Archives par mot-clé : dark web

Dark Web : le réseau Tor sujet d’une campagne d’attaques de désanonymisation massive

Les faits ont été observés depuis 2017.

Il semblerait qu’un pirate informatique, ou un groupe de pirates doté de moyens assez considérables a / ont décidé de se servir de certaines vulnérabilités pour initié à grande échelle une campagne desanonymisation sur le réseau TOR.  En d’autres termes, c’est une attaque informatique d’ampleur, probablement soutenu par un État, qui consiste à trouver des failles au réseau pour être en mesure d’identifier ceux qui s’y connectent.

Cet article va aussi vous intéresser : Dark Web : un piratage qui s’est soldé par le vol de 600 000 numéros de cartes de crédit

Cet acteur au cœur de cette campagne malveillante est connu sous la dénomination de KAX17. Ces agissements ont été observés et étudiés par un spécialiste de la sécurité informatique connu sous le pseudonyme de Nusenu. Ce dernier : « KAX17 exploitait en période de pointe plus de 900 serveurs sur le réseau Tor, avec une capacité maximale de bande passante de 155 Gbit/s. Cela représente un peu plus de dix pour cent de l’ensemble de l’interconnexion, qui affiche normalement un nombre total quotidien de 9 000 à 10 000 nœuds. ».

Une partie des serveurs qu’il attribue à KAX17 servent aussi de point d’entrée. Et d’autres servent d’intermédiaires. « Ces derniers, en tant que nœuds de sortie, représentent la dernière étape de la route de dissimulation qui maintient la connexion entre Tor et le reste de l’Internet. », explique le chercheur.

Ces nœuds ont pour fonctionnalités principales de crypter et de rendre anonyme l’ensemble du trafic et des données des utilisateurs de réseau Tor. Ce qui donne une constitution de réseau et de serveurs proxy qui se transmettre des connexions de sorte à garantir la vie privée et la sécurité ainsi si que l’anonymat des utilisateurs.

Selon le spécialiste de la cybersécurité dans un article publié dans le courant de la semaine, « un modèle a été identifié dans certains de ces relais Tor sans adresses électroniques. ». Ce dernier l’aurait remarqué en 2019 précisément. En essayant de retracer le phénomène, il s’est rendu compte qu’il remonte depuis l’année 2017. Selon lui, l’acteur malveillant ajoute de manière progressive et constante une grande quantité de serveur sans information de contact au réseau. C’est qui lui permet à n’importe quel moment d’avoir accès à une centaine de nœuds en service

« Les mystérieux serveurs se trouvent généralement dans des centres de calcul répartis dans le monde entier. KAX17 ne mise pas uniquement sur des hébergeurs bon marché, mais aussi sur le cloud de Microsoft. Les appareils sont principalement configurés en tant que points d’entrée et de milieu, mais un petit nombre de nœuds de sortie sont également présents. », explique Nusenu dans son article.

Après plusieurs analyses, le chercheur en cybersécurité met en évidence une conclusion inquiétante. La ou les personnes derrière KAX17 ne sont pas des amateurs. Il a juste de manière contrôlée et très efficace en ayant un objectif bien en tête. Le fait de pouvoir collecter des informations sur l’ensemble des personnes qui utilisent le réseau Tor et si possible suivre leur trafic aussi de ce réseau. Et cela demande énormément de ressources qu’il déploie. En effet selon note chercheurs en sécurité informatique, il y a 16 pourcents de chance qu’un utilisateur de Tor se connecte au réseau en passant par le serveur KAX17. L’éventualité que l’utilisateur passe à un relais intermédiaire de ce tracteur malveillant est de 35 %.

Selon Neal Krawetz, chercheur en sécurité informatique et spécialiste en technologie d’anonymisation : « La probabilité élevée d’un contact à l’entrée et au milieu du réseau peut définitivement être utilisée pour identifier des services cachés exploités via Tor. » Cette méthode selon lui « peut également être utilisée pour démasquer les utilisateurs. La possibilité de surveiller en parallèle des services publics en ligne généraux et de suivre ainsi les traces des utilisateurs est prometteuse à cet égard. ».

Les conclusions qui ont été publiées par le chercheur en sécurité Nusenu ont été confirmées par l’indépendance paroles du projet Tor. Ce dernier à en effet expliquer que durant le mois d’octobre et de novembre 2021, il a été fait suppression de plusieurs centaines de nœuds qui auraient été déployés par l’acteur malveillant KAX17. Le porte parole a aussi déclaré qu’une enquête et concours dans le but de démasquer cet individu. Pour le moment aucun indice permet de supposer ou d’établir un lien relativement à l’identité de cet acteur malveillant. Cependant en se fiant aux révélations d’Edward Snowden, la NSA c’est-à-dire le service de renseignement technique des États-Unis capacités nécessaires pour déployer une telle compagne.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Cybersécurité : 4 concepts de piratage les plus tendances du moment

La cybersécurité est quelque chose qui est fortement présente dans notre actualité.

La raison d’une telle situation est tellement simple. Elle réside essentiellement dans la multiplication des attaques informatiques.

Cet article va aussi vous intéresser : Quand le piratage informatique intervient dans une affaire de couple

Chose qui ne va pas s’arrêter de sitôt bien évidemment. Alors dans cet article, nous avons décidé, de vous partager 4 concepts clés qui sont constamment présents dans notre actualité

1- LE RANÇONGICIEL

C’est clairement la star du moment dans le secteur de la cybersécurité. Le rançongiciel aussi connu sous la dénomination de ransomware ou encore de logiciel de rançonnage. Ce programme informatique impacte grandement les activités informatiques des organisations. Il est impossible de passer un mois complet sans que l’actualité nous informe d’une attaque de type rançongiciel.

Le rançongiciel est un programme malveillant qui permet à ses utilisateurs de prendre en otage des systèmes informatiques en empêchant les personnes qui doit y accéder de le faire. De cette manière, il exige le paiement de rançon pour permettre à ceci de lever la barrière. Le plus souvent le paiement est exigé en monnaie cryptographique particulièrement en bitcoin. Cependant, ces dernières années, face à la réticence des organisations au paiement des rançons, les attaques aux rançongiciels se sont transformés en situation de chantage.

Effectivement, on a pu assister à plusieurs situations où les pirates informatiques ont clairement menacé leurs victimes de publier leurs informations confidentielles si celle-ci ne consentaient pas à payer la rançon exigée. On a pu aussi par ricochet observer plusieurs aménagements de la pratique du rançongiciel. On parle aujourd’hui de ransomware-as-a-service (ou RaaS). En d’autres termes, la production et la mise à disposition de rançongiciels au services d’autres pirates informatiques. Dans cette situation, on a plus besoin de soi-même développer son programme malveillant. Il suffit juste de le louer d’où l’explosion des attaques de ce type. Pour finir il faut préciser, que tous les utilisateurs de services numériques sont vulnérables au rançongiciel.

2 – LE DARK WEB

C’est une notion qui est généralement utilisé par les connaisseurs du domaine pour indiquer cette partie d’Internet qui n’est pas accessible par tout le monde ou par n’importe quel moyen. En effet pour accéder au dark web on ne peut pas se servir de Google de Firefox ou encore de Safari. Il faut pour cela, il faut un outil particulier qui lui évidemment est accessible à tout le monde. C’est le moteur Tor. Qui est à la fois un logiciel et un moteur de recherche.

Contrairement web que nous tous connaissons avec des extensions .com ou .net, les sites du Dark Web sont accessibles avec les extensions .onion. c’est généralement un espace utilisé par les pirates informatiques aux toutes les personnes voulant utiliser Internet de manière discrète. C’est aussi un aspect de internet utilisé par plusieurs lanceurs d’alerte et activistes. Le réseau Tor qui sert de pont est entretenu par des bénévoles.

3 – FUITE DE DONNÉES

Les fuites de données sont les plaies des grosses organisations notamment des réseaux sociaux. On parle de fuite de données lorsque des informations confidentielles gérées par un organisme en particulier sont exposées de sorte à ce que n’importe qui puisse y accéder. Les fuites de données sont très courantes. Elles peuvent être causées par des individus pour des raisons particulières telles que la vengeance, dans le cas par exemple d’un rançongiciel où la victime refuse de payer la rançon ou pour des buts activistes. Les fuites de données peuvent aussi être le fait d’une erreur de programmation de serveur.

En effet, les accidents qui conduisent à des Data Leaks ne sont pas aussi rares qu’on le croit. En dépit de tout cela, il faut mettre en évidence que la fuite de données et quelque chose qui est très dangereuses. Car elle expose des informations personnelles ou confidentielles, qui dans de mauvaises mains peuvent voir causer de graves problèmes. C’est d’ailleurs pour cette raison que les États ont tendance à organiser cette situation.

En France par exemple, les organisations victime de fuite de données en vertu du règlement général de la protection des données européen, sont obligés de notifier dans les 72 heures leur problème.

4- LES VULNÉRABILITÉS

Les vulnérabilités sont aussi appelées des failles. Ce sont des défauts de conception d’un appareil ou d’un programme informatique. Ces défauts peuvent alors permettre à des personnes ayant les compétences nécessaires de réaliser des attaques informatiques. Dans certaines circonstances, lorsqu’on parle de cyber attaque, on fait allusion à l’exploitation de faille de sécurité. Dans l’environnement professionnel de la cybersécurité, on a tendance à accorder aux vulnérabilités des identifiants qui se formule comme « CVE », ainsi qu’une évaluation permettant de déterminer sa gravité voire sa criticité. En effet les identifiants CVE définissent les failles de sécurité à faible criticité. Pour les vulnérabilités extrêmement graves, il est utilisé l’identifiant RCE (remote code execution). Les vulnérabilités RCE pub par exemple à des pirates informatiques désinstaller sur un terminal des programmes malveillants.

On utilise aussi l’expression « zero day », pour qualifier une catégorie de vulnérabilité. Ce sont des défauts de conception qui ne peuvent pas être prévus ou observés par les constructeurs lors de la mise à disposition du programme ou de l’appareil en service. C’est d’ailleurs pour cela que ces derniers organisé pour la plupart du temps des sessions de Bugs Bounty.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Dark Web : un piratage qui s’est soldé par le vol de 600 000 numéros de cartes de crédit

Comme quoi le vol de données numériques ne se fait pas seulement que sur des plateformes en légitime.

En effet, il a été rapporté par le média en ligne spécialisé Bleeping Computer, qu’un marché noir sur le dark web aurait été piratée. Les responsables de ce piratage informatique ont réussi à dérober plusieurs données numériques qui étaient vendues illégalement sur la plate-forme en question. Parmi lesquels des données personnelles mais aussi les données financières. Parlons de données financières. Plus de 600 000 numéros de carte de crédit en été volés lors de ce piratage informatique. Avec ce qu’ils viennent de subir, il y a peu de chances que les initiateurs de cette plateforme puissent encore rouvrir.

Cet article va aussi vous intéresser : Les Français ont leurs données vendues sur le marché noir du Dark Web

Le magasin ciblé par l’attaque informatique est connu sous la dénomination de Swarmshop. Il est spécialement destiné à la commercialisation d’informations et des données numériques illégalement. Les personnes qui ont tendance à visiter cette boutique en ligne y vont pour se procurer des numéros de carte de crédit volés, des données personnelles, pour échanger de la cryptomonnaie ou encore y acheter des identifiants PayPal. Les spécialistes en cybersécurité du groupe Group-IB, ceux qui ont découvert cette insolite attaque informatique le 17 mars dernier n’ont pas manqué de porter à la connaissance une situation plus moins drôle.

Sur un autre forum de cybercriminels, il était d’ailleurs possible d’avoir accès au contenu de cette base de données qui a été volée. Les spécialistes de la sécurité informatique affirme qu’elle contient certaines données telles que :

– des surnoms,

des mots de passe,

– les coordonnées,

– l’historique d’activités des administrateurs des vendeurs et des acheteurs de Swarmshop.

« Tous les vendeurs ont perdu leurs marchandises et leurs données personnelles. Il est peu probable que la boutique de cartes réouvre ses portes » précise les chercheurs en sécurité du Group-IB dans leurs rapports.

À titre de précision, il faudrait mentionner le fait que Swarmshop plateforme en ligne qui rassembler une communauté de près de de 12 000 commerçants illégaux du dark web. L’attaque informatique qui l’a ciblé n’est pas la première du genre. En 2 ans c’est la deuxième attaque qui cible les plateformes de ce genre.

Par ailleurs, la base de données qui est mise en vente par les pirates informatiques contient 623 036 numéros de carte de crédit plus précisément. Ces numéros de carte de crédit proviennent essentiellement de pays tels que :

– le Royaume-Uni

– les États-Unis

– la France

– le Singapour

– l’Arabie Saoudite

– le Brésil

– la Chine

– le Canada

– le Mexique.

Les chercheurs du Group-IB ont réussi à démontrer que « 498 justificatifs d’identité de compte bancaire en ligne et 69 592 numéros de sécurité sociale américains et de numéros d’assurance sociale canadiens ». Avec des telles données, les cybercriminels ont la possibilité d’initier plusieurs piratages informatiques ou actes de malveillance.

Pour le moment, les pirates derrières cette attaque informatique n’ont pas encore été identifiés. On ne sait toujours pas les raisons qui aurait bien pu les motiver.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Données médicales : Plusieurs centaines de patients Français voient leur donner données sur le Dark Web

Dans un récent rapport publié précisément le 22 février, la société Française spécialisée dans le cyber, CybelAngel mettait en évidence la commercialisation des données médicales piratées.

La clé de ce rapport est la commercialisation d’un fichier contenant des données appartement à près de 500 000 patients d’origine française selon Challenges.

Le rapport publié expose trois exemples dans lesquels on peut trouver dans des forums de pirates informatiques français, Russes ou Anglophones, ou une base de données telle citée plus haut est en forte circulation. Rapport précise en ces termes que ce qui est plus étonnant dans tout ceci, est la présence de « 500 000 données hospitalières françaises mise en ligne gratuitement, alors qu’elle pourrait rapporter plusieurs milliers d’euros. ». Apparemment c’était un document qui était composé essentiellement de : « nom, prénom, adresse email, numéro de téléphone et données de santé de patients (numéro de sécurité sociale, groupe sanguin, médecin traitant, etc) », et par ailleurs de plusieurs examens médicaux réalisés par les patients.

Cet article va aussi vous intéresser : Fuites de données médicales : vérifier si l’on est concerné par la fuite massive de données de santé

En réalité, c’est des personnes qui avaient acheté ces données au préalable, qui ont par la suite remis en ligne dans le but de les revendre. Le fournisseur originaire au vu de cela décide alors de les publier gratuitement. « Le partage continuera tant que certains revendront ce qu’ils m’ont acheté », note-il.

Selon, CybelAngel, il y a de fortes chances que des fichiers qui ont été mis en vente contiennent des données qui ont pu être récupérées lors des attaques perpétrées contre plusieurs hôpitaux et mutuelles, à savoir la mutuelle nationale des hospitaliers

« Je comprends que des données personnelles puissent être intéressant pour du ciblage publicitaire. Mais je ne voie pas trop ce qu’ils peuvent faire avec des numéros de sécu, groupe sanguin, etc… Quelqu’un aurait une idée du réel intérêt que peuvent trouver des personnes / groupes / sociétés à acheter ceci ? » souligne un spécialiste de la sécurité. Ça peut servir à faire du phishing bien ficelé.

Quelqu’un qui a énormément d’infos très personnelles que normalement seul un hôpital ou un médecin possède peut assez facilement se faire passer pour quelqu’un de confiance.

Du genre « bonjour monsieur X, vous avez bien le numéro de sécu n° XXX ? vous avez fait tel acte médial le 12 janvier dernier, mais on a un souci avec la comptabilité, il manque 100€… » ». Explique ce dernier. Ça ne marchera pas à coup sûr, mais statistiquement, c’est sans doute plus efficace et plus crédible que l’oncle millionnaire qui veut partager sa fortune de 10 millions de € contre un petit virement … Et s’ils tombent sur une personne âgée, ils peuvent aller plus loin, du genre, « vous pouvez vérifier votre compte Ameli ? si vous avez des difficultés, je peux le faire pour vous… » conclut-il.

Pour ce qui en est de la cause de la fuite, une enquête menée par le média CheckNews, a permis de pouvoir identifier l’origine de la fuite de données. Selon ce dernier, le problème puise sa source dans les laboratoires de biologie médicale. Ces laboratoires ont en commun l’utilisation de logiciels connu sous l’appellation de Méga-Bus, un programme informatique obsolète mais toujours en commercialisation. Il serait géré par la société, Medasys, une filiale du groupe français Dedalus France. Le même groupe français qui se considère comme « leader européen en matière de solutions logicielles de Santé » avait été impliqué l’année dernière dans un scandale concernant un lanceur d’alerte qu’il aurait licencié pour « fautes graves ». Ce dernier avait prévenu les autorités des problèmes de sécurité informatique qui est touchent plusieurs programmes fournis par le groupe. Des vulnérabilités qui permettraient à « n’importe qui pouvait accéder à l’extranet, depuis le web. Ce qui permettait notamment d’accéder aux tickets ouverts par les hôpitaux et laboratoires clients ».

Les données concernées ici aurait été volées entre 2015 et 2020 dans plusieurs laboratoires d’analyses médicales des localités de Morbihan, des Côtes-d’Armor, de l’Eure, du Loiret et du Loir-et-Cher.

Quand les laboratoires ont été contactés, tous ont répondu unanimement n’avoir pas été informés par qui que ce soit de la fuite de données dont il est question.

Quant à Dedalus France, l’hypothèse est plausible : « Méga-Bus est une vieille solution. Si des clients l’utilisent toujours, ce doit être les derniers parce qu’elle n’est plus vendue ou maintenue. La plupart des clients de ce système sont en train de migrer ou ont déjà migré. »

À titre de rappel il faut préciser, que le fichier contenait des informations assez sensibles et personnelles sur le plan médical. En effet il y avait des informations portant sur :

– Des grossesses

– Des traitements médicamenteux

– Des pathologies voire séropositivité du patient)

Le pire dans tout ça, c’est que ces données n’étaient même pas chiffrées.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les Français ont leurs données vendues sur le marché noir du Dark Web

Sur le Dark Web, il est possible de trouver en vente des données personnelles appartenant à plusieurs millions de Français en vente libre.

Le marché noir en pleine expansion qui a fait tous les pays du monde entier. Il est possible de s’acheter ces données entre 2 et 4 €.

Cet article va aussi vous intéresser : Malware : Le programme « Alien » capable de voler les mots de passe sur près de 226 applications présents sur le PlayStore

Peu importe ce que les sites internet promettent, que ce soit en terme de sécurité ou en terme de confidentialité, nos données personnelles lorsqu’elles sont collectées par ces derniers ne peut pas être véritablement à 100 % en sécurité. Et le pirate informatique nous le démontre constamment. Les fuites de données sont légions. Les cybercriminels se servent de toutes les informations personnellesk pour initier plusieurs autres actes de cybermalveillance. Et cela peut non seulement nuire, mais cela nuit aussi. Que ce soit de manière individuelle ou générale.

Suite à une veille sur les réseaux du dark web, Zataz a découvert que des données personnelles appartement à plus de 1,4 millions de citoyen français, en majorité des clients de près de 200 sites internet, spécialisés dans le commerce en ligne. Des données qui sont vendues à hauteur de 2 € à 4 € selon la valeur de l’information.

« Nous entendons régulièrement parler des politiques de confidentialité des marques, liées à l’utilisation de nos données personnelles. Pourtant, il est difficile de comprendre réellement comment une cyberattaque, souvent synonyme de vol de données, peut nous nuire individuellement » précise le Service Veille Zataz.

La liste des données se présentent comme étant une des découvertes majeures en terme de fuites de données personnelles touchant les français. Aux mains de certains professionnels de la cybercriminalité, cela peut causer beaucoup de dégâts.  Car en effet, ces informations sont utilisables dans plusieurs cas d’attaques informatique. Que ce soit pour cibler une individuellement une personne, ou cibler une organisation en particulier. Concernant les informations qui se trouvent dans la liste, on peut trouver notamment les identités des personnes, soit des noms et les prénoms. On peut aussi trouver des dates de naissance, de l’adresse email, des adresses géographiques, des adresses postales, des numéros de téléphone etc.

Une telle découverte permet au grand public de savoir à quel point leurs données personnelles peuvent être monnayer et profiter financièrement à d’autres personnes. Et cela malheureusement à leur insu est souvent même à leur détriment. En effet que ce soit des entreprises légales ou des pirates informatiques, plusieurs personnes sont prêtes à investir de grosse somme pour accéder à ce genre d’information.

Les pirates informatiques qui ont réussi à collecter ces informations sont assez bon dans ce qu’ils font. On dira même que leurs compétences sont bien rodées. On pense notamment à l’utilisation massive de l’hameçonnage encore appelé le phishing. Cette technique qui permet aux pirates informatiques de pousser les internautes ou tous les utilisateurs de services numériques vers des plateformes web sous leur contrôle. Des plateformes qui prennent la forme de site internet légitimes habituellement visités par ces derniers. La personne piégée sera amenée à informer des champs d’information pour rentrer ses données personnelles.

C’est comme cela que les informations récupèrent alors ces des informations qui le revendent plus tard sur le marché noir. Il faut noter que le phishing le procédé phare utilisé par les cybercriminels. Presque tous les attaques informatiques commencent par une campagne de phishing. Ce qui démontre à quel point la technique quand bien même que l’on en est conscient. C’est d’ailleurs pour cela que Google à travers Gmail promet de bloquer 99 % des e-mails destinés aux phishing en utilisant l’intelligence artificielle. Mais la menace reste toujours prégnante. Et il y a encore beaucoup d’efforts à réaliser.

Parmi les sites internet dont on peut trouver les données de leur utilisateur sur le marché noir du dark web, nous avons :

– Private Sport Shop en première position avec plus de 95 000 visiteurs touchés ;

– Spartoo en seconde position avec ses 56 000 utilisateurs ;

– Zalando en troisième position avec 49 000 utilisateurs touché ;

La liste complète est consultable sur le site internet de Zataz.

Ce genre de de commerce des informations personnelles est très courant sur le dark web. C’est d’ailleurs pour cette raison qu’il est recommandé aux utilisateurs des services numériques de toujours renforcer leur accès aux services qu’ils utilisent.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage