Archives pour la catégorie Piratage

Nous traitons ici tous les sujets d’actualité lié au piratage. Vous serez informé des dernières nouvelles sur la sécurité informatique et nous donnerons à chaque fois une solution ou un conseil pour se protéger.

3 hôpitaux refusent des patients pour cause d’attaque au logiciel de rançonnage

La semaine dernière, trois hôpitaux ont été obligé de refuser certains patients parce qu’ils avaient été attaqués par des programmes malveillants de type ransomware.

Octobre commence très mal pour les centres hospitaliers. C’est plus de 10 hôpitaux qui ont été la cible d’une attaque qui a paralysé pendant un bon moment, leur système. L’affaire se passe aux États-Unis et en Australie, très médiatisé nous avons appris que trois hôpitaux en Alabama et 7 en Australie, ont vu leurs systèmes informatiques à la proie d’un logiciel qui les a pris en otage. Ce qui a fortement limité leur capacité à recevoir de nouveaux patients.

Cet articles va aussi vous intéresser : Les centres hospitaliers sont à leur tour la cible de cyberattaques dans le Nord-Américain

S’exprimant dans un communiqué ce mardi dernier, les responsables des trois hôpitaux qui composent le système de santé du groupe DCH en Alabama dont : « le Centre médical régional de DCH à Tuscaloosa, le Centre médical de Northport et le Centre médical Fayette », ont signifié que leurs Centres de santé ne pouvaient plus recevoir de nouveaux patients dans les unités de soins hormis ceux étant dans un état critique.

Il était demandé aux ambulances locales, par ordre des responsables de conduire les patients dans d’autres hôpitaux si cela était possible. Et même les patients qui étaient reçu devaient être évacués vers d’autres hôpitaux dès l’instant que leur situation s’était stabilisée. « Pour ce qui est des rendez-vous pour des tests ou d’autres procédures, si vous n’avez pas été contacté par le DCH, veuillez téléphoner avant de vous présenter. Pour l’instant, nous continuerons de réacheminer vers d’autres établissements toutes les nouvelles admissions, autres que celles qui sont urgentes ». Cependant, les interventions qui avait été programmées quand bien même n’étant pas urgentes allaient être réalisées comme prévu. À ce propos l’Administration notifiait : « Notre personnel s’occupe des patients qui sont actuellement à l’hôpital, et nous n’avons pas l’intention de transférer les patients actuels ».

Les administrateurs se sont prononcés sur l’attaque informatique. À ce sujet le communiqué disait : « Un criminel limite notre capacité d’utiliser nos systèmes informatiques en échange d’un paiement encore inconnu (…) Nos hôpitaux ont mis en place des procédures d’urgence pour assurer la sécurité et l’efficacité des opérations en cas d’indisponibilité de la technologie informatique ».

Du côté de l’Australie, le gouvernement a aussi fait un communiqué sur la question du piratage informatique qui touchait 7 hôpitaux à travers le pays : « L’incident informatique, qui a été découvert lundi, a bloqué l’accès à plusieurs systèmes par l’infiltration de logiciels de rançon, y compris la gestion financière (…) Les hôpitaux ont isolé et déconnecté un certain nombre de systèmes afin de mettre l’infection en quarantaine (…) Cet isolement a entraîné la fermeture de certains systèmes de dossiers, de réservation et de gestion des patients, ce qui peut avoir une incidence sur le contact avec les patients et l’établissement du programme. Dans la mesure du possible, les hôpitaux ont recours à des systèmes manuels pour maintenir leurs services »

Selon un fonctionnaire du gouvernement australien, il faudrait des semaines pour arriver à sécuriser et restaurer toutes les données qui étaient corrompues lors de cette attaque. Les Américains et les Australiens chacun de leur côté que l’enquête est toujours en cours. Pour le moment les responsables n’ont pas encore été identifiés et peu de chose laisse penser que cela sera possible.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



10 % des cartes SIM serait vulnérables au Simjacker

Durant le mois de septembre, il a été révélé qu’il existe une faille de sécurité dans plusieurs cartes SIM.

Cette faille de sécurité permettait à certaines personnes via des SMS bien déterminés de récolter des informations personnelles sur les utilisateurs des cartes SIM vulnérables. Cette nouvelle forme de piratage c’était appeler le «  Simjacker ».

Cet article va aussi vous intéresser : Surveiller quasiment n’importe qui via sa carte SIM, c’est le Simjacker

La vulnérabilité a été découverte par la société Adaptive Labs début du mois de septembre. Dans son rapport publié durant ce mois, la société explique que cette faille de sécurité avait été exploitée depuis l’an 2013 par d’autres chercheurs en particulier ce de la SR Labs.

À titre de rappel expliquons comment fonctionne le SIMjacker :

Les pirates informatiques pour exploiter la faille envoient un SMS de commande à la carte SIM vulnérable. Une fois le SMS envoyé. La carte SIM à son tour répond aux  hackers pour lui fournir des informations dont il a  besoin pour déterminer soit la géolocalisation, le type d’appareil utilisé, etc. Tout ceci se passe à l’insu de l’utilisateur de la carte SIM. Ce qui poussent les chercheurs en sécurité informatique à s’inquiéter de cette faille de sécurité qui remonte depuis maintenant 5 ans. Surtout qu’on peut facilement s’en servir « à des fins de surveillance. »

Jusqu’à présent nous n’avons aucune idée exacte du nombre de victimes, ni même des chiffres exacts concernant les carte SIM vulnérables.  Juste approximation de 10 % des carte SIM en circulation.

Selon SR Labs, la société allemande spécialiste en cybersécurité des appareils mobiles, cette faille n’est pas à négliger de même que depuis 2013, elle s’évertue à la signaler et à dégager ses conséquences. et pour ce faire, ils ont dû tester environ 800 modèles différentes de carte SIM pour justifier bel et bien la réalité des attaques SIMjacker. À ce propos ils expliquent que la vulnérabilité permettant l’attaque Simjacker fonctionne grâce un SMS comme nous l’avons mentionné plus haut.

C’est un SMS qui contient des instructions de types « Sim Toolkit » qui est dirigé vers une seule application dénommé S@T, qui n’est installé que sur certains modèles de carte SIM en particulier. Apparemment ce ne serait pas la seule faille que compote certaines  catégories de cartes SIM. Les chercheurs de SR labs parle d’une seconde vulnérabilité pouvant être exploité sur une autre application « Wireless Internet Browser », faille découverte par la Ginno Security Lab, qui l’a publié sur son site.

Un peu à ce stade, nous pouvons conclure que deux possibilités s’offrent aujourd’hui aux pirates informatiques pour enclencher le Simjacker. Le SR Labs dans un sondage donne quelques chiffres :

– 9,4 pourcents des cartes SIM qui ont été testées dispose d’une application S@T

– 10,7 pourcents des autres cartes SIM testées ont le logiciel Wireless Internet Browser.

Il est vrai que ce panel n’est pas représentatif, et ce qui est sûr,  toutes les cartes SIM ne sont pas forcément impliqué par cette faille de sécurité. Cela s’explique par le fait que les configurations des cartes SIM et des applications vont varier selon les opérateurs téléphoniques. Pour chaque maison de téléphonie mobile, il y aura une particularité apportée à la carte SIM qu’elle  utilisera.

En définitive, le Simjacker est bel et bien une réalité. Tout le monde est peut-être exposé en une manière que ce soit. Le problème majeur avec cette vulnérabilité, ce que l’utilisateur ne peut pas se protéger par lui-même. il est obligé de compter sur les opérateurs de téléphonie mobile qui doivent apporter une solution adéquate pour mettre fin à cette faille de sécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Un groupe de pirates asiatiques se sert d’une extension Chrome pour corrompre les systèmes de ses victimes

Depuis le mois de décembre dernier, un groupe de pirate nord-coréen dans la catégorie des ATP, est soupçonné de se servir d’extension Google Chrome pour attaquer ses victimes qui se trouvent généralement dans le milieu universitaire.

On sait qu’ils sont soutenus par un Etat mais nous ne savons pas lequel. Il est fort probable que ce soit l’Etat Nord-Coréen.

Cet article va aussi vous intéresser : 3 groupes de pirates Nord-Coréens en prise avec les Américains

Que font-ils exactement? Ils se servent de l’extension Google pour attaquer le système de la victime afin de leur voler les identifiants de connexion (mots de passe) et les cookies de navigation. ce qui est le plus étrange, c’est que c’est la toute première fois que des pirates de type ATP pour Advanced Persistent Threat – « un terme industriel pour désigner des groupes de piratage d’États-nations. », utilise des extensions de Google Chrome pour réaliser leurs attaques même si ce n’est pas la toute première fois qu’un groupe de hackers se sert d’une extension du navigateur. On peut citer l’exemple de l’ATP Turla qui a une fois réalisé une attaque grâce à l’extension navigateur Firefox en 2015.

Ce groupe de pirates informatique nord-coréen actif a débuté sa stratégie de phishing via extension de chrome depuis mai 2018. En se servant de mail ou autre message électronique, les pirates Informatiques ont réussi à attirer bon nombres de leurs victimes sur des sites factices, imitant ceux de certaines organisations Universitaires.

Une fois sur le site factice, les victimes étaient dirigées vers un document PDF qu’il ne pouvait pas télécharger quand il essayait. Alors et diriger vers une extension de Google Chrome dénommé « Auto Font Manager. », une extension qui n’existe pas aujourd’hui

Les chercheurs en sécurité informatique du NEtscout ont essayé d’expliquer le fait que l’extension était doté d’une capacité de dérober non seulement les cookies de utilisateur mais aussi les mots de passe. Ils ont dit que cela devenait possible aussi quant au vol d’email, ou de comptes à compromettre.

Essentiellement limités au milieu universitaire, ces pirates informatiques n’ont pas encore attaqué un autre secteur. « Nous avons identifié trois universités basées aux États-Unis et une institution à but non lucratif basée en Asie qui ont été visés par cette campagne (…) Un grand nombre de victimes, dans plusieurs universités, possédaient une expertise en génie biomédical, suggérant peut-être une motivation pour cibler les attaquants » ont observé les chercheurs de Netscout. Il était découvert par ailleurs, que les mêmes serveurs qui hébergeaient ces sites factices pour cette campagne de phishing avaient au préalable hébergé d’autres sites qui s’étaient déjà livrés à cet exercice.

Toujours selon les chercheurs les responsables de cette campagne de phishing se dénommeraient « Stolen Pencil » et les preuves recueillies ne permettent pas de douter de leur nationalité « Les erreurs de sécurité opérationnelles ont amené les utilisateurs à trouver des navigateurs Web ouverts en coréen, des traducteurs anglais vers coréen ouverts sur leurs machines et des claviers passés en paramètres coréens ». Cependant une chose semble étrange. En effet, nos chercheurs « n’ont vu aucune preuve de vol de données, mais comme toute intrusion, nous ne pouvons pas écarter totalement cette possibilité. Aucun des outils ou des commandes n’était spécifiquement destiné au vol d’informations. Ils étaient concentrés sur le vol d’identifiants de connexion et le maintien d’accès. »

On comprend bien sur l’intérêt que des groupes de pirates puissent porter à des institutions Universitaires. Cependant quelle pourrait être la cause de cette attaque en particulier ?

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Une entreprise estime les dégâts d’un piratage au ramsonware à 95 millions de dollars

Un fabricant Danois d’appareil auditif dénommé Demant a été victime d’une attaque informatique de type ramsonware.

Un mois après l’attaque, ce dernier ne s’en est toujours pas remis car n’ayant pu récupérer encore la totalité de ses fichiers.

Cet article va aussi vous intéresser : Yves Rocher : une fuite de données mettant à nu les informations personnelles des clients

Le dégât évalué s’élève à 95 millions de dollars, ce qui fait de cette attaque l’une des plus onéreuses qui soit au monde.

Il s’apparenterait à l’attaque du programme NotPatYa qui avait aussi infecté plusieurs grands groupes par-delà le monde dont Maersk ou encore FedEx. les dommages se sont élevés en ce temps à environ 300 millions de dollars. Cependant les pertes subies par Demant dépassent largement celles subies par le géant de l’aluminium norvégien Norsk Hydro qui tournait autour de 40 millions.

Le problème avec la firme d’appareils auditifs a commencé depuis le mois de septembre. Depuis sa déclaration sur son site web dans laquelle elle affirmait qu’elle fermait son département informatique suite à une faille de sécurité critique. Malheureusement, la société ne donne pas plus de détails sur ce qui est arrivé à ce réseau informatique. Tout ce qu’on avait su c’est que « son infrastructure informatique a été visée par la cybercriminalité ».

Mais en analysant de plus près, nous avons constaté que c’était plutôt une attaque de type Ramsonware. Provenant de l’extérieur dont l’objectif est bien sûr de prendre en otage le système informatique de la société. Toutes les structures de la société ont été gravement touchées et parmi tant d’autres selon la société elle-même : « le système ERP, les installations de production et de distribution de la société en Pologne, les sites de production et de service au Mexique, les sites de production d’implants cochléaires en France, le site de production d’amplificateurs au Danemark et l’ensemble de son réseau Asie-Pacifique. »

Il a fallu littéralement des semaines à Demant pour essayer de mettre en route son système. C’est ce qu’elle avait besoin encore environ 2 semaines pour être en mesure de mettre en route totalement ce système.

À ce propos la conséquence on été immédiate. Il était signalé par la société que l’attaque a eu pour effet immédiat « des retards dans la fourniture de produits ainsi qu’un impact sur notre capacité à recevoir des commandes (…) dans notre secteur de la vente au détail d’appareils auditifs, de nombreuses cliniques de notre réseau n’ont pas été en mesure de servir les utilisateurs finaux de manière régulière ».

la société peut quand même compter sur une police d’assurance qu’elle pourra encaisser d’environ 14,6 millions de dollars. On sait que le coût total de réparation des dégâts causé par l’attaque s’élève à environ 7,3 million de dollars. Cependant, la majorité des pertes subies par l’entreprise touche généralement ces services de vente. « Environ la moitié des ventes perdues estimées sont liées à nos activités de vente en gros d’aides auditives. Cet incident nous a empêchés d’exécuter nos activités au cours d’un des mois les plus importants de l’année, en particulier aux États-Unis, qui représentent notre marché le plus important (…)

Un peu moins de la moitié des ventes perdues estimées concerne notre activité de vente au détail : un nombre important de cliniques ont été incapables de fournir les utilisateurs finaux de manière régulière. Nous estimons que l’impact le plus important se ressentira sur nos activités en Australie, les États-Unis le Canada, et le Royaume-Uni. La grande majorité de nos cliniques sont à présent entièrement opérationnelles, mais, en raison de l’impact de cet incident sur nos activités, nous nous attendons à perdre des ventes sur les prochains mois.» déclarait l’entreprise.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Yves Rocher : une fuite de données mettant à nu les informations personnelles des clients

Suite à une faille de sécurité apparue chez Launay, prestataire du groupe cosmétique Yves Rocher, ce dernier a vu des informations personnelles reliées à sa clientèle divulguer sur internet.

Mais il était porté à notre connaissance que la vulnérabilité a été corrigée et les informations ont été mis en sécurité.

Cet article va aussi vous intéresser : Airbus, victime d’attaque informatique à répétition

Ce genre de cas de figure n’est pas du tout un fait isolé. On voit généralement les grands groupes, français surtout, sont généralement attaquer en passant par le prestataire. Pas si longtemps que ça, c’était le cas de Airbus qui était exposé ici. Dans notre cas d’espèce,  la société spécialisée en conseil, dénommé Aliznet, a malencontreusement laisser des informations personnelles des clients du groupe français échapper sur Internet durant quelques heures avant de rattraper son erreur. Un temps suffisant qui a permis à une société israélienne spécialisée en cybersécurité « vpMentor » de déterminer la faille qui en était la cause.

La société de sécurité informatique israélienne a d’abord démontré qu’il y avait une possibilité d’accéder facilement aux données d’environ 2,5 millions de clients particulièrement de nationalité canadienne. Parmi les données qui ont été exposées, il y avait des noms et prénoms, des numéros de téléphone, des emails et des dates de naissance. La firme israélienne à encore réussi à accéder à des listes des commandes en particulier, une qui présentait 6 millions de commande produit sur le site du groupe français, avec les devis et les dates de livraison. Après un tel audit technique, le groupe français a fini par conclure : « Il s’avère que contrairement à ce qui a été annoncé dans la presse par la société de cybersécurité qui a découvert cette faille, toutes les données contenues dans cette base étaient des données fictives créées pour effectuer un test. Le fait que certains noms communs au Canada, créés dans cette base de test, correspondaient à des noms de clientes est purement fortuit »

L’entreprise français a aussi confirmé aucune donnée bancaire n’a été dérobé. Ni aucun numéro de téléphone d’ailleurs. Pour le moment on ne sait pas si des pirates informatiques ont pu profiter de la faille. Mais une enquête a toujours en cours pour déterminer l’ampleur de cette fuite.

Aucun sous-traitant du côté du groupe français n’a encore présenté des failles similaires. On pourra donc dire que cela est un cas isolé. Cependant quelle sera la sanction imposée à Yves Rocher. En effet des données personnelles mon bel et bien fuitées. De son côté la commission nationale de l’informatique et des libertés tu n’as pas encore fait une déclaration. On se demande pourra être sa réaction face à une telle bourde. Qui sera pointé comme responsable ? Le sous-traitant ou le groupe français.

Notons que les données qui ont échappé à la vigilance des sous-traitants permettent d’identifier certains clients, avec des informations précises sur leur domicile et leur identité. On se demande bien quelles mesures a été prise pour leur sécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage