Archives par mot-clé : serveurs

Fuites de données et Facebook

De façon claire et commune, le plus grand réseau social au monde qui cumule à lui seul plus de plusieurs milliards de visiteurs n’est pas un véritable modèle en matière de protection de données.

En effet, plusieurs spécialistes de la sécurité informatique affirment l’avoir prévenu au moins une fois Facebook face aux différentes vulnérabilités de ses outils. Des avertissements qui sont restés malheureusement sans suite. Récemment le monde entier a pu observer de manière concrète les conséquences de cette négligence de la part de Facebook. 500 millions d’utilisateurs ont vu leurs données en circulation libre sur internet avec les nombreux risques que cela comporte. Pour se défendre face à cette énième fuite d’informations personnelles, Facebook a mentionné que le problème qui aurait pu causer cette situation a été résolu depuis 2019. Cependant, plusieurs spécialistes de la sécurité informatique ne sont pas d’avis.

Cet article va aussi vous intéresser : Facebook aurait été victime d’une fuite de données ?

« Je suis sûr que d’autres entreprises transpirent aussi maintenant. Ce n’est pas seulement Facebook. » explique Inti De Ceukelaire, un chercheur en sécurité informatique belge au média spécialisé spécialisé Wired. Ce dernier fait partie de ceux qui ont signalé à Facebook en 2017 une faille de sécurité qui touchait son outil d’importation de contenus. La même fonction qui permet de scanner les carnets d’adresses des utilisateurs dans le but de les mettre en contact avec des potentiels connaissances. Cependant cette vulnérabilité n’est pas seulement le fait de Facebook. Elle touche aussi Instagram et WhatsApp. En dehors de ceux-ci, d’autres applications de communication utilisent les mêmes outils. Mais si on parle de Facebook, c’est parce que le réseau social a connu plusieurs difficultés au fil du temps. Et chaque fois il aurait promis des correctifs de sécurité. « C’est un thème récurrent pour Facebook qui, à chaque fois que la croissance est en jeu, réfléchit à deux fois avant de réparer quelque chose au profit de la vie privée de l’utilisateur », ajoute Notre expert en cybersécurité.

Le média spécialisé Wired avait noté que dès 2013, le réseau social avait été prévenu par plusieurs chercheurs de ce genre de problème. Un rappel aussi qu’en 2012, l’on a assisté à une fuite de données qui provenaient de l’outil « Téléchargez vos données ». Ce qui a permis aux pirates informatiques de récupérer facilement plusieurs données personnelles qui n’étaient même pas référencées par les utilisateurs, à savoir des adresses mails et numéros de téléphone par exemple. De plus en 2018, suite à une enquête menée par la Commission à la Protection de la vie privée canadienne, il a été conclu que : « Facebook n’avait pas mis en place de garanties appropriées avant la violation pour protéger les informations personnelles des utilisateurs et non-utilisateurs qui retrouvaient de fait leurs données en tant que contacts piratés. ».

Selon Inti De Ceukelaire : « le problème est toujours présent. Il est assez simple d’énumérer des numéros de téléphone et d’extraire des informations d’utilisateurs associées via la fonction d’importation de contacts. À l’époque, il avait soumis la faille au programme Bug Bounty de Facebook, mais l’entreprise n’avait pas jugé le problème suffisamment important pour justifier l’obtention d’une récompense, soit la reconnaissance quelque part d’un bug délicat pour le service. ».

Du côté de Facebook, il a été déclaré une possibilité de revoir à la baisse le nombre de fois qu’une importation de contact par l’utilisateur serait possible. Cependant le réseau social sur refuse d’accepter cela comme une faille de sécurité.

En 2019 rappelons-le, l’hacker connu sous la dénomination @ZHacker13 se présentant comme un chasseur de bug et hacker éthique, avait présenté à Facebook un rapport de vulnérabilité concernant son outil d’importation de contact de Instagram. Grâce à cela il était possible pour les pirates informatiques de pouvoir extraire suffisamment d’informations telles que les numéros de téléphone de manière automatisée. À la soumission du rapport de vulnérabilité, le réseau social avait répondu en ces termes : « être déjà au courant du problème à la suite d’une découverte interne » et que ce genre de failles de sécurité ne présentaient qu’un « risque extrêmement faible (…) à moins de déterminer à quel identifiant utilisateur spécifique était lié une adresse mail ou un numéro de téléphone. ». Pour que Facebook reconnaisse ce rapport comme étant légitime et accepte de verser une prime de bug hauteur de 4 000 dollars rechercher en sécurité informatique, il a fallu que le magazine Forbes publie un article sur la question. Selon sa justification Facebook déclare alors : « Cela aurait pu permettre à un utilisateur malveillant d’imiter Instagram et de rechercher des numéros de téléphone pour trouver à quels utilisateurs ils appartenaient ».

Malheureusement le réseau social ne change pas sa manière de fonctionner. C’est la même rhétorique qui a été utilisée pour contourner le problème de la fuite de données de 500 millions d’utilisateurs. « Nous avons apporté des modifications pour empêcher les acteurs malveillants d’utiliser un logiciel pour imiter notre application et télécharger de grands ensembles de numéros de téléphone pour voir lesquels correspond aux utilisateurs de Facebook », s’expliquait Facebook.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Microsoft Exchange : les boîtes e-mails piratées

Encore aujourd’hui, on continue de parler des failles de sécurité des serveurs qui affectent Microsoft Exchange.

Une importante vulnérabilité qui ébranle d’une certaine manière le monde professionnel ainsi que le monde informatique d’e façon générale. Ces 4 vulnérabilités connues sous la dénomination de Proxylogon, ont facilité la réalisation de plusieurs attaques informatiques ciblées. En l’occurrence, le Spear phishing ou encore le déploiement de logiciels de rançonnage (Ransomware). Le déploiement de patch de sécurité par la firme de Redmond n’a pas suffi pour ralentir la vague de cybercriminalité, qui profite au maximum de la découverte de cette faille de sécurité. Aujourd’hui, des milliers d’organisations sont vulnérables, que ce soit des entreprises ou encore des collectivités territoriales.

Cet article va aussi vous intéresser : Piratage informatique : environ 400 systèmes informatiques de la Belgique touchés par la faille de sécurité de Microsoft Exchange

Récemment par exemple, il a été mis à jour une autre faille de sécurité qui offre la possibilité de prendre à distance le contrôle des serveur email de Microsoft Exchange. Apparemment des pirates informatiques auraient déjà profité de cette dernière pour pirater des boîtes mails.

« Peu de cibles avec des serveurs vulnérables ont pu éviter les premières cyberattaques automatisées qui sévissent depuis des semaines. Si c’est le cas, il faut qu’ils jouent au Loto », note directeur France de WatchGuard, Pascal Le Digol. L’entreprise française mentionne que l’une des entreprises avec lesquels il collabore avait été touché de plein fouet avec 50 postes de travail. Son système informatique a été paralysé en seulement 6 minutes.

Le piratage de boîtes e-mails a été mis à jour après celui qui a touché l’Autorité bancaire européenne. Un piratage qui était facilité par les failles de sécurité « Proxylogon », sur Exchange.

Rappelons qu’au début du mois de mars 2021, Microsoft avait lancé un avertissement concernant les agissements d’un groupe de pirates informatiques nommé « Hafnium ».   Ce groupe profitait de plusieurs failles de sécurité de type 0 Day pour s’infiltrer dans les boîtes e-mails à des entreprises ainsi que des organisations stratégiques du gouvernement américain.

« Deux d’entre elles sont critiques et permettent de lancer des commandes du serveur à distance sans authentification, de prendre complètement la main dessus et d’accéder à tous les e-mails », nous explique, directeur technique chez Vectra Networks (entreprise spécialisée dans la détection des attaques informatiques en temps réel), Grégory Cardiet.

De la sorte, les pirates informatiques se trouvent en position de récolter suffisamment de contenus se trouvant sur les serveurs que les entreprises ont installés

« Le problème est systémique car quasiment tout le monde utilise du Microsoft Exchange et les failles touchent toutes les versions logicielles depuis celle de 2010 », souligne Vincent Hinderer, un expert des cyber menaces de chez Orange Cyberdéfense.

Selon l’entreprise américaine, le gouvernement chinois sur est derrière toutes ces actions de cybercriminalité. Profitant ainsi de la faille de sécurité pour s’engouffrer et mettre en œuvre pour quand cette vague de cybermalveillance. Durant le mois de mars, il a été observé une multiplication des tentatives par 10, selon les spécialistes de l’entreprise américaine de cybersécurité Checkpoint. Cette situation a été confirmé par Microsoft.

L’un des problèmes de cette situation, c’est que les vulnérabilités en question peuvent être exploité par des petits hackers

« La faille la plus intéressante et son code, comme la méthode pour l’exploiter, ont été partagés sur Reddit puis copiés et repartagées partout, et la liste des serveurs vulnérables est facilement accessible dans des bases de données sur Internet », précise Grégory Cardiet. « Tous les pirates, à partir des plus nuls, savent comment créer un script automatique qui va sonder la présence des vulnérabilités dans des serveurs, c’est une faille qui fait très mal », ajoute de son côté Pascal Le Digol de WatchGuard Technologies.

À la découverte de la faille de sécurité, on parlait de 400 000 serveurs écrit à travers le monde entier. Aujourd’hui avec le patch de sécurité déployé par Microsoft, il est estimé à hauteur de : « 15 000 serveurs étaient vulnérables » déclare le patron de l’agence nationale de sécurité des systèmes d’information, M Guillaume Poupard.

« Il y a eu une mobilisation générale inédite pour faire face à l’enjeu et une grosse partie du parc a heureusement été protégée, cela n’a pas été le “Pearl Harbor” redouté », essaie tant bien que mal de rassurer Vincent Hinderer, de Orange Cyberdefense.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

3 VPN « favoris des cybercriminels » fermé par les autorités

C’était des réseaux qui étaient utilisés depuis maintenant 10 ans à travers le monde.

Suite à une collaboration entre les polices américaines et européennes, il a été annoncé ce 22 décembre, la fermeture et la mise hors d’usage de 3 réseaux privé virtuel, des VPN pour être plus précis.

Cet article va aussi vous intéresser : Les VPN pour contourner le blocage géographique, les avantages et inconvénients de ces outils

Selon les informations fournies par la coopération internationale de police c’est-à-dire Interpol, ce sont des outils qui font partie de la même infrastructure. Celui qui a le plus connu parmi ces VPN est Safe-Inet, réseau qui offrait à ses utilisateurs près de 5 couches de connexion de sécurité VPN anonyme. Ce qui permettait d’initier des attaques informatiques.

Plusieurs agences de police ont été mêlé à cette opération notamment celles de l’Allemagne, des Etats-Unis, de la France de la Suisse et des Pays-Bas. Selon l’annonce d’Europol, les autorités policières dans ces États, ont procédé à la désactivation de l’ensemble des serveurs ainsi que de la saisie des noms de domaines à partir desquels, il était possible d’avoir accès à ces 3 réseaux privés virtuels. Lorsque les utilisateurs tentent d’accéder quand même au site interne, apparaît une bannière qui marque : « l’analyse des données saisies ».

Les services de VPN fermés par les autorités sont à l’occurrence : insorg.org, safe-inet.com et safe-inet.net. Cela fait exactement 10 ans que ces réseaux virtuels privés sont en fonctionnement. Selon, les autorités policières, il semblerait que ce sont les mêmes groupes de techniciens qui les aurait conçus. Il n’est pas rare de voir leur publicité passer sur des forums généralement animés par des cybercriminels.

Comment laisser dans la pratique les VPN sont des moyens informatiques utilisés par tout internaute pour cacher de manière partielle leur identité en ligne en utilisant des adresses IP factices. Pour ce qui concerne ces trois VPN, leur service côté prêt de 190 dollars l’année à environ 1,3 dollars pour la journée.

Selon les agents de Europol, près de 250 entreprises auraient été espionné grâce à ces trois réseaux virtuel privé. Les pirates informatiques les utilisent aussi selon les autorités pour diffuser plus facilement des logiciels de rançon, pour pratiquer à grande échelle le phishing ou encore le web skimming sans oublier plusieurs autres formes de cybercriminalité. « Safe-Inet était utilisé par certains des plus grands cybercriminels au monde, responsables d’attaques par rançongiciels, de piratage de données de cartes bancaires et d’autres formes de cybercrimes graves », pouvait-on lire dans le communiqué d’Europol. L’agence européenne de coopération policière souligne également que Safe-Inet.com était mis à disposition comme « l’un des meilleurs outils disponibles permettant d’éviter l’interception des forces de l’ordre ». Dans le jargon, ces trois services de réseaux virtuels privés ont la qualification de « hébergement résistant aux balles », en anglais bulletproof hosting services, ainsi précisé par le Département de la justice américaine. On entre dans le cadre, avec cette expression, des services web qui sont généralement composés de plate-forme qui use de certains moyens pour contourner certaines règles sans pour autant violer la loi.

Il faut noter par ailleurs que l’opération qui a permis de démonter les ces réseaux a été appelée par les autorités américaines « Operation Nova ». Par ailleurs, les entreprises qui étaient espionnées à travers ces réseaux ont tous été averties.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La NSA prévient contre de nouvelles attaques du Sandworm

L’agence de sûreté américaine, la NSA a déclaré récemment que les serveurs de messagerie de l’agent Exim étaient ciblés par des cybercriminels.

Des pirates informatiques qui seraient selon l’agence américaine de nationalité russe, et qui ont pour intention d’installer des portes dérobés depuis 2019.

Cet article va aussi vous intéresser : Quelques conseils d’Edward Snowden face aux géants du numérique

Le vendredi dernier, la NSA publiait une alerte de sécurité. Cette alerte mettait en garde contre de nouvelles compagnes de piratage informatique dont la cible et des serveurs dédiés à la messagerie. L’agence de sûreté nationale américaine accuse la Russie d’être derrière cybercriminalité. En effet, elle  indique que les pirates informatiques derrière ces actes de cybermalveillance ferait partie d’une unité de cyberespionnage, des plus avancées de l’État Russe. L’unité dont il est  question eit là 74455 du GRU Main Center for Special Technologies (GTsST), connu comme une branche du service de renseignement de l’armée russe. Elle serait impliquée dans l’attaque des serveurs de messagerie électronique de Exim, une société de transfert de courrier.

Le groupe de pirates indexé par la NSA se fait aussi appeler SandWorm. L’agence américaine signifie qu’il cible Exim depuis mi 2019. Des cyberattaques qui tournaient autour de l’exploitation d’une faille de sécurité à l’instar de CVE-2019-10149. « Lorsque Sandworm exploitait CVE-2019-10149, la machine victime téléchargeait et exécutait ensuite un script shell à partir d’un domaine contrôlé par Sandworm » explique la NSA. Avec ce script malveillant, les cybercriminels pouvaient alors :

– Ajouter des utilisateurs disposant de privilèges d’administrateur ;

– Mettre hors d’usage les configurations de sécurité du réseau ;

– Effectuer les mises à jour au niveau des configuration SSH en vue de créer un accès à distance pour leur visage ;

– Exécuter un autre programme pour the futurs.

L’agence américaine de sûreté a de son côté averti les organisations gouvernementales et les structures privées de procéder à la mise à jour de leurs serveurs de l’agent Exim et tourner vers la version 4.93. la NSA de plus de conseiller aussi de procéder à des audits de sécurité afin de chercher de potentielles vulnérabilités et de potentiels cas où signe de compromission. À cet effet,  elle met à la disposition des organisations, des indicateurs de compromis qui sont disponibles dans le PDF publié.

En outre, il faut noter que le groupe dénommé Sandworm est en activité depuis les années 2000. Certains spécialistes de la cybersécurité l’accusent même d’être à l’origine du programme malveillant connu sous le nom de BlackEnergy, un malware qui a causé d’énormes dégâts au niveau des secteurs énergétique en Ukraine. Causant ainsi une grosse panne d’électricité en décembre 2015 et 2016. Mais ce que l’on sait avec certitude, c’est que ce groupe est à l’origine d’un des célèbres malwares qui n’aient jamais existé : le célèbre rançongiciel NotPetya. Un programme malveillant qui a coûté des milliards de dollars à plusieurs entreprises à travers le monde entier.

Par ailleurs, notons que Sandworm fait partie selon les médias en Occidentaux, comme l’un des groupes les plus avancés, financé par l’État russe, avec le groupe de pirates « Turla ». Par ailleurs la faille de sécurité (CVE-2019-10149) que le groupe Sandworm essaie d’en tirer profit a été découverte depuis le mois de juin de l’année dernière. Le géant américain, Microsoft à cette période on avait commencé à émettre des alertes, expliquant, aux clients de son service cloud, Microsoft Azure, qu’un programme malveillant avait été développer et qui menaçait les serveurs Exim. L’objectif était de s’emparer des infrastructures cloud de la firme de Redmond.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Lorsque la ville de Marseille a failli sombrer face aux pirates informatiques

Les faits se déroulent dans la nuit du 13 au 14 mars.

Les systèmes d’information de l’administration Marseillaise est victime d’une attaque informatique de grande ampleur. La municipalité est proche du black-out. La panique commence à s’installer. Les pirates informatiques qui avaient minutieusement préparé leur coup, réussissent à prendre en otage le système informatique de la ville. Pour le relâcher, ils exigent le versement d’une rançon.

Cet article va aussi vous intéresser : La ville de Marseille, victime des cyberattaques qui dure depuis maintenant 1 mois

Un coup classique de l’attaque au rançongiciel. En ce moment il était possible de lire sur les réseaux sociaux que ce soit Twitter, Instagram ou Facebook ce genre de commentaires :

« Même dans l’espace cyber, et après l’espace réel, cette ville réussit l’exploit de démontrer toute sa désinvolture, son incapacité, ses négligences et son amateurisme. Cette pauvre ville est dans le gouffre. » commenté par juliastephan ;

« Bug 2 jours avant les municipales, quel hasard !!! Et en plus avec des serveurs situés en Irlande alors là c’est le coup suprême….Pas même pays, ni même loi…. »

Commenté par marselle;

« Attaque peu sophistiquée, failles majeures de sécurité, architecture flapie et complètement vulnérable. Ici encore la même désinvolture dévastatrice des services de la ville (deuxième ville de France…waouh !!!). » commenté par Souslevercors.

Ces commentaires en quelques lignes pouvaient mettre en évidence l’état d’esprit qui prévalait en ce moment. Tout le monde y allait de sa petite idée. Certains commentateurs, étant du secteur de la sécurité ont eu à critiquer au plus fort le comportement des spécialistes de l’administration Marseillaise, dont un en particulier du nom de Korbain sur Twitter. « Bonjour, 200 informaticiens pour en arriver là !!!!! Ancien responsable informatique, j’ai du mal à comprendre la négligence de l’équipe informatique de la ville de Marseille. En effet, il devrait y avoir un plan de sauvegarde qui permet un redémarrage à J+1/J+2 au maximum. Comment l’équipe réseau peu mettre des sauvegardes sur le même réseau que les serveurs de production. Si j’avais eu ce genre de problème lorsque j’étais en activité, j’aurai été viré. Mais à la ville de Marseille, je pense qu’ils auront une prime pour avoir remis en place le système informatique après un mois et demi d’arrêt… Bon aussi quand on embauche des colleurs d’affiches (les amis des amis à Gaudin) en guise d’informaticiens on a que ce qu’on mérite. ». Ce genre de réaction se comprend aisément… En effet, plusieurs négligences ont été observée dans la gestion du système de l’administration Marseillaise. Même si aujourd’hui le pire est passé, ce genre de problèmes peuvent encore survenir. Surtout si l’organisation ne s’améliore pas. C’est d’ailleurs pour cette raison que le gendarme en français de la sécurité informatique, l’Agence nationale de sécurité des systèmes d’information (l’Anssi) ne cesse de mettre en garde un prodiguant des recommandations à tout bout de champ.

Le chef de service de la mairie de Marseille commentait l’événement : « Putain, ça a été un véritable coup de poignard dans le dos cette histoire. ». N’étant pas habitué à jongler entre WhatsApp et Zoom en passant par Teams de Microsoft, il admet que cette période a été très difficile au niveau du travail. « On a vécu l’enfer, et on est encore loin d’en être sorti. ». On se rappelle que le 14 mars dans la journée, les centaines de fonctionnaires que compte la municipalité de Marseille ont tenté en vain de se connecter à leur compte depuis chez eux sans succès. C’est après avoir échangé entre eux que les ingénieurs de l’équipe informatique ont automatiquement soupçonné un problème de ce genre. « Là, il s’est rapidement rendu compte qu’on était la cible d’une énorme attaque, que tout était en train d’être crypté. Il n’a pas hésité : pour la faire courte, il a arraché la prise, il a tout débranché, afin de limiter les dégâts. ». Durant ce court moment, la ville de Marseille était proche de ce qu’on peut appeler un Black-out numérique.

En effet, l’ensemble du parc informatique composé de près de 6 000 ordinateurs et 450 applications métiers étaient accessibles aux utilisateurs habituels. Les accès avaient été cryptés. Même la sauvegarde de toutes les données avait été aussi infectées par les pirates informatiques. « Ça s’est peut-être joué à une heure, ou deux (…) « si les sauvegardes avaient été cryptées, ça aurait été une catastrophe et oui, en effet, on aurait peut-être été contraints de payer ce qu’on nous réclame (…) Ça s’est peut-être joué à une heure ou deux. » expliquait une source en proche de la mairie. En ce moment les pirates informatiques prennent contact, et proposent même le déchiffrement de deux fichiers gratuitement pour prouver la bonne foi. Mais le mot d’ordre étant de ne pas payer dans ce genre de conditions, rien ne se fit. D’un autre côté, les habitants de la cité phocéenne n’étais pas au courant de ce qui se passait. Pourtant presque tous les services ne fonctionnaient plus. « À ce moment précis, pour vous donner seulement quelques exemples, plus aucun de nos services à la population, comme Allô Mairie, n’étaient disponibles, on n’avait plus le moindre planning de nos 12 000 fonctionnaires, et on n’avait même plus notion de leur rémunération, on avait paumé les listes électorales pour le lendemain, mais aussi les listes d’inscriptions des enfants dans les crèches et écoles primaires pour la rentrée prochaine, on était bien incapables de savoir à quelles entreprises on devait de l’argent, tout comme on ne savait plus où en étaient les instructions de centaines de permis de construire, les commissions de sécurité sur les immeubles en péril, on ne pouvait plus enregistrer de mains courantes à la police municipale, laquelle ne pouvait même pas dresser de PV électroniques dans le cadre du respect des règles de confinement, on ne pouvait plus savoir, non plus, quelles concessions étaient libres dans les cimetières et puis, de toute façon, on ne pouvait même plus enregistrer en bonne et due forme les naissances et les morts. ». Expliquait la source proche de la mairie de Marseille.

Actuellement tout semble entrer peu à peu en ordre. Selon les autorités de la mairie, tout est mis en œuvre pour « relancer chaque serveur après l’avoir passé au peigne fin parce que le moindre oubli peut relancer cette merde ! ». Elles prévoient un retour total à la normale à partir du mois de Mai.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage