Archives pour la catégorie Piratage

Nous traitons ici tous les sujets d’actualité lié au piratage. Vous serez informé des dernières nouvelles sur la sécurité informatique et nous donnerons à chaque fois une solution ou un conseil pour se protéger.

Nouvelle-Zélande : une cyberattaque bloque le fonctionnement de la bourse pendant plus de quatre jours

Relayé par l’Agence Française de presse, l’attaque informatique qui a frappé la Nouvelle-Zélande, se présente comme l’une des plus spectaculaires jamais connu dans le pays.

L’enquête sur cet incident relève dorénavant des services de renseignement du pays qui enquête maintenant depuis le début.

Cet article va aussi vous intéresser : Une bourse de Cryptomonnaie se fait pirater au Japon

Notons tout simplement que des cyberattaques, car il n’était pas question d’une mais plusieurs qui ont littéralement obligé le marché boursier de la Nouvelle-Zélande (NZX) à interrompre l’intégralité de ces échanges pendant exactement 4 jours consécutifs le vendredi 28 août.

À ce sujet la bourse néo-zélandaise communiquer sur la question : « Nous rencontrons actuellement des problèmes de connectivité qui semblent être du même ordre que ceux causés par de sérieuses attaques DDoS (déni de service distribué) intervenues la semaine dernière depuis l’étranger », note l’institution dans un communiqué.

Apparemment, il devrait s’agir d’attaque par déni de service. Une attaque informatique par lequel les cybercriminels perturbent les réseaux informatiques de leur cible en y infusant un nombre élevé de demande pour inonder le trafic. Comme on le sait, dans la pratique, ce sont des attaques qui sont assez facile à mettre en place, mais pour des attaques d’ampleur comme il est question ici, il faudrait bien sûr des outils spécialisés dont on ne peut se procurer très facilement, une fois en possession le cybercriminel peut être très difficile à stopper.

Interrogé sur la question, l’autorité de régulation des marchés financiers qui est connu être « en contact étroit avec NZX », a déclaré de son côté que : « le NZX nous a informés qu’aucun système interne n’a été compromis et que les informations commerciales n’ont pas été violées » depuis le début de ces incidents.

Depuis le vendredi dernier, le service de renseignement est mobilisé et a intervenu malgré la mise en place par la bourse néo-zélandaise de plusieurs mesures supplémentaires pour veiller à la continuité de leur connectivité avant l’ouverture de marché. « NZX a continué à travailler avec son fournisseur de services réseau, Spark, ainsi qu’avec des partenaires nationaux et internationaux de cybersécurité, y compris le GCSB, pour faire face aux récentes cyberattaques », pouvait-on lire dans le communiqué.

L’Agence de renseignement de la Nouvelle-Zélande qui est chargée de veiller et de protéger les infrastructures informatiques du pays contre les attaques informatiques est le GCSB. C’est ce service qui sera chargé de mener l’enquête sur l’attaque informatique.

Selon le ministre de finance néo-zélandais Grant Robertson lors d’une interview accordée aux journalistes, que l’agence de renseignements essayer de contenir la menace mentionnant aussi qu’il y avait aussi quelques difficultés à résoudre dans cette tâche. Mais il n’a pas été très bavard vu qu’il y a une certaine limite à ce qu’il pouvait révéler « pour des raisons de sécurité ».

En ce qui concerne la cyberattaque il faut signifier qu’elle a frappé à un moment très délicat. C’est la saison des résultats des entreprises, une période où la bourse de la Nouvelle-Zélande est la plus débordé. Pour le moment aucune information officielle n’a encore été divulgué concerne l’attaque informatique en particulier qui sont ceux qui pourrait être derrière.

De manière pratique, il faudrait noter que les attaques qui visent les institutions boursières n’ont rien d’exceptionnelles car cela a déjà été observé à plusieurs reprises. Par exemple en 2016 concernant Londres et en 2019 pour la bourse de Hong Kong. L’impact le plus direct de ces cyberattaques est bien sûr la suspension les activités des ‘institutions. Concernant les attaques de la bourse de Londres et de Hongkong, on se rappelle que pendant plusieurs jours, les services locaux de ses bourses ont été temporairement stoppés.

Si l’on ‘ignore totalement qui peut être derrière cette attaque informatique, certains suppose qu’il pourrait s’agir d’un groupe de cybercriminels pouvant Œuvrer dans l’intérêt des Etats. En particulier un APT.

Notons cependant que les attaques de déni de service à forte ampleur telle qu’il été constaté pour le cas de la bourse de néo-zélandais sans souvent causé par des « botnets », des réseaux de terminaux contrôlées, à l’insu de leur utilisateur, par le biais de programmes malveillants. Certains criminels « louent les botnets sous leur contrôle à des personnes qui souhaitent commettre des attaques par déni de service. ».

À la question de savoir si les cybercriminels à l’origine de l’attaque informatique auraient exigé le paiement d’une quelconque rançon, le ministre de la justice avait signifié ne pas être au courant d’une demande et s’est refusé de tout commentaire. Il en est de même pour le GCSB.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’attaque du fisc Canadien a touché près de 11200 citoyens

Suite à attaque de Revenu Québec, le site fut automatiquement indisponible pour ces milliers d’utilisateurs journalières.

Durant quelques jours se fut le cas. Interrogé le gouvernement qui à sa charge la plateforme, se rend bien compte à rebours a été victime d’une attaque informatique, dont les effets peuvent peser lourd à l’avenir.

Cet article va aussi vous intéresser : Le piratage des milliers de comptes fiscaux en ligne

Cela fait plus de 3 incidents liés à la sécurité informatique qui ont compromis les informations personnelles de millions des citoyens canadiens. Si aujourd’hui l’attaque du fisc a été maîtrisée, il n’en demeure pas moins que cela se lève toujours les mêmes d’interrogation. Celui de la vulnérabilité des systèmes d’information tant public que privés. Au passage le site du fisc Canadien a été rétabli il y a quelques jours de cela. Le lundi dernier déjà, fonctionnaire du gouvernement fédéral parlaient de cette à faire lors d’une conférence de presse à Ottawa.

Selon les informations qui sont parvenues au public concernant l’incident informatique de sécurité, il a été mentionné que le système informatique de Revenu Québec a cédé face à une attaque par bourrage de justificatif. Une attaque qui visait le gouvernement canadien et qui a pu être maîtrisé dans les délais les plus illimités selon une déclaration directeur principal de l’information du gouvernement du Canada par intérim Marc brouillard.

Pour faire le point sur les 3 attaques qui ont ciblé les systèmes informatiques du gouvernement Canadien, notons la première qui a débuté exactement le 16 août dernier, les cybercriminels avait procédé aussi par bourrage de justificatif. Une attaque qui leur a permis de pouvoir arroser ses informations telles que les mots de passe et les noms d’usager de près de 9000 comptes CléGC, les informations utilisées par les 30 ministères et agence du gouvernement canadien. En tout, les cyberattaques en ont réussi à avoir accès à 3400 comptes d’agence, tous lié au Revenu Canada.

« Les comptes touchés ont été annulés dès que l’attaque a été découverte, note M. Brouillard, et les ministères contactent maintenant les citoyens concernés pour leur indiquer comment obtenir une nouvelle CléGC. La Gendarmerie royale du Canada (GRC) a été prévenue de cette attaque mardi dernier, soit trois jours plus tard, a encore, qui n’a pas voulu s’avancer sur l’identité de ses auteurs. ».

Pour ce qui en est de la seconde attaque informatique, elle ne visait pas précisément l’ARC. Précisément la semaine dernière, et a permis aux cybercriminels d’avoir accès à près de 2200 dossiers privée des usagers de l’ARC. La cyberattaque s’est fondée sur une faille de sécurité du système informatique. Une faille qui a permis aux cybercriminels de pouvoir contourner une question de sécurité généralement utilisé pour authentifier les usagers. Selon les spécialistes du gouvernement la vulnérabilité a été corrigée depuis sa découverte.

