Archives pour la catégorie Hackers

Nous traiterons des sujets d’actualité sur les groupes de hackers du monde entier qui agissent dans l’ombre et commettent des cybercrimes.

StopCoviD : L’application mis à l’épreuve des hackers

Si juridiquement et institutionnellement l’application de traçage mobile du gouvernement Français a été validée, il reste la question de la sécurité informatique.

Dans ce contexte, elle a été mise à l’épreuve par plusieurs hackers et codeurs, dans l’optique de découvrir si possible des failles de sécurité.

Cet article va aussi vous intéresser : StopCoviD : La première publication du code source de l’application de traçage serait vide et sans intérêt

Récemment des hackers engagés par l’État français s’évertuent pour mettre à nue des failles provenant de l’application de traçage. Mettant ainsi tout le monde en attente de résultats de ce fameux Bug Bounty. Le point de départ de ce travail est assez convainquant : « La même base de données MongoDB est utilisée pour tous les clients ! ».

Il faut ajouter que tous les codeurs ou spécialistes qui seraient intéressés par ce programme peuvent y participer via le code source de l’application qui a été mis en ligne ( en grande partie il faut le préciser) comme l’annonce et l’INRIA, l’Institut public de recherche informatique qui est à l’origine de l’application de traçage.

L’objectif apparent de ce programme est de prouver que l’application ne sera pas utilisé à des fins autres que énoncées par le gouvernement français, aucun abus ne sera réalisé avec les données qui pourront être récoltés.

Mais de manière pratique, une trentaine de spécialistes de la sécurité, de la catégorie de chasseurs de primes, ont été engagés par l’Institut de recherche informatique, sous la houlette de la société « Yes We Hack », dans le cadre d’une campagne de bug Bounty intensif. L’Agence nationale de la sécurité des systèmes d’information, le gendarme français de la sécurité des réseaux, supervise cette activité en collaboration avec l’INRIA. La découverte des vulnérabilités dans cette compagne peut être récompensée jusqu’à 2000 €.

Pour le patron de Yes We Hack, Guillaume Vassault-Houlière, la tâche s’avère difficile pour ces derniers. Car, c’est sur une « une plateforme assez mature qui a déjà bénéficié des recommandations de l’Anssi » qu’ils vont être dirigés. Toutefois il ne manque pas d’ajouter des hackers spécialisés « arrivent toujours à trouver des trucs, qui peuvent être bénins comme ils peuvent être très gros. ». Il ajoutera part ailleurs : « Et pourtant, nous avons tous types de structures parmi nos clients, y compris des entreprises qui dépensent des millions d’euros ou de dollars en système de défense. ».

En outre, personne n’a réussi jusqu’à présent, à cracker l’application, comme le précisait Stéphane Richard le dirigeant d’Orange, le jeudi dernier quelques heures après le début du programme de bug Bounty. Mais pour étouffer sa joie, Baptiste Robert, un hacker éthique, travaillons pour le compte de la société Yes We Hack, par ailleurs reconnaît sous le pseudonyme de Elliot Alderson, répliquait sur Twitter en annonçant avoir « ouvert 10 tickets hier soir au bug bounty de #StopCovid pour 10 problèmes + ou – grave (…) Un des soucis, un des plus stupides, est de la faute directe des développeurs d’Orange. ». Apparemment, le patron d’orange avait parlé un peu trop tôt.

Très clairement, il faut avouer qu’il est presque impossible de garantir que l’application a été développée sans aucune faille ni bug potentiel. Et les informaticiens pensent cela à l’unanimité. Et cela est commun pour tous les programmes informatiques. « Une application est développée par des humains » par conséquent, « il y a des forcément des erreurs », indique le directeur technique de F5 Networks, Arnaud Lemaire, qui est lui-même, un spécialiste de la sécurisation des réseaux et des applications. D’ailleurs, les développeurs ont eux-mêmes tendance à utiliser des « outils tout faits, des bouts de code tout faits accessibles dans des librairies qui, elles aussi, ont potentiellement des failles et des problèmes ». Sans oublier le fait que l’objectif des programmeurs à la base, est de faire fonctionner un outil dans un délai bien déterminé, ce qui relègue la question de sécurité en second plan. Ce qui a d’ailleurs confirmé par Arnaud Lemaire lorsque nore ceci : « Aujourd’hui ce qu’on demande aux développeurs, c’est de répondre à un cahier des charges et de respecter un délai ».

