On Line



[Le Monde Informatique – 25/03/2016]

Pour empêcher l’exécution du rançongiciel Locky dans les ordinateurs sur lesquels il s’active par le biais de macros Word, la société de recherche en sécurité Lexsi a développé 4 parades, bloquant notamment le chiffrement des fichiers. Le fonctionnement de ces vaccins est décrit dans un billet de blog.

Un expert français de la société de recherche en sécurité Lexsi a trouvé plusieurs façons d’arrêter la propagation du ransomware Locky qui se diffuse par l’intermédiaire de macro-commandes intégrées à des fichiers Microsoft Word. Dans un billet, Sylvain Sarméjeanne expose les modifications que l’on peut apporter à un ordinateur pour le « vacciner » contre ce programme malveillant qui chiffre les fichiers d’un PC et réclame une rançon pour fournir la clé de déchiffrement. Cette méthode de vaccination avait déjà été appliquée au ver Conficker.C, rappelle ce spécialiste en rétro-ingénierie.

Relativement récent parmi les rançonlogiciels, Locky sévit tout de même depuis plusieurs semaines. Il est principalement distribué par le biais de messages spams qui tentent d’abuser les utilisateurs en se faisant par exemple passer pour des factures demandant l’ouverture d’une pièce jointe. Le malware s’exécute si les macros malveillantes sont activées dans le document Word, malgré la mise en garde généralement affichée par le traitement de texte qui avertit de la présence de macros dans les fichiers.

Créer des clés de registre et forcer la clé publique RSA
Par vaccin, Sylvain Sarméjeanne entend « toute modification mineure du système ayant pour objet de bloquer, sans intervention utilisateur, tout ou partie des effets néfastes liés à l’exécution d’un programme malveillant ». Le chercheur en sécurité en propose 4 dont un qui « utilise le fait de pouvoir forcer la clé publique RSA avec laquelle sont chiffrées les clés AES ». Le premier vaccin consiste à créer une clé de registre avec des ACL (Access control list) interdisant toute ouverture. L’une des premières choses que fait Locky est en effet de créer la clé de registre HKCU\Software\Locky après avoir vérifié les paramètres de langue du système. Au passage, on voit que le malware prend la précaution de pas infecter les systèmes configurés en langue russe.

Le deuxième vaccin réside dans la création de deux autres clés de registre, l’une d’elles empêchant le chiffrement les fichiers. Les deux derniers vaccins proposent de stopper l’avancée du malware, d’une part via une clé RSA corrompue et d’autre part via l’utilisation forcée d’une clé publique RSA sous le contrôle de l’utilisateur qui dispose de la clé privée associée. Ces méthodes de parade sont détaillées sur le billet publié par Lexsi. Il s’agit d’actions préventives pour se protéger contre la perte de fichiers que pourrait entraîner une attaque via Locky. Elles impliquent donc de prendre les devants en anticipant une éventuelle infection.

http://www.lemondeinformatique.fr/actualites/lire-lexsi-trouve-un-vaccin-pour-stopper-la-propagation-de-locky-64309.html

Publicités

[Jules Darmanin – Le Figaro – 03/11/2015]

Zerodium, une start-up de sécurité informatique, récompense une équipe de hackers qui est parvenue à casser à distance les protections du smartphone Apple. Cette faille pourra être revendue à des fins d’espionnage.

C’est une somme record. Zerodium, start-up spécialisée dans la sécurité informatique, avait promis un million de dollars à ceux ou celles qui parviendraient à casser les protections («jailbreak») d’un appareil sous iOS 9.1, la dernière version du système d’exploitation mobile d’Apple. Le logiciel qui équipe les iPhone et iPad est réputé difficile à pirater. Il n’a pas résisté à une équipe de hackers qui est parvenue, grâce à une ou plusieurs failles informatiques, à développer une technique de piratage d’iOS 9.1 et se partagera donc le pactole promis.

Zerodium avait fixé des regles strictes pour ce concours de piratage: l’attaque devait pouvoir être faite «à distance, de façon fiable et silencieuse, sans d’interactions autres que la visite d’une page Web ou la lecture d’un SMS.» Ces failles, baptisées «zero-day», se vendaient jusqu’alors pour plusieurs centaines de milliers d’euros, mais la barre du million n’avait pas encore été franchie publiquement.

