21 décembre 2011

Des pirates rendent Flash Player d'Adobe payant

Une arnaque au lecteur Flash d'Adobe est apparue sur un réseau social russe. Les escrocs orientent les utilisateurs vers un faux code d'activation qu'ils font payer 3 dollars, via un SMS surtaxé.

Selon Bitdefender, fournisseur de solutions de sécurité, des cybercriminels testent actuellement une  arnaque sur un réseau social russe. Il s'agit, rien de moins, que de faire payer aux utilisateurs la copie gratuite du lecteur Flash d'Adobe par le biais d'un message envoyé par SMS. « L'escroquerie a été découverte grâce à un client de Bitdefender qui a repéré un lien suspect sur  Vkontakte, un service de résau social pour russophones, et censé rediriger les internautes vers à une mise à jour du Player Flash d'Adobe, » a déclaré Bogdan Botezatu, chercheur spécialisé dans les cyber-attaques chez Bitdefender.

Lorsqu'il clique sur ce lien, l'utilisateur arrive bien sur une page où il peut trouver le lecteur Flash attendu. Mais il doit ensuite indiquer, via un menu déroulant, dans quel pays il se trouve, et communiquer ensuite son numéro de téléphone mobile et le nom de son opérateur. Des informations jamais demandées par Adobe pour procéder aux mises à jour de son lecteur. « Si la personne se trouve à l'extérieur de la Russie, l'installeur demande à la personne d'envoyer un message vers un numéro court afin de recevoir un soi-disant « code d'activation » pour utiliser le programme, » explique le chercheur de Bitdefender. « Les utilisateurs basés au Royaume-Uni sont taxés 1,50 livres  pour ce SMS, soit environ 3 dollars, » a-t-il ajouté.

Mise en jambe avant de s'attaquer à Facebook

« Les utilisateurs russes ne sont pas taxés, sans doute parce que l'escroquerie a plus de chance d'être rapidement signalée aux autorités, » a précisé Bogdan Botezatu. Apparemment, les escrocs se sont abonnés à des services de facturation de SMS pour le Royaume-Uni. Mais, d'après le menu déroulant, il semble que les cybercriminels aient pris des dispositions pour recevoir des paiements générés par des SMS émis sur des réseaux comme O2, Vodafone, Orange et AT&T aux États-Unis.

Cette arnaque n'a pas encore l'air très répandue. Ce qui fait dire à Bogdan Botezatu que « les escrocs sont en train de tester leur méthode avant de s'attaquer à d'autres sites de réseau social comme Facebook. » La ruse, qui consiste à proposer aux internautes des produits Adobe en téléchargement est utilisée fréquemment pour tromper les utilisateurs. Souvent d'ailleurs, les internautes téléchargent en fait des logiciels malveillants à la place de l'application d'Adobe. Mais ici, la méthode vise plutôt à récupérer de l'argent. « Il n'y a aucun bout code malveillant associé au fichier, » a affirmé le chercheur. « Les escrocs veulent essentiellement soutirer de l'argent en détournant le système de SMS premium. » Ce phénomène commence à prendre de l'ampleur, la semaine dernière Google avait été obligé de retirer des applications sur Android Market utilisant cette méthode de SMS surtaxé.

Bogdan Botezatu a indiqué que Bitdefender avait alerté l'opérateur O2 de l'escroquerie. L'éditeur de solutions de sécurité a mis des copies d'écrans sur son écran.
Source
Publié par Jean Jonas à 17:46 0 commentaires

Windows 8 veut améliorer la gestion des mots de passe

Microsoft annonce que son prochain système d'exploitation proposera un nouveau système de gestion centralisée des mots de passe. Ces derniers pourront aussi s'appuyer sur des images.

Microsoft a annoncé deux nouveautés concernant les mots de passe sur Windows 8. Le prochain système d'exploitation proposera d'abord aux utilisateurs un gestionnaire de mots de passe. Face à une utilisation de plus en plus nomade des terminaux et la multiplication des mots de passe nécessaires, Windows 8 va fournir un moyen sécurisé de stocker et de récupérer automatiquement les identifiants et mots de passe. Des améliorations ont également été faites afin de permettre de s'identifier de manière sécurisée via un compte Windows Live.
Mais ce n'est pas la seule annonce concernant l'authentification : Microsoft annonce aussi la possibilité de s'identifier grâce à des images. Un ensemble de gestes, composant lignes, cercles ou points, choisi par l'utilisateur et réalisé sur une image de son choix pourra lui permettre de s'authentifier sur Windows 8. Le prochain système d'exploitation de Microsoft doit être disponible en bêta à la fin du mois de février.
Source
Publié par Jean Jonas à 17:43 0 commentaires

VASCO propose une nouvelle formation certifiante en e-learning via sa plate-forme SEAL


VASCO Data Security International annonce la mise à disposition d’IDENTIKEY 3.3 Essentials, un module de formation en ligne pour son serveur d’authentification. Cette méthode est désormais disponible via sa plate-forme SEAL pour les ingénieurs certifiés par VASCO (VCE), soit plus de 1000 personnes.

SEAL est également le nom de la communauté VASCO qui rassemble les professionnels de la sécurité du monde entier. La formation disponible sur SEAL couvre des sujets génériques sur la sécurité informatique ainsi que des modules spécifiques aux produits VASCO. Grâce à la formation collective couplée à une formule d’e-learning, VASCO SEAL permet à un ingénieur certifié de découvrir les nouveautés sur le front de la sécurité informatique, d’acquérir de nouvelles compétences et de bénéficier de la base de connaissances étendue de la communauté sur ce même sujet.

Les produits VASCO sont utilisés dans le monde entier par des clients qui comptent sur ses mises à jour et son support technique. VASCO reconnaît l’importance d’être représenté localement. Les ingénieurs basés ici et là sont ainsi envoyés en formation pour acquérir une certification VASCO qui leur permettra, par la suite, de déployer les solutions VASCO et de fournir le support technique et le suivi nécessaire, localement. Les ingénieurs certifiés VASCO se trouvant toutefois aux quatre coins du monde, l’entreprise a décidé de proposer la formation IDENTIKEY Server 3.3 Essentials également en e-learning pour leur éviter des frais démesurés et d’importants déplacements.

IDENTIKEY 3.3 est la dernière version en date du serveur d’authentification forte de VASCO, synonyme d’identification renforcée et de validation par signature électronique. Cette version est conforme à la réglementation PCI DSS (Payment Card Industry Data Security Standard), une norme de certification imposée dans le monde entier par les grands établissements qui délivrent des cartes de crédit. Dans le but de familiariser les ingénieurs certifiés VASCO avec le nouveau logiciel, les formations en salle de cours sont remplacées par des modules d’e-learning.
Source
Publié par Jean Jonas à 17:32 0 commentaires

Les campagnes virales les plus remarquables de 2011

Audacieuses, drôles, effrayantes, Grégory Pouy, directeur en charge du social media chez Nurun a sélectionné les dix meilleures campagnes virales diffusées à travers le monde en 2011.

Sommaire
Microsoft
Tesco
Central Park
Nokia
Intel
Dermablend
Marvel
Ikea
Turkcell
Take this Lollipop
Source
Publié par Jean Jonas à 17:29 0 commentaires

Bilan sécurité 2011 : Face aux attaques ciblées, les réponses se structurent


L'année qui s'est écoulée a été riche en évènements sur la sécurité. Des failles sur les différents logiciels, en passant par les offensives ciblées de groupes de pirates et sur les réponses apportées par les entreprises ou les autorités publiques.

Plusieurs tendances qui ont commencé à poindre leur nez en 2010 se sont amplifiées en 2011. La première est relative aux failles de sécurité et aux méthodes. Pour s'en convaincre, il suffit de d'observer le nombre de mises à jour de certains logiciels ou langage de programmation. Microsoft a connu avec ses Patch Tuesday des records en matière de mise à jour. Il faut dire que plusieurs failles de type zero-day ont été trouvées. Adobe et ses programmes Acrobat ou Flash sont aussi pointés du doigt pour leur vulnérabilité. Oracle de son côté a proposé un nombre important de correctifs sur ses produits dont Java. Parmi les innovations de l'année 2011, le vol de certificat SSL a mis en lumière la  fragilité du système d'authentification des sites web. L'affaire Diginotar en écho de celle de Comodo, revendiqué par un soi-disant jeune hacker iranien, a ébranlé la confiance dans les autorités de certification au point que certains travaillent sur une autre voie.

Autre axe d'attaques, les médias sociaux qui sont devenus une cible des pirates, vol d'identités, code malveillant via des URL courtes. Twitter et Facebook font partie des sites les plus convoités par les cyber-attaques. Pour autant, il faut également se méfier de la partie hardware, notamment les smartphones. Ces derniers peuvent devenir des vrais mouchards comme le montre les affaires de Carrier IQ ou du stockage des données géolocalisées sur les iPhone d'Apple et terminaux sous Android.  Sur le plan des virus, on notera la naissance du fils spirituel de Stuxnet, Duqu qui pourrait viser des systèmes industriels. Dans les méthodes d'attaques, l'heure est à l'automatisation avec des kits en mode as a service ou des attaques en déni de service capable de contourner le protocole SSL. Les DDOS et les injections SQL demeurent les moyens plébiscités sur les forums underground.

Attaques ciblées et revendiquées

Le record 2011 de la plus grande attaque est à mettre au crédit de Sony qui a été plusieurs fois piraté. Près de 77 millions de comptes sur PlayStation Network ont été volés, dont certains avec des identifiants bancaires. Cette affaire a mis en exergue la faiblesse de la protection des données par le groupe japonais. Les Anonymous ont été pointés du doigt sur ce sujet, mais sans preuves. Le groupe de pirates est devenu emblématique sur la scène de la sécurité en 2011. Ils ont revendiqué plusieurs attaques contre des banques, un cartel de drogue, l'armée israélienne et américaine, le NYSE, le gouvernement turc. Le groupe a fait des émules ou des dissidents avec l'organisation Lulszec qui cible des agences gouvernementales américaines comme la CIA. Après quelques arrestations de membres supposés, Lulszec a prononcé sa dissolution en juin dernier.

La France n'a pas été épargnée par les attaques ciblées. Bercy a été le premier touché. Plusieurs sites de préfectures ont été piratés pendant l'été, les rendant inaccessibles. A la rentrée de septembre, c'est au tour d'Areva d'être visé, mais sans vol de données sensibles rassure l'acteur du nucléaire. La Commission européenne, victime d'une cyber-attaque a été obligé de suspendre les accès à la messagerie et à l'intranet de l'institution.

Des réponses en phase de structuration

Devant la recrudescence de la cybercriminalité, les autorités et les entreprises s'adaptent et apportent des réponses. Ainsi, le gouvernement américain a assimilé la cybercriminalité à un acte de guerre et donc nécessitant dans certains cas le recours à la force militaire. Les européens ont engagé des exercices de simulation avec leurs homologues outre-atlantique. La France n'est pas en retrait en se dotant d'une force de réaction rapide sur les cyberattaques. Néanmoins l'ANSSI rappelle le respect d'une hygiène de base sur la sécurité par les entreprises, qui éviterait certaines attaques.

Le volet judiciaire est aussi une réponse comme le montre l'opération Ghost Click, une action concertée entre le FBI, Trend Micro et les autorités estoniennes pour fermer un botnet qui avait infecté 4 millions d'ordinateurs. Des membres supposés d'Anonymous et de Lulszec ont été appréhendés, avec comme effet probable la dissolution du groupe Lulszec. Enfin, les entreprises apportent aussi une réponse technologique en renforçant leurs outils de sécurité, à travers des systèmes de double authentification, l'activation de protocole sécurisé, etc...
Source
Publié par Jean Jonas à 17:18 0 commentaires

Symantec décrypte le vol de données par les collaborateurs de l'entreprise

Les responsables IT sous-estiment fréquemment le risque que représentent les collaborateurs de leur entreprise, voilà la conclusion à laquelle parvient une étude réalisée par Symantec sur les vols internes de données.

Pour les entreprises, les données sensibles ont une grande valeur, et la plupart sont conscientes qu'elles attisent les convoitises de nombreuses personnes extérieures à la société, rapporte Symantec. Toutefois, le risque que représentent les propres collaborateurs de l'entreprise est très souvent sous-estimé. Pour mieux comprendre le phénomène, le spécialiste de la sécurité a consacré une étude empirique à cerner les caractéristiques de ces voleurs internes et les conditions qui les poussent à livrer des données à l'extérieur. Au cours de leur étude, les Dr Eric Shaw Harley Stock, experts dans le domaine du profiling psychologique et de la gestion du risque, ont ainsi identifié un certain nombre de critères.

Profil type

Le collaborateur qui dérobe des données occupe le plus souvent un poste technique. Il est âgé en moyenne de 37 ans, est de sexe masculin et travaille en tant qu'ingénieur, chercheur, manager ou programmeur pour son entreprise. Souvent, il a signé un accord relatif à la propriété intellectuelle des données de son entreprise. En interne, les voleurs de données utilisent selon Symantec des outils comme l'email, des serveurs FTP ou un accès à distance au réseau d'entreprise afin de s'approprier des données et de les sortir de l'entreprise. Dans 65% des cas, le collaborateur qui dérobe des données a déjà trouvé un nouvel emploi auprès d'un concurrent ou se sert des données dérobées afin de monter sa propre entreprise. Dans 20% des cas, il agit pour le compte d'un mandataire externe, et une fois sur quatre il livre les données dérobées à une entreprise totalement extérieure, voire même à l'étranger. Dans plus de la moitié des cas, les données sensibles sont dérobées durant le dernier mois de travail du collaborateur au sein de l'entreprise.

Vols d'informations accessibles

Dans plus de 75% des cas, les collaborateurs dérobent des données auxquelles ils ont officiellement accès. Ils s'emparent donc d'informations qu'ils connaissent déjà et avec lesquelles ils travaillent. Dans plus de la moitié des cas, les collaborateurs s'emparent de secrets d'entreprise. Pour 30% des situations, des informations financières, des listes de prix et d'autres données administratives sont concernées. Les vols de codes sources concernent pour leur part 20%, les vols de données concernant des logiciels propriétaires 14%, les données relatives à la clientèle 12%, et enfin les données relatives à la stratégie future de l'entreprise représentent 6% des vols.

Dans la plupart des faits, note enfin Symantec, il existe des signes annonciateurs. En effet, des problèmes internes poussent souvent le collaborateur à dérober des données. D'autres signes peuvent être le stress ou un comportement inhabituel. Les actes de vols de données ne sont pas toujours malveillants, souligne encore Symantec. Souvent, ces vols sont le fait de négligences ou de méconnaissance.
Source
Publié par Jean Jonas à 17:13 0 commentaires

Opération boule de cristal : 10 prédictions sécurité pour 2012

Sacrifions à cet exercice incontournable, bien que futile, propre aux fins d’années : les prédictions sécurité pour les douze mois venir. Mais, au risque de décevoir les adeptes de l’occulte, il n’y aura point de magie ici. Il s’agit en effet surtout de regarder attentivement dans le rétroviseur de 2011 afin d’y déceler les tendances de fond qui ne demandent qu’à émerger. Il s’agit donc, pour parler comme les économistes, de prévisions à court terme (numérotées de 1 à 8), avec pour finir quelques divagations concernant le moyen terme (numérotées 9 et 10).

1. Les réseaux sociaux, terrain de jeu des escrocs

L’année 2012 verra probablement une augmentation constante des campagnes de spam et d’arnaques menées sur les réseaux sociaux en général, et Facebook en particulier.
La nouveauté vient cependant de la collaboration active et involontaire des victimes : celles-ci n’hésitent pas à copier et coller une ligne de Javascript dans leur navigateur et d’exécuter ainsi un script malveillant dans leur environnement Facebook. Le réseau social permet en effet de développer à loisir un argumentaire de type social engineering convainquant (textes, photos). Les pirates l’ont expérimenté avec succès en 2011 et l’année 2012 pourrait être celle de la généralisation.
En outre, dans un climat économique anxiogène, les vraies-fausses loteries diffusées sur Facebook (« gagnez un iPad2« , « répondez à un sondage et gagnez un iPhone« ) devraient être en recrudescence en 2012.
De telles attaques sont cependant actuellement moins visibles, certainement grâce à l’intervention de Facebook après la dernière vague en date. Mais le réseau social est une cible trop belle pour que les pirates ne tentent pas de contourner d’éventuelles contre-mesures actuellement en place.

2. Applications mobiles et « pourri-ware » : Android domine

Impossible d’ignorer l’explosion des malwares mobiles en 2011. Avec 472% d’augmentation du nombre d’applications malveillantes par rapport à 2010 (selon Juniper Networks), le système d’exploitation mobile de Google est de loin le plus visé par les pirates. Et c’est parfaitement compréhensible : il ne coûte que 25$ pour ouvrir un compte développeur et commencer à publier, de manière relativement anonyme, ses applications sur l’Android Market.
A moins d’un changement radical de la politique de validation des applications mobiles par Google, pour se rapprocher de celle bien plus restrictive d’Apple, Android devrait poursuivre seul en tête la course au système d’exploitation mobile le plus attaqué.
La pression est toutefois forte pour que Google prenne des mesures efficaces contre ce phénomène que l’on craint de voir devenir endémique. Nous ne pouvons donc exclure un changement majeur en cours d’année dans la publication, la validation ou l’usage des APIs de l’OS mobile de Google.
(Attention : nous parlons ici d’applications malveillantes de type chevaux de Troie, destinées à dérober des informations personnelles, à envoyer des SMS surtaxés ou à capturer des données bancaires ou de paiement. Et non de virus capables de se répliquer d’un téléphone à l’autre, qui restent pour l’essentiel un concept marketing)

3. Le BYOD : décalage entre le marketing des éditeurs et la réalité du problème

2011 était sans conteste l’année où les entreprises devaient se poser la question du Bring Your Own Device (BYOD). Une question que nombre d’entre elles ont commencé par se poser en termes techniques dès le début de l’année. Et sans grande surprise, ce dernier trimestre a donc vu déferler les communiqués de presse d’éditeurs proposant une vision purement technique du problème.
Or il se trouve qu’entre temps la perception du sujet a évolué chez les entreprises, et les RSSI se rendent désormais compte qu’il s’agit avant tout d’un problème juridique et RH (voire sociétal, si l’on en croit la table ronde consacrée au BYOD et animée par votre serviteur à l’occasion des Assises de la Sécurité 2011).
L’année 2012 devrait voir ce décalage augmenter, entre des solutions techniques désormais bien présentes et des entreprises qui n’ont pas encore réglé les pré-requis non-techniques du BYOD (contrat de travail, charte informatique, assurance, responsabilité juridique…)
Ce schéma rappelle l’arrivée du DLP, un peu avant que les entreprises ne réalisent qu’il fallait passer par un projet de classification de leurs données avant d’espérer déployer une solution technique. Si l’évolution est la même, inutile d’espérer y voir plus clair dans le BYOD avant 2014…
Publié par Jean Jonas à 17:09 0 commentaires

Vie privée : la Cnil conseille les utilisateurs de smartphone

17 millions de Français possèdent un smartphone, sur lequel ils stockent photos, vidéos, carnet d'adresses et, parfois, des coordonnées bancaires. La Cnil leur fournit une liste de recommandations pour protéger leurs données personnelles.

Le smartphone est devenu un objet du quotidien pour 17 millions de Français. Pourtant, on le connaît mal. Est-ce un compagnon loyal et fidèle pour la protection de nos données personnelles ? », s’interroge la Cnil, par l’intermédiaire de sa présidente, Isabelle Falque-Pierrotin. Les utilisateurs leur confient toute une partie de leur vie privée, sous forme de photos, de vidéos, de SMS, d'adresses et, parfois, des informations relatives à leurs comptes bancaires.
La Commission a donc décidé de se pencher sur le traitement que ces téléphones réservaient aux données stockées et d’en faire un sujet d’étude central pour les années à venir. Les résultats d’une étude confiée à Médiamétrie pour cerner les pratiques des utilisateurs et leur perception vis-à-vis de la sécurisation des données, montre l’urgence de s’y intéresser.
Les réponses, obtenues sur un échantillon de 2 315 personnes, mettent en lumière une attitude ambivalente. Les usagers sont bien conscients de confier à leur smartphone des données sensibles, mais ils ne mettent pas tout en œuvre pour les sécuriser. Ou ne sont pas assez vigilants sur l’utilisation qui peut en être faite par des tiers.

Activer le verrouillage automatique
La Cnil leur adresse une liste de recommandations pour sécuriser leur terminal et leur vie privée. Le premier est d’y stocker un minimum d’informations. D’éviter dans tous les cas d’y mémoriser les codes d’accès à des services, les coordonnées bancaires et autres informations ultrasensibles. Il faut également sécuriser l’accès au téléphone. Pour cela, il est recommandé de ne pas désactiver la saisie du code PIN et de changer celui fournit par défaut par l’opérateur.
Il faut aussi mettre en place le verrouillage automatique, qui bloque l’accès au téléphone au bout de quelques minutes d’inactivité, et penser à noter le numéro IMEI. Ces précautions permettent de rendre les données inaccessibles et de bloquer les appels en cas de vol ou de perte. Les utilisateurs doivent aussi activer le chiffrement des sauvegardes. Et, comme pour tout terminal pouvant se connecter à Internet, penser à installer un antivirus.
« Pour le moment, les seuls virus détectés se contentaient de gonfler les factures en passant des appels à l’insu de l’utilisateur. Mais la prochaine génération s’attaquera aux données stockées sur le téléphone », met en garde la Commission nationale de l'informatique et des libertés.

Utiliser la géolocalisation avec mesure
Les smartphones permettent aussi d’installer toutes sortes d’applications, celles proposant des services de géolocalisation ont la cote. Elles peuvent représenter un risque d'intrusion dans la vie privée. Il est donc recommandé de passer par les plates-formes officielles (App Store, Android Market…) pour les installer, car celles-ci ont mis en place une  charte sur l’utilisation des données personnelles. C’est aussi l’occasion de vérifier l’identité du développeur et d’évaluer la qualité de son travail grâce aux commentaires.
Lors de l’installation de ces services de géolocalisation, les utilisateurs doivent aussi jeter un œil sur les conditions d’utilisation et sur les données qui vont être accessibles. Et penser à les désactiver quand ils n’en n’ont pas besoin. La Cnil travaille sur des tutoriels qui permettront aux détenteurs de smartphones de mettre en place les paramétrages nécessaires à la sauvegarde de leur vie privée.

Bientôt des recommandations pour les équipementiers
L’utilisateur final n’est pas la seule cible des actions de prévention de la Commission pour l’année 2012. Elle compte aussi agir en amont, en se penchant sur les pratiques des équipementiers et des développeurs. En partenariat avec l’Inria (Institut public de recherche en sciences du numérique), une plate-forme technique va être mise en place. Celle-ci permettra d’évaluer quelles sont les informations stockées et transmises sur les différents téléphones et applications. Le but est de définir les bonnes pratiques que ces professionnels devront appliquer pour préserver la vie privée des utilisateurs.
Source
Publié par Jean Jonas à 17:03 0 commentaires

Streaming : des malwares se font passer pour la Gendarmerie

Des malwares circulent sur la toile via des malvertising sur les sites de streaming. L’internaute touché reçoit un message aux couleurs de la gendarmerie nationale qui lui demande de l’argent. 

C’est la Direction Générale de la Gendarmerie Nationale (DGGN) elle-même qui donne l'alerte au sujet de cette vaste escroquerie : des malwares circulent sur le Web et semblent particulièrement dangereux. Effectivement, l’internaute destinataire reçoit un message comme ci-dessous, avec logo de la Gendarmerie nationale notamment. 
Heureusement l'injonction est rédigée dans un français très approximatif, ce qui ne manquera pas de mettre en éveil les plus vigilants. Mais il faut reconnaître que le message peut être intimidant : il demande 200 euros sous peine de confisquer votre ordinateur et de passer devant le tribunal.
Le site Malekal.com qui a repéré le petit jeu précise que trois variantes du malware existent :
- Une forme qui crée une clef Run, à désinfecter. C’est facile il suffit d’aller en mode sans échec avec prise en charge du réseau et de scanner avec Malwarebyte.
- Une autre forme qui modifie la clef Shell (cela remplace le bureau par le malware, le bureau est inactif, le malware le remplace).
- Et la dernière variante qui remplace Explorer.exe  
Le site donne d’ailleurs tous les renseignements pour se débarrasser du malware si vous en êtes victime. 
Source
Publié par Jean Jonas à 16:56 0 commentaires
Inscription à : Articles (Atom)