Dans le cadre de la campagne StopCoviD, Guillaume Vassault-Houlière signifiait que le plus important n’est pas seulement de déceler des failles de sécurité. Mais que les experts soient en mesure d’identifier le degré de dangerosité de ces dernières et les conséquences potentielles sur le fonctionnement du logiciel de traçage : « Tout doit se qualifier en fonction des métiers de l’application. » note-il. Histoire d’écarter les codeurs et les hackers qui ne sont pas à la hauteur dès le début. « Il y en a beaucoup qui se prennent pour des hackers, qui font de la sécurité comme quand j’avais 15 ans… et j’en ai 37 aujourd’hui ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les pirates informatiques continuent toujours de profiter du coronavirus

Selon Checkpoint Software Technologies Ltd, la société spécialisée dans la fourniture de solutions de sécurité informatique, la pandémie du coronavirus est toujours un tremplin aux activités de cybermalveillance même depuis 4 mois.

À croire que le thème n’est pas prêt de s’essouffler de sitôt. En effet, Checkpoint a observé durant ces dernières semaines une forte augmentation des tentatives sur la base de l’hameçonnage. La firme de cybersécurité mentionne une hausse de plus de 30 % des cyberattaques se basant sur la pandémie depuis le début du mois de mai. Elle comptabilise environ 192 000 actes de cybermalveillances par semaine dans le monde entier. Ces actions s’organisent autour de fausses plateformes Web. Ces Sites sont axés autour de la thématique du moment avec souvent des déclinaisons : « le coronavirus », « Corona » ou encore « CoviD ». Et la même stratégie est utilisée pour les fichiers, emails et pièces jointes associés.

Cet article va aussi vous intéresser : Le coronavirus comme thème principal pour les campagnes d’hameçonnage

L’usurpation de titre est toujours de mise. Si cela était présent depuis le début, les pirates informatiques continuent toujours de se servir des identités visuelles, des logos des organisations internationales tel que l’OMS, entreprises (comme Google, Microsoft, Netflix ou Zoom) ou autre organismes en public (en particulier les ministères de la Santé). Ici encore l’objectif demeure le même. Pousser les internautes à leur délivrer certaines informations personnelles tels que des noms et prénoms, des mots de passe les dates de naissance des localisations, des noms d’utilisateur, et même des informations sensibles tel que le numéro de carte de crédit ou de carte bancaire. La conclusion est simple, le confinement a facilité les choses pour ces derniers. En effet, les gens confinés chez eux n’ont souvent d’autres choix que d’être constamment sur internet, pour se divertir, étudier et s’informer et même travailler. Tout ceci a rendu l’individu lambda plus vulnérable que d’habitude. « Les pirates se font passer pour des organismes dignes de confiance et envoient des courriels ou des messages instantanés. Alors que l’épidémie de coronavirus a contraint les gens à rester confinés chez eux et développé le télétravail et les communications numériques, cette année  a créé des opportunités inédites pour les pirates informatiques », déclaraient les chercheurs de Checkpoint dans un communiqué.

L’impact le plus visible du confinement, a été le développement de manière accrue de la fraude aux courriels selon les chercheurs. En effet, Google a informé que plus de 18 millions de courriels étaient utilisés de façon quotidienne à des fins malveillantes, en particulier pour l’hameçonnage, seulement que sur Gmail. Le géant américain a aussi révélé que près de 240 millions de Spams sont délivrés quotidiennement portant sur la pandémie du coronavirus. Cela démontre grandement, le danger que représente les courriers électroniques malveillants, ils sont tellement nombreux qu’il est presque que difficile voire impossible de les distinguer des véritables e-mails.

Il est absolument à noter que si les tentatives d’actes de cybermalveillances se sont multipliées à travers les courriers électroniques, il est important de faire encore plus attention, en particulier pour les entreprises, qui ont leurs employés en télétravail. Car, une grande partie des piratages de données touchant les entreprises ont commencé par un email d’hameçonnage. Précisément 32 % selon le rapport Data Breach Investigations 2019 publiée par Verizon. Cette étude a aussi démontré que 78 % les activités d’espionnage informatique ont impliqué l’usage de courriels malveillants. En l’espace de 3 semaines, les chercheurs de Checkpoint, en découvert 2 449 nouveaux sites web dont les noms de domaines sont associés à la maladie. Et ces noms de domaines étaient tous frauduleux. Ces plateformes imitent généralement de grands noms tel que Zoom et Microsoft Teams. Des outils de collaboration à distance les plus utilisés ces derniers moments.