Pour la troisième attaque informatique, les détails concernant le déroulé de cet incident n’ont pas en quoi étaient véritablement détaillés par les autorités. Tout ce que l’on sait, elle aura lieu le samedi dernier, ce qui a obligé l’ARC, à rendre indisponible, ces trois services en ligne « – Mon dossier, Mon dossier d’entreprise et Représenter un client. »

« Nous étions très confiants que le contrôle était bien, mais après [les événements impliquant] la CléGC, nous avons remarqué une attaque le samedi et nous avons décidé [alors] de bloquer et fermer notre portail, » a signifié Annette Butikofer, commissaire adjointe et dirigeante principale de l’information à l’ARC.

Pour résumer, il a été soulevé que près de 11 200 Canadiens ont été victimes de ces attaques informatiques de manière générale.

Selon les Mme Butikofer, « le service Mon dossier d’entreprise est cependant fonctionnel à nouveau, de sorte que les employeurs qui veulent présenter une demande de subvention salariale peuvent le faire dès maintenant. Les deux autres services de l’ARC – Mon dossier et Représenter un client – devraient être rétablis en milieu de semaine. »

En attendant l’ouverture des services en ligne encore indisponible, il a été mis à la disposition des Canadiens qui sont désireux de mener certaines actions.

Sur ce point, M. Brouillard, notait ceci : « C’est souvent dans ces attaques-là que les informations sont revendues sur le dark web, c’est une accumulation de plusieurs [informations piratées], alors ce serait possible qu’on ne soit jamais capable de préciser exactement la source ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le fabricant de boisson alcoolisée Jack Daniel’s et le piratage de son système informatique

Cela fait quelques semaines de cela, le célèbre Jack Daniel’s, fabricant de whiskey de renommée mondiale a été victime d’une cyber attaque de type rançongiciel.

Un pur classique depuis le début de l’année. Cependant les cybercriminels, depuis le début de cette semaine avaient menacé de divulguer toutes les informations récoltées lors de leur cyberattaque. Depuis hier les informations volées sont en ligne.

Cet article va aussi vous intéresser : Ces cyberattaques qui effacent des bases de données

Les cybercriminels qui sont à l’origine de cette cyberattaque, depuis longtemps prévenu qu’ils allaient passer aux choses sérieuses. Le programme malveillant utilisé était nul autre que le rançongiciel Sodinokibi (REvil).

La maison mère de Jack Daniel’s, la société Brown-Forman Corpation, ne dira pas qu’elle n’aurait pas été prévenue. Comme il avait été signalé par la presse, c’est le réseau interne de la société qui aurait été totalement compromis. Les cybercriminels pour prouver qu’ils disaient la vérité en publier des captures d’écran de l’interface des systèmes informatiques de leur cible. Voyant que leur menace n’étaient pas prises au sérieux par le fournisseur de whiskey, ils sont passé à la phase 2 c’est-à-dire diffuser les informations qu’ils avaient récolté lors de leurs méfaits.

De ce fait, les cybercriminels avaient copié près de 1 téraoctet d’informations nature confidentielle. Qui comprenait entre autres des informations liées aux employés, aux accords commerciaux, les états financiers annuels, aux contrats, les historiques de crédits, aux planification des investissements sur plusieurs années, aux échanges internes et externes des employés et des responsables de la société ainsi que d’autres documents relatifs au fonctionnement de la société.

Comme on le sait, la vente de données personnelles est très lucrative. « J’ai pu constater que l’intégralité des données volées venaient d’être diffusés dans deux espaces numériques accessibles sur le web et dans le darknet. Il est conseillé aux employés de suivre les autres publications car ce sera l’occasion pour eux de poursuivre la société en justice. » affiche le groupe de cybermalveillants, REvil.

On rappelle que ces derniers se sont fait connaître avec l’affaire qui a impliqué la fuite de données chez UBER, le géant américain des transports. Ces cybercriminels avaient procédé à peu près de la même manière. Prendre le système informatique en otage, ensuite dérobé des informations pour ensuite les faire fuitées sur Internet.

Ils font référence à l’affaire de UBER dont l’ex responsable de la sécurité informatique est poursuivi actuellement par la justice des États Uni. « Nous avons parlé à l’employé de votre entreprise [celui qui s’est fait piéger] – l’impression était qu’il avait oublié de discuter du problème avec sa direction » signifiait Sodinokibi. Bien sûr BROWN-FORMAN CORPORATION a confié la tâche à une compagnie d’assurance de négocier avec les cybercriminels. Pour le moment le nom de cette compagnie et encore méconnu par les médias qui suivent cette affaire.

« Ces terroristes du numérique n’ont pas attendu la mise aux enchères et ont diffusé l’intégralité des informations copiées lors de l’infiltration d’avant ransomware. J’ai pu constater des données bancaires, courant de 2016 à 2018 (les pirates ont-ils revendu les plus récentes ?) ; des documents dédiés aux salariés ; aux clients aux USA mais aussi en Europe (France, Belgique, Italie, Espagne, …) » signifie Damien Bancal – Fondateur de ZATAZ.COM.

Du côté de la maison-mère du fabricant de whiskey, Brown-Forman, une déclaration a été faite récemment par son porte paroles : « Malheureusement, nous pensons que certaines informations, y compris les données des employés, ont été affectées […] Nous ne connaissons pas la quantité de données volées. »

Avec l’explosion de ce genre de cyberattaques, les autorités sont en alerte. Récemment la police Ukrainienne a réussi à fermer des espaces de blanchiment de cryptomonnaie. Histoire de pouvoir réduire le champ de monétisation de leur action au cybercriminels. Les espaces sont appelés lessiveuses « permettant de blanchir les cryptomonnaies récupérées, par exemple, dans des chantages numériques. Environ 42 millions de dollars de transactions ont pu être orchestrées sur deux ans. Les accusés ont organisé un système qui permettait de fournir des services de blanchiment d’argent. À savoir, l’argent reçu des attaques de pirates informatiques contre des entreprises internationales, la distribution de logiciels malveillants, le vol de fonds sur les comptes bancaires d’entreprises et de particuliers étrangers. » décrit Damien Bancal sur son blog.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Piratage informatique : 30 minutes pour infiltrer un réseau

Récemment l’entreprise Positive Technologies a mené une étude en portant sur la sécurité des systèmes d’information des entreprises.

Une étude qui a permis de constituer plusieurs recommandations permettant à ces organisations privées d’améliorer d’une certaine manière leur sécurité. Le rapport est intitulé : « Penetration Testing of Corporate Information Systems ».

Cet article va aussi vous intéresser : Lutter contre le piratage de réseau WiFi domestique : quelques méthodes pour y arriver

Suite au test, il a été démontré que 93 % des entreprises sont vulnérables, en ce qui concerne la tentative d’intrusion au niveau du réseau local. Il a été observé que 77 % des vecteurs d’attaques touchaient principalement la mauvaise protection des applications web. En ce qui concerne les entreprises qui furent testé en 2019, notons que :

– 32 % d’entre elles étaient du secteur des finances

– 21 % dans le secteur de l’informatique

– 21 % au niveau des activités industrielles du carburant et de l’énergie

– 11 % au niveau des agences gouvernementales

– 7 % pourcents pour les organisations dans le domaine du divertissement de l’hôtellerie,

– 4 % dans l’industrie

– 4 % au niveau de la télécommunication.

Dans 93 % des organisations testée, les experts de Positives Technologies ont réussi à s’introduire dans le système d’information. En moyenne près de 13 vecteurs d’attaque ont été détectés par entreprise. Pour une entreprise sur 6, il a été recensé des traces de cyberattaques précédentes, notamment « des web shells sur le périmètre du réseau, des liens malveillants sur des sites officiels ou des références valides dans des décharges de données publiques. ». Des signes qui démontrent clairement que le système a forcément été infiltré par des cybercriminels.

L’étude a aussi mis en évidence un fait significatif. Une réalité selon laquelle il suffit simplement de 30 minutes et de 10 jours pour un cybercriminel, d’être en mesure d’infiltrer un réseau local. Dans la majorité des cas, les attaques utilisées n’étaient pas assez complexes. Ce qui signifie que les cybercriminels qui ont déjà procédé à des attaques informatiques sur les réseaux déjà étudié, n’étaient pas assez compétent ou non pas eu besoin d’utiliser toutes leurs compétences.

Rappelons que 68 % des entreprises malheureusement subi des attaques informatiques réussi à cause des applications web, qui n’étaient pas suffisamment bien protégées. Il aurait donc fallu simplement aux cybercriminels de forcer de manière brutale l’accès à ces applications en craquant certaines données d’identification. En effet comme on le sais très bien, si les cybercriminels peuvent par des attaques de force brute craquer quelques mots de passe. Il suffit d’un seul terminal corrompu pour leur permettre, sans faire vraiment beaucoup d’efforts, d’exfiltrer les informations d’identification, en téléchargeant des carnets d’adresses hors-ligne des utilisateurs, ce qui leur donnera accès à plusieurs adresses électroniques des employés de l’entreprise ciblée.

Selon Positive Technologies, une entreprise testée leur a permis de près récolter plus de 9 000 adresses électroniques en utilisant une simple technique de base de piratage. « Les applications web sont le composant le plus vulnérable du périmètre du réseau », a noté Ekaterina Kilyusheva, responsable de la recherche et de l’analyse chez Positive Technologies. « Dans 77 % des cas, les vecteurs de pénétration impliquent une protection insuffisante des applications web. Pour assurer cette protection, les entreprises doivent procéder régulièrement à des évaluations de la sécurité des applications web. Les tests de pénétration sont effectués comme une analyse de « boîte noire » sans accès au code source, ce qui signifie que les entreprises peuvent laisser des points aveugles sur certains problèmes qui pourraient ne pas être détectés en utilisant cette méthode. C’est pourquoi les entreprises doivent utiliser une méthode de test plus approfondie comme analyse du code source (boîte blanche). Pour une sécurité proactive, nous recommandons l’utilisation d’un pare-feu d’application web pour empêcher l’exploitation de vulnérabilités, même celles qui n’ont pas encore été détectées », a continué.

Par ailleurs il faut signifier un point essentiel. Les tests effectués par positive Technologies ont été réalisés en se fondant sur des vulnérabilités logicielles qui sont déjà connues. Des failles de sécurité qui affectaient des anciennes versions d’Oracle WebLogic et Laravel, des programmes qui étaient utilisés par 39 % des entreprises, leur permettant accéder à leur réseau local. Par ailleurs, ces failles de sécurité de type 0 day ont été découverts dans des programmes informatiques. Des vulnérabilités « zero-day Remote Code Execution » dont CVE-2019-19781 présente dans Citrix Application Delivery Controller et Citrix Gateway.

La recommandation majeure de positif technologie et l’installation des patchs de sécurité déjà disponible sur les anciennes versions de logiciel toujours utilisé par les entreprises qui ont été testées. Par ailleurs, ils leur ont demandée de mettre tout en œuvre pour s’assurer que des vulnérabilités ne soient pas toujours présente sur le système.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’assistant vocal d’Amazon Alexa serait touché par une vulnérabilité

Après avoir piraté TikTok, Microsoft Azure, WhatsApp ou encore les ampoules Philips, c’est autour de Alexa, l’assistant vocal de Amazon d’être la cible de cette équipe spécialisée dans le piratage.

Encore une fois elle a réussi à pirater le programme, sous la spéculation selon laquelle les 200 millions d’appareils embarquant Alexa « pourraient être un point d’entrée privilégié pour les pirates informatiques ». L’équipe de recherche de Checkpoint met finalement en avant, de manière plus concrète « de sérieuses failles de sécurité chez Alexa ». Selon cette équipe : « en un seul clic, un utilisateur aurait pu abandonner son historique vocal, son adresse personnelle et le contrôle de son compte Amazon ».

Cet article va aussi vous intéresser : Les assistants vocaux de Google et Amazon sont vulnérables aux attaques

Les risques encourus par l’usage des enceintes connectées, de manière étendue des assistants virtuels sont généralement quelque chose qui sois pas inédit. L’année dernière déjà ce genre de dispositif au cœur plusieurs scandales, surtout qu’il a été mais en avant que les conversations et les échanges des utilisateurs de ces programmes et outils informatiques étaient enregistré dans le but d’améliorer des performances des intelligences artificielles en avant dans le développement du projet.

Mais aujourd’hui il ne faut pas être naïf, tout appareil que nous utilisons pouvant être connectés à Internet présente un risque d’une manière que ce soit. En ce qui concerne l’outil Amazon, l’équipe de recherche de la société de cybersécurité a soulevé que la méthode utilisée pour pirater Alexa n’a rien de sophistiqué.

Amazon un été averti de la vulnérabilité n’a pas manqué de déployer immédiatement les mises à jour affectant les logiciels incriminés.  À ce propos sont porte-parole déclarait : « la sécurité de ses appareils est une priorité absolue, et qu’ils apprécient le travail de chercheurs indépendants comme Check Point qui les signalent les problèmes potentiels. Ils ont réglé ce problème peu après qu’il ait été porté à leur attention, et ils continuent à renforcer nos systèmes. Ils n’ont connaissance d’aucun cas d’utilisation de cette vulnérabilité contre leurs clients ou d’exposition d’informations sur les clients ».

On peut supposer alors que le problème semble résolu pour le moment. Mais on se demande comment cela a-t-il pu arriver ? En quoi consiste véritablement cette vulnérabilité. Les chercheurs affirment avoir commencer par une technique de type phishing en envoyant un lien vérolé à une victime en particulier. Ce lien avait pour fonctionnalité de déclencher automatiquement la faille de sécurité, pouvant alors permettre à l’attaquant : « d’installer silencieusement des compétences sur le compte Alexa d’un utilisateur, d’obtenir une liste de toutes les compétences installées sur le compte, de supprimer silencieusement une compétence installée, d’obtenir l’historique vocal ou les informations personnelles de la victime ».

De façon simple, disons que si l’utilisateur clique sur le lien qui le reçoit. Il est alors dirigé vers un site de Amazon. Ce site bien évidemment et factice je sais que c’est une plate-forme préparée par le cybercriminel, pour injecter un coup de malveillant dans le terminal de ces derniers. De cette façon l’attaquant va tout simplement extraire applications liées à Alexa qui sont déjà installées par l’utilisateur, pour dérober leurs jetons de sécurité. Ensuite supprime en ligne des applications pour la remplacer par une autre conçu pour le piratage. Un instant où l’utilisateur demanderas à Alexa d’activer l’application, le cybercriminel pourra à l’heure être en activité.

Une compagne de piratage affectant Alexa peut être de manière sporadique ou ciblée. En effet soit les cybercriminels envoient massivement les liens à une liste de personne, en attendant sagement que cette dernière mord l’hameçon, où se concentre en particulier sur une victime de leur choix. Dans ce cas de figure, l’expert de Checkpoint Oded Vanunu note : « un attaquant pourrait mener une attaque plus élaborée en obtenant la liste des compétences et en remplaçant une de ses compétences par une compétence malveillante d’apparence similaire ». Malgré le fait qu’un tel exploit ne soit pas quelque chose d’assez sophistiqué. « Une combinaison de mauvaises configurations XSS, CSRF et CORS », pour un utilisateur, cette attaque semblerait transparente et sophistiquée ».

Dans ce contexte, Ekram Ahmed, porte-parole de Check Point donne quelques conseils pour ne pas se faire avoir par cette vulnérabilité : « Nous publions des conseils de sécurité et des directives sur l’utilisation d’Alexa.  Évitez les applications inconnues – ne les installez pas sur votre haut-parleur intelligent. Faites attention aux informations sensibles que vous partagez avec votre smart speaker, comme les mots de passe et les comptes bancaires. De nos jours, n’importe qui peut créer des applications d’assistant intelligent, alors renseignez-vous sur l’application avant de l’installer et vérifiez les autorisations dont elle a besoin. Tout le monde peut publier une compétence, et les compétences peuvent effectuer des actions et obtenir des informations ».

La vigilance est de mise car l’utilisation d’outils comme Alexa touche d’une certaine manière, nos données personnelles. « Les informations personnelles de tout utilisateur qui ont été partagées avec l’appareil Alexa pourraient être potentiellement en danger », a souligné Oded Vanunu. « Ces applications pourraient être des applications financières ou de détail. Avec cette attaque, je pourrais désinstaller et installer de fausses applications qui seront déclenchées par un appel à l’application désinstallée sécurisée » ajoute-il.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage