Le Ver Conficker continue à faire parler de lui. Il a infecté des millions de PC et notamment ceux de la Marine francaise.
Microsoft a décidé de faire comme au far-west. Il propose une prime de 250 000 dollars pour débusquer le créateur de ce virus.
Les chasseurs de primes devraient donc se tourner vers les pays de l’Est car selon nos informations, l’auteur de ce code malveillant très sophistiqué se trouverait soit en Russie, soit en Ukraine…
Laisser un Commentaire » | 
Informatique, Sécurité | Tagué: hacker, Microsoft, pirate, virus | 
Permalien
Publié par toma7537
Dans un communiqué officiel, “Doctor Web France annonce le recrutement de Marc Blanchard, l’un des scientifiques européens les plus reconnus en matière de recherche antivirale”.
Après etre passé chez TrendMicro, ce spécialiste des virus était chez Kaspersky, l’autre concurrent russe de Doctor Web…
« Mes axes de travail sont divers et complémentaires. Dans un premier temps, je vais m’appliquer à mettre en place une structure de support technique qui devra, à terme, fournir une grande réactivité et surtout un niveau d’expertise à même de répondre à l’ensemble des attentes des clients Dr.Web®. En parallèle, j’accompagnerai les équipes Doctor Web, Ltd dans l’amélioration des techniques de lutte antivirale », a précisé Marc Blanchard.
Avec cette nomination, Doctor Web entend bien accélérer son développement en France et inciter de nombreuses entreprises à installer son excellent antivirus…
1 Commentaire | Informatique, Internet, Sécurité | Tagué: hacker, Kaspersky, pirate, virus | Permalien
Publié par toma7537
Il n’y a pas que les logiciels qui présentent des failles, il y a aussi et surtout l’être humain. Michel Iwochewitsch, Directeur associé de Strateco, cabinet spécialisé dans le conseil en Intelligence stratégique et dans la sécurité informationnelle, l’a rappelé aujourd’hui (le 4 juin) lors d’une Le Symposium sur la Sécurité de l’Information et des Communications (SSTIC).
Voici la version longue d’une interview plus courte qui est publiée aujourd’hui sur 01net.com.
1-Quelles sont les principales failles humaines et celles qui sont les plus exploitées par les attaquants car elles sont les plus évidentes et faciles ?
Avant d’aborder les failles, j’aimerais préciser qui sont les prédateurs les plus courants : on parle dans les milieux de la sécurité informatique essentiellement des social engineers mais mon expérience dans les audits de sécurité me fait dire qu’il ne s’agit pas et de loin de la catégorie la plus dangereuses ! Globalement, ils sont peu formés et exploitent des failles basiques !
Nous utilisons dans notre cabinet la typologie suivante (en risque de dangerosité) :
- Social engineer : peu formé, méthode basique. Essentiellement des opérations « one-shot » (password par exemple)
- Escrocs : souvent nettement mieux formés. Plus expérimentés. Plus de ressources financières et de fait plus dangereux
- Opérateurs de renseignement industriel : en plein développement ! Exploitent de nombreuses failles en combinaison et pas seulement des failles humaines. Les cas répertoriés sont de plus en plus nombreux. Le spooke (selon la terminologie anglo-saxonne) est un opérateur redoutable et discret !
- Groupe de criminalité organisée : disposant de moyens financiers et techniques importants. Très bien formés. Exploitent souvent des opérateurs anciens des SR. Redoutables et en plein développement comme vous l’avez souligné dans votre ouvrage ! Exploitent en plus des pressions fortes sur les individus pour les intégrer dans leurs réseaux.
- Services officiels de renseignement : les mieux formés. Capable de pénétrer à peu prêt partout ! Ils ont dangereux en terme de méthodologie mais leurs objectifs sont essentiellement de « récupérer » une technologie. A l’inverse d’un concurrent peu scrupuleux, ils ne cherchent pas à endommager directement le fonctionnement de l’entreprise cible.
En ce qui concerne les failles, on peut les classer en plusieurs sous-ensembles :
- Les failles universelles résumées dans les acronymes comme MICE ou ASIE : elles existent depuis la nuit des temps ! Facilement mobilisables pour contraindre/motiver un individu. L’argent et l’Ego sont les deux facteurs sur lesquels jouent le plus souvent les prédateurs selon notre expérience. L’Ego est souvent exploité sous son angle négatif (employé frustré d’avoir raté une promotion selon lui mérité, « faire partie de ceux qui savent », etc.)
- Les failles exploitables de type heuristique et biais cognitifs : failles extrêmement courantes dans les approches des individus. Quasiment toutes les méthodes agressives reposent sur ces dernières. A titre d’exemple, l’élicitation (en direct ou par tél) d’information s’appuient dans son cœur méthodologique sur des approches cognitives destinées à limiter le passage de l’individu en mode systématique et de le « laisser » en mode heuristique (modèle ELM en psychologie de la persuasion). L’exemple type de ces failles : les grandes lois de psychologie sociale ! (cf. « le petit guide de manipulation à l’usage des honnêtes gens »). Le social engineer en a souvent une connaissance intuitive et sait créer l’illusion de la confiance, donner l’illusion de faire partie d’un groupe, etc. Les autres opérateurs sont généralement des spécialistes de l’exploitation de ces failles et les mettent en œuvre en permanence…
- Les vulnérabilités des traits de personnalités : plus rarement utilisées par les escrocs. Fréquent chez les spécialistes du rens industriel et les SR. Plusieurs cas ces dernières années prouvent qu’un « transfert de méthodologie » a permis aux groupes de criminalités organisées de disposer de ce « savoir-faire ». A ma connaissance : pas de cas connu d’exploitation par les social engineers de ce type d’approche
2-Avez-vous des exemples d’attaques reposant essentiellement sur une analyse des failles humaines ?
Oui ! Pour d’évidentes raisons de sécurité, je démarquerais ces exemples à l’exception de ceux ayant fait l’objet d’articles de presse. Et je classerais ces exemples en fonctions de la typologie d’attaques possibles :
En déplacement de cadres à l’étranger et/ ou sur « points d’eau » :
- Élicitation de la banque de la cible lors d’une discussion dans un salon pro. Achat des relevés CB à la banque auprès d’un « agent d’accès » recruté pour cette fonction précise (ex : un conseiller de banque). Analyse des localisation des factures avec la proximité de clients – actuels et futurs – de la cible.
- Groupe spécialisés de copie du contenu des portables dans les hôtels agissant sur le S de ASIE en mettant des prostituées dans les bars d’hôtels de certaines villes d’Asie du Sud-Est. Ces groupes sont fortement organisés et proches de la criminalité organisée
- Utilisation d’une call-girl pour tamponner des cadres cibles dans une ville étrangère sur la base du S et de l’habitude des cadres commerciaux de « profiter » des occasions. Une fois le cadre endormi dans la chambre d’hôtel, la call-girl accepte les SMS d’enregistrement d’un système de suivi du tél portable sur Internet réalisé par un autre opérateur. Une simple connexion sur le site internet permet ensuite de savoir avec précision les déplacements de la cible lorsqu’il visite des clients/fournisseurs.
Dans les « réseaux sociaux » de la cible :
- En jouant sur le A de ASIE = proposer à une cible dans un réseau social quelconque d’obtenir à très bas prix des portables téléphoniques dernière génération, sous Symbian qui contiennent des pisteurs d’appels, de sms, etc.
- Le cas d’un agent d’accès : une jeune femme qui travaille dans une agence de voyage rencontre un soir un JH étudiant bien sous tout rapport. Elle sort avec lui et tombe amoureuse. Le JH lui annonce plus tard, qu’il doit quitter la ville et abandonner ses études par manque d’argent ! (technique dite du chaud-froid), quelques jours plus tard, il lui propose un marché en lui faisant rencontrer le spooke qui propose de l’argent contre la liste des déplacements d’individus précis au sein du système de réservation SABRE…
- Une opération de collecte par élicitation est montée contre le service R&D d’une PME. L’opération se divise en 1-collecte de l’organigramme par social engineering (multiples méthodes) et identification des cadres clés sur les projets intéressants le client du spooke. 2-shell-company fait passer une annonce de recrutement dans un journal spécialisé. L’annonce correspond précisément aux caractéristiques des cadres identifiés. 3-réception des CV des ingénieurs intéressés. 4-Relance des ingénieurs n’ayant pas réagit par une « chasseuse de tête » du faux cabinets. 4-une salle est louée dans un Regus pour la semaine, les ingénieurs sont convoqués. 5-les entretiens permettent d’éliciter les informations nécessaires sur les projets intéressants le client, ils ont également filmés discrètement. 6-une offre financière « optimale » est proposée aux cadres les plus intéressants et les plus fragiles. Plusieurs débriefings sont réalisés sur les cibles les plus fragiles. 7-l’offre est annulée au bout de quelques temps car le poste est dans une société qui travaille sur un rachat de l’entreprise cible et que c’est incompatible avec les normes éthiques de recruter sur cette société. 8-Pour les plus fragiles, il leur est proposé d’aider le futur acheteur en donnant des informations sensibles en échange d’un contrat de consulting !
Au sein de l’entreprise par sources humaines :
- Le cas le plus célèbre est celui des SR russes avec Erickson : la documentation représentait environ l’équivalent papier de 10 camions 32T
- Le cas GM-Volskwagen par le recrutement de Lopez
- Un cas dans une PME disposant d’un bureau d’étude à Cuba. Le responsable de la R&D a été tamponné sur place et profilé. Une fois fait, le groupe local (jamais déterminé à ce jour), a « alimenté » ses besoins en filles et luxe (casino, etc.). Une fois pris dans l’engrenage (divorce, situation financière catastrophique), la cible s’est vu offrir une « porte de sortie » en validant des factures d’un montant important vers le bureau d’étude ! Résultats = la PME a failli couler. Plusieurs licenciements pour la maintenir à flot. Un commissaire aux comptes refusant de valider les comptes. Une rupture des contrats de couverture d’assurances crédits alors que la PME faisait 80% de son CA à l’international …
En one-shot via des attaques de type social engineering :
- Il existe des dizaines d’anecdotes sur le SE. D’un point de vue technique, toutes passent par une discrétisation des recherches (split en petits éléments d’information permettant de reconstituer la grande image), l’identification de la « surface utile » (en clair = les lieux/flux de l’entreprise les plus logiques pour trouver l’information ET les plus fragiles), et la mise en place d’un « rôle » permettant d’arriver à ses fins (comptable, jeune embauché, services techniques, de sécurité, etc.). Un simple exemple : le SE sait que la cible utilise le logisticien Alpha pour ses expéditions clients. Il va personnifier un comptable nouvellement arrivé chez le logisticien qui reprend des dossiers et ne retrouve pas les dernières factures. Il obtient les copies de ces dernières par fax ou email. Il réalise la même opération dans l’autre sens sur le logisticien.
- Pour l’anecdote – et parce que les méchants ne gagnent pas toujours lol – le NYPD a réalisé une opération de ce type il y a quelques années, en envoyant sous couvert d’un shell-company des lettres à des individus sous mandat d’arrêt. La lettre dans le pur style SE précisait que les individus avaient gagné un prix quelconque (voiture par ex.). Un bureau était loué au nom de la société fictive. Le prix devait être cherché en personne. Les arrestations avaient lieu dans la rue.
Typique de la criminalité organisée :
- Opération d’élicitation via téléphone et en direct des informations nécessaires pour comprendre le cheminement interne de validation des factures (limite en montant, signature autorisée, etc.). Intégration dans une phase II de fausses factures au nom d’un cabinet de consulting d’un montant sous la limite de vérification des autorisations. Reproduction des factures à un rythme élevé dans les sociétés ayant créé le compte fournisseurs dans les services comptables… Résultats = plusieurs centaines de milliers d’euros escroqués en respectant les procédures !
- Recrutement d’agents au sein de la CPAM de ce pays pour disposer d’un accès aux fichiers. Le recrutement se faisait soit par proposition d’argent (A), soit par coercition (C de MICE), etc.
- Il existe de multiples autres anecdotes sur le sujet de la criminalité organisée et des entreprises. Mais elles sont trop longues à développer ici
Mixte avec exploitation de failles techniques (communications, informatique, etc.) :
– Un détective privé US est recruté en Californie sous un faux prétexte (contrefaçons). Il équipe les camions du logisticien de la société cible de transpondeur GPS pour suivre les déplacements de ces derniers. Les stop des camions correspondent aux déchargements. Par recoupement, la liste des clients est identifiés. (illégal dans beaucoup de pays, autorisé en Californie)
- Le placement de tél portable sous symbian est aussi une opération mixte (cf. ci-dessus).
- Une opération de désinformation qui a désorganisé une filiale d’un grand cabinet de conseil : collecte par élicitation des numéros de tél portable des associés. Collecte des habitudes de communication de ces derniers. Collecte des portables des juniors et seniors. Sélection des individus utilisant les SMS. Faux SMS envoyés aux différentes personnes en changeant des lieux de réunions, des dates, des ordres, en mettant des messages personnels (liaison, personne se détestant, licenciement, démission), etc. Énorme pagaille durant plusieurs semaines au sein du cabinet !
- Par élicitation ou SE, le spooke identifie le nom de la société en charge de la gestion des ordinateurs auprès de la société cible. Cette société est située dans une zone industrielle. Il recrute ensuite au sein de la société de gestion une source en proposant de l’argent sous un prétexte quelconque. L’agent installe sur tous les PC, un keylogger et/ou un autre dispositif technique ou physique. Les PC sont livrés au fil du temps. La collecte d’information est lancée. Je connais un cas où le spooke a en plus recruté des jeunes casseurs pour forcer les bureaux et voler les PC non infectés… Afin d’accélérer la procédure de renouvellement des PC !
La deuxième partie de cette interview sera publiée jeudi 5 juin. En attendant, vous pouvez aussi lire les récents numéros de la revue MISC dans lesquels Michel Iwochewitsch a écrits de très bons articles.
Laisser un Commentaire » | Informatique, Internet, Sécurité | Tagué: attaques, hacker, pirate, virus | Permalien
Publié par toma7537
Symantec vient de publier son Rapport ISTR qui rend compte chaque semestre des dernières menaces pesant sur les activités internet. même s’il ne peut prétendre à une vision parfaite de la cybercriminalité, ce rapport est très intéressant car il s’appuie notamment sur les données récupérées par 40 000 sondes dans 180 pays, 120 millions de PC et passerelles mais aussi 20 000 vulnérabilités enregistrées et plus de 2 millions de boites aux lettres emails qui représentent 30% du traffic aux Etats-Unis. Ces infos concernent donc avant tout les pays anglo-saxons mais la France n’est pas en reste.
Voici les principaux points clés présentés ce matin lors d’une conférence de presse :
La vulnérabilité des sites est sans doute l’indication la plus probante de cette nouvelle tendance. Il s’agit surtout ici de vulnérabilités dans le code propriétaire et le code client d’un site Web spécifique. Au cours du dernier semestre 2007, on a relevé 11 253 vulnérabilités de script intersites sur plusieurs sites.
Au cours du dernier semestre 2007, Symantec a constaté que les données d’identité, les cartes de crédit et les coordonnées bancaires représentaient 44% des marchandises disponibles sur les serveurs de l’économie souterraine. Les comptes bancaires figurent en tête des « articles » mis en vente sur les serveurs surveillés par Symantec pour 22% des marchandises disponibles, un chiffre en légère augmentation par rapport au premier semestre 2007 où ils atteignaient 21%.
Au cours du dernier semestre 2007, Symantec a détecté 499 811 nouveaux programmes malveillants. Ce chiffre représente une augmentation de 136% par rapport à la période précédente, où 212 101 programmes avaient été détectés, et une hausse de 571% par rapport au second semestre 2006. Au total, Symantec a détecté 711 912 nouvelles menaces au cours de l’année 2007, soit une augmentation de 468% par rapport aux 125 243 menaces relevées en 2006. Ce chiffre porte le nombre total de programmes malveillants identifiés par Symantec à 1 122 311 à la fin de l’année 2007. Ce qui signifie que les deux tiers environ des programmes détectés ont été créés au cours de l’année 2007.
Au cours de la seconde moitié de 2007, les chevaux de Troie représentaient 71% des 50
programmes malveillants les plus détectés, un taux en baisse puisque ce chiffre s’élevait à 73% au premier semestre. Sur l’ensemble des programmes ciblant des informations confidentielles détectés au cours de cette période, 76% étaient dotés d’un enregistreur de frappe et 86% disposaient de capacités d’accès à distance ; au premier trimestre 2007, ce dernier taux était de 88%.
Entre le 1er juillet et le 31 décembre 2007, 71% des emails contrôlés par la passerelle étaient des spams, soit une hausse de 16% par rapport au second semestre 2006 où 61% des emails avaient été classés comme spams. Les spams vantant le mérite de produits commerciaux atteignent 27% du volume total de spams sur cette période, de loin la catégorie la plus présente et une hausse certaine par rapport aux 27% du premier semestre 2007.
1 Commentaire | Internet, Sécurité | Tagué: hacker, pirate, virus | Permalien
Publié par toma7537
Les pirates font peur. Mais ils rapportent aussi beaucoup d’argent aux éditeurs d’antivirus. Régulièrement, des tests comparatifs sont publiés dans la presse ou par des sites. Et à chaque fois, les services marketing de ces éditeurs trouvent une astuce pour déclarer leur produit meilleur que les autres. Une méthode qui n’est pas propre à ces éditeurs.
Dans l’univers de la télévision que je connais bien c’est la même chose : à chaque fois qu’un comparatif d’audience est publié, toutes les chaînes crient haut et fort qu’elles sont premières !
Revenons aux antivirus. Ces tests comparatifs sont en fait dépassés et ne sont utilisés que comme support marketing. D’ailleurs, pour obtenir une détection à 100% lors du test suivant, des éditeurs n’hésitent pas à ajouter à leur base de signatures virales tous les codes malveillants qu’ils n’avaient pas reconnue la première fois. Peu importe que parmi ces codes malveillants il y ait des codes qui ne soient pas… malveillants.
Ils sont dépassés car les pirates ne se contentent plus depuis belle lurette de balancer un virus connu de tous les antivirus. Encore que : on voit régulièrement d’anciennes versions de codes malveillants resurgir et mettre à mal quelques logiciels.
Aujourd’hui, les pirates (du moins les vrais « pros ») utilisent des méthodes sophistiquées pour ne pas être repérés. Ni par l’utilisateur de l’ordinateur (ou de l’entreprise) ni par l’antivirus.
Bref, les tests sont dépassés.
C’est la raison pour laquelle, quelques éditeurs d’antivirus ont décidé de mettre au point de nouveaux tests tenant compte de l’évolution des attaques virales. Nom de ce programme : l’Anti-Malware Testing Working. Les antivirus ne seront plus classés selon leur capacité à détecter ou non des virus mais aussi selon leur comportement face à des attaques ciblées.
Un programme intéressant, voire très ambitieux. Tous les experts reconnaissent que les tests actuels sont obsolètes. Mais cette annonce des éditeurs soulève aussi de nombreuses questions comme le fait remarquer Renaud Feil, Consultant Sécurité (HSC) :
« Ce type de résultat ne peut qu’encourager les grands éditeurs à choisir eux-mêmes le protocole de test devant faire autorité ! Cela peut se comprendre, car la plupart des jeux de tests utilisés contiennent des virus “périmés”, ou fonctionnant sur d’autres systèmes d’exploitation que celui sur lequel l’antivirus est installé.
Mais le problème est ailleurs. Cette obsession du 100% de détection des virus connus cache l’échec de la détection comportementale des programmes hostiles. Bloquer les virus “standards” qui forment le bruit de fond de l’Internet est aujourd’hui une problématique maîtrisée par la plupart des organisations et des particuliers. Il n’en est pas de même pour la détection des programmes hostiles utilisés dans des attaques plus ciblées et plus discrètes. Actuellement, n’importe quel antivirus du marché détecte un programme hostile connu… et laisse passer un programme hostile inconnu ou modifié pour échapper à cet antivirus, et ce malgré les promesses et les nombreux slogans marketing.
Le véritable défi qui attend les éditeurs d’antivirus est de bloquer les programmes hostiles inconnus. En ce sens, le protocole de test à définir devrait mettre à l’épreuve chaque antivirus face à des programmes de test réalisant des actions ostensiblement malveillantes et qui serait programmés pour l’occasion et de façon indépendante. Le challenge pour les équipes de R&D des éditeurs est de taille, mais il serait temps que les recettes générées par les ventes d’antivirus soient utilisées à bon escient ! »
Le discours de Renaud Feil a le mérite d’être clair et surtout indépendant.
Rendez-vous donc en 2008 pour voir les premiers tests et résultats…
3 Commentaires | Informatique, Internet, Sécurité | Tagué: Antivirus, hacker, Kaspersky, Norton, pirate, Symantec, virus | Permalien
Publié par toma7537
Pour le site 01net.com, j’ai rencontré ce matin le Commissaire divisionnaire Christian Aghroum, chef de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).
Nous avons parlé notamment des relations améliorées entre les services de police français et russe en matière de lutte contre la cybercriminalité. Pas évident dans un pays où les policiers eux-mêmes, à Moscou, reconnaissent que les flics en région sont corrompus…
Parmi les autres sujets traités, voici en vrac quelques propos de ce sympathique policier an franc parler :
- “De grosses affaires de cybercriminalité (à base de phishing), notamment d’attaques de phishing orchestré au niveau international, sont toujours en cours en France actuellement”.
- “Les cybercafés sont un vrai problème pour nous car les gérants n’ont toujours pas l’obligation de tenir un registre des personnes qui y viennent. Résultat, on ne peut pas identifier les clients.”
- ” Le développement des bornes d’accès Wi-fi gratuites, comme vient de l’annoncer la Mairie de Paris, est un handicap. C’est la porte ouverte à des failles de sécurité épouvantables et à des affaires d’escroquerie.”
- “Les entreprises doivent se protéger. Les grosses sociétés nous inquiètent moins. Ce sont les PME qui présentent le plus de risques malgré l’action forte des chambres de commerce pour sensibiliser ces chefs d’entreprise. Or, ces derniers n’ont pas compris l’attrait qu’ils présentent pour la concurrence. « Je vends des bidets ; ça intéresse personne » dit un patron. Mais si justement : le fichier client et le bilan peuvent intéresser les concurrents. En six mois, ces infos volées peuvent faire couler une boite. Il y a une guerre sauvage que se livrent des sociétés faisant appel à des cyberdétectives payés pour faire de l’espionnage industriel. “
Laisser un Commentaire » | Informatique, Internet, Sécurité | Tagué: cybercriminalité, hacker, pirate, virus | Permalien
Publié par toma7537