Les techniques utilisées par les cybercriminels n’ont pas du tout changé comme nous le disions plus haut. Ce qui est d’ailleurs une situation qui relève un problème assez significatif. En effet l’on peut comprendre tout simplement que les internautes n’apprennent pas, négligent ou n’écoutent pas suffisamment les recommandations et les conseils qui leur sont donnés pour leur hygiène numérique. Il devrait savoir il ne faut jamais cliquer sur un quelconque lien provenant d’un message, reçu d’une soi-disant organisation internationale ou au ministère. Car c’était bel et bien le cas : « Un courriel officiel ne vous demandera jamais de réaliser ce type d’actions », soulignaient les experts de la firme en de sécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

100 000 $ pour trouver une faille dans le système anti-triche de Valorant

Riot a proposé une de 157 097 dollars à la personne qui trouvera une faille de sécurité dans Vangard, le système anti triche de l’entreprise.

L’annonce été faite hier et se présente clairement comme la prime la plus élevée dans pour dans ce genre jusqu’à présent. Publiée sur la plateforme de HackerOne, il est possible, aux utilisateurs intéressés par le bug Bounty d’avoir accès à quelques notes pour être en mesure d’identifier des vulnérabilités.

Cet article va aussi vous intéresser : Ces hackers qui gagnent beaucoup d’argent… légalement

En réalité, il y a plusieurs niveaux de récompense qui ne sont pas similaires. Plus la faille de sécurité est dangereuse plus la prime est élevée. La récompense commence à partir de 25 000 dollars américains, pour une vulnérabilité qui pourrait permettre à une personne extérieure d’avoir accès à des informations personnelles des utilisateurs de la plate-forme, on va s’étendre jusqu’à 157 000 dollars si la faille de sécurité permet : « l’exécution de code au niveau du noyau », ce qui pourrait permettre à un cybermalveillant de porter atteinte à l’intégrité de l’ordinateur de façon plus profonde. Des exemples ont été fournis par l’entreprise sur sa page officielle au dédiée aux primes.

Dans la pratique, ce type d’offres n’est pas vraiment inédite. En effet, plusieurs éditeurs proposent ce genre de bug Bounty en passant par HackerOne. Mais il faut avouer que la proposition faite par Riot est une première car aucune n’a encore atteint ce niveau. En effet, par exemple Valve propose souvent des primes allant jusqu’à 3000 dollars  Américain maximum selon la gravité de la famille découverte. Nintendo jusqu’à 20 000 dollars américains pour la découverte des failles selon leur gravité aussi et Rockstar Games propose un maximum de 10 000 $ US. Aucun n’atteint la barre des 100 000 dollars proposé par Riot. Si une telle proposition est inédite, dans notre cas, elle puisse sa source dans la fameuse controverse qui concernait directement son système d’anti triche dénommé Vangard, qui s’installait sur les terminaux des utilisateurs lorsqu’il jouait au nouveau jeu de tir compétitif, Valorant. Le problème était lié au fait que le programme critiqué (Vangard) continuait de fonctionner sur les ordinateurs des joueurs avec beaucoup plus de privilèges qu’il ne devrait avoir pour fonctionner normalement. La société éditrice a essayé de calmer les critiques en affirmant que son programme était constamment testé pour empêcher d’autres formes de vulnérabilité pour affecter les ordinateurs des utilisateurs. Dans la prime proposée pour justifier sa thèse et rassurer. « Nous voulons que les joueurs continuent à jouer à nos jeux en toute tranquillité d’esprit, et nous mettons notre argent là où nous sommes », avait signifié l’équipe de sécurité anti-émeute de Riot. Elle ajoutera par ailleurs : « Si vous pensez que vous avez trouvé une faille dans Vanguard qui compromettrait la sécurité et la confidentialité des joueurs, veuillez soumettre un rapport immédiatement. »

Ce n’est pas une première fois que l’éditeur de jeux lance une prime. Même si celle-ci est la plus élevée, depuis 2014, il est possible de participer au programme de bug Bounty de Riot sur HackerOne. Avant cela, les prix variaient entre 250 dollars américain et 4000 dollars selon une certaine présentation. Selon les chiffres publiés par l’entreprise, Riot aurait payé dans le cadre de ce genre de programme près de 2 millions de dollars américains. De plus, il faut noter que le jeux Valorant est en version Bêta, donc n’est accessible que pour deux joueurs ayant des clés. Vangard qui y sera associé présente une architecture suivante telle décrite par Benjamin Flann Vanese : « Vanguard est constitué de trois composants : le client, le driver et la plateforme. Le client (mode utilisateur) gère toutes les détections anti-triche tant que le jeu tourne. Le client a besoin de communiquer avec la plateforme pour détecter et pour permettre à un joueur de jouer. Le client ne considère pas une machine comme bonne, à moins qu’elle ne reconnaisse les drivers ; les machines qui ne le sont pas ne peuvent pas être utilisées pour jouer à VALORANT. Le driver ne collecte ou n’envoie aucune information sur votre ordinateur. Le driver a été approuvé par le certificat de validation étendu de Riot, qui a aussi été signé par Microsoft pour l’identification logicielle. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La Chine accusée d’avoir initié plusieurs campagnes de cyberattaques via des APT

Selon un rapport publié par BlackBerry en début de ce mois, l’État chinois serait la source de plusieurs dizaines de piratages informatiques réalisés par des groupes de cybercriminels expérimenté de types APT.

Plusieurs serveurs situés un peu partout dans le monde ont été les cibles de cette campagne massive d’attaques informatiques. Selon BlackBerry dans son rapport, les différentes cyberattaques ont commencé précisément à partie de l’année du rat ce qui représente pour eux selon la supposition un : « présage de créativité et d’ingéniosité ». Le rapport dont on parle ici est intitulé « Decade of the RATs: Cross-Platform APT Espionage Attacks Targeting Linux, Windows and Android ».

Cet article va aussi vous intéresser : Un groupe de pirate APT identifié par la firme Russe Kasperky

Il est fait la description de façon résumé, des différentes opérations menées dans le cadre de l’espionnage économique, surtout dans le secteur de la propriété intellectuelle. Des opérations qui sont souvent au cœur de plusieurs milliers d’enquêtes initiées par la police fédérale américaine, à travers ses 56 Bureaux. Les experts engagés dans cette enquête, à travers ce rapport ont essayé de présenter une étude le plus détaillé possible du mode opératoire de 5 groupes de pirates informatiques classés dans la catégorie des menaces persistantes avancées encore appelé APT (Advanced Persistent threats), tous travaillant pour le compte du gouvernement chinois. Leurs attaques ont principalement ciblé des serveurs Linux, des systèmes Windows, et les milliers terminaux mobile fonctionnant sous le système d’exploitation de Google, Android. Et tout cela dans le plus grand calme et dans la plus grande discrétion possible.

Il faut souligner le fait que précédemment, le rapport de la société de cybersécurité américaine FireEyes, avait fait écho d’une reprise des activités de cyber attaques provenant de ce genre de groupe de cybercriminels, dans le courant du mois de Janvier, principalement durant la période où l’épidémie avait commencé à se propager en Chine. L’un des groupes détectés par la firme de sécurité était APT41. Ce dernier aurait initié plusieurs attaques informatiques visant à peu près 75 entreprises étant affiliées au secteurs industriel, de la Santé et des médias. Ces différentes attaques auraient débuté à partir du 20 janvier selon FireEyes ont été qualifiée par cette dernière « d’attaque la plus large lancée ces dernières années par la Chine ».

Cette réalité mis en avant par le rapport de BlackBerry concernant ces campagnes de piratage derrière lesquels se cacherait le gouvernement chinois est assez préoccupante. En effet, il ne faudrait pas négliger le fait que le nombre de télétravailleurs  a littéralement triplé depuis l’explosion de la pandémie. Les entreprises sont de plus en plus vulnérables car obligées de se contenter pendant un bon moment du travail à distance. La distance qui malheureusement ne répond pas toujours aux critères de sécurité suffisante pour faire barrière à ce genre de pirates informatiques. Si les failles de sécurité sont généralement découvertes sur les outils classiques, la compétence de tels pirates informatiques associés à ses anciens problèmes de sécurité risque de faire de véritables ravages.

L’intérêt de ces pirates informatiques est généralement dirigé vers Linux. Et cela s’explique par le fait que c’est Linux qui gère la majorité des sites web les plus populaires soit 75 % des serveurs web, 75 % des principaux fournisseurs en terme de services cloud et 98 % des super calculateurs du monde entier. « La plupart des grandes entreprises s’appuient sur Linux pour faire fonctionner leurs sites web, le réseau proxy et stocker des données de valeur. » selon Le rapport de BlackBerry. Il a même été mis en avant dans ce rapport un exploit des groupes de pirates de type APT lors de l’utilisation d’une faille de sécurité commune au serveur Linux pour mener une éventail l’argent de cyberattaque. « Linux n’est généralement pas directement accessible par les utilisateurs. La plupart des sociétés de sécurité concentrent leurs efforts d’ingénierie et de marketing sur les produits conçus pour le front office plutôt que sur les racks de serveurs. La visibilité sur le système Linux est donc limitée », souligne un Chief Product Architect chez BlackBerry, Eric Cornelius. Il remarquera par la suite « Ces groupes APT se sont concentrés sur cette faille de sécurité et l’ont utilisée à leur avantage afin d’usurper la propriété intellectuelle des secteurs ciblés, et ce pendant des années et sans que personne ne s’en aperçoive. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les pirates informatiques promettent de ne pas s’en prendre aux institutions de santé et hôpitaux

Il a fallu une telle crise pour voir cela.

Des cybercriminels qui promettent de ne pas s’en prendre à certaines de leurs cibles de choix :  les hôpitaux. Du moins c’est ce qui a été annoncé par de célèbres éditeurs de programmes malveillants de type rançongiciel. Ce qui est, il faut l’avouer, une première dans le milieu. Mais il ne faut pas se leurrer, seulement certains pirates informatiques en ont décidé ainsi, mais pas tous.

Cet article va aussi vous intéresser : Une cyberattaque frappe l’Assistance Publique-Hôpitaux de Paris (AP-HP)

Parmi ces cybercriminels réputés dans leur secteur, le groupe Maze, reconnu avoir initié plusieurs cyberattaques dont celui de Bouygues construction, il y a à peine 2 mois, en fait partie. « En raison de la situation de crise économique mondiale et de pandémie virale, notre équipe a décidé d’aider autant que possible les organisations commerciales. Des réductions sont offertes pour le déchiffrement de fichiers et la suppression de ceux ayant fait l’objet d’une fuite. Pour bénéficier de ces réductions, nos partenaires doivent nous contacter par le biais du chat ou de notre source d’information. En cas d’accord, toutes les informations seront supprimées et des clés de déchiffrement seront fournies. L’offre s’applique à la fois aux nouveaux partenaires et aux partenaires archivés. Nous sommes toujours ouverts à la coopération et à la communication », déclare-t-il.

Par ailleurs, nous avons aussi DoppelPaymer, un autre groupe de pirates informatiques, qui promet non seulement de ne pas attaquer mais d’offrir ses services gratuitement dans la mesure où par erreur il y aurait l’un de leurs programmes impliqués. « Nous essayons toujours d’éviter les hôpitaux, les maisons de retraite, […]. Si nous les attaquons par erreur, nous procéderons à un déchiffrement sans frais. Mais le problème auquel nous faisons souvent face est que certaines sociétés se présentent souvent sous une fausse identité. Nous avons par exemple une société de développement qui s’est fait passer pour une petite société immobilière ; une autre qui s’est cachée sous l’identité d’un refuge pour chiens. Donc si cela arrive, nous ferons une double, triple vérification avant de publier la clé de déchiffrement gratuite pour ce genre de cas. Mais pour ce qui est des pharmacies nous n’avons aucune intention de les soutenir, car elles continuent de gagner beaucoup d’argent en ces temps de panique pendant que les médecins se battent », écrivait-il.

Après ces deux déclarations, les hôpitaux et structures de santé pourront souffler un peu quand on sait que ces deux groupes de pirates informatiques sont assez dominant dans leur secteur car reconnues avoir la plus grosse part du marché de la cybercriminalité aux rançongiciels.

On se rappelle alors que la firme néo-zélandaise de cybersécurité, Emisoft, qui a offert gratuitement ses services aux hôpitaux et structures de santé avait interpellé les groupes pirates informatiques sur leurs activités et l’impact sur la santé en ce temps de crise sanitaire. « Nous ne tolérerons jamais un comportement criminel, mais nous comprenons pourquoi la cybercriminalité à motivation financière existe. Nous savons également que vous êtes des êtres humains et que votre propre famille et vos proches peuvent avoir besoin de soins médicaux urgents. Ne vous y trompez pas, une attaque contre un fournisseur de soins de santé aura des conséquences négatives et peut entraîner la perte de vies humaines. Nous vous demandons votre empathie et votre coopération. Veuillez ne pas cibler les prestataires de soins de santé au cours des prochains mois et si vous en ciblez un involontairement, veuillez leur fournir gratuitement la clé de déchiffrement dès que possible. Après tout, nous sommes tous dans la même barque, n’est-ce pas ? ».

On peut tout simplement supposer que ces mots ont fait mouche.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage