Archives par mot-clé : comprendre

Ransomwares : 5 choses à savoir absolument

Depuis quelques années, les rançongiciels, en anglais « ransomwares », sont des programmes informatiques malveillants très largement utilisés par les cybercriminels.

Ces derniers voient une manière de se faire de l’argent, en profitant des failles de sécurité dans les systèmes informatiques et mettant une pression énorme sur les têtes des organismes.

Depuis l’année 2020, son utilisation a largement augmenté. C’est d’ailleurs pour cette raison que plusieurs autorités à travers le monde ont décidé de réagir de manière proactive.

Cet article va aussi vous intéresser : Comment les hackers attaquent avec des rançongiciels ?

Cela a été le cas aux États-Unis, avec l’offensive menée par les forces de l’ordre dans le but de récupérer la rançon pays par Colonial Pipeline, une grosse pointure en matière d’oléoducs aux États-Unis et qui avait été victime. Partout à travers le monde la résistance s’organise. Il est donc intéressant de mieux appréhender la notion de Ransomwares.

1- Qu’est-ce qu’un rançongiciel ?

Un rançongiciel est programme malveillant comme il a été signifiée plus haut. Sa fonctionnalité de base et de pouvoir s’infiltrer dans les ordinateurs et les systèmes informatiques pour empêcher les personnes légitimes de pouvoir y accéder. Une fois ce coup de force et réussi, en échange de la clé qui le permettra de passer outre ce chiffrement, les cybercriminels exigent le paiement d’une rançon.

2 – Comment les cybercriminels infectent les terminaux informatiques ?

La méthode utilisée pour infecter un système informatique, un ordinateur ou tout autre terminal varie selon la situation. Cependant, la méthode la plus courante et l’hameçonnage appelée couramment « le phishing ». Une technique standard déjà connue qui consiste à cacher dans des pièces jointes des lignes de codes malveillants. Il suffit juste que cette pièce jointe soit ouverte pour que l’ordinateur ou le système informatique soit contaminé et exposé. En dehors de cette méthode classique qui fonctionne toujours, il faut le préciser, les hackers peuvent entre autres :

Corrompre un collaborateur pour introduire manuellement le rançongiciel dans le système informatique ciblé ;

– Passer par des failles de sécurité déjà connu qui n’ont pas été colmater par la cible ;

– Utiliser l’ingénierie sociale pour obtenir des données de connexion et accéder au système informatique librement.

3 – Les grandes entreprises sont-elles les seules ciblées par les rançongiciels ?

Les cybercriminels derrière les rançongiciels ciblent tout le monde. Que ce soit de grosses entreprises, de petites ou moyennes sociétés, des particuliers, des hôpitaux ou des collectivités territoriales, tout le monde peut-être pour stationnement ciblés par un rançongiciel. Depuis l’année 2020, il a été démontré, que nul ne peut échapper à ce fléau.

Cependant, à cause de la pandémie du coronavirus, on peut observer objectivement une forte dynamique autour des établissements de santé et de laboratoire de recherche sur le vaccin anti covid-19. Juste derrière, les collectivités publiques seraient les plus touchés. Par ailleurs, plusieurs études ont démontré que le particulier n’échappe à la règle. Si cela passe inaperçu, les individus lambda sont aussi des victimes.

4 – Quel(s) type(s) d’appareils informatiques sont vulnérables au rançongiciel ?

Dans la pratique, les appareils les plus ciblés par les rançongiciels sont des ordinateurs. Car généralement, ce sont ce genre de terminaux qui étaient susceptibles d’être facilement contaminés. Avec l’évolution de nos habitudes de consommation des outils numériques, logiciels de rançonnage peuvent infecter les smartphones et les tablettes.

En effet, ces menaces sont bel et bien réelles. Selon certains chercheurs en cybersécurité, il faudrait s’attendre à dans les années à venir, à l’application des rançongiciels sur les véhicules autonomes et sur les objets de la domotique. Effectivement, étant des outils informatiques de plus en plus adulés, mais remplis de failles de sécurité, le risque est prégnant et presque imminent.

5 – Combien de forme de rançongiciels existe-il ?

Les experts en dénombrent 2 types :

– Le ransomware Crypto : ce type de rançongiciels est utilisé pour crypter le contenu du terminal ou du système informatique ciblé. Lorsqu’il infecte le terminal, l’ensemble des données contenues dans le stockage de ce dernier sont automatiquement chiffrées. Cela peut être des images, des vidéos, des documents textes ou même les lignes de code.

En échange de la clé de déchiffrement, les cybercriminels proposent de payer une rançon. Car c’est évidemment l’objectif final. Dans certaines versions de ce type de rançongiciels, les pirates informatiques ajoute un compte à rebours au bout duquel les données de la victime seront systématiquement effacées si celle-ci ne consent pas verser la rançon demandée. C’est de loin la forme la plus utilisée du rançongiciel. En 2015, 58 % des ordinateurs d’entreprises à travers le monde entier ont été infectés par ce genre de programmes selon Kaspersky Lab.

– Le ransomware Locker : lui contrairement au premier ne crypte pas les données contenues dans le système informatique ou l’ordinateur cible. Ce rançongiciel est utilisé pour bloquer l’accès au terminal. De la sorte, il peut arriver que ce soit le clavier qui ne fonctionne pas, où l’écran devient totalement noir et inutilisable.

Bien évidemment il est le plus dangereux car il peut signifier la destruction de votre terminal dans certaines mesures. Cependant, contrairement au précédent, les données contenues dans le terminal ne sont pas chiffrées et donc peuvent être d’une manière ou d’une autre récupérées. Cependant, ce programme malveillant reste néanmoins une menace importante à ne pas négliger, surtout dans l’éventualité de potentiel sabotage.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Gérer les risques de la sécurité informatique

Le risque en matière est informatique est partout.

Que ce soit sur les ordinateurs, les smartphones ou les tablettes. Que ce soit en entreprise en ONG ou directement à domicile, à tout moment vous pouvez être victime d’une attaque informatique ou d’une arnaque en ligne. Avec la pandémie à coronavirus, plusieurs spécialistes n’ont cessé d’interpeller sur la question. La cybercriminalité est en hausse. Face à cela personne n’est véritablement à l’abri peu importe le secteur.

Cet article va aussi vous intéresser : Les risques pour les entreprises Américaines depuis adoption de la nouvelle loi sur la sécurité à Hong Kong

Si nous jetons un coup d’œil du côté du Canada, on constate que les derniers mois ont été des plus difficiles. Le secteur de la santé, du transport, les institutions financières et les organismes publics ont été constamment ciblés par les attaques informatiques. Que ce soit la société de transport de Montréal, l’Hôpital général juif, le CIUSSS du Centre Ouest de l’Île de Montréal et bien d’autres en subit les affres de la cybercriminalité. Des cyberattaques qui ont puisé l’essentiel de leur force dans la pandémie à coronavirus que subit le monde actuellement.

« Personne n’est à l’abri, avance-t-il. Et personne ne peut dire que ça ne lui arrivera jamais, que ça n’arrive qu’aux autres. » déclare à ce propos Yves Paquette, le fondateur et président de NOVIPRO, une société spécialisée dans les solutions d’affaires technologiques et infonuagiques.

Pourtant avec l’adoption un peu précipitée du télétravail à cause de la crise sanitaire qui a conduit au confinement, les entreprises ont malheureusement dû ouvrir l’accès de leur système informatique à leurs collaborateurs désormais à distance.

Or, dans la réorganisation précipitée effectuée au début de la crise sanitaire, plusieurs entreprises n’ont pas révisé leurs pratiques en matière de cybersécurité.

« L’informatique, c’est quand elle plante qu’on réalise qu’elle est essentielle », note Dominique Derrier, le chef de la sécurité de l’information chez NOVIPRO.

Pour ce dernier, il faut considérer l’attaque informatique comme un incendie en entreprise. Cela est capable de tout détruire. Ce qui exigent de la part des spécialistes de non seulement arrêter le feu, mais aussi s’assurer que les dégâts ne causeront pas d’autres problèmes dans le futur. Pour en enfin bâtir un nouveau la structure si besoin est. La cyberattaque est tout simplement est un phénomène qui épuise économiquement mais aussi humainement.

Pour déployer une stratégie susceptible de protéger contre les déboires de la cyberattaque, une organisation doit au préalable déterminer les différents points clés qui lui sont nécessaires pour maintenir ses activités à flots. Aussi elle doit se poser ces questions :

– Quelle est sa source principale de revenus ?

– L’ensemble de sa plate-forme est-elle électronique ?

– Quels sont les équipements manufacturiers ?

– Comment gérer ses données numériques et les protéger ?

« Il faut aussi protéger sa capacité à générer de la valeur », explique le responsable de la sécurité de NOVIPRO, Dominique Derrier, en se fondant par exemple sur une entreprise dont la survie dépend littéralement de l’e-commerce, durant cette crise sanitaire surtout.

« Pour prévenir les cyberattaques, on va réviser les processus de gestion du site Internet transactionnel, former les employés qui assurent son fonctionnement, mettre à jour les outils qui le prennent en charge et revoir les contrôles qui doivent être effectués régulièrement », note Dominique Derrier.

En d’autres termes, il faudra faire en sorte de barrer la route, à tous moyens permettant à des cybercriminels d’accéder à ce qui constitue en clair un actif stratégique de l’entreprise. « Il suffit d’une petite fenêtre pour pouvoir entrer », prévient le spécialiste de la sécurité. Dans une condition telle, il suffit de simple courrier électronique, pour permettre aux cybercriminels d’accéder facilement aux données de l’entreprise.

L’attention majeure quand on parle de sécurité informatique aujourd’hui, concerne particulièrement le télétravail. En effet, la collaboration vers le travail à distance n’a pas été facile pour toutes les organisations. Malheureusement, plusieurs entreprises ont dû payer les frais de cette mésaventure avec une multiplication des cyberattaques.

« Les technologies évoluent à vitesse grand V et les règles de cybersécurité aussi, Une entreprise doit évaluer constamment les risques. » réplique Yves Paquette. Dominique Derrier de son côté insiste : « Le défi, c’est de gérer les risques en permanence. Il faut s’adapter au risque ». La gestion de risque qui se fait par définition de stratégie sur de long terme.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Comprendre les cyberattaques et les logiciels malveillants

Selon une statistique établie anonymement en se fondant sur plusieurs demandes adressées depuis le portail Threat Intelligence de la société Russe de cyberdéfense Kaspersky, environ 72 %, soit les trois quarts des fichiers malveillants qui ont été analysés ces derniers temps se catégorise dans 3 secteurs de la cybermalveillance particuliers que sont :

– Les chevaux de Troie (Trojan)

– Les portes dérobées ou backdoors

– Les injecteurs de programmes malveillants (Dropper)

Grâce à ces statistiques, il a été aussi démontré que les programmes malveillants sur lesquels les spécialistes de la sécurité informatique ont tendance à passer plus de temps sont ceux qui sont les plus répandus.

Comme nous le savons, le point de départ d’une enquête sur une cyberattaque et bien sur la détection d’activité jugée malveillante. Pour être en mesure de déployer les mesures nécessaires pour répondre aux problèmes posés par un incident informatique, les spécialistes de la cybersécurité doivent être en mesure :

– D’identifier la cible visée par l’attaque

– L’origine d’un programme malveillant

– La popularité de ce programme

Ceci permet aux analystes le pouvoir réagir efficacement. Le portail portant sur les menaces informatiques mis à la disposition par Kaspersky aux professionnels la cybersécurité, surtout au niveau de l’analyse des incidents informatique. De ce fait plusieurs demandes sont formulées à la société russe quotidiennement dans le but obtenir de l’aide sur des problèmes d’ordre sécuritaire. Portant régulièrement sur des objets malveillants, dans le traitement semble un peu plus délicat.

Dans la majorité des cas, les incidents qui sont les plus proposés ou soumis à l’appréciation des experts de Kaspersky régulièrement sur :

– Les portes dérobées à hauteur de 24 %

– Les chevaux de Troie dans 25 % des cas

– Les acteurs de programme malveillant pour 23 pourcents des demandes

Ces programmes malveillants sont généralement utilisés par leurs éditeurs pour prendre le contrôle soit des ordinateurs de leur cible à distance comme c’est le cas avec les chevaux de Troie et les portes dérobées, ou de pouvoir installer à l’insu de ce dernier, des objets pirates dans le cas des Droppers.

De plus, les chevaux de Troie généralement perçus par plusieurs d’études comme étant les logiciels malveillants les plus répandus au monde. C’est une catégorie très utilisée et appréciée par les cybercriminels. Sûrement à cause des fonctionnalités qu’ils leurs offrent. Le porte dérobée et les injecteurs de fichiers malveillants sont de leur côté assez peu connus, donc moins répandus. Ils ne constituent respectivement que 3 % des fichiers malveillants généralement bloqués par les antivirus fournis par Kaspersky.

On peut comprendre sur résultat en se référant au fait que généralement les spécialistes on tendance à s’intéresser à la cible finale d’une attaque informatique. Alors que dans une majorité des cas, les logiciels de protection des terminaux ont tendance à les bloquer le plus rapidement possible. Par exemple on sait que le produit de sécurité de façon concrète empêche l’utilisateur d’ouvrir des mails corrompus, ce qui empêche généralement certains programmes malveillants de pouvoir arriver à leurs fins. Du côté des injecteurs de programmes, ils ne sont reconnus que lorsque les chercheurs arrivent à identifier tous les composants qui le composent ce qui n’est pas une tâche mais à réaliser.

En outre, la popularité d’un programme malveillant dépend aussi de l’intérêt porté généralement aux incidents informatique dans lequel il a joué un rôle important et l’obligation qui est souvent imposé aux chercheurs de les analyser de manière plus détaillée. Prenons par exemple le cas du malware Emotet, qui a la suite de plusieurs articles de presse à attiser l’intérêt des chercheurs en cybersécurité. D’un autre côté, suite à plusieurs failles de sécurité portant sur des distributions Linux et Android, les portes dérobées ont été passées plusieurs fois au crible par les spécialistes dans le but de mieux les l’appréhender. Et cela est le cas pour plusieurs failles affectant Microsoft Windows.

« Nous avons remarqué que le nombre de demandes transmises au Kaspersky Threat Intelligence Portal pour vérifier des virus ou des éléments de code qui s’insèrent dans d’autres programmes, est extrêmement faible, à savoir moins de 1 %. Toutefois, c’est traditionnellement l’une des menaces les plus souvent détectées par les solutions de protection, détection et réponse aux incidents (EDR). Ce type de menace se réplique et déploie son code dans d’autres fichiers, ce qui peut entraîner l’apparition d’un grand nombre de fichiers malveillants dans le système infecté. Comme nous l’avons constaté, les virus sont rarement intéressants pour les chercheurs, probablement parce qu’ils manquent d’originalité par rapport aux autres menaces », détaille Denis Parinov, directeur par intérim de la détection heuristique et de la surveillance des menaces chez la firme russe de cybersécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Quelle place accordée à la cybersécurité ?

Aujourd’hui on en parle et on en parlera toujours.

Mais la véritable question est de savoir quelle est la place accordée à la cybersécurité. Pour la majorité des spécialistes, la sécurité informatique doit être une priorité. Et ils ne sont pas les seuls. Les politiciens, les chefs des institutions publiques en passant par le parlementaire sont d’accord, qu’il faut accorder une place très importante à la cybersécurité. « la cybersécurité devrait être au sommet des priorités dont les organismes de réglementation se préoccupent. ».

Cet article peut aussi vous intéresser : 6 notions à connaître en matière de cybersécurité moderne

cette réalité est confirmée par un sondage en ligne réalisé par la structure Finance et investissements dénommé : « L’industrie financière en pleine ébullition ». Ce sondage posait la question suivante : « Sur quels enjeux les régulateurs devraient-ils accroître leur surveillance de l’industrie financière afin de mieux protéger le client ? ».

Les personnes ayant répondu devait choisir entre sept enjeux dont leurs choix devait être unique. la cybersécurité est alors apparu à la première position. à la seconde position on pouvait trouver encadrement des pratiques de distribution de production financier et à la troisième position il était faire référence un encadrement des pratiques de distribution des produits financiers et la transparence relative au coût des produits financiers. « La cybersécurité est un must après avoir vu les fuites d’information chez Desjardins et Capital One », avait commenté un intervenant. Un autre ajoutera par la suite : « Plusieurs vols de données, cela nécessite d’être surveillé de près. Avec les marchés financiers et les fraudes, il faut prévoir des retraits par les clients. ».

Un autre a répondu en associant l’encadrement des technologies financières (fintechs) à la cybersécurité : « Les technologies financières et la cybersécurité sont des enjeux majeurs de notre société. Les régulateurs et l’industrie devraient investir leur énergie sur ces aspects. ».

Certains intervenants ont exigé plus de transparence en mettant plus en évidence les frais que la rémunération elle-même : « La divulgation des frais est encore bien complexe pour l’investisseur. Il faut la simplifier et la mettre en parallèle avec les rendements, et cela, d’une façon identique d’une institution à l’autre. Il faut standardiser l’approche dans la présentation des frais et des rendements, afin que l’investisseur comprenne. »

D’un autre côté il a été révélé que les technologies financières eu égard aux différentes attaques informatiques qu’elles subissent généralement les grandes institutions financières : « La suprématie des banques sera attaquée. Elles ont abusé la clientèle pour enrichir leurs actionnaires, mais la compétition et l’innovation technologique seront impitoyables envers elles. »

Par ailleurs, le fait que la sécurité informatique soit appréhender comme une urgence de nos jours n’est pas véritablement une surprise. Les différentes attaques informatiques et les différents mouvements qui s’en sont suivis en clairement démontré que les gens voulaient plus d’assurance quand il se connecte à Internet. « Je soupçonne que peu de conseillers rencontrent des clients qu’ils ne doivent pas rassurer à ce sujet », expliquait Jean Morissette, un consultant auprès d’une firme de gestion de patrimoine.

Pour donner une réponse complète à la question posée depuis le début de l’article, certains répondant à titre anonyme au sondage ont énoncé ceci : « Les régulateurs devraient surveiller plus les fournisseurs de produits [les assureurs] qui essaient de vendre des produits d’assurance qui misent sur la déchéance, sur le Web, sans représentants. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



NotPetya – comprendre la cyberattaque mondiale en 6 questions

Le 27 juin 2017, les systèmes informatiques du monde entier faisaient la connaissance d’un nouveau programme malveillant dénommé NotPetya.

L’attaque commence en Ukraine l’épicentre, pour ensuite s’étendre dans le monde entier. C’est l’une des cyberattaques les plus dévastatrices que le monde ait connu.

Cet article va aussi vous intéresser : Ransomware : Maersk dit avoir retenu une importante leçon dans sa lutte contre NotPetya

Aujourd’hui en 2019 nous allons essayer de faire une nouvelle appréhension de ce problème et essayer de mieux la comprendre. Grâce à une analyse pertinente menée par la société de sécurité Kaspersky, nous allons comprendre l’affaire en 6 questions.

1- Que s’est-il passé ?

Tout commence le 27 juin 2017 précisément, 65 pays du monde entier, des millions de terminaux infectés par un programme malveillant de type Ransonware. L’Ukraine, l’épicentre de l’attaque et la Russie sont les deux pays les plus touchés. Certaines grandes entreprises Françaises ont subit aussi le coup de cette cyberattaques notamment Saint-Gobain et la SNCF, ce qui a suscité l’ouverture d’une enquête par le ministère public.

Selon les analyses menée par Kaspersky, lorsque l’ordinateur ou un système des formations est infecté par le programme malveillant NotPetya, il crypte les données informatiques de ce terminal en se fondant sur les algorithmes AES 128 et RSA 2048. L’ordinateur se trouve bloqué. Un message apparaît sur l’écran demandant à l’utilisateur de payer une somme équivalent à 300 dollars en format Bitcoin.

2- Comment cette attaque est-elle nommée ?

Plusieurs noms ont circulé. Mais finalement tous ont fini par opter pour la dénomination connu aujourd’hui « NotPetya » pour le détacher du malware Petya duquel il puise quelques brides de code.

3 – Comment les terminaux étaient-ils infectés par NotPetya ?

Tout comme son prédécesseur WannaCry, le programme malveillant NotPetya ciblait particulièrement les entreprises et les organisations. Contrairement à WannaCry, il ne se transmet pas via Internet de manière désordonnée. Il se fonde essentiellement selon Microsoft, sur une procédure de mise à jour développée pour un logiciel de comptabilité, « MEDoc », pour faire entrer le programme malveillant dans les systèmes des entreprises. Par ailleurs Kaspersky a découvert qu’il existait un autre vecteur qui permettait aux programmes de se répandre. Ce vecteur est le site Web officielle d’une ville ukrainienne du nom de Bakhmut, dans la région de Donetsk. La page d’accueil de site internet a été corrompue par les pirates informatiques de telle sorte que toute personne y accédant téléchargeait automatiquement un exécutable camouflé sous forme de mise à jour Windows.

4 – Comment se propage-t-il dans un réseau informatique ?

Une fois que ce programme infecte une machine au sein d’une entreprise affilié au réseau de celle-ci, il va tenter de se propager en utilisant le réseau interne dans le but de piéger d’autres machines. Pour réussir cela, NotPetya va utiliser des outils de piratage qui ont été volés à NASA, ensuite publiés par un groupe de pirates dénommé ShadowBrokers. Ces outils de contrôle sont dénommées EternalBlue et EternalRomance. Et en principe, ils ont pour fonction de permettre de contrôler une machine en utilisant des protocoles assez particulièr. L’avantage à utiliser ses outils c’est qu’il va permettre au programme malveillant de pouvoir prendre le contrôle d’une machine même si cette dernière dispose des dernières mises à jour, ce qui est censé plutôt faciliter la prise de contrôle

5- Récupère-t-on les données une fois la rançon payée ?

Non. Depuis que l’hébergeur allemand Posteo a désactivé l’adresse mail qui permettrait d’identifier ceux qui est effectuaient les paiements, il était impossible aux pirates informatiques de savoir à qui envoyer le script de déchiffrement. Ce qui rend le processus totalement inopérant. ce qui revient à dire que même si les pirates informatiques avait l’intention de restituer les données cryptées, ils n’auraient pas pu. Cependant, selon un chercheur en cybersécurité, Matt Suiche, le message de rançon n’était qu’une façade car apparemment le véritable but de ce piratage était le sabotage. Selon ses analyses, le disque dur des terminaux corrompus par le programme était irrécupérable car les données ne semblaient pas avoir été sauvegardées quelque part. « La version actuelle de Petya a été réécrite pour être un wiper, et non un ransomware », expliquait l’expert.

Comment s’en protéger ?

Le virus pouvait être détecté à partir d’un moment par presque toutes les solutions d’antivirus. d’un autre côté, il est impossible de stopper la propagation si les administrateurs réseau décidaient de bloquer le trafic SMBv1 et certains de outils d’administration notamment PSEXEC et WMIC. Par ailleurs, il a été découvert par un chercheur en sécurité informatique du nom de Amit Serper, un fichier, qui une fois présent sur le terminal empêchait le programme NotPetya de s’exécuter convenablement.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage