aurait été retrouvé en Iran, en Inde et en Indonésie. « Un nombre indéterminé de centrales électriques, de pipes-lines et d'usines ont pu être infectés », ont affirmé les experts. Ralph Langner tire de ses analyses une conclusion concrète : la cible du ver serait la centrale nucléaire de Bushehr, au bord du golfe Persique. Siemens AG avait participé à la construction de la centrale au début des années 1970 jusqu'à la révolution islamique de 1979. Après les bombardements de la guerre Iran-Irak puis l'opposition des États-Unis, la remise en route de la centrale a pu être effectuée grâce à l'aide de la Russie. C'est d'ailleurs une entreprise russe ayant collaboré à cette remise en route, Atomstroyexport, que Ralph Langner désigne comme un vecteur possible du virus pour son entrée clandestine en Iran. D'après Symantec, qui s'est aussi penché sur ce virus, ce pays concentrait en juillet 60% des cas d'infections.
La sophistication de ce malware et la parfaite connaissance des systèmes de Siemens qu'il implique font penser qu'il ne s'agit pas du jeu d'un hacker du dimanche. Un État pourrait-il avoir visé cette centrale par une cyber-attaque ? Selon Siemens, en tout cas, l'hypothèse ne tient pas car la société allemande n'a livré à la centrale de Bushehr aucun système du type de ceux qu'infecte Stuxnet...

Source : Futura-Sciences (Jean-Luc Goudet)

« Here You Have » ou encore « Just For You » sont les noms du nouveau malware en vogue sur internet. Un petit cheval de Troie arrivant par e-mail chez de nombreux internautes et contenant un lien semblant diriger sur la lecture d'un fichier PDF. Il semblerait que ce trojan ce propage très rapidement d'après McAfee et Symantec, sociétés éditrices de solutions de sécurité.
Le fichier pointé n'est qu'autre qu'un fichier .scr qui serait une variante du ver « W32.Imsolk.A@mm ». Ce fichier est exécutable et se repend ainsi en envoyant un message à tous les contacts e-mail de la victime. De plus, ce trojan créerait des autoruns sur les différents disques durs, ainsi que sur les supports amovibles (clé USB, mp3 etc.). Par ailleurs, il semblerait qu'une fois installé, le logiciel malveillant désactive la plupart des antivirus gratuits ou payants.
Pour plus de sécurité, il est recommandé de ne pas cliquer sur les liens qui peuvent paraitre suspects.

Source : Sur-la-Toile

La page officielle de Nicolas Sarkozy sur Facebook est actuellement victime de Google Bombing. Le Google Bombing, est une méthode d'exploitation de l'algorithme PageRank sur Google visant à modifier le classement d'une page internet afin d'apparaitre dans les premiers résultats lors d'une requête. C'est le président de la République Française qui est visé. En effet, il suffit alors de taper les termes « trou du cul » pour voir apparaitre la page Facebook de M. Sarkozy en résultat. Mieux encore, il suffit de cliquer sur « j'ai de la chance » pour tomber directement sur cette même page !
Cette pratique n'est pas nouvelle sur les hommes politiques. En effet, une mésaventure similaire était alors arrivée à Jacques Chirac. La recherche du terme « escroc » pointait alors vers une page de présentation de l'ex-président français. Le moteur de recherche a quant à lui présenté des excuses, précisant qu'il ne s'agissait pas de piratage, mais expliquant ne pas pouvoir réellement empêcher cela.

Source : Sur-la-Toile

Au cours de la conférence Black Hat à Las Vegas, sur la sécurité informatique, un spécialiste, Samy Kamkar, aurait démontré que certaines manipulations habiles pourraient permettre à un pirate de retrouver les coordonnées de l'adresse correspondante à la connexion. C'est en tirant profit de la manière dont les routeurs gèrent les requêtes sur les adresses IP que cet anonymat pourrait être alors levé. Pour mener à bien cet exploit, le pirate doit réussir à détourner le numéro d'identification du routeur. Il semblerait que cette récupération soit possible en détournant la demande d'information sur l'IP de la personne ciblée. À l'aide du numéro d'identification, il serait ensuite possible de localiser la personne via un service de WHOIS. Lors de sa démonstration, Samy Kamkar a pu ainsi localiser une adresse via le routeur avec une marge d'erreur d'à peine 9 mètres !

Source : Sur-la-Toile

Anciennement ALWIL Software, l'éditeur AVAST Software a dressé une liste non exhaustive des sites les plus infectés par divers malwares. À l'aide des échantillons de logiciels malveillants remontés par sa communauté IQ, les laboratoires de la firme ont donc dressé une liste indicative des sites internet les plus infectés au cours du mois de mai.
Selon AVAST Software, il y a un point commun entre ces sites. Il semblerait donc que les sites touchés soit particulièrement dans les domaines des jeux, des people, ainsi que la télévision et les films, soit dit de nombreux sites Web. Pas dévoilé totalement, un extrait de cette liste est donné. On peut y trouver notamment les sites suivants : Actionfigurecustoms.com, AllCelebsFree.com, AnimeBreaker.com, FindACeleb.com, Gamefactoryinteractive.com, Games9x.com, Flashgames247.com etc.
Pendant ce mois de mai 2010, l'éditeur a constaté qu'une hausse de 52% de visites en plus a eu lieu sur des sites infectés avec pour chacun des sites une moyenne de 89 visiteurs contre 59 en avril dernier. Toujours d'après l'éditeur et sa communauté IQ, il semblerait que les .com soit les plus infectés avec 102 721 sites sur un total de 5 186 345, juste devant les .ru (20 639 infectés sur 1 230 077).

Source : Sur-la-Toile

Alors que l'iPad fait son entrée, le groupe Goatse Security (groupe de hackers) a découvert une faille dans le site internet de l'opérateur américain AT&T. Cette vulnérabilité aurait compromis les données personnelles de 114.000 utilisateurs d'iPad 3G aux États-Unis. Les hackers auraient donc réussi, à partir de quelques ICC IDs (identifiant unique liant une carte SIM à un appareil et à un utilisateur), réussi à se procurer les adresses mail de plusieurs possesseurs d'iPad à l'aide d'un mécanisme laissé ouvert sur le site de AT&T. Un script a été créé afin d'automatiser la procédure, et ce ne sont pas moins de 114.067 courriels que possédait le groupe Goatse Security.
Les premiers acheteurs d'iPad seraient vraisemblablement des personnes connues comme les dirigeants et cadres du New York Times, du Dow Jones, de la Time Warner, de News Corp. ainsi que des banques JP Morgan, Goldman Sachs, ou bien encore Citigroup. Des adresses email de certaines personnalités de la NASA ainsi que du ministère de la Défense américain auraient aussi été récupérées. L'opérateur de téléphonie AT&T, qui a l'exclusivité de l'iPhone et de l'iPad aux États-Unis, a été mis en cause suite à cette faille découverte dans un processus d'identification de l'iPad version 3G. Afin de corriger cela, AT&T a bloqué la fonction qui fournissait les informations.

Source : Sur-la-Toile

Un nouveau type de malware (ransomware) est capable d'infecter un PC afin de récupérer l'historique du navigateur. Ensuite, ces informations sont publiées sur un site et il est alors demandé à la personne victime de cette récupération pirate d'envoyer de l'argent pour voir ces informations retirées...
Le virus peut s'installer actuellement lorsque l'on télécharge des jeux japonais coquins sur la plateforme Winni (utilisée par 200 millions de personnes). 5500 personnes auraient déjà signalé avoir été infecté. Le site sur lequel l'historique du navigateur va être publié est la propriété de la société Romancing Inc. enregistrée par une personne fictive.
En Europe, ce genre de chantage existe, mais sous une forme différente : une organisation fictive fait croire (par l'ouverture d'un pop-up) à un utilisateur qu'il a récupéré des informations compromettantes sur le PC (que ce soit vrai ou non) et qu'il faut donner ses coordonnées bancaires pour un montant forfaitaire. Ces coordonnées bancaires sont ensuite revendues.

Source : Sur-la-Toile

Comme chaque année, le Pwn2Own contest a réuni des experts informatiques, invités à mettre à l'épreuve les logiciels système. Le résultat n'a pas de quoi rassurer. De tous les navigateurs Web, seul Chrome 4, sur Windows 7, a résisté, et encore, parce qu'aucun pirate n'a osé s'y frotter.

La plupart des systèmes informatiques soumis au concours de piratage Pwn2Own à la CanSecWest Security Conference, à Vancouver ont succombé aux attaques des pirates. L'iPhone a été facilement piraté en vingt secondes, de même qu'un Nokia sous Symbian et les principaux navigateurs Internet. Google Chrome est le seul programme resté invaincu. En fait, les pirates n'ont pas essayé de s'y attaquer pendant la compétition. « Il y a des bugs dans Chrome, mais ils sont difficiles à exploiter » a confié Charlie Miller, chercheur en sécurité informatique de l’Independent Security Evaluators.
Ralf Philipp Weinmann et Vincenzo Iozzo, deux universitaires spécialistes en sécurité informatique, ont su exploiter une vulnérabilité du navigateur Safari de l'iPhone d'Apple. L'opération leur a ouvert l'ensemble de la base de données SMS de l'appareil – même les SMS effacés–, en seulement 20 secondes ! Cet acte de piratage a permis aux hackers d'empocher la somme de 15.000 dollars.
Sont également tombés les navigateurs Internet Explorer (Microsoft), Safari (Apple) et Firefox (Mozilla). Un smartphone Nokia sous Symbian et un ordinateur MacBook d'Apple ont à leur tour succombé aux attaques. Testé sous le système d'exploitation Windows, le navigateur Web Chrome édité par Google est le seul programme informatique resté invaincu de ce concours.
Les vulnérabilités découvertes sur les différents systèmes piratés ne sont pas transmises au public (ni aux pirates), mais directement signalées aux fabricants concernés afin de leur permettre de développer des correctifs.

Plus de 13 millions de machines dans le monde étaient contrôlées à l'insu de leurs propriétaires par trois Espagnols. Des grandes entreprises étaient aussi infiltrées.

Selon la police, les trois pirates informatiques arrêtés le mois dernier en Espagne n'avaient pas le profil des petits génies de l'informatique ou des cadors de la cybercriminalité. Ils sont pourtant parvenus à bâtir le plus vaste réseau de PC fantômes au monde. En un an, ils ont enrôlé près de 13 millions de machines réparties dans 190 pays dans leur réseau baptisé «Mariposa» (papillon, en espagnol), afin de voler des informations, envoyer du spam ou mener des cyber-attaques. Au moins la moitié des très grandes entreprises de la liste Fortune 1000 étaient concernées, ainsi que 40 banques majeures.
Selon les premiers éléments de l'enquête, menée en collaboration avec le FBI et des sociétés privées spécialisées dans la sécurité informatique, les ordinateurs ont été infectés par des virus informatiques se propageant par le réseau de messagerie instantanée de MSN, sur les réseaux de peer-to-peer eMule et Limewire et par les clés USB. Le logiciel «était très professionnel et très efficace», a reconnu Pedro Bustamante, chercheur chez Panda Security. Le réseau de PC zombies (botnet), détecté pour la première fois en mai 2009 par l'entreprise canadienne Defence Intelligence, a été désactivé en décembre «de manière coordonnée au niveau international».
Les enquêteurs sont remontés jusqu'à sa source en profitant de l'inhabituel amateurisme de ses concepteurs, qui n'avaient pas de casier judiciaire. Le responsable du réseau, âgé de 31 ans et connu sous les noms de «netkairo» ou «hamlet1917», a été arrêté en février à son domicile de Balmaseda au Pays Basque, après avoir tenté de se connecter au botnet sans masquer son identité. Deux autres Espagnols, âgés de 30 et 25 ans, ont été interpellés dans la foulée dans les régions de Murcie et de Galice. Une quatrième personne, de nationalité vénézuélienne, pourrait être impliquée.

«Ils n'avaient pas conscience de leur potentiel»

«Nous avons eu de la chance que ce réseau soit entre les mains d'une personne qui n'était pas consciente de son potentiel délictueux», a déclaré le commandant Juan Salom, responsable de l'enquête menée en collaboration avec le FBI américain. Les auteurs du botnet «ne ressemblent pas à ces membres de la mafia russe ou d'Europe de l'Est qui ont des voitures de sport, des belles montres et de beaux costumes», a estimé un membre de la garde civile. «Avec ce réseau, on aurait pu réaliser une cyber-attaque bien supérieure à celles réalisées contre l'Estonie ou la Georgie», a-t-il ajouté.
Le responsable du réseau réussissait à vivre de son activité en «louant» les PC zombies. Il disposait tout de même sur son ordinateur des données personnelles de plus de 800.000 victimes, aussi bien des coordonnées bancaires que des codes d'accès. Les enquêteurs cherchent à déterminer l'usage qui a pu en être fait. Après cette neutralisation, une importante attaque informatique contre Defence Intelligence a eu lieu, ce qui a été interprété par la garde civile comme une vengeance de la part des cyber-délinquants. Et le signe de l'importance prise par ce réseau.

Source : Le Figaro du 3 mars 2010

Hacker Croll, c’est son pseudo, explique qu’il avait pu accéder à différentes boites mails des employés de Twitter dont celle de Evan Williams et de son épouse. Celà lui a permis d’avoir accès à tout un tas d’infos assez hallucinantes.
Il a eu accès aux comptes Paypal, Amazon, Apple, AT&T, MobileMe et Gmail d’Evan Williams, de Sara Morishige Williams, de Margaret Utgoff, et de Kevin Thau (des employés de Twitter).

Lire l'article sur Korben.info

La Suisse n'est pas à l'abri d'attaques informatiques, c'est l'avis de Peter Regli, ancien chef des services de renseignements.

Conviés par l'école ESIEA de Laval, des spécialistes se sont attaqués à sept antivirus honorablement connus pour tenter de les désactiver. Le résultat a de quoi étonner : en moins d'une heure, six logiciels ont été désarmés, ce qui aurait laissé le champ libre au moins discret des virus. Pour Futura-Sciences, Eric Filiol, directeur de la recherche de l’ESIEA, revient sur cet exploit peu commun et instructif.

Avec l'émergence d'Internet, les virus informatiques ont connu une croissance exponentielle. Petit à petit, les médias se sont emparés du problème, avec la mise en avant de virus célèbres tels que MyDoom.A, I Love You, Tchernobyl ou encore Blaster. Bien qu'immatériel, ce microcosme informatique n'est pas sans conséquences sur le monde réel. Les spams et phishings (hameçonnage) ont un coût, en infrastructures réseaux et de dédommagement des victimes potentielles.
L'exemple le plus impressionnant est sans conteste le troyen (cheval de Troie) Srizbi qui contrôle un réseau de 450.000 ordinateurs zombies (un botnet), capables d'envoyer 60 milliards de spams par jour, sur un total de 100 milliards recensés à l'échelle mondiale. Dans son rapport d'étude sur les spams de 2007, Nucleus Research estimait le coût des fameux pourriels à 712 dollars par an et par employé. Au-delà des enjeux économiques, l'écologie s'en mêle aussi... Ainsi en 2008 MacAfee publiait un Rapport sur l'empreinte carbone du spam dans les messageries. L'étude de l'éditeur d'antivirus annonçait 17 millions de tonnes de CO2 rejetées pour 62 milliards de spams.

La menace fantôme

Face à cette menace aux visages et aux conséquences multiples, de nombreux logiciels antivirus sont à disposition sur le marché. Mais font-ils vraiment le poids face au génie déployé par les créateurs de virus ? La question de la fiabilité d'un antivirus reste encore assez floue pour le grand public. Pour faire le point sur la question, l'lESIEA (Ecole Supérieure d'Informatique Electronique Automatique) vient d'organiser un congrès sur la sécurité informatique , iAwacs (International Alternative Workshop in Aggressive Computing and Security).
C'est en France, à Laval, que s'est tenue la première édition de l'iAwacs. D'éminents spécialistes en sécurité informatique ont été conviés dans les locaux de l'ESIEA, pour mettre à l'épreuve les antivirus les plus vendus dans le monde. Le but ? Désactiver ces logiciels, comme aimerait le faire un pirate... Ce concours, organisé en marge de débats et conférences sur des thèmes tels que la cyber-guerre, a fourni des résultats aussi étonnants qu'inquiétants. Le principe se résume par une citation affichée sur le site du congrès « Améliorer la sécurité en adoptant l'esprit de l'attaquant ».
Le protocole du test consistait à désactiver, par accès physique, un antivirus installé sur un PC doté du système d'exploitation Microsoft Windows XP. Ce choix s'explique naturellement. Comme Eric Filiol, co-organisateur du congrès, nous le rappelle, « Windows XP est la plateforme la plus répandue dans le monde professionnel », il était donc naturel de se pencher en premier lieu sur ce système d'exploitation. Du côté des privilèges, les étapes ont été mises en œuvre en mode administrateur, un palier de droits souvent utilisé par le grand public, pas toujour au fait des dangers d'une telle configuration. La performance était établie lorsque l'ordinateur dont l'antivirus avait été désactivé se laissait infecter par un virus ordinairement détecté. La configuration choisie pour le laboratoire illustre un état de vulnérabilité critique plus courant qu'on ne le pense. L'enseignant chercheur explique le choix de cette configuration unique par le fait qu'il s'agit ici d'une « première étape ».

En France, l'expérience... est risquée pour les experts !

Placés sur les configurations types et chronométrés, les pirates improvisés ont dû neutraliser les antivirus en moins d'une heure. Sur les 7 antivirus testés, 6 ont cédé dans des délais compris entre 2 et 40 minutes. Le dernier, Dr Web, a survécu à l'heure impartie. Mais le logiciel, aussi résistant soit-il, présentait des signes des faiblesse qui auraient permis, selon les participants, de le neutraliser avec davantage de temps. Le résultat est sans appel, les deux géants du secteurs, MacAfee et Norton, n'auront tenu que quelques minutes. Plus rassurant, le célèbre Kaspersky peut s'énorgueillir d'une résistance de 40 minutes.
Effectuer ce type d'étude en France n'est pas sans risque, si l'on en croit les organisateurs. De l'aveu d'Eric Filiol, directeur de la recherche de l’ESIEA et du laboratoire de cryptologie et virologie opérationnelles, et de Robert Erra, directeur du laboratoire Sécurité de l’Information et des Systèmes à l’ESIEA, « la loi de 2004 sur la confiance dans l'économie numérique est trop floue sur ce point… Une personne peut être poursuivie si elle parvient à désactiver un antivirus. Si, faute d’un cadre juridique clair, la recherche dans ce domaine est bloquée en France, nous prendrons beaucoup de retard, notamment par rapport à nos partenaires européens. Avec seulement deux participants nous obtenons des résultats qui font frémir… Imaginez si la quarantaine d’experts que nous avons réunis avaient tous participé au concours ! ». En effet, sur la quarantaine d'experts sollicités, seuls deux ont accepté de participer. A quel saint se vouer ?
Du côté des éditeurs des logiciels incriminés, seul AVG a délégué un collaborateur, qui était présent lorsque le logiciel de sa firme a craqué. L'entreprise a vu dans cet événement un excellent moyen d'améliorer son produit. A l'inverse, les retours de MacAfee, Dr.Web et Gdata minimisent les résultats du concours. Le trio s'appuie sur le fait que les méthodes employées par les experts pour mettre à mal leurs progénitures ne sont pas publiables grâce à la loi de 2004. A l'inverse d'AVG, c'est ici la politique de l'autruche qui prime... Eric Filiol regrette ce manque de transparence et c'est pour rétablir une honnêteté intellectuelle qu'il justifie l'organisation du concours.
Car le but n'est pas ici de jeter la pierre, mais simplement d'illustrer la vulnérabilité des antivirus, qui comme tout outil doivent être utilisés avec bon sens. Pour Eric Filiol : « La preuve par l'expérimentation est une nécessité pour l'évolution de la recherche dans le domaine de la sécurité ». La chose n'est pas tombée dans l'oreille d'un sourd. Ainsi le géant Microsoft a-t-il réclamé le passage de son Microsoft Security Essentials sur le gril. Devant ce constat alarmant sur ce type de logiciels, une question peut se poser. Peut-on se passer des antivirus si eux-mêmes sont faillibles ? La réponse donnée par le chercheur est non. Selon lui, il faut continuer d'utiliser les antivirus mais rester prudent sur l'utilisation de l'outil informatique. Il faut selon ses termes « avoir une bonne hygiène informatique ».
Faut-il abandonner Windows et préférer GNU/Linux ou le Macintosh, supposés être plus à l'abri des attaques ? Eric Filiol parle d'un « mythe du libre dangereux », partant du principe que « la nature a besoin de variété ». En fait, c'est l'hégémonie de Windows qui lui vaut les foudres des codes malveillants. Selon Eric Filiol le même cas de figure se présenterait si Linux ou Mac dominaient le marché. Ainsi, il rappelle que des vulnérabilités existent chez Apple comme chez Linux, son équipe ayant déjà développé des codes malveillants destinés à ces systèmes.
Opération réussie pour le laboratoire de cryptologie et virologie opérationnelles de l’ESIEA, dont l'initiative d'un tel défi aura le mérite de faire réagir la sphère des solutions de sécurisation informatique. D'ailleurs son directeur ne souhaite pas s'arrêter en si bon chemin. Un élargissement des tests aux systèmes d'exploitations Vista et Seven est envisagé, ainsi que l'adoption d'un panel plus vaste d'antivirus mis à l'épreuve. Rendez-vous est pris pour les 12, 13 et 14 mai 2010, dates du prochain iAwacs.

Source : Futura-Sciences

Le Département fédéral des affaires étrangères a fait l'objet d'une attaque de professionnels
© afp | ats | 26.10.2009 | 18:57

La panne informatique au Département fédéral des affaires étrangères (DFAE) est le fruit de professionnels qui ont attaqué le réseau. Impossible pour l'heure de savoir quels sont les dommages qu'ont pu commettre leurs virus. Le département cherche maintenant à savoir si les services ont été endommagés, explique-t-il lundi dans un communiqué. Des informaticiens ont fait les démarches nécessaires pour empêcher que des données puissent être transmises à l'extérieur. Ils ont également rendu impossibles des manipulations de l'infrastructure informatique par des tiers.
«Concrètement, les collaborateurs du DFAE ne peuvent provisoirement plus utiliser internet mais peuvent utiliser le réseau interne», a précisé à l'ATS Georg Farago, porte-parole du DFAE. Un retour à la normale est prévu dans les prochains jours.
Le 22 octobre, des informaticiens du DFAE et de Microsoft ont découvert que le département de Micheline Calmy-Rey était l'objet d'une attaque de virus. Des inconnus ont utilisé un logiciel spécial pour s'introduire dans l'infrastructure informatique du DFAE et obtenir des informations ciblées. Le porte-parole du département n'a fourni aucun détail sur le type d'informations recherchées par les «hackers». Reste à savoir si des données ont été piratées et si oui lesquelles, selon le communiqué du DFAE.

Trois départements en panne

Vendredi, trois départements fédéraux annonçaient être touchés par une panne informatique: les Départements fédéraux des finances (DFF), de l'intérieur (DFI) et le DFAE.
Lundi soir, la porte-parole adjointe de l'Office fédéral de l'informatique Karolina Kohout a indiqué qu'il n'y avait pas de lien entre ces pannes. Les problèmes du DFF et du DFI n'avaient rien à voir avec ceux du DFAE, a-t-elle précisé. «C'est un pur hasard qu'ils se soient produits au même moment». Lundi, les services informatiques du DFI et du DFF fonctionnaient à nouveau, précise-t- elle.

Précédent en 2007

En 2007, des ordinateurs du Département fédéral des affaires étrangères et du SECO avaient été visés. L'attaque informatique avait été lancée fin novembre-début décembre. Le ou les pirates avaient mis en scène un concours de photographie fictif grâce à des e-mails et des sites internet truqués. Plus de 500 courriels avaient été envoyés en deux vagues. Les messages étaient personnalisés, appelant le destinataire par son nom. L'expéditeur était un office fédéral et le prétexte de l'envoi un concours de photographie.
Pour y participer, il fallait cliquer sur un lien. Les personnes qui le faisaient voyaient apparaître une copie fidèle du site de l'office en question. En cliquant ensuite sur des photos à choix, elles téléchargeaient un maliciel, un programme informatique pirate, sur leur ordinateur.
Un fournisseur d'accès à internet en Afrique a, semble-t-il, été utilisé pour l'attaque. Ce qui ne signifie pas qu'un Etat ou des criminels africains l'ont commise.