Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Les organisations face à la cybercriminalité en 2021

Récemment il a été publié un rapport, par la société américaine de sécurité informatique Check Point Software portant sur la généralisation des incidents de sécurité à travers le monde et les moyens à développer pour assurer une protection efficace.

Le rapport met en évidence plus particulièrement les différentes techniques utilisées par les cybercriminels lors des piratages informatiques ainsi que les vecteurs les plus répandus. Les acteurs observés sont de différents ordres : que ce soit des pirates informatiques isolés, des cybercriminels sous la coupole d’État-nation ou des organisations criminelles durement constitués, tous ont été passées au crible par les chercheurs de Check Point Software.

Cet article va aussi vous intéresser : Les actes de cybercriminalité semblent « inarrêtables »

L’objectif du rapport est de fournir le maximum d’éléments permettant aux professionnels de la sécurité informatique ainsi qu’au cadre d’entreprises et organisation privées et publiques.

On pourrait retenir comme information importante provenant de ce rapport plusieurs éléments partent du cloud au télétravail.

« L’adoption du Cloud a une longueur d’avance sur la sécurité : En 2020, les programmes de transformation numérique des entreprises ont été accélérés d’environ cinq années pour répondre à la pandémie, mais la sécurité du Cloud public reste une préoccupation majeure pour 75% des entreprises. De plus, plus de 80 % des entreprises ont constaté que leurs outils de sécurité existants ne fonctionnaient pas du tout ou n’avaient que des fonctions limitées dans le Cloud, prouvant ainsi que les problèmes de sécurité du Cloud persisteront en 2021. » note le rapport.

Du côté du télétravail, le rapport précise que les cybercriminels ont accentué leur action autour du détournement de discussion, qui vise particulièrement les employés à distance. L’objectif bien sûr est de dérober le maximum d’informations possibles où est filtré des discussions privées à travers des chevaux de Troie (Qbot et Emotet)

Photo prise par Nicolas Creach

« Les attaques de logiciels rançonneurs par double extorsion flambent : au troisième trimestre 2020, près de la moitié de tous les incidents de logiciels rançonneurs comportait la menace de divulguer des données volées de l’organisation cible. En moyenne, une nouvelle organisation est victime d’un logiciel rançonneur toutes les 10 secondes dans le monde. » précise le rapport.

Au niveau du secteur de la santé, les attaques prennent de la forme d’une sorte d’épidémie. Selon la société de sécurité informatique, les attaques informatiques dirigée contre les organisations de santé en particulier les hôpitaux ont connu une augmentation de plus de 45 %. Et cela dans le monde entier. Les pirates informatiques en sûrement voulu profiter de la situation créée par la pandémie à coronavirus.

Par ailleurs, le rapport de checkpoint démontre que dans plus de 45 % des entreprises dans le monde, un employé sur deux aurait téléchargé à son insu un programme malveillant camouflé derrière une application mobile légitime. Avec l’augmentation des appareils mobiles à cause du confinement qui a entraîné une généralisation du travail à distance, les vecteurs d’attaques ont explosé.

« Les entreprises du monde entier se sont étonnées elles-mêmes de la vitesse de leurs initiatives numériques en 2020 : on estime que la transformation digitale a subi une accélération de sept ans. Mais les acteurs de la menace et les cybercriminels ont également changé de tactique afin de pouvoir tirer profit de ces changements et de la perturbation causée par la pandémie, avec une recrudescence des attaques dans tous les secteurs », a expliqué la vice-présidente des produits chez Check Point Software, Dorit Dor. « Nous devons agir maintenant pour empêcher cette cyber pandémie de se propager de manière incontrôlée. Les organisations doivent vacciner leurs réseaux hyper-connectés pour éviter ces cyber-attaques nuisibles qui provoquent tant de perturbations. ». Conclut cette dernière.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Données médicales : Plusieurs centaines de patients Français voient leur donner données sur le Dark Web

Dans un récent rapport publié précisément le 22 février, la société Française spécialisée dans le cyber, CybelAngel mettait en évidence la commercialisation des données médicales piratées.

La clé de ce rapport est la commercialisation d’un fichier contenant des données appartement à près de 500 000 patients d’origine française selon Challenges.

Le rapport publié expose trois exemples dans lesquels on peut trouver dans des forums de pirates informatiques français, Russes ou Anglophones, ou une base de données telle citée plus haut est en forte circulation. Rapport précise en ces termes que ce qui est plus étonnant dans tout ceci, est la présence de « 500 000 données hospitalières françaises mise en ligne gratuitement, alors qu’elle pourrait rapporter plusieurs milliers d’euros. ». Apparemment c’était un document qui était composé essentiellement de : « nom, prénom, adresse email, numéro de téléphone et données de santé de patients (numéro de sécurité sociale, groupe sanguin, médecin traitant, etc) », et par ailleurs de plusieurs examens médicaux réalisés par les patients.

Cet article va aussi vous intéresser : Fuites de données médicales : vérifier si l’on est concerné par la fuite massive de données de santé

En réalité, c’est des personnes qui avaient acheté ces données au préalable, qui ont par la suite remis en ligne dans le but de les revendre. Le fournisseur originaire au vu de cela décide alors de les publier gratuitement. « Le partage continuera tant que certains revendront ce qu’ils m’ont acheté », note-il.

Selon, CybelAngel, il y a de fortes chances que des fichiers qui ont été mis en vente contiennent des données qui ont pu être récupérées lors des attaques perpétrées contre plusieurs hôpitaux et mutuelles, à savoir la mutuelle nationale des hospitaliers

« Je comprends que des données personnelles puissent être intéressant pour du ciblage publicitaire. Mais je ne voie pas trop ce qu’ils peuvent faire avec des numéros de sécu, groupe sanguin, etc… Quelqu’un aurait une idée du réel intérêt que peuvent trouver des personnes / groupes / sociétés à acheter ceci ? » souligne un spécialiste de la sécurité. Ça peut servir à faire du phishing bien ficelé.

Quelqu’un qui a énormément d’infos très personnelles que normalement seul un hôpital ou un médecin possède peut assez facilement se faire passer pour quelqu’un de confiance.

Du genre « bonjour monsieur X, vous avez bien le numéro de sécu n° XXX ? vous avez fait tel acte médial le 12 janvier dernier, mais on a un souci avec la comptabilité, il manque 100€… » ». Explique ce dernier. Ça ne marchera pas à coup sûr, mais statistiquement, c’est sans doute plus efficace et plus crédible que l’oncle millionnaire qui veut partager sa fortune de 10 millions de € contre un petit virement … Et s’ils tombent sur une personne âgée, ils peuvent aller plus loin, du genre, « vous pouvez vérifier votre compte Ameli ? si vous avez des difficultés, je peux le faire pour vous… » conclut-il.

Pour ce qui en est de la cause de la fuite, une enquête menée par le média CheckNews, a permis de pouvoir identifier l’origine de la fuite de données. Selon ce dernier, le problème puise sa source dans les laboratoires de biologie médicale. Ces laboratoires ont en commun l’utilisation de logiciels connu sous l’appellation de Méga-Bus, un programme informatique obsolète mais toujours en commercialisation. Il serait géré par la société, Medasys, une filiale du groupe français Dedalus France. Le même groupe français qui se considère comme « leader européen en matière de solutions logicielles de Santé » avait été impliqué l’année dernière dans un scandale concernant un lanceur d’alerte qu’il aurait licencié pour « fautes graves ». Ce dernier avait prévenu les autorités des problèmes de sécurité informatique qui est touchent plusieurs programmes fournis par le groupe. Des vulnérabilités qui permettraient à « n’importe qui pouvait accéder à l’extranet, depuis le web. Ce qui permettait notamment d’accéder aux tickets ouverts par les hôpitaux et laboratoires clients ».

Les données concernées ici aurait été volées entre 2015 et 2020 dans plusieurs laboratoires d’analyses médicales des localités de Morbihan, des Côtes-d’Armor, de l’Eure, du Loiret et du Loir-et-Cher.

Quand les laboratoires ont été contactés, tous ont répondu unanimement n’avoir pas été informés par qui que ce soit de la fuite de données dont il est question.

Quant à Dedalus France, l’hypothèse est plausible : « Méga-Bus est une vieille solution. Si des clients l’utilisent toujours, ce doit être les derniers parce qu’elle n’est plus vendue ou maintenue. La plupart des clients de ce système sont en train de migrer ou ont déjà migré. »

À titre de rappel il faut préciser, que le fichier contenait des informations assez sensibles et personnelles sur le plan médical. En effet il y avait des informations portant sur :

– Des grossesses

– Des traitements médicamenteux

– Des pathologies voire séropositivité du patient)

Le pire dans tout ça, c’est que ces données n’étaient même pas chiffrées.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Fuites de données médicales : vérifier si l’on est concerné par la fuite massive de données de santé

La semaine dernière, l’actualité portait sur la fuite de données médicales à caractère sensible de près de 500 000 personnes en France.

