Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Focus sur le rançongiciel qui déjoue les mesures de sécurité

C’est un programme informatique qui fut découvert en début de cette année précisément durant le mois de janvier.

Il se fait appeler Thanos, en hommage au supervilain des films de Marvel. Selon les autorités chargées de lutter contre la cybermalveillance, il aurait été développé par un groupe de cybercriminels du nom de Nosophoros. Sa particularité réside dans le fait qu’il est capable de contourner les mesures de sécurité implantées dans un réseau ou un système informatique, pouvant aller jusqu’à désactiver cette protection. Une capacité très rare reposant sur l’utilisation d’une technique de type RIPlace. Ajouté au fait que Thanos est un programme de rançonnage, les dégâts qu’il peut causer est assez impressionnant.  Du tronc commun du rançongiciel Thanos, il a été développé par les cybercriminels les classes Crypto et Program.

Cet article va aussi vous intéresser : Tycoon, le nouveau rançongiciel qui menace Windows et Linux

Avec une tel pion dans le jeu, la cybercriminalité est devenue comme un jeu du chat et de la souris entre les responsables de la sécurité des systèmes des informations et les hackers malveillants. Et malheureusement pour les responsables de la sécurité, la souris est très difficile à intercepter voire à neutraliser.

Notons par ailleurs que la découverte en janvier 2020 de ce rançongiciel a été faite par Inskit Group, un conglomérat œuvrant dans la cyberdéfense, et l’a porté à la connaissance du monde dans un rapport où il décrit comment fonctionnement ce programme malveillant. Selon Inskit Group, les cybercriminels à l’origine de ce programme malveillant le mettaient en vente sur le dark web, sous la forme d’une version personnalisable, pouvant aller jusqu’à 43 configuration disponible. De sortes à adapter son utilisation aux besoins des cybercriminels qui seraient tentés par ce programme. Le plus impressionnant dans tout ceci, c’est que les pirates informatiques du groupe Nosophoros ne contentent pas tout simplement de vendre le programme informatique, mais vont aussi professionnaliser leur commerce illicite en proposant un service après-vente, d’accès à un modèle de distribution particulier, souvent suivi d’offre de mise à jour permettant d’apporter plus de fonctionnalités au programme malveillant. « Le client Thanos est simple dans sa structure et ses fonctionnalités générales. Il est écrit en C # et est facile à comprendre malgré son offuscation [consistant à rendre un exécutable ou un code source illisible et difficile à comprendre par un être humain ou un dé compilateur, NDLR], et bien qu’il intègre des fonctionnalités plus avancées telles que la technique RIPlace », note Inskit Group.

Notons par ailleurs par ailleurs que Thanos intègre dans son tronc, près de 12 ans à 17 classes comme Program, Crypto, NetworkSpreading, Wake on LAN, permis tant d’autres, et variant selon la demande des clients.

Comme nous l’avons décrit un peu plus haut, grâce à la technique de RIPlace qui est embarqué dans ce rançongiciel, il lui est permis de contourner les systèmes de sécurité mise en place pour protéger les systèmes et même les réseaux. Qu’il s’agisse de pare-feu au même des solutions antivirus, ce programme peut les désactiver pour continuer ce pourquoi il été exécuté. « Avec les meilleures pratiques de sécurité telles que l’interdiction des connexions FTP externes et la mise sur liste noire des outils de sécurité offensifs connus, les risques associés aux deux composants-clés de Thanos – Data Stealer et Lateral Movement (via l’outil SharpExec) – peuvent être évités », souligne Inskit Group.

Des spécialistes de la sécurité informatique Kaspersky Carbon Black ont de leur côté mentionné qu’ils travaillent chacun sur un moyen de corriger la faille de sécurité RIPlace. « Le client Thanos utilise AES-256 en mode CBC pour chiffrer les fichiers utilisateur. La clé utilisée pour le chiffrement AES est dérivée d’un mot de passe et d’un sel qui se fait à travers l’appel de fonction Windows rfc2898DeriveBytes. Une fois que le client Thanos s’est servi de cette clé pour chiffrer tous les fichiers qu’il découvre, il recourt à une clé publique RSA 2048 intégrée pour crypter le mot de passe AES utilisé. La chaîne base64 de ce mot de passe chiffré est ajoutée à la note de rançon, demandant à la victime d’envoyer la chaîne de mot de passe chiffrée aux acteurs de la menace pour déchiffrer leurs fichiers. La clé privée associée à la clé publique utilisée pour chiffrer le mot de passe est nécessaire pour déchiffrer le mot de passe AES. Seul l’opérateur qui a créé le client Thanos doit avoir accès à la clé privée », déclarait par ailleurs en outre Inskit Group.

En outre, si aujourd’hui la technique RIPlace est devenue une vulnérabilité pour le système de défense informatique, c’est parce que depuis le début, elle a été négligée par les éditeurs de solutions de défense et d’autres fournisseurs de logiciels. En effet en fin d’année 2019, Nyotron en faisait objet d’un POC. Certains fournisseurs tel que Microsoft avaient été prévenus. Mais ces derniers ne l’ont pas considéré sur le moment comme une vulnérabilité, à l’exception de Carbon Black et Kaspersky, qui n’ont pas hésité à mettre à niveau leurs solutions de sécurité. Et dès 2020, les cybercriminels se sont rués sur la darkweb pour profiter de l’opportunité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La Russie se défend contre les accusations de l’Allemagne pour l’attaque de son Parlement

L’affaire commence exactement en 2015.

Le parlement allemand la Bundestag, est touché de plein fouet par une cyberattaque. A la suite de l’enquête menée par les autorités allemandes, le pirate informatique du nom de Dimitri sergueïevitch badin a été inculpé pour ce forfait, lors d’une déclaration faite par les autorités il y a quelques semaines de cela. Cependant l’Allemagne ne s’est pas arrêté là. Elle accuse ouvertement la Russie d’avoir orchestré ce piratage informatique. Surtout que l’inculpation du pirate informatique survient durant le mois de mai dernier, soit 4 ans après les faits.

Cet article va aussi vous intéresser : Le parlement Australien, victime d’une cyberattaque d’origine Chinoise selon l’agence

De son côté, l’État Russe, à travers plusieurs de ses responsables politiques a essayé de se défendre, déclarant que l’Allemagne n’apportait pas suffisamment de preuves pour confirmer sa participation au plus tôt son implication à cette affaire. La Russie va loin en indiquant lors de communiquer que l’Allemagne essaie de se servir de cette histoire pour lui imposer des sanctions économiques, à la place de juger tout simplement l’auteur présumé des fractions.

Selon les procureurs en charge de l’affaire, le présumé coupable de la cyberattaque ferait selon les résultats des enquêtes, partie d’un groupe à de Pirates informatiques classé dans la catégorie des APT (Advanced persiste Threats). L’équipe dont il ferait partie serai APT 28 connu d’autre part sous des appellations différentes dont Sofacy, Fancy Bear, Grizzly Steppe et Strontium. Ce groupe serait directement responsable de l’attaque informatique subie par le parlement allemand dans le courant du premier semestre de l’année 2015. La conséquence de cet acte de cybermalveillance, a été le vol de documents gouvernementaux, l’exécution de programmes malveillants sur les terminaux les représentants. Identifié parmi ces compères, Dimitri sergueïevitch badin est répertorié comme le membre de l’unité 26165, une équipe de hackers expérimentés à la solde de la direction générale des renseignements de l’État russe dénommée GRU, qui n’est autre que la structure chargée du renseignement militaire de l’armée russe.