Il ne faut pas s’attendre à ce que ces failles soient immédiatement corrigées par Apple. Dans une interview au magazine Wired, le Français Chaouki Bekrar, fondateur de Zerodium, explique l’entreprise ne transmettra pas les informations à Apple, tout en se réservant la possibilité de le faire «plus tard». Zerodium compte parmi ses clients des gouvernements, des agences de renseignement, des entreprises de défense et de finance. Ces organisations auront accès, en avant-première, aux détails du piratage. Certaines d’entre elles pourront s’en prémunir, mais d’autres seront vraisemblablement en mesure de l’exploiter à des fins d’espionnage. Toutefois, Chaouki Bekrar se défend de collaborer avec des régimes «autoritaires», sans donner plus de précision. Il a aussi affirmé que la faille à un million de dollars ne serait «vraisemblablement» vendue qu’à des clients américains.

Marché gris de la faille informatique

Le marché des failles «zero-day», est encore une zone grise de la criminalité informatique. La vente d’informations sur les failles informatiques n’est que très rarement illégale: c’est leur exploitation qui l’est. L’entreprise Hacking Team, qui vendait des solutions de surveillance à de nombreux gouvernements, faisait usage de «zero-day» touchant Flash Player, qui sert à jouer de nombreuses animations sur le Web. Eux aussi assuraient ne pas vendre leurs services à des régimes autoritaires. Pourtant, ils auraient été utilisés par des pays tels que l’Ouzbékistan ou le Soudan.

http://www.lefigaro.fr/secteur/high-tech/2015/11/03/32001-20151103ARTFIG00202-une-prime-d-un-million-de-dollars-pour-avoir-reussi-a-pirater-un-iphone.phpli


Un petit coup de VPN et hop ! On se rit du blocage !!!

[Actu Legalis – 06/12/2014]

Dans une ordonnance de référé du 4 décembre 2014, le TGI de Paris a ordonné aux quatre grands fournisseurs d’accès français, Bouygues, Free, Orange et SFR, de mettre en œuvre des mesures propres à empêcher l’accès de leurs abonnés, depuis le territoire français, au site d’origine thepiratebay.se, aux sites de redirection visés par l’ordonnance, à trois sites miroirs et une longue liste de proxies, par tout moyen efficace, notamment par blocage des noms de domaine. Ces mesures seront mises en place pendant un an.
La SCPP a agi sur le fondement de l’article L. 336-2 du CPI qui l’autorise en tant que société de gestion des droits des producteurs à demander au tribunal d’ordonner toute mesure propre à faire cesser une atteinte à un droit d’auteur ou à un droit voisin, à l’encontre de toute personne susceptible de contribuer à y remédier. Comme l’a rappelé le tribunal, cette action peut être entreprise indépendamment de celles à l’encontre des éditeurs.
Dans cette affaire, la SCPP avait fourni de nombreux constats d’agents assermentés démontrant que ce site d’origine suédoise propose clairement et quasiment exclusivement le téléchargement, ou l’accès en mode streaming, de fichiers musicaux, sans l’autorisation des ayants droit. Le tribunal note au passage que l’illicéité du site a été reconnue par d’autres tribunaux européens et son accès a a été bloqué judiciairement au Royaume-Uni, en Irlande, en Italie, en Belgique, au Danemark et en Finlande.

http://www.legalis.net/spip.php?page=breves-article&id_article=4387


[Jacques Cheminat – Silicon.fr – 26/09/2014]

5 questions sur la faille Shell Shock visant Bash

Le monde du web tremble avec l’annonce d’une faille baptisée Shell Shock qui touche l’interpréteur de commande Bash présent dans plusieurs systèmes. Plusieurs questions se posent sur cette menace, sa définition, son exploitation, son impact, etc.

A en croire les spécialistes de la sécurité, la faille Shell Shock est pire que la vulnérabilité Heartbleed qui avait touché la librairie de chiffrement Open Source, OpenSSL. En visant l’interpréteur de commande Bash dans les systèmes Linux ou certains OS, elle ouvre la boîte de Pandore des risques et des menaces. Nous avons posé 5 questions à des spécialistes de la sécurité informatique pour en savoir plus sur cette vulnérabilité.

1-Comment a été découvert Shell Shock ?

La faille a été découverte par un français, Stéphane Chazelas, qui travaille actuellement en Angleterre pour le fournisseur de CDN Akamai. Spécialiste du monde Linux/Unix et des télécoms comme l’indique sa page personnelle, il a trouvé un bug dans Bash (Bourne-Again shell) qui est un interpréteur de lignes de commande via des scripts. Il existe depuis plus d’une vingtaine d’années années (1993) et est devenu l’interprète standard de plusieurs systèmes Unix et distributions Linux, mais aussi des systèmes d’exploitation comme Mac OS X, Android et de manière plus limitée Windows avec le projet Cygwin.

Dans un entretien accordé à FairFax Media, Stéphane Chazelas précise que la découverte s’est déroulée il y a deux semaines. Il a aussitôt alerté Chet Ramey, en charge du support du code source Bash. En parallèle, il a aussi averti des fournisseurs d’infrastructures web et des éditeurs de distribution Linux comme Debian, Red Hat,Ubuntu, SuSE et Mandriva. Le problème est que « cette découverte a été débattue rapidement sur des forums réduisant ainsi le temps pour trouver une réponse de la part de l’ensemble des acteurs », explique Thierry Karsenty, directeur technique Europe chez CheckPoint.

Concrètement, la faille Shell Shock permet de modifier des variables d’environnement et d’exécuter du code à distance par le biais de scripts Apache CGI, des options DHCP et OpenSSH en s’appuyant sur Bash. Shell Shock est souvent comparée à Heartbleed. Loïc Guezo, directeur Europe du Sud chez Trend Micro, écarte néanmoins cette analogie. « Shell Shock n’est pas une faille traditionnelle. Dans le cas de Heartbleed, la vulnérabilité concernait la collecte de données, dans le cas de Bash, il s’agit d’une prise de contrôle d’un système ou d’un équipement. » (suite…)


[Andréa Fradin  – Slate – 25/08/2014]

«Les femmes de 18 ans et plus représentent une part significativement plus importante de la population des joueurs de jeux vidéos (36%) que les hommes de 18 ans et moins (17%)». C’est l’une des estimations établies à la suite de l’analyse annuelle de l’Entertainment Software Association, groupe de pression du secteur des jeux vidéo aux Etats-Unis, reprise ce 22 août par le Washington Post sous le titre:

«Etude: les joueurs de jeux vidéo sont davantage des femmes que de garçons adolescents

Au total, les femmes constitueraient même 48% cette population, contre 40% en 2010. Et le moins que l’on puisse dire, c’est que ces chiffres ne laissent pas indifférents les amateurs de jeux vidéo en question.


Extrait de l’étude annuelle de l’Entertainment Software Association

Comme le rapporte le Washington Post dans son article, ces estimations ont en effet relancé le sempiternel débat qui agite la communauté des joueurs de jeux vidéo: ces femmes sont-elles vraiment des «gamers»? Une question ravivée par le fait, comme l’explique le Washington Post, que ces joueuses apprécieraient particulièrement les jeux proposés sur mobile, tels que le désormais incontournables Candy Crush. Des jeux considérés comme mineurs par la communauté de ceux qui connaissent par coeur la généalogie des différentes consoles et maitrisent sur le bout des doigts les subtilités d’une manette Xbox ou PS3.

Un avis laissé sur Reddit, où le débat a déjà été alimenté par des centaines de commentaires, résume bien l’état d’esprit des contradicteurs de l’étude:

«J’ai quelques amis qui se considèrent comme des gamers, et qui n’ont jamais joué à rien d’autre qu’à leur téléphone. Bien que techniquement ils peuvent être considérés comme des « gamers », il y a « gamers » et « GAMERS ».»

(suite…)


En même temps, vu la merde que c’est Norton, il vaut mieux le laisser mourir en effet… Peter Norton lui même a honte du produit qui porte son nom et l’a fait savoir l’an dernier…

[Gilbert Kallenborn – 01.net  – 06/05/14]

Selon l’éditeur, les antivirus laissent passer plus de la moitié des attaques informatiques. Côté technologique, mieux vaut se concentrer sur la détection d’intrusion, histoire de « sauver les meubles ».

Parfois, la vérité est dure à dire, mais parfois c’est nécessaire : le bon vieux antivirus ne sert plus à grand-chose. Et c’est l’un de principaux fournisseurs d’antivirus qui le dit. Cité par The Wall Street Journal, Brian Dye, senior vice-président chez Symantec – qui édite la suite Norton – estime que « l’antivirus est mort et condamné à l’échec ».

Créé dans les années 80, ce type de produit de sécurité s’appuie sur des bases de données de signatures pour repérer des codes malveillants sur les équipements informatiques. Mais cette parade ne fonctionne plus : selon M. Dye, les antivirus ne détecteraient plus que 45 % des attaques. « Ce n’est plus avec des antivirus que nous allons gagner de l’argent », précise-t-il.

Comment alors ? Partant du constat que l’on ne peut plus forcément éviter les intrusions, Symantec veut se concentrer à l’avenir sur les méthodes de détection d’intrusion, d’analyse comportementale et de « mitigation », c’est-à-dire l’atténuation des effets.
En somme, il ne s’agit plus vraiment d’empêcher les cybercriminels de rentrer, mais de sauver les meubles, et cela le plus rapidement possible. Symantec n’est pas la première société de sécurité informatique à faire ce constat d’échec. D’autres éditeurs, comme FireEye ou Juniper Networks, ont déjà pris ce tournant.

http://www.01net.com/editorial/619276/l-antivirus-est-mort-dit-symantec/


internet_rage

Page suivante »