Ces données étaient sur le Dark web. Au début elles étayent commercialisé et pour quelle raison que ce soit, elles sont dorénavant gratuites. Face à une telle situation, une entreprise spécialisée, a décidé de mettre en ligne un moyen qui permet de vérifier si les données en circulation contiennent certaines qui nous concernent.

Cet article va aussi vous intéresser : Données médicales : Plusieurs centaines de patients Français voient leur donner données sur le Dark Web

La société qui propose cet outil est basé dans la ville française de Rennes. Elle se dénomme Accéis.

Donc si vous doutez de faire partir des personnes dont les données sont en circulation, vous pouvez alors vérifier. Il vous suffit tout simplement d’accéder au site fuitededonneesdesante.acceis.fr, de composer votre numéro de sécurité sociale dans le champ unique de recherche qui vous sera présenté. Vous pourrez alors vérifier si vous êtes belle et bien parmi ceux dont les données sont en libre circulation.

Pour plus de précisions, l’entreprise de sécurité qui a mis en place le système précise que le serveur : « ne contient pas les informations personnelles, ni les données de santé relatives à la fuite de données. Seuls des condensats cryptographiques (SHA-256) sont utilisés, permettant de confirmer/infirmer la présence d’une identité dans la fuite de données. ».

Il faudrait que les personnes qui pourront être concernées par la fuite sachent qu’une enquête est belle et bien en cours pour déterminer non seulement l’ampleur de la fuite mais aussi les responsables.

D’une part la vigilance est de mise. Car, ces informations peuvent bien servir pour initier des campagnes d’usurpation d’identité, ou encore des tentative d’extorsion ou de chantage. C’est d’ailleurs comme ça que fonctionnent les pirates informatiques.

« On a déjà eu le cas par le passé pour une clinique médico-psychologique dont les enregistrements de séance avaient été récupérés par un hackeur, qui avait fait pression sur les patients en menaçant de divulguer le contenu des échanges, et de réclamer une rançon pour ne pas le faire », raconte Yves Duchesne, spécialiste de la sécurité informatique.

Dans ce contexte un tel cas de figure est fort probable. C’est d’ailleurs pour cette raison que le spécialiste conseille fortement, aux personnes qui pourraient être dans ce genre de conditions, de former le plus tôt possible les autorités soit à la gendarmerie ou la plate-forme pour la cybermalveillance : https://www.cybermalveillance.gouv.fr/. Selon Yves Duchesne, quelle que soit la cause d’un incident informatique, on est sûr que tout provient de la même souche : « les hôpitaux, comme les laboratoires, n’ont pas forcément un expert en cybersécurité dans leurs rangs. Un labo n’a pas la capacité de dire si le logiciel qui lui permet de gérer les données médicales est sécurisé ou pas. Il se fie aussi à ce qu’on lui vend. ». Il conclura en notant une réalité bien alarmante : « La sécurité informatique du secteur de la santé, cible de multiples attaques ces derniers temps, « car les données médicales se vendent bien », est ainsi en construction depuis plusieurs années, avec une prise en compte de l’importance de se protéger. »

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Emotet : Où en sommes-nous aujourd’hui ?

Vers la fin du mois de janvier 2021, grâce à une collaboration sur le plan international, les autorités avaient réussi à démonter les infrastructures qui étaient utilisées par des pirates informatiques dans le cadre de l’organisation.

Emotet, ‘un des plus grands réseaux des zombies au monde (botnet). Si cela a été présenté comme une avancée majeure dans la lutte contre la cybercriminalité, les spécialistes interpellent en mentionnant le fait que cela ne pourrait être qu’un simple répit pour les organisations qui avaient été touchées durement.

4 mois, c’est ce que le démantèlement pourrait laisser comme temps de répit aux entreprises. Car il est fort probable que d’autres pirates informatiques prennent la relève de ce business juteux. Cela sans oublier l’alternative que les gangs derrière Emotet puissent sur lancer.

Cet article va aussi vous intéresser : Le groupe de pirates informatiques Maze aurait-il disparu ?

Remontons aux débuts de cette affaire. Le 27 janvier dernier, la coopération policière européenne avait déclaré avec enthousiasme qu’elle avait réussi à démanteler l’un des plus grands réseaux de zombie au monde. Le groupe derrière Emotet est considéré comme étant coupable de milliers d’attaques informatiques à travers le monde. Pour réussir leur coup, l’ensemble des autorités policières en coopération dans cette affaire ont saisit dans leur Etats respectifs, tous les serveurs utilisés par les pirates informatiques pour contrôler leur réseau de machines infectées à travers le monde.

Dans une telle situation, les pirates informatiques se sont trouvés désarmés. Une situation qui allait s’aggraver par l’effacement de tous leurs programmes malveillants installés dans les appareils contaminés. « C’était le groupe le plus actif, le numéro 1, donc c’est sûr que ça va nous faire une pause », déclarait David Kopp, responsable de l’équipe de réponse aux menaces de la société de sécurité européenne chez Trend Micro. Cependant ce dernier ne se berce pas d’illusion. Il le sait le travail n’est pas encore terminé : « C’est certain que les opérations vont être stoppées un certain temps… et c’est certain que d’autres vont reprendre le même type d’opérations d’ici la fin de l’année. Ce milieu fonctionne comme celui des vendeurs de drogues : lorsque la police démantèle un réseau, un autre va prendre sa place. ».

La situation il faut l’avouer se présente assez dérangeante pour plusieurs spécialistes de la sécurité informatique. En effet leur rôle trouve son sens dans la protection contre les attaques informatiques, alors que leurs adversaires trouvent les siens dans les attaques informatiques, ce qui rapporte beaucoup plus. Récemment un pirate informatique russe avait confié lors d’un échange, qu’il avait décidé d’être pirate car il gagne beaucoup plus qu’en professionnel de la sécurité informatique. Cependant, il a mentionné que s’il pouvait gagner beaucoup plus en étant spécialiste de la cybersécurité il est sûr qu’il allait changer de métier.

Sous un angle bien pratique, on sait que la cybersécurité et la cybercriminalité sont des marchés très importants pour leurs acteur. Pour les pirates informatiques, leurs activités sont devenues comme un travail normal. Une activité comme une autre suivie d’une rémunération qui correspond aux efforts fournis. Pour ces derniers, vendre des données informatiques où extorquer de l’argent à des internautes est un marché tout comme un autre. Un marché qui devient de plus en plus attractif. En effet, les pirates informatiques ne cessent d’amasser de plus en plus d’argent. Avec ce que ces pirates informatiques gagnent lors de leurs différentes tentatives, ils sont en mesure de recruter de meilleur hacker, beaucoup plus que les sociétés de sécurité elle-même. Ils sont aussi en mesure de pouvoir s’équiper de matériel dernier cri pour non seulement rester compétitif et efficace, car à ce niveau aussi il y a de la concurrence, mais aussi pour étendre leurs activités comme le ferait une entreprise.

« On peut comparer le démantèlement de l’infrastructure d’Emotet à l’arrêt de la chaîne de production d’une entreprise normale. Les cybercriminels vont devoir faire face à la question de résilience, et se confronter aux mêmes problématiques que celles auxquelles se confrontent leurs victimes », souligne David Kopp. Dans une certaine mesure, on peut dire sans se tromper que les opérateurs derrière Emotet avaient une excellente place dans ce business. Il était considéré comme l’un numéro 1. La question essentielle que se pose les spécialistes de la sécurité actuellement et de savoir s’ils seront en mesure de relancer leur activité après sur coup dur. Ou bien sûr si un autre concurrent profitera de la situation pour étendre son influence. Pour David Kopp : « Même si l’infrastructure est tombée, si les cybercriminels ne sont pas arrêtés, ils vont simplement se déporter sur une autre infrastructure ». Pourtant sur la question de l’arrestation des membres de ce groupe, Europol n’a pas divulgué suffisamment d’informations.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ransomware : l’entreprise Kia ciblée par une attaque

Les pirates informatiques ont réussi à toucher l’entreprise d’automobile KIA.

À la suite de ce piratage, les cybercriminels derrière ce forfait, exigent le paiement d’une rançon de 20 millions de dollars américain.

Les services du géant automobile français qui ont été touchés est le service de réseau utilisé par des concessionnaires et des clients qui se sont abonnés aux services UVO. De ce fait plusieurs clients même plus en mesure d’activer des fonctionnalités de base quelques le démarrage de leur véhicule à distance ou pour payer leurs factures.

Cet article va aussi vous intéresser : Tesla : il est possible de voler la voiture électrique par un simple piratage

Au début, il faut les mentionner le constructeur aurait rejeté toute hypothèse d’attaque au rançongiciel.

Dans un certain sens la l’attaque informatique subie par le constructeur français entre dans le cadre de la généralisation et de la vulgarisation de voitures connectées qui continuent de prendre une place importante dans les habitudes de consommation. Et les pirates informatiques le savent. Les consommateurs habituels commencent à aimer l’habitude de pouvoir interagir avec le véhicule à distance. Une simple attaque informatique peut mettre en mal cette interaction ainsi que le plaisir qu’on peut en tirer

« Plusieurs clients de Kia ont souffert d’un tel problème la semaine dernière. Depuis le 13 février, les services en ligne et connectés de Kia sont en panne, laissant les propriétaires dans l’incapacité de payer leurs factures, de déverrouiller à distance leurs véhicules, ou même de les réchauffer au milieu de l’une des périodes d’hivers les plus rigoureuses que certaines régions des États-Unis aient connues depuis longtemps », a souligné The Drive.

Pour se faire entendre, les clients ont dû passer par les réseaux sociaux tels que Twitter pour exprimer leur colère et leur face à la panne.

Mais la panne n’a pas seulement affecté les clients. Elle a aussi touché les nouveaux acheteurs qui qui aurait bien voulu ouvrir un compte sur la plate-forme de Kia.

Cependant le problème n’a commencé à prendre beaucoup plus d’ampleur seulement au moment où un utilisateur sur le réseau social Twitter avait affirmé que son concessionnaire qui est basé en Arizona lui avait parlé d’une panne causée par un programme de rançon.

Si cela était une attaque au rançongiciel, il n’y aura rien de surprenant. Surtout que depuis un moment, c’est devenu clairement une tendance. Dans le cadre du constructeur français Kia, officiellement l’entreprise on n’a pas confirmé l’attaque au logiciel de rançon. Mais une capture d’écran, à ce sujet circule ou les pirates informatiques auraient exigé de Kia une somme de près de 20 million de dollars. Ces derniers auraient eu accès à plusieurs fichiers sensibles. Toujours dans les suppositions, l’attaque serait le fait d’un groupe de cybercriminels connus sous l’appellation de DoppelPaymer, une appellation qu’il leur a été imputée par des chercheurs en 2019 de Crowdstrike. En somme, ce sont des pirates informatiques assez connus dans le secteur pour s’en prendre à de grands groupes dans le but d’obtenir d’énormes sommes en guise de rançon.

« Depuis fin août 2019, des acteurs non identifiés utilisent le logiciel de rançon DoppelPaymer pour chiffrer les données des victimes dans des secteurs critiques du monde entier tels que la santé, les services d’urgence et l’éducation, interrompant ainsi l’accès des citoyens aux services », soulignait le FBI dans un dossier sur le groupe DoppelPaymer

« Depuis son apparition en juin 2019, le rançongiciel DoppelPaymer a infecté diverses industries et cibles, les acteurs exigeant régulièrement des rançons à six et sept chiffres dans le cas de bitcoins (BTC). Avant d’infecter des systèmes avec des ransomwares, les acteurs exfiltrent des données pour les utiliser dans des plans d’extorsion et ont effectué des appels téléphoniques de suivi aux victimes pour les pousser davantage à payer des rançons ». Ajoute la police fédérale américaine.

Pourtant de son côté, le constructeur d’automobile continue de mentionner ne pas être au courant d’une quelconque attaque au rançongiciel. La société déclare tout simplement avoir observé une « panne prolongée de ses systèmes », sans donner plus de précisions.

« Kia Motors America, Inc. connaît actuellement une panne prolongée de ses systèmes », a noté un porte-parole du constructeur. « Les systèmes touchés comprennent le portail KiaOwners, les applications mobiles UVO et le portail Web des consommateurs. Nous nous excusons pour les inconvénients subis par les clients concernés et nous nous efforçons de résoudre le problème le plus rapidement possible en limitant au maximum l’interruption de nos activités ». Ce dernier semble-t-il minimise les prétentions d’une potentielle attaque ransomware. « Nous sommes également au courant des spéculations en ligne selon lesquelles Kia ferait l’objet d’une attaque de type « ransomware ». Pour l’instant, nous pouvons confirmer que nous n’avons aucune preuve que Kia ou toute donnée de Kia fait l’objet d’une attaque de type « ransomware » ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage