Logiciels espions pour mobiles : une tentation grandissante

En 2003, Atir Raihan a commencé à travailler sur un produit qui a contribué à semer la zizanie dans l'industrie de la sécurité mobile. Son idée de départ était simple : créer un spyware pour téléphones portables qui permettrait aux utilisateurs de confondre un conjoint en faute.

« Je me souviens, il y a huit ans, je buvais un verre avec des amis et je leur ai parlé de ma situation personnelle. Il s'agissait d'une histoire d'infidélité avec une ancienne petite amie », a expliqué Atir Raihan. N'aurait-il pas été intéressant, poursuit-il, qu'une technologie puisse permettre d'aller au fond des choses ?

En voyant là l'occasion de développer une opportunité commerciale, ainsi qu'un moyen de régler son dilemme personnel, et Atir Raihan a installé en Thaïlande son entreprise baptisée Flexispy pour développer un produit du même nom capable de traquer secrètement les appels et les messages texte envoyés à partir d'un téléphone mobile. Flexispy ne peut pas être installé à distance, de sorte que l'utilisateur doit mettre la main sur le téléphone et télécharger le logiciel sur l'appareil. Une fois installé, le programme enregistre tous les messages texte et les appels sur l'appareil. Il peut aussi permettre d'écouter une conversation à distance et d'utiliser le circuit GPS pour suivre en temps réel la localisation d'une personne.

Des produits de plus en plus nombreux

Depuis sa sortie en 2004, des produits similaires ont surgi comme Mobile Spy, qui est présenté comme un moyen d'espionner ses enfants et ses employés, et MobiStealth, destiné aux parents, aux dirigeants et aux forces de police. Alors que ces produits sont utilisés dans le monde entier, ils semblent tout particulièrement avoir ciblés la Chine. 10 000 utilisateurs environ sont «infectés» chaque mois par Flexispy, estime Zou Shihong, vice-président de NetQin, une société spécialisée dans la sécurité mobile.

Dans un petit échantillon mensuel des clients chinois de la compagnie, 1 000 utilisateurs se sont retrouvés piégés par Flexispy sur leurs téléphones, précise M.Zou. En revanche, l'entreprise n'a trouvé que 300 cas sur un même échantillon de clients, mais aux États-Unis, selon l'entreprise.

Des questions éthiques et juridiques se posent quant à l'usage

Des produits comme Flexispy suscitent bien évidemment des questions d'ordre éthique et juridique. Et comme, il n'est pas illégal dans la plupart des pays d'acheter un tel logiciel, certaines personnes peuvent être tentées de l'utiliser en toute illégalité cette fois. Sans une ordonnance du tribunal, les écoutes téléphoniques sont en effet illégales dans la plupart des pays. L'altération du téléphone d'une personne est également un délit. « Ces produits violent la vie privée », a déclaré Zhang Qiyi, un avocat chinois, où le gouvernement a tenté d'interdire Flexispy avec un succès mitigé.

Une fois le programme installé sur un terminal mobile, les données sont secrètement acheminées vers un serveur exploité par Flexispy. L'utilisateur peut se connecter au serveur pour lire les messages texte et consulter le journal des appels. Le logiciel peut également activer le micro du téléphone, de sorte qu'il peut être utilisé comme un moyen d'écouter les conversations à proximité.

Lire la suite...

Fraude en entreprise : la cyber-criminalité progresse selon PWC

La fraude au détriment des entreprises progresse partout dans le monde mais davantage en France. Les dispositifs automatiques d'alerte contribuent nettement à leur détection. La cyber-criminalité devient un facteur important de ces délits.

« Une fraude sur cinq est désormais détectée par un système d'identification des transactions inhabituelles » estime le cabinet PWC dans la dernière livraison de son étude sur la fraude. Si l'IT permet de lutter contre la fraude au sens large, elle est aussi aujourd'hui le quatrième constituant de celle-ci, via la cyber-criminalité.

La fraude progresse considérablement : 30% des entreprises se déclaraient victimes dans le monde en 2009 contre 34% aujourd'hui. En France, la croissance tient de l'explosion : 29% en 2009, 46% en 2011. Les entreprises sont d'autant plus touchées qu'elles sont importantes : 46% en 2009 et 54% en 2011 pour les plus de 1000 employés contre seulement 26%/29% pour les 201-1000 employés et 15%/17% pour les moins de 200 employés.

Le fraudeur type est un homme (77% des cas), cadre (41%) entre 31 et 40 ans (43%), doté d'une ancienneté entre 3 et 5 ans (30%) et ayant un niveau d'étude de type Master (37%). Dans 77% des cas, le fraudeur est licencié lors de la découverte de sa faute. Une plainte pénale est même déposée dans 62% des cas.

Si les outils d'identification des transactions inhabituelles détectent, en 2011, 18% des fraudes (contre 5% en 2009), c'est au détriment de modalités plus traditionnelles comme les dénonciations et systèmes d'alerte (22% en 2011 contre 34% en 2009), les audits internes (14% contre 17%), les évaluations de risques a priori (10% contre 14%)...

La cybercriminalité en challenger prometteur

La première fraude reste, de loin, le détournement d'actif (vol...) qui frappe 72% des entreprises victimes d'une fraude en 2011 contre 67% en 2009 et 70% en 2007. Les dommages dépassent les cinq millions de dollars dans un cas sur 10. En deuxième position, la fraude comptable a connu un pic en 2009 avec 38% des entreprises victimes contre seulement 24% en 2011. Il est vrai que c'est ce domaine qui a connu le plus grand renforcement des mesures de détection automatique. La corruption reste la troisième pour l'instant mais poursuit sa chute : 30% en 2007, 27% en 2009 et 24% en 2011.

La fraude qui progresse le plus est aujourd'hui en quatrième position : la cybercriminalité. 23% des entreprises victimes d'une fraude déclarent avoir été frappées en 2011. Selon PWC, cette explosion de la cybercriminalité est liée à un triptyque : la richesse des données à voler, un rapport gain/risque largement supérieur aux autres formes de délits et dédramatisation de l'acte par ses côtés ludique et virtuel. Mais il convient d'ajouter une mauvaise détection des fraudes de ce type : 25% des entreprises dans le monde (30% en France) ne disposent d'aucun dispositif de prévention et de détection. 42% déclarent n'avoir aucun personnel capable d'enquêter sur une fraude de cette nature ou de réagir. Les risques ne sont même pas évalués a priori dans 38% des cas, l'attitude étant généralement réactive et non préventive.

A propos de l'étude

L'étude « La fraude en entreprise : tendances et risques émergents » est la sixième édition de la « Global Economic Crime Survey » réalisée par le cabinet PWC, en partenariat avec la London School of Economics, à raison d'une édition tous les deux ans. 3877 entreprises ont répondu à l'enquête menée dans 78 pays entre fin juillet et mi-septembre 2011.

Source

Le pillage de comptes bancaires combiné à des attaques en déni de service

Le fameux cheval de Troie bancaire Zeus lance désormais des attaques par déni de services pour mieux masquer les virements bancaires frauduleux.

Le FBI s'inquiète des dernières avancées du fameux trojan bancaire Zeus, bien connu pour dérober les identifiants de comptes bancaires en ligne. Le Bureau fédéral d'investigation américain a en effet diffusé une nouvelle campagne, avertissant d'une nouvelle technique : l'attaque par déni de service couplée à des virements bancaires frauduleux.

Après avoir dérobé de manière "classique" les identifiants bancaires, via des campagnes de hameçonnage personnalisées et ciblées, le cheval de Troie pourra désormais compter sur son botnet pour perturber le service de la banque en ligne avec une attaque par déni de service (DDOS) pendant qu'il dérobe les fonds sur le compte. Les banques auraient en effet plus de mal à stopper des transferts douteux lorsqu'elles subissent une attaque par déni de service.

A noter qu'une variante du trojan peut également déjouer les mécanismes d'authentification forte, à deux facteurs, utilisés par les banques (souvent un code envoyé par SMS - lire notre article : un trojan bancaire part à l'assaut des smartphones)

Le FBI précise qu' "une partie des virements frauduleux" créditent des bijouteries haut de gamme, où se présentera ensuite une "mule" venant dépenser le virement frauduleux en bijoux.

Source

Une application pour contrôler votre téléphone Androïd depuis votre navigateur via Wifi

Parfois un grand écran et un vrai clavier, c’est plus pratique pour naviguer dans les fichiers de votre téléphone ou écrire des SMS.

Et puis c’est un peu plus discret si vous passez la journée au bureau à envoyer des messages depuis votre smartphone (bouh pas bien ^^).

Voici donc un moyen d’utiliser votre téléphone depuis votre ordinateur en toute discrétion, en passant par une connexion Wifi

AirDroid vous permet de vous connecter à votre Androphone et de le contrôler à distance via un simple navigateur Web. Ainsi, que vous soyez sur Windows, Mac OS X ou Linux, vous n’aurez aucun problème pour piloter votre téléphone depuis votre ordinateur.

Comment ça marche ? C’est très simple, il vous suffit d’installer l’application sur votre téléphone, vous aurez alors l’adresse à entrer dans votre navigateur Web pour accéder à votre téléphone sous Android, ainsi qu’à définir un mot de passe, pour éviter que n’importe qui puisse faire n’importe quoi avec :

Vous aurez alors accès à une interface très intuitive, avec des raccourcis vers les principales fonctions de votre téléphone.

Par exemple vous pouvez écrire des messages à vos contacts :

Parcourir les fichiers présents sur votre téléphone, les déplacer, copier, en ajouter… via une interface ressemblant à l’Explorateur de votre ordinateur :

Et tout ça sans bourse délier, puisque AirDroid est 100% gratuit

Source

Crypteks : une clé USB qui multiplie les sécurités

Combiner un chiffrement 256-bit AES avec le principe du cryptex pour protéger doublement le contenu d'une clé USB, c'est tout l'objectif du Crypteks, un projet financé via Kickstarter qui s'apprête à voir le jour très prochainement.

Ce n'est pas la première fois que le principe du cryptex est utilisé dans le cadre d'une clé USB, mais c'est la première fois qu'un tel support de stockage est conçu de série. De l'avis-même de ses créateurs, la Crypteks est la première clé USB à combiner à la fois un chiffrement 256-bit AES et un système de verrouillage manuel.

Il est ainsi possible de chiffrer le contenu de la clé, puis d'intégrer celle-ci à un cylindre pour ensuite la verrouiller à l'aide de l'une des 14 348 907 combinaisons possibles. Mieux vaut ne pas l'oublier, car une fois insérée dans son support, la clé devient inaccessible et sa construction en aluminium est conçue pour rendre son extraction très difficile.

La production de cette clé USB 2.0 est entièrement financée par les internautes via la plateforme Kickstarter. La somme nécessaire pour lancer la fabrication ayant été atteinte, il suffit désormais de faire un don équivalent au prix du modèle désiré pour l'obtenir : la version 8 Go est proposée au prix de 130 dollars, et la version 16 Go à 160 dollars, sans compter les 15 dollars de frais d'envoi. La livraison est prévue pour fin décembre.

Source

Le danger des malwares sur Android est-il surestimé ?

« Les fournisseurs de solutions de sécurité se comportent comme des « charlatans et des escrocs » en essayant de vendre des applications antivirus pour protéger les consommateurs contre les logiciels malveillants sur smartphone. » C'est l'avis de Chris DiBona, Responsable des programmes Open Source de Google, qui s'est livré à une attaque en règle contre cette industrie.

Chris DiBona défend la plateforme Android et plus particulièrement sa sécurité. Ces dernières semaines, les éditeurs de logiciels antivirus, dont Kaspersky Lab, McAfee et même Juniper Networks et IBM, ont mis en exergue la menace posée par les malware, en particulier sur la plate-forme Android. Cet apparent parti pris pourrait expliquer la réactivité de l'ingénieur de Google. « Les fournisseurs d'antivirus jouent sur nos peurs pour essayer de nous vendre leur logiciel de protection pour Android, RIM et iOS. Ce sont des charlatans et des escrocs, » a t-il écrit dans un blog. « Si vous travaillez pour une entreprise qui vend des antivirus pour Android, RIM ou iOS, vous devriez avoir honte de vous. » Celui-ci poursuit : « Aucun téléphone mobile de marque connu n'a de problème de « virus » dans le sens où on a pu le voir sur Windows et sur certains ordinateurs Mac. Il y a bien eu quelques petits problèmes, mais sans grandes conséquences, en raison de l'architecture sandbox et de la nature des noyaux sous-jacents. » Et il ajoute : « Oui, un virus classique est possible, mais pas probable. Les remparts pour limiter la propagation d'un tel programme d'un téléphone mobile à un autre sont nombreux et assez difficiles à franchir, même quand on a un accès légitime à ce téléphone. »

Des risques potentiels, mais minimes pour l'instant

Plus tôt cette semaine, McAfee a publié des statistiques montrant que les logiciels malveillants ciblant Android avaient progressé de 37 % au troisième trimestre 2011, tandis que Juniper Networks a établi selon ses propres chiffres que le nombre de malwares sur cette même plateforme avait été multiplié par 5 depuis le mois de juillet de cette année, principalement des applications détournées et diffusées via les boutiques en ligne. Ces rapports reprennent un discours égrené tout au long de l'année : le nombre de malware sous Android ne fait pas seulement augmenter, mais la plateforme est devenue un vecteur de prédilection pour les cyber-criminels. Ce constat ne vient pas seulement des éditeurs de logiciels de sécurité. L'ENISA, l'Agence européenne chargée de la sécurité des réseaux et de l'information de l'Union européenne, a laissé entendre que les boutiques d'applications gérées par des vendeurs tiers devraient s'accorder sur un ensemble de principes de sécurité. Même si la plate-forme Android n'a pas été mentionnée explicitement, son modèle de diffusion ouvert tombe clairement dans la critique des critères de sécurité évoqués par l'ENISA. Les deux points de vue sont sans doute valables. D'un côté, Chris DiBona a raison de souligner que les logiciels malveillants dangereux restent rares sur mobiles, mis à part sur certains app stores tiers situées dans des régions géographiques particulières et dans tous les cas il n'est pas prouvé que les antivirus pour mobile soient capables de contrer ces menaces.

Cela dit, les logiciels malveillants sur mobile sont encore à l'étape où ils cherchent à affiner leur capacité de nuisance et pourraient se développer dans des formes plus efficaces, en utilisant notamment le levier de l'ingénierie sociale, si le filtrage des app stores n'est pas amélioré. A l'évidence, la plateforme Android de Google est perçue par les cyber-criminels comme la plus facile à corrompre et celle qui permet de toucher la plus grande base d'utilisateurs.

Source

HDCP : la protection anti-copie d'Intel craquée par des universitaires

Un professeur allemand et l'un de ses doctorants sont parvenus à faire tomber la protection HDCP d'Intel, visant à protéger les liaisons DVI, HDMI ou DisplayPort pour empêcher d'extraire un contenu numérique par ce biais. Pour ce faire, les universitaires ont conçu un système pour la modique somme de 200 euros.

La sûreté de la technologie HDCP (High Definition Content Protection) ne tenait déjà plus qu'à un fil depuis la mise en ligne, en septembre 2010, d'une « master key » permettant de contourner la protection. Restait néanmoins à trouver une façon d'utiliser cette clé, restée jusque-là sur le carreau du fait de sa complexité : un défi relevé par un professeur et un thésard de l'université de Ruhr, en Allemagne.

Les deux universitaires ont ainsi conçu une carte électronique permettant de décoder le signal HDCP et ainsi récupérer le contenu normalement protégé. Pour ce faire, ils ont utilisé une puce FGPA (Xilinx Spartan-6) avec un port HDMI et un port de communication RS-232. Programmé comme il se doit en exploitant les données de la master key, l'ensemble est ensuite placé entre la source et sa destination – un lecteur de Blu-ray et une télévision, par exemple – et récupère le flux vidéo chiffré sans être détecté. Cette solution à 200 euros permet dans l'immédiat de récupérer du flux émanant d'un Blu-ray ou d'un service de VOD protégé avec le HDCP.

Si cette découverte sous-entend que le HDCP est désormais concrètement piratable, les universitaires soulignent que leur objectif était surtout « d'enquêter sur la sécurité fondamentale du système HDCP et de mesurer les dépenses réelles pour le faire complètement tomber ». Gageons que cette découverte ne tombera pas dans l'oreille d'un sourd, et qu'Intel ne va sans doute pas rester muet très longtemps à ce sujet.

Source