Le jour de l’émission du mandat d’arrêt à l’égard des pirate informatique russe, l’ambassadeur de Russie a été convoqué par les autorités allemandes pour être solennellement informé des charges retenues contre leurs concitoyens. Par ailleurs, le premier vice ministre des affaires étrangères, Vladimir Titov déclarait lors d’une interview accordée à l’agence de presse en russe RIA, déclarer que les autorités judiciaires allemandes n’avaient jusqu’à présent fourni aucune preuves concrètes justifiant l’inculpation du concitoyen russe Badin, ce qui est du moins nécessaire pour exiger de la part de la Russie une extradition. Dans le même cadre, le ministre des affaires étrangères avait fait une déclaration similaire le mois dernier, assurant que la Russie n’avait jusqu’à présent eu connaissance aucune preuve justifiant l’action en justice. Selon Stefan Soesanto, un chercheur en cyber défense au Centre d’études de sécurité de l’Institut fédéral suisse de technologie à Zurich, lors d’une interview accordée aux médias en ligne spécialisé ZDNet : « Lavrov est correct quand il affirme que le ministère des affaires étrangères allemand n’a pas partagé le mandat d’arrêt contre Badin avec l’ambassadeur de Russie ». Il a ajouté par la suite : « Il n’y a pas eu non plus de demande formelle d’extradition de la part des Allemands pour Badin ». Ce spécialiste de la cybersécurité ne cache pas son passé lorsqu’il sous-entends que ces l’accusation cache derrière des manœuvres intelligentes sensée alimentée un conflit géopolitique. « Dans l’ensemble, les positions sont assez claires, (…) Moscou n’extradera jamais Badin – car cela violerait la constitution de la Russie (article 61), et Berlin est désireux de pousser les sanctions de l’UE plutôt que de faire comparaître Badin devant un tribunal allemand pour parler de la gravité de la sécurité informatique au Bundestag. ».

En outre, personne ne sait formellement si les autorités allemandes disposent de véritable preuves à contre de pirate informatique russe. Et même si, Badin avait déjà été inculpé aux États-Unis pour des actes de cybermalveillance un peu similaire, rien ne garantit que l’Allemagne aura gain de cause sous cet aspect. De plus, au regard des traités internationaux, le pirate informatique on ne pourra t’être poursuivi en justice s’il agit pour le compte de son États en tant qu’agent de renseignement. Si aux États-Unis, l’action judiciaire n’a pas abouti, les autorités américaines se sont servi de ce prétexte pour imposer des sanctions économiques à la Russie, ce qui semble être l’intention des Allemands les jours à venir.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Il faut en moyenne 9h aux cybercriminels pour dérober des informations personnelles sur un serveur plus ou moins protégé

Selon une étude réalisée par Comparitech, les attaques informatiques prennent moins de temps que l’on ne croit.

Le bilan de son étude a permis à la société d’études de décompter 175 attaques informatiques en seulement 11 jours. Résultats qui est de nature à effrayer plus d’un. Le résultat provient d’un test. Les chercheurs de la firme ont tout simplement laissé une base de données accès libre sur un serveur à protection minimale, pour voir qui pourrait y accéder. Ils ont ensuite procédé à un tracking. L’idée est non seulement de voir combien de temps mettrait les cybercriminels pour accéder au contenu de cette base de données, et par ricochet, la méthode qui sera utilisée par ces derniers. « Le temps est essentiel dans ces situations. Nous voulions savoir à quelle vitesse les données peuvent être compromises si elles ne sont pas sécurisées », indique l’entreprise. Au bout de 8 heures et 35 minutes seulement, les cybercriminels ont réussi le pari. Le premier visiteur a trouvé l’adresse et a immédiatement de lancé l’attaque. 2 jours après la mise en ligne de la base de données, le serveur enregistrait déjà une vingtaine attaques provenant de toute part. Ce bilan est plus qu’alarmant car il met en évidence l’aisance avec laquelle les cybercriminels peuvent mettre en mal notre confidentialité et même notre vie privée.

Cet article va aussi vous intéresser : Les données d’anciens clients dérobées, Koodo s’est fait pirater

La vitesse avec laquelle les cybercriminels ont la possibilité de dérober des informations personnelles sur des systèmes informatiques, avec de l’autre côté le temps qu’il met souvent avant la découverte de ces fuites de données montre à quel point la lutte pour la préservation de certains droits sur les plateformes numériques reste loin d’être une victoire. Si les entreprises font de leur mieux pour protéger leur usager, la problématique demeure toujours quand on sait qu’une base de données peut subir en moyenne 18 attaques par jour selon les spécialistes de Comparitech.

Lors de sa petite expérience, Comparitech a eu recours à un serveur elasticSearch, un outil informatique célèbre dans le milieu, qui donne le sentiment lors de son utilisation d’être face à un tableur Excel en grand format. Mais la célébrité des serveurs elasticSearch réside particulier dans ses nombreuses fuites de données, dues en grande partie par des défauts de paramétrage au niveau de sa sécurité. Un problème qui peut généralement être, dans la majeure partie des cas, reproché aux administrateurs. On se rappelle alors de la fuite de données subie par l’un des partenaires le ministère de l’éducation nationale, dans les informations se sont retrouvés sur un forum français (BDSM). Encore une fois, la frite de Daniel a été découvert donc quelques mois plus tard, exposant des milliers d’utilisateurs sur internet à travers la divulgation de certaines informations personnelles. Notons d’une part que les entreprises ne disposent pas tous d’outils de protection leur permettant de détecter ce genre d’incident dans un délai court. Pour celles qui en possède, dès la première minute, ces data leaks sont automatiquement détectés. Mais en vérité, ma vitesse par laquelle une entreprise détecte une fuite de données dépendra des contrôles des systèmes et leur intervalle.

En outre, toutes les manipulations qui sont détectés lors du test de Comparitech ne sont pas toutes des actes de cybermalveillance, selon cette dernière. Par exemple, il y a certains chercheurs en sécurité informatique scannent les réseaux dans l’optique de découvrir des failles de sécurité qu’ils pourront par la suite communiquer aux entreprises affectées, ce qu’ils font contre souvent une rémunération ou une simple publicité. Mais il n’empêche que la frontière est mince entre ces hackers éthiques et les véritables cybercriminels.

Par ailleurs, si le vol de données est quelque chose de plus facile à exécuter pour des cybercriminels, il n’empêche qu’il peut conduire à d’autres conséquences. En effet, rares sont les cybercriminels qui se contenteront de simplement de voler des informations lorsqu’ils ont accès à serveur moins sécurisé. Entre autres, les systèmes informatiques exposés, courent le risque d’autres incidents par installation de scripts malveillants pouvant être des chevaux de Troie, des programmes de cryptominage encore des logiciels d’espionnage. Dans un certain cadre, les cybercriminels privilégieront des logiciels de rançonnage.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Streaming illégal : enfin une première condamnation !

Dans le courant de la semaine, des opérateurs Français spécialisés dans le streaming sportif à travers des sites web ont été condamnés par la justice Française pour actions illicites.

Cependant, plusieurs acteurs du secteur n’ont cessé de se plaindre en déclarant que la législation serait encore trop tendre avec les gens de violations. Olivier Arandel notait à cet effet : « Les moyens de lutte contre le streaming sportif illégal semblent dérisoires en l’état actuel de la législation ».

Cet article va aussi vous intéresser : Le streaming constitue-t-il un danger en matière de cybersécurité

Mais avant toute chose, il ne faut pas oublier que c’est la toute première condamnation relative au streaming illégal en France. Les coupables sont au nombre de 5, et ont été condamnés pour avoir géré pendant plusieurs années des sites illégaux, fournissant du streaming sportif. C’est au tribunal correctionnel de Rennes que la sanction est tombée. Le responsable de ce groupe Le cybercriminel a écopé d’une peine de prison de 12 mois assortis de 6 mois de sursis. Pour l’accusation de « chef de reproduction ou diffusion non autorisée de programme ou vidéogramme, et blanchiment d’argent ».

L’avocat spécialiste en droit de l’informatique, par ailleurs associé au cabinet Hogan Lovells déclarait satisfait : « La loi s’est appliquée grâce au remarquable savoir technique de la gendarmerie (…) Mais il y a toujours une disproportion entre le faible coût de cette opération de délinquance en cols blancs et le coût important de l’enquête. ». D’un autre côté, s’il n’y avait pas eu le caractère illégal de la chose, ces cybercriminels auraient été félicités pour le travail assez impressionnant. En effet, ce piratage avait quelque chose de purement industriel car, se servant de leurs propres abonnements aux différentes chaînes de sport quelques RMC sports BeIn sports et canal +, il leur est dirigé vers des sites internet, et qui contre toute attente avec du très bon référencement. Cette activité couplé a des publicités, leur a permis de générer des revenus assez important à hauteur de 230 000 €. « C’était entre 2014 et 2018 les plus gros sites de streaming illégaux de France avec une audience cumulée de sept millions de visiteurs mensuels », notait Frédéric Delacroix, délégué général de l’Alpa, (l’Association de lutte contre la piraterie audiovisuelle), qui était par ailleurs constitué en partie. Tout comme canal+ qui réclamer, qualité de plaignante, une réparation financière à hauteur de 29,9 milliards d’euros aux coupables. Les autres plaignants ne sont autres que BeIn sports et SFR qui ont aussi exigé le paiement de dommages et intérêts. Le tribunal de Rennes qui a tranché l’affaire annonce qu’il fera les attributions des dédommagements à partir de la moitié du mois d’octobre.

Pour la justice Française aux certaines autorités, la victoire est symbolique. Cependant pour les praticiens du secteur, la portée de la sanction est très limitée. Ces derniers ont peur que les condamnations ne soient pas assez dissuasives et n’empêche pas d’autres de continuer dans cette lancée. « C’est un signal dissuasif mais le vide laissé a été vite comblé par d’autres délinquants organisés, ils opèrent la dizaine de sites qui se partagent un marché de deux millions de visiteurs mensuels avec de vrais enjeux économiques » assure Frédéric Delacroix. Pour la secrétaire générale de l’agence au chargé de la lutte contre le piratage (l’Hadopi),

Pauline Blassel « Il y a un vrai problème de temporalité dans les décisions de justice car elles interviennent trop tard. Elles font un peu descendre les audiences de ces sites illégaux mais la procédure actuelle n’est pas suffisante pour les attaquer à la source ». Pour cette dernière et son agence, les autorités judiciaires doivent aller plus loin. Par exemple, ils peuvent demander aux autorités exécutives d’exiger de la part des moteurs de recherche, et les fournisseurs d’accès à internet de bannir ou stopper littéralement le référencement les sites impliqués dans ce genre d’affaire. Et cela obligatoirement, avec toutes autres plateformes ayant un lien direct ou indirect. Des actions qui pourront avoir des effets bénéfiques comme stopper la consultation de certains sites internet hébergés à l’étranger, des plates-formes qui jusqu’à présent, réussissent à passer entre les mailles du filet des autorités.

Pour finir, une solution est proposée par le projet de loi portant sur la réforme de l’audiovisuel. Cette solution mise sur le listage des plateformes numériques indésirables en vue de leurs bannissements. La disposition de 23 de ce projet de réforme met sur place un « dispositif spécifique de référé pour lutter contre le piratage sportif ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Une faille de sécurité menace de millions d’objets connectés

Dans le courant de la semaine, il a été avancé publiquement la découverte d’une faille de sécurité dans le protocole UPnP.

Ce qui constitue une menace pour plusieurs millions appareils connectés à travers le monde. La vulnérabilité a été découverte part un spécialiste de la sécurité informatique du nom de Yunus Çadirci. Elle permet, à toute personne pouvant l’exploiter, de voler les informations personnelles des utilisateurs, de pouvoir scanner les réseaux Internes, ce qui permettra d’initier facilement des attaquants de déni de service (DDoS).

Cet article va aussi vous intéresser : Les entreprises privées face aux vulnérabilités des objets connectés

La découverte de la faille de sécurité a été annoncée publiquement par Yunus Çadirci, le chercheur responsable de la découverte, ce mercredi 2020 c’est-à-dire hier. Le chercheur a qualifié la faille de sécurité de critique.

La vulnérabilité affecte le protocole UPnP (Universel Plug & Play). Un protocole qui fut élaboré pour permettre aux objets connectés de pouvoir interagir facilement entre eux, lorsque ces derniers sont branchés sur le même réseau. Le problème avec ce protocole, c’est qui n’admet pas de mécanisme d’authentification ou des vérifications d’identité. Cela s’explique par le fait qu’il a été conçu pour fonctionner sur un réseau local. Ce petit problème de sécurité (mais qui n’est pas négligeable du tout) a toujours contraints plusieurs fabricants souhaitant l’inclure dans leurs objets connectés tels que les téléviseurs, les consoles de jeux les routeurs, les impriment et bien d’autres, à désactiver le protocole par défaut. La latitude est donc laissée à utilisateur de pouvoir l’utiliser, en l’activant lui même (à ses risques et périls). Cependant, le chercheur à l’origine de la Découverte Yunus Çadirci signifie que la vulnérabilité (qui a été baptisée entre temps « Callstranger »), « se situe justement dans la fonction Subscribe (S’inscrire en français) du protocole. Cette vulnérabilité peut avoir des conséquences multiples. Elle permet à un pirate de scanner les réseaux internes depuis un appareil vulnérable pour ensuite en exfiltrer des données. Autre possibilité, le hacker peut se servir de CallStranger pour enrôler un appareil vulnérable dans un botnet pour lancer des attaques DDoS. ».

La bonne nouvelle, un correctif de sécurité est désormais disponible. Il a été développé par Open Connectivity Foundation en abrégé OCF. Notons en outre que l’Open Connectivity Foundation est une fondation, qui visent la promotion de l’Inter connectivité entre les outils informatiques. C’est d’ailleurs elle, qui a sous sa responsabilité le protocole UPnP. Donc, elle est à cet effet, chargé du développement de l’amélioration dudit protocole. La mise à jour de sécurité pour colmater la faille de sécurité est disponible pour téléchargement sur son site officiel.

En outre, la faille de sécurité affecte 5,4 millions d’appareils connectés utilisés dans le monde. On peut citer à titre d’exemple tous les ordinateurs qui fonctionnent avec Windows 10 comme système d’exploitation, les consoles de jeux Xbox One, les TV connectées Samsung, les routeurs et modems signés Huawei, Cisco ou D-Link et les imprimantes HP, Canon et Epson.

L’Open Connectivity Foundation et le spécialiste de la sécurité Yunus Çadirci ont indiqué à l’endroit des constructeurs des objets connectés la nécessité, du moins pour le moment, de « désactiver la fonctionnalité Subscribe du protocole UPnP dans la configuration par défaut ». Et comme la vulnérabilité touche de façon particulière un protocole, il faudrait attendre très longtemps avant le déploiement de potentiels correctifs de sécurité de la part des constructeurs. De toutes les façons, Yunus Çadirci soulignait : « On ne s’attend pas à ce que les utilisateurs à domicile soient directement ciblés. Si leurs objets connectés ont des terminaux UPnP, il est néanmoins possible que leurs appareils puissent être utilisés comme source d’une attaque DDoS ».

Notons que les failles de sécurité découvertes sur les objets connectés attirent généralement moins attention que celles découvertes sur des smartphones ou des ordinateurs. Pourtant le danger reste le même. L’utilisateur est donc exposé ainsi que l’ensemble de ses données. Comme nous l’avons mentionné plus haut, les mises à jour prennent toujours plus de temps avant d’être déployé. Au final certaines vulnérabilités ne seront jamais corrigées. Au grand risque des personnes qui seront exposés. C’est pour cette raison il est recommandé utilisateurs des objets connectés de toujours choisir leurs outils parmi le constructeur qui font des mises à jour de sécurité une de leurs priorités.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage