Microsoft sur le front pour lutter contre les botnets Zeus

Microsoft a annoncé la semaine dernière qu'il allait travailler en étroite collaboration avec les autorités américaines et des compagnies financières pour repérer et éliminer deux botnets Zeus.

Dans le cadre de sa campagne contre les botnets, Microsoft et la Police américaine ont effectué des recherches dans deux immeubles de bureaux en Pennsylvanie et dans l'Illinois. Ils ont réussi à trouver des serveurs sous contrôle de Zeus qui ont tout de suite été mis hors ligne. Dans le même temps, Microsoft a réussi à prendre le contrôle de 800 domaines qui faisaient apparemment parti du réseau de botnets après avoir eu une ordonnance du tribunal lui permettant d'entreprendre cette action directe.

Les deux réseaux zombies ont été impliqués dans le vol de données financières personnelles et étaient basés sur Zeus, Spyeye et Ice-IX qui sont tous propagés via spam. Une fois que l'un de ces malwares a infiltré un ordinateur, il enregistre les frappes dans le but de voler des mots de passe bancaires en ligne, les numéros de carte de crédit et d'autres informations personnelles.

Dans les documents déposés au tribunal, Microsoft accuse les pirates d'avoir causé des pertes totalisant 100 millions de dollars au cours des 5 dernières années. Il accuse également ces pirates de vendre ce malware à des prix variant entre 700 et 15.000 dollars.

Microsoft estime que 13 millions d'ordinateurs ont été infectés par Zeus dans le monde. Le projet ZeuS Tracker recense actuellement 321 serveurs dont 23 en pleine activité sans signe d'une diminution significative.

Si vous vous souvenez bien, ce n'est pas la première fois que Microsoft a été impliqué dans l'action contre les botnets. Il y a quelques semaines par exemples, il a entrepris la perturbation du réseau Rustock.

En parallèle aux opérations directes de ce genre, les entreprises semblent progressivement vouloir prendre des mesures contre les botnets et autres actes de cybercriminalité. Ce vendredi, les principaux FAI aux États-Unis ont souscrit à un code de conduite établi par la Federal Communications Commission. Les signataires, qui comprennent AT&T, Comcast et Verizon doivent communiquer à leurs clients les dangers avec les botnets et les aider à identifier et résoudre ces infections.

Je trouve que la mise en place de ce code de conduite est une bonne idée comme celle de d'ailleurs vouloir sensibiliser les gens sur la protection de leur réseau Wifi.

Par contre pédagogiquement parlant, il va falloir prémâcher tout ça pour Monsieur Toutlemonde...

Source

LulzSec est de retour, et revendique un nouveau piratage

Récemment évoqué dans les médias en raison de l'arrestation présumée de certains de ses membres, le groupe de hackers LulzSec semble actuellement revenir au service actif. C'est tout du moins la conclusion que l'on peut tirer après la revendication du piratage du site Military Singles, ayant exposé les comptes des utilisateurs.

C'est via Twitter, précisément par l'intermédiaire du compte @lulzboatR, que le groupe nommé LulzSec Reborn a revendiqué hier le piratage du site de rencontres Military Singles, en postant un lien vers une page interne sur laquelle on peut lire « lulz is sb ».

Sur le site Pastebin, le groupe a publié des liens pour télécharger le contenu des données récupérées sur les serveurs de Military Singles. « Le site a récemment été fermé il y a quelques jours, alors nous avons récupéré la base de données des emails. Il y a des mails en @us.army.mil ; @carney.navy.mil ; @greatlakes.cnet.navy.mil ; @microsoft.com ; etc. Total : 170 937 comptes » explique un message posté au-dessus des liens. De toute évidence, la cible de l'attaque n'était pas due au hasard, puisque le site de rencontres est principalement destiné aux militaires, comme son nom l'indique.

LulzSec s'est fait connaître en 2011 en menant une campagne de piratage durant 50 jours, ciblant entre autres les sites de Sony, de Bethesda, du Sénat américain ou encore de la CIA. Après avoir annoncé mettre un terme à ses activités, le groupe a réalisé un dernier coup en juillet en annonçant la fausse mort de Rupert Murdoch sur le site du Sun. Début mars, plusieurs de ses membres présumés ont été arrêtés par le FBI, qui a opéré avec l'aide d'un ancien membre de LulzSec. Le retour du groupe à ses activités initiales pourrait être une réaction à cette situation.
Source

Le hacker des stars risque jusqu'à 60 ans de prison

Chistopher Chaney, l'américain surnommé le « Hackerazzi » après son intrusion dans les données de plus d'une cinquantaine de stars d'Hollywood, a décidé de plaider coupable pour 9 des 26 chefs d'accusation qui pèsent contre lui. Il risque jusqu'à 60 ans de prison et 2,25 millions de dollars d'amende.

Ce hacker de 35 ans, résidant à Jacksonville, s'est principalement fait connaître en publiant des photos de Scarlett Johnansson dénudée, prises par cette dernière avec son téléphone portable. L'arrestation de Christopher Chaney en novembre 2011 avait mis en lumière que ce dernier était adepte de l'ingénierie sociale, et recueillait un maximum d'informations sur ses victimes pour répondre aux questions de sécurité de leur messagerie électronique, et installer discrètement des redirections vers d'autres adresses pour recevoir des copies des messages envoyés et reçus. Parmi ses cibles se trouvaient, entre autre, Christina Aguilera et Mila Kunis.

Actuellement jugé à Los Angeles, Chaney a déclaré être « profondément désolé » : « Ça a commencé par de la simple curiosité et puis c'est devenu une addiction, de voir l'envers du décor, ce qui se passe avec les gens que vous voyez sur le grand écran » a-t-il commenté, avant de conclure en avouant être « presque soulagé » que la police soit intervenue.

Selon les autorités, Christopher Chaney serait responsable d'une cinquantaine d'intrusions sur les messageries de célébrités féminines. Il a contre lui 26 chefs d'accusations, et compte plaider coupable pour 9 d'entre eux. Il risque jusqu'à 60 ans de prison et une forte amende, en plus d'éventuels dommages et intérêts qu'il pourrait devoir verser aux victimes.

Source

Hacking : la Chine à nouveau pointée pour ses pratiques

L'ancien responsable de la cyber sécurité à la Maison Blanche met à nouveau en garde les autorités contre les risques de cyber attaques. 

C'est en juillet 2001, devant l'administration de Bush, que Richard Clarke, siégeant alors au conseil national de sécurité, tirait la sonnette d'alarme. « Quelque chose de spéctaculaire va arriver, et cela va arriver très bientôt ». L'homme, dont la crédibilité fut plusieurs fois remise en cause, avait pourtant prévenu contre les attentats du 11 septembre.

Cette fois M. Clarke pointe la cyber défense des Etats-Unis. Selon le magazine ITWorld.com, il juge qu'une attaque pourrait facilement faire tomber les infrastructures civiles, militaires et commerciales du pays. S'il reconnaît que les autorités ont renforcé leur dispositif de cyber attaque, les investissements ne seraient pas à la hauteur pour faire face à une offensive. « Je vais dire quelque chose que les gens prendront comme une exagération, mais je pense qu'il y a assez de preuves. Chacune des principales sociétés aux Etats-Unis a déjà été hackée par la Chine », affirme l'homme.

Cette déclaration rappelle alors l'affaire opposant Google au gouvernement chinois. La firme de Mountain View affirmait avoir été la cible d'attaques sophistiquées provenant de la Chine. Plus récemment l'équipementier Nortel Network s'est rendu compte d'une intrusion orchestrée par des hackers chinois, laquelle aurait duré une dizaine d'années avant d'être découverte. En 2009 l'institut MonkCenter for International Studies affirmait avoir découvert un gigantesque réseau d'espionnage informatique chinois au travers duquel plus de 1200 ordinateurs auraient été infiltrés dans 103 pays différents.

Richard Clarke ajoute que le fabricant du F-35, le chasseur-bombardier de nouvelle génération, a également vu ses serveurs piratés avec plusieurs documents compromettant envolés. L'homme déclare par ailleurs que les composants informatiques importés de Chine et d'autres constructeurs étrangers ne sont pas fiables. Certains seraient truffés de « bombes logiques, backdoors ou chevaux de Troie près à être activés sur commande ».

Plus qu'une cyber guerre, l'ancien conseiller du cabinet national de sécurité redoute que la Chine ne s'empare de technologies au sein desquelles le pays a investi plusieurs milliards de dollars en R&D.
Source

Le ver W32/Georbot fait son entrée en France

Le ver, qui tente de voler des documents et des certificats, peut créer des enregistrements audio et vidéo et scanner tout un réseau local à la recherche d'informations.

Débusqué en Géorgie d’où il serait originaire, le ver serait actif sur les réseaux hexagonaux depuis le 20 mars. Une de ses particularités est d’exploiter le protocole « Bureau à distance » (RDP) de Windows pour garantir une prise de contrôle de la machine cible. Une vulnérabilité qui fait l’objet de l'avis de sécurité n° MS12-020 par Microsoft. Le ver se met à jour depuis un serveur hébergé sur un site gouvernemental en .ge (domaine de la Géorgie), mais « cela n'implique pas nécessairement que le gouvernement géorgien soit en cause. La plupart du temps, les propriétaires de sites web ne savent pas que leurs systèmes sont compromis », indique Pierre-Marc Bureau, Manager d'ESET Security Intelligence, à l’origine de la découverte du ver. Une bonne occasion pour vérifier que son antivirus est à jour !

Source

Mal configurés les serveurs d'applications web sont de vraies passoires

Un récent rapport émis par Context, cabinet spécialisé dans la sécurité, relève que les applications web utilisées par les entreprises pèchent toujours sur la sécurité. L'étude, qui s’appuie sur un an de tests d’intrusion, révèle que plus de deux serveurs sur trois sont tout simplement mal configurés. Du coup, ils sont vulnérables à des attaques comme l’injection SQL, toujours en tête des techniques de piratage utilisées. Gartner rappelle pourtant que 75 % des attaques ciblent désormais les applications, contre « seulement » 25 % pour le réseau. La solution ? Sensibiliser dirigeants et développeurs aux questions d'anticipation et penser sécurité dès la conception des applications.

Lire l'étude complète sur le site de Context

Source

La messagerie sécurisée de Good Technology bientôt sur Windows Phone

La sécurité des mobiles est devenue un sujet de préoccupation pour les entreprises. Microsoft et Good Technology, spécialistes de la sécurité des mobiles, viennent de signer un partenariat. Good Technology va fournir, pour la messagerie des terminaux Windows Phone, un cryptage de bout en bout de type AES FIPS-certified 192 bit afin de permettre un accès sécurisé aux données professionnelles en utilisant la solution Good for Enterprise. De quoi encadrer, selon Good Technology, le phénomène « Bring Your Own Device » (BYOD). La solution sera disponible en téléchargement depuis le Windows Phone Marketplace à partir du second trimestre 2012.

Source

Sécuriser son blog sous Wordpress

Wordpress, la plateforme de blog la plus répandue et exploitée par les blogueurs est aussi la plateforme qui subit bon nombre d'attaques. Afin de réduire les chances aux hackers de s'infiltrer sur votre blog, je vais vous donner quelques astuces qui vous seront utiles.

Je rajouterai de temps en temps des nouveautés relatives à la sécurité sous Wordpress.

En attendant cet article traite des points suivants :

Pour les administrateurs :

Préfixe de tables en base de données

Akismet pour la protection contre le spam

Utiliser un SALT

Limiter le nombre de tentatives de connexion qui ont échoué

Restreindre les mots de passe trop simples

Ne pas utiliser l'utilisateur "admin" par défaut

Protéger le fichier de configuration wp-config.php

Cacher le numéro de version de Wordpress

Exploits via les URLs

Protection des répertoires

Pour les développeurs :

Autorisations et intentions d'accès

Gérer les autorisations sous Wordpress

Gérer les intentions sous Wordpress

Préfixe de tables en base de données (admin)

Quand vous installez Wordpress, vous avez la chance de créer votre propre base de données avec un préfixe définit par vous-même pour les tables. Par défaut le préfixe sous Wordpress est wp_.

Si vous ne le changez pas, cela pourrait fortement aider les hackers à corrompre votre base de données en cas de faille. Vous pouvez pour cela utiliser des plugins (on verra juste après) pour le changer ou bien en modifiant le fichier wp-config.php durant l'installation manuelle.

Ouvrez le fichier wp-config.php avant de commencer l'installation de Wordpress et remplacez :

1 $table_prefix = 'wp_';

Par :

1 $table_prefix = 'votreprefixe_';

 Si votre blog est déjà en place, il y aura deux étapes supplémentaires après celle-ci.

Connectez-vous à votre base de données (le plus souvent via phpMyAdmin) et modifiez tous les noms des tables de la base de données avec votre préfixe.

Une fois fait, vous devez maintenant rechercher les lignes contenant wp_ dans les tables options et usermeta. Pour cela nous allons exécuter la requête suivante sur phpMyAdmin (onglet SQL) :

1 SELECT * FROM `myprefix_options` WHERE `option_name` LIKE '%wp_%'

2 SELECT * FROM `myprefix_usermeta` WHERE `meta_key` LIKE '%wp_%'

Une fois la requête exécutée, celle-ci affichera les lignes. Vous n'aurez plus qu'à remplacer wp_ par votre préfixe.

On a vu pour la partie manuelle. Il faut savoir qu'il existe un plugin qui effectue la même action que ci-dessus.

Pour cela téléchargez WP Security Scan. Une fois le plugin en place, un menu devrait apparaître sur la gauche.

Cliquez sur Database puis mettez votre préfixe dans le menu Change database prefix et validez.

Suite de l'article

4 astuces qu'utilisent les spammeurs pour passer vos filtres

De nos jours, à peu prés toutes les organisations qui utilisent le courrier électronique ont des solutions pour se protéger du spam avec des solutions de filtrage bien rodées. Si ce n'est pas le cas leurs employés crouleraient sous une avalanche de mails indésirables qui par exemple pourraient promouvoir des produits pharmaceutiques miraculeux.

D'autres pourraient trouver des emails contenant des liens qui mènent vers des sites web malveillants ou bien des emails avec des pièces jointes contenant des logiciels malveillants qui serviraient par exemple à prendre le contrôle de l'ordinateur.

Entre les sociétés de sécurité qui sont à la recherche de moyens pour rendre le filtrage toujours meilleur et les spammeurs, voir aussi des agences de publicité, qui sont sans cesse à la recherche de moyens pour contourner ces solutions de filtrage c'est une véritable guerre qui coûterait prés de 13,5 milliards euros!

Faisons un tour d'horizon des astuces employées par les spammeurs pour contourner vos filtres.

Les botnets

La plupart des filtres anti-spam permettent d'identifier certains adresses IP qui sont coupables d'envoyer du spam afin que les futurs messages envoyés soient bloqués. Mais en contrôlant des dizaines de milliers d'ordinateurs zombies (botnet) qui ont autant d'adresses IP c'est un vrai cauchemar.

Astuces sur les mots employés

Durant un certains temps, les spammeurs utilisaient des chiffres et des symboles à la place des lettres pour éviter les filtres anti-spam qui ont certains mots sur liste noire. Par exemple, Gagnez à la loterie devenait Gagnez à la l0terie en remplaçant la lettre o par 0.

Finalement les filtres anti-spam ont commencé à reconnaître cette technique et cela a rendu plus difficile le travail des spammeurs pour contourner les filtres. Toutefois, les spammeurs ont trouvé mieux et ainsi au lieu d'utiliser des chiffres ou des symboles ils se tournent vers des alphabets étrangers comme celui utilisé en Russie, l'alphabet cyrillique.

Certaines lettres dans l'alphabet cyrillique se rapprochent fortement de certaines lettres latines et vous feriez difficilement la différence en les regardant. Suite à ça, les filtres ne lisent plus les messages mais regardent les codes de caractères employés pour déterminer le nombre de langues et jeux de caractères spéciaux utilisés dans le message.

Une salade de mots

Trouver certains mots suspicieux et envoyer automatiquement le message dans la boîte à spam n'est plus suffisant. Si tel était le cas, le nombre de faux positifs exploserait pour n'importe qui.

C'est pourquoi un système de ratio permettant de mesurer le rapport entre les "bons" et les mauvais mots a été mis en place sur les filtres. Si le ratio est acceptable, alors le message ne va pas dans la boîte à spam. Et donc pour aider à garder ce rapport, les spammeurs mettent un tas de bonnes paroles dans leur message. Même si ces mots n'ont rien à voir avec le message, ils sont tout de même inclus pour battre le filtre anti-spam.

Les URLs raccourcies

L'URL shortening comme on l'appelle est idéal pour des services comme Twitter où le nombre de caractères est limité mais peut être aussi utilisé dans les emails.

Les filtres ont appris depuis un certains temps à analyser les URLs en allant les visiter pour voir si ce n'est pas un site malveillant. Mais avec les URLs raccourcies qui sont des URLs déguisées en quelque sorte, certains filtres laissent passer les messages. D'autres par contre suivent ces liens mais avec un nombre de redirections limitées.

Source

Facebook : les employeurs n'ont pas à demander les accès aux comptes de leurs employés

En matière de protection de la vie privée, Facebook n'en finit pas de faire parler de lui : après la polémique autour des modifications apportées à sa déclaration des droits et responsabilités, le réseau social met en garde les entreprises qui jugeraient bon de réclamer les identifiants des comptes Facebook de leurs éventuels futurs employés.

Tantôt intrusif, tantôt protecteur ? En matière de vie privée, Facebook joue sur les deux tableaux et cette fois-ci, le réseau social n'est pas celui qui est pointé du doigt, mais celui qui dénonce. Depuis quelques jours circulent sur la Toile des informations concernant certains employeurs qui réclameraient les identifiants et mots de passe des postulants à leurs offres d'emploi. Une pratique dévoilée par l'Associated Press, qui explique que si certaines des personnes refusent purement et simplement cette condition, d'autres acceptent dans l'espoir de décrocher un emploi.

Si Facebook a, en premier lieu, refusé de commenter auprès de l'agence de presse, le réseau social se rattrape aujourd'hui en postant un long message sur son groupe Facebook and Privacy. Ce dernier est rédigé par Erin Egan, avocate recrutée par le site l'année dernière au poste de responsable de la confidentialité.

Selon cette dernière, ce genre de pratique aurait cours depuis plusieurs mois et « porte atteinte à la vie privée de l'utilisateur et de ses amis. » Par ailleurs, « il expose aussi potentiellement l'employeur qui a une responsabilité légale imprévue avec cet accès. »

En pratique, l'employeur est bien évidemment en tort, mais l'utilisateur aussi puisque la fameuse déclaration des droits et responsabilités qui fait tant parler d'elle ces derniers jours stipule bien, à destination des inscrits : « Vous ne communiquerez pas votre mot de passe (ou, dans le cas des développeurs, votre clé secrète), ne laisserez personne accéder à votre compte ou ne ferez quoi que ce soit qui puisse compromettre la sécurité de votre compte. » Néanmoins, ce sont bel et bien les employeurs que vise Facebook, qui explique qu'une telle pratique peut, entre autres, « causer des problèmes que les employeurs ne peuvent pas anticiper. Par exemple, si un employeur voit sur le site que quelqu'un est membre d'un groupe protégé, il peut s'ouvrir à des allégations discriminatoires qui vont entrainer la non-embauche de cette personne » explique Erin Egan, ajoutant que les recruteurs ne sont souvent pas formés pour traiter des informations privées.

Des actions en justice contre les entreprises

Outre le simple constat, le réseau social annonce son intention de « prendre des mesures pour protéger la vie privée et la sécurité des utilisateurs ». Le réseau social entend par là, d'une part, entamer des actions en justice ciblant les entreprises qui pratique ce genre de démarche à l'encontre de leurs postulants. D'autre part, Facebook affiche son intention de mobiliser des décideurs politiques pour sensibiliser les hautes sphères autour de cette situation délicate. « Il est important que tout le monde comprennent que sur Facebook, c'est un droit de conserver son mot de passe pour soi, et nous ferons de notre mieux pour conserver ce droit » conclut Erin Egan.
Source

Deux arnaques ciblent les anciens utilisateurs de Megaupload

Deux arnaques aux méthodes différentes ont été récemment relevées par le site Torrent Freak autour de l'affaire Megaupload. Deux tentatives de phishing qui ciblent précisément l'Allemagne.

Les escrocs du Net sont imaginatifs quand il s'agit de pousser les internautes à passer à la caisse pour des choses illégitimes : les deux arnaques relevées hier par le site TorrentFreak le prouve une nouvelle fois. En l'occurrence, ce sont nos voisins allemands qui sont ciblés dans les deux cas.

La première des arnaques cible directement les anciens utilisateurs de Megaupload, et se présente comme un courrier amenant d'un cabinet d'avocat de Munich, censé représenter des majors du divertissement comme Sony, Universal Music, Warner Music, DreamWorks ou encore Paramount Pictures. Adressé par mail, le document intègre une liste d'adresses IP et accuse l'internaute d'avoir téléchargé du contenu sous copyright, sans néanmoins donner le détail des éléments en cause. Il finit par souligner qu'il encourt une amende de 10 000 euros mais qu'il peut s'y soustraire en payant immédiatement 147 euros.

Si la démarche n'est pas sans rappeler les méthodes en cours aux Etats-Unis où des cabinets d'avocats sont chargés par les ayant-droits de traquer les contrevenants pour les faire passer à la caisse avant d'éventuelles poursuites judiciaires, ici, il s'agit bel et bien d'un scam visant à arnaquer les internautes, sous couvert de la peur de représailles. Le site Online Kosten indique qu'à en croire les informations de paiement, l'arnaque pourrait prendre sa source en Slovaquie.

La seconde arnaque est d'un tout autre registre puisqu'elle se base sur l'installation d'un malware qui détourne le navigateur de l'utilisateur vers un faux site, l'accusant une fois encore de partager des contenus sous copyright. Le faux site se présente comme étant celui du groupe anti-piratage allemand GVU, et réclame le règlement immédiat d'une amende de 50 euros via le service PaySafe Card. GVU a confirmé dans un communiqué qu'il s'agissait d'une escroquerie, mais ne donne pas de détail concernant le malware utilisé et si son installation sur l'ordinateur de l'utilisateur est en lien avec l'arnaque en elle-même.

Ces scams semblent pour le moment limités à l'Allemagne mais on imagine que de tels stratagèmes alambiqués pourraient donner des idées à des escrocs dans d'autres pays.

Source

Nicolas Sarkozy souhaite condamner pénalement la consultation de sites terroristes La suite sur Clubic.com : Nicolas Sarkozy souhaite condamner pénalement la consultation de sites terroristes

Suite aux meurtres perpétrés à Toulouse et Montauban ainsi qu'à l'action des forces du RAID contre l'assassin présumé de plusieurs personnes, le chef de l'Etat a annoncé plusieurs mesures. Nicolas Sarkozy a notamment indiqué qu'il souhaitait que la justice condamne pénalement les personnes qui se rendront sur des sites faisant l'apologie du terrorisme.

Le Président de la République a tenu une conférence de presse suite à la mort de Mohamed Merah. Dans son discours prononcé depuis l'Elysée, Nicolas Sarkozy a indiqué qu'il comptait proposer de nouvelles mesures destinées à lutter contre le terrorisme. Il n'a, par contre, pas donné de plus amples détails sur les manières de mettre en place ses idées.

Parmi ces propositions, le candidat à l'élection présidentielle annonce que : « Toute personne qui consultera de manière habituelle des sites qui font l'apologie du terrorisme ou qui appellent à la haine et à la violence sera punie pénalement ». Cela signifie donc qu'un internaute pourrait, si la mesure est acceptée par l'ensemble des acteurs concernés (techniques, politiques…), être accusé d'avoir une conduite contraire au bon fonctionnement de la société.

Toutefois, le chef de l'Etat ne donne aucun détail sur la mise en œuvre d'une telle mesure. Tout d'abord, il ne précise pas comment qualifier juridiquement ces sites « qui font l'apologie du terrorisme ». En effet, certaines organisations politiques (par exemple) peuvent être considérées comme terroristes par certains Etats et être acceptées par d'autres. Il ne donne pas non plus de précisions sur la fréquence de consultation de ces plateformes et parle seulement de navigation « de manière habituelle ».

Par contre, le Droit français dispose déjà d'armes juridiques pour des infractions relatives à des sites jugés contraires à l'ordre public et relevant par exemple de la pédopornographie. L'article 5 de la Loppsi 2 condamne à 3 ans d'emprisonnement et 75 000 euros d'amende le fait de diffuser y compris par Internet des messages « à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger » lorsque ce message est susceptible d'être vu ou perçu par un mineur. Il est donc possible que le chef de l'Etat puisse demander aux élus de réfléchir à une extension du champ de la Loppsi aux sites considérés comme terroristes.

Reste la question de la manière selon laquelle tout internaute pourrait être surveillé. Là encore, le manque de précisions de la part du Président de la République peut laisser la porte ouverte à toutes les suppositions. Toutefois, l'implémentation de solutions lourdes comme le DPI (Deep Packet Inspection) pourrait être sévèrement critiqué non seulement par une partie de la classe politique mais surtout par la justice constitutionnelle et européenne.

En effet, en novembre dernier, la Cour de Justice de l'Union européenne (CJUE) a rendu un jugement au sujet du filtrage de contenus par un FAI. Elle a considéré que cette obligation était contraire au droit communautaire lorsqu'elle imposait à l'opérateur la mise en place d'un système de surveillance généralisée de son réseau. Un FAI ou un réseau social (selon une seconde décision de la CJUE) ne peuvent donc pas filtrer de manière générale l'activité de leurs abonnés. A jurisprudence constante, la juridiction pourrait donc invalider ce type de régulation généralisée des communications en ligne.

Source

Le piratage des livres numériques se développe à petits pas

Agatha Christie est l'auteur la plus présente sur les plateformes de téléchargement illégal.

De 3 000 à 4 000 livres, en plus de 8 000 à 10 000 bandes dessinées, sont aujourd'hui disponibles illégalement, selon l'étude EbookZ du Motif, l'observatoire du livre et l'écrit de la Région Ile-de-France, rendue publique à l'occasion du Salon du livre. Les auteurs Agatha Christie et Charlaine Harris sont celles ayant le plus de titres piratés actuellement disponibles en ligne.

Les auteurs principalement concernés sont Agatha Christie et Charlaine Harris, avec douze titres recensés sur des plateformes de téléchargement illégal. Frédéric Lenormand, le premier auteur français, complète le podium (9 titres). Suivent Bernard Werber et Laurell K. Hamilton (7). Dans le Top 20 figurent également Frédéric Beigbeder, Jean‐Christophe Grangé, Paulo Coelho, Ken Follett ou encore Gilles Deleuze. Au total, le Motif a identifié 500 auteurs piratés. Plus étonnant, au chapitre des titres les plus piratés, Le Petit Larousse des conserves et salaisons devance Le Courage d'éduquer de Lee Lozowick.

Cette étude a été menée sur les principaux circuits de diffusion de contenus piratés (en P2P, Torrent, téléchargement direct, newsgroup, etc.). L'observatoire précise que d'une façon générale, à l'exception de quelques best‐sellers très diffusés, il est assez fastidieux de trouver sur Internet la version pirate d'un livre.

Selon le Motif, les 10 à 20 principaux sites de téléchargement direct (direct download ou DDL) proposent chacun jusqu'à 2 000 titres d'e-books différents, majoritairement disponibles au format Pdf (dans 75,7% des cas). Mais sur ces sites de partage, ce sont surtout les journaux qui sont proposés.

Source

Un outil DDOS trafiqué pour piéger les fans d'Anonymous

Selon Symantec, des cybercriminels ont ciblé les partisans du groupe d'hacktivistes Anonymous en diffusant un outil de déni de service modifié dans lequel ils ont intégré le malware Zeus.

Les cybercriminels ratent rarement une occasion pour infecter les ordinateurs avec des logiciels malveillants, même s'ils doivent pour cela cibler d'autres soi-disant contrevenants à la loi. C'est ce qui ressort d'une recherche effectuée par l'éditeur de solutions de sécurité Symantec. Récemment, ces cybercriminels ont modifié Slowloris, un outil pour mener des actions de déni de service distribué (DDOS) pour y inclure un client Zeus, un bout de code malveillant bien connu capable de subtiliser logins et mots de passe de connexions à des services bancaires en ligne notamment. Selon Symantec, les cybercriminels destinaient spécifiquement le malware aux supporters d'Anonymous.

Le groupe d'hacktivistes, bien connu pour ses campagnes anti-gouvernementales et anti-entreprises, a pour habitude soit de divulguer des données sensibles après le piratage des sites visés, soit de perturber les sites Internet des organismes ciblés en les saturant de trafic. Pour ces actions, le groupe s'appuie souvent sur le support d'internautes partout dans le monde qui utilisent des outils DDOS recommandés par Anonymous. En mai 2011, sur le site Pastebin, les Anonymous avaient encouragé leurs supporters à télécharger un outil DDOS  du nom de Slowloris. Leur message avait rapidement fait le tour de l'Internet, at avait été relayé jusque sur Twitter.

Un outil trafiqué pour tromper les internautes 

Mais Symantec a découvert que les cybercriminels avaient recopié mot pour mot le message et l'avaient reposté à nouveau le 20 janvier. Sauf que cette fois, le lien vers l'outil DDOS Slowloris préconisé par les Anonymous dirigeait les internautes vers une version malveillante de Slowloris. L'opération a été réalisée le jour même où le site de partage de fichiers Megaupload a été bloqué par les agences fédérales de plusieurs pays et où Anonymous a lancé une campagne de protestation pour défendre le site de téléchargement illégal. « Le lien redirigeant vers la version trafiquée de Slowloris est également apparu dans un mode d'emploi qu'Anonymous a publié pour expliquer comment mener des attaques par déni de service, lequel a également été relayé sur Twitter, » a déclaré Symantec. Le vendeur de solutions de sécurité a constaté que dans le cas où l'internaute téléchargeait et exécutait l'outil modifié Slowloris, le malware tentait ensuite de dissimuler l'infection en téléchargeant la vraie version de l'application.

Non seulement le pirate qui prend le contrôle de la machine infectée vole les informations de connexion aux sites bancaires de ses victimes, ses cookies et ses identifiants de messagerie, mais il mène aussi depuis la machine des attaques DDOS contre les pages web en soutien à Anonymous. « D'un côté, les partisans du groupe d'hacktivistes enfreignent la loi en participant à des attaques DDOS sur des cibles désignées par Anonymous, mais ils prennent aussi le risque de se voir subtiliser leurs codes de connexion aux services en ligne de leur banque et leurs identifiants de messagerie », écrit encore Symantec.

Source

La sécurité IT de la NASA encore pointée par un rapport interne

Le rapport publié cette semaine par un inspecteur général de la NASA sur la sécurité informatique de l'agence spatiale américaine montre que celle-ci doit améliorer ses pratiques. En 2010 et 2011, plus de 5 400 incidents de sécurité ont été répertoriés.

Des ordinateurs portables au contenu non chiffré, des logiciels en défaut de mise à jour et des intrusions avancées risquent de mettre en danger le savoir-faire des techniciens américains si la NASA ne renforce pas sa sécurité IT. C'est ce que pointe un rapport publié mercredi dernier par l'inspecteur général de l'agence spatiale, Paul K. Martin. La National Aeronautics and Space Administration est la cible régulière de cyber attaques. Ses plus de 550 systèmes renferment des informations très recherchées par les criminels, souligne l'inspecteur général. 

Son témoignage, devant un sous-comité du Comité des Sciences, de l'Espace et de l'Aéronautique de la Chambre des représentants des Etats-Unis, a récapitulé les précédents audits de l'inspecteur général sur la sécurité IT de la NASA et propose des recommandations pour l'agence spatiale. En 2010 et 2011, celle-ci a signalé 5 408 incidents de sécurité informatique, découlant de logiciels malveillants installés sur ses systèmes ou d'intrusions, écrit Paul K. Martin. Le vol de données a coûté à l'agence plus de 7 millions de dollars, poursuit-il en ajoutant que la NASA doit améliorer la surveillance de l'ensemble de ses actifs IT.

48 terminaux mobiles perdus ou volés en deux ans

L'un des problèmes concerne les ordinateurs portables. Seulement 1% de ceux de la NASA et des terminaux portables bénéficient du chiffrement. Entre avril 2009 et avril 2011, 48 terminaux mobiles contenant des données sensibles ont été perdus ou volés. Selon un audit de mai 2010, seulement 24% des ordinateurs utilisés sur le réseau d'une mission étaient surveillés pour bénéficier des mises à jour critiques sur les logiciels, et seulement 62% étaient contrôlés pour détecter des failles techniques.

Au cours de l'exercice fiscal 2011, la NASA a également été la cible de 47 menaces avancées répétées ou de cyber attaques qui n'avaient pas été détectées pendant longtemps et qui visaient à voler des données. Treize de ces attaques ont réussi à compromettre des ordinateurs de l'agence, a indiqué Paul K.Martin. L'une d'entre elles a permis aux intrus de dérober les certificats de plus de 150 employés de la NASA qui auraient pu être utilisés pour récupérer des données dans les systèmes de l'agence.

Des ordinateurs mal reformatés avant leur mise en vente

Une autre attaque, perpétrée à partir d'une adresse IP basée en Chine, ciblait le Jet Propulsion Laboratory. Ceux qui l'ont mené ont eu un accès complet à des systèmes JPL clés et à des comptes utilisateurs sensibles. « Les attaquants ont eu un contrôle fonctionnel total sur ces réseaux », mentionne le rapport.

Dans un autre domaine encore, les auditeurs ont découvert que la NASA n'avait pas correctement supprimé les données sur les ordinateurs ayant été utilisés pour le programme de la navette spatiale avant de mettre les machines en vente. Les enquêteurs ont également trouvé quantités de disques durs dans une benne non sécurisée accessible au public dans l'un des centres.

Source

Une majorité de webmasters ignorent comment leur site a été piraté

Selon un rapport publié par StopBadware et Commtouch, la plupart des propriétaires de sites web ayant subi des attaques ne savent pas comment ceux-ci ont été piratés. Et seulement 6 % d'entre eux parviennent à détecter eux-mêmes une activité malveillante.

Le rapport intitulé « Piratage de sites web : le point de vue d'un propriétaire » repose sur une enquête menée pendant plusieurs mois auprès de plus de 600 administrateurs de sites web et de propriétaires. Elle a été réalisée par le vendeur en sécurité Commtouch et par l'association StopBadware, qui aide les webmasters à repérer, trouver des solutions et éviter le piratage de leur site.

La principale raison pour laquelle un site est piraté est dûe, semble t-il, au logiciel de gestion de contenu (CMS) obsolète. En effet, 20% des personnes interrogées invoquent ce motif. 12 % des webmasters concernés par l'enquête déclarent par ailleurs que l'ordinateur utilisé pour mettre à jour leur site web était infecté par des logiciels malveillants. 6 % pensent que leurs identifiants ont été volés. Enfin, 2 % admettent qu'ils se sont connectés à leur site via des hotspot publics ou des ordinateurs publics. Reste 63 % des personnes interrogées, qui disent n'avoir aucune idée de la manière dont leur site web a été piraté.

D'après les réponses des personnes interrogées, la plate-forme CMS la plus souvent installée dans les sites web piratés est celle de WordPress (28%). Cependant, WordPress représente plus de 50 % de l'ensemble du marché CMS, selon les données de w3techs.com, de sorte que le pourcentage de sites WordPress piratés par rapport à la base installée de la plate-forme est plus bas que pour les autres plates-formes CMS comme Joomla ou osCommerce.

Une résolution épineuse des problèmes

Près de la moitié des personnes interrogées - 49% - ont été informées que leurs sites web avaient été piratés par des alertes du navigateur ou du moteur de recherche. 18 % ont été avertis par des collègues ou des amis, 10 % par une entreprise de sécurité et 7 % par leur hébergeur. « Seulement 6 % des personnes interrogées ont découvert par elles-mêmes le piratage, remarquant une activité suspecte ou plus sur leurs sites web, » indique le rapport.

Un tiers des personnes interrogées ne savaient pas dans quelle mesure les données de leurs sites avait été compromises après le piratage. Les autres - 25 % et 18 %,  respectivement - ont mentionné parmi les formes les plus courantes d'abus, soit l'hébergement de logiciels ou des scripts malveillants. Beaucoup de webmasters - 46% - ont réussi à corriger eux-mêmes la faille à partir d'informations récoltées sur les forums d'aide et autres sites web. 20 % sont parvenus à corriger le problème en suivant les instructions reçues par des entreprises de sécurité et 14 % avec l'aide de leur hébergeur. Cependant, plus d'un quart des personnes interrogées ont indiqué qu'après plusieurs tentatives de réparation, elles avaient laissé leurs sites web en l'état.

Environ 28 % des webmasters ont déclaré qu'ils envisagaient de changer d'hébergeur après leur expérience de piratage. L'enquête a révélé que les webmasters avaient trois fois plus de chance de quitter les hébergeurs qui facturaient l'aide apportée pour résoudre ce problème, et a fortiori ceux qui refusaient d'apporter leur soutien.

Avoir une bonne hygiène sécuritaire

Le rapport conclut que de nombreux webmasters ne sont pas tout à fait conscients des menaces qui pèsent sur leurs sites Web, ni comment faire face à d'éventuels piratages. Selon StopBadware et Commtouch, il faudra un certain temps avant qu'ils sachent prévenir les incidents liés au piratage de leurs sites et prendre des précautions de sécurité de base comme la mise à jour des logiciels CMS et des plug-ins, l'utilisation de mots de passe forts et variés, ou encore ne pas conserver les mots de passe sur des machines locales, et scanner régulièrement les ordinateurs pour repérer les logiciels malveillants.

Par ailleurs, toujours selon ce rapport, en plus des alertes des navigateurs et des moteurs de recherche, il serait nécessaire d'améliorer les méthodes pour prévenir les webmasters de façon proactive que leurs sites Web ont été piratés. Les hébergeurs de site pourraient aussi en profiter pour améliorer leur réputation en informant et en aidant les clients dont les sites ont été piratés.

Source