Pokémon Go, le nouveau jeu favori des spammeurs

Pokémon Go, le jeu star de l’été qui fait exploser les revenus de son concepteur Niantic et des stores d’applications (il aurait généré plus de 200 millions de dollars en un mois avec 100 millions de téléchargements), est une aubaine pour les pirates. Lesquels n’hésitent pas à profiter de la popularité du jeu de réalité augmentée pour multiplier les tentatives d’arnaques.

Captures du SMS et du site vers lequel renvoie le lien.

AdaptiveMobile, société spécialisée dans la sécurité mobile, relève aujourd’hui une campagne de spam par SMS invitant les destinataires à se rendre sur un faux site baptisé Pokemonpromo.xxx. La campagne semble se concentrer pour l’heure sur les joueurs d’Amérique du Nord. « Il s’agit d’un site de phishing sophistiqué qui imite fidèlement le vrai site Pokémon GO. Il prétend fournir à l’utilisateur des fonctionnalités supplémentaires au jeu s’il référence 10 de ses amis (susceptibles d’être à leur tour spammés) », indique AdaptiveMobile dans un billet de blog daté du 17 août. Le site, signalé pour ses activités de phishing, n’est plus actif aujourd’hui.

Multiplication des campagnes de spam

Mais ce n’est pas le seul dans le genre. Une autre campagne de phishing par SMS propose par exemple 14 500 Pokecoins (la monnaie virtuelle du jeu utilisée pour des achats internes) pour 100 points collectés et pointe vers d’autres sites de spam (dédiés ou non au jeu de Niantic) depuis une URL raccourcie. Citons par exemple Pokemon.vifppoints.xxxx ou Pokemon Generator… Autant de sites qui cherchent à leurrer l’utilisateur en l’invitant à fournir ses identifiants de connexion. Des sites promus par SMS comme depuis les réseaux sociaux et autres forums dédiés à Pokémon Go, précise le fournisseur de solutions de protection pour mobiles.

Autant de campagnes malveillantes qui ne se tariront pas avant que la popularité du jeu ne commence à décliner, estime AdaptiveMobile. D’ici là, les utilisateurs sont invités à redoubler de prudence, surtout s’ils reçoivent un message (SMS ou autre) accompagné d’un lien vers un site web. « Méfiez-vous des messages SMS non sollicités que vous recevez et qui mentionnent l’application », rappelle l’entreprise dans son billet.

Les campagnes de spam ne sont pas les seuls dangers qui guettent les joueurs de Pokémon Go. Mi juillet, les cybercriminels profitaient de l’absence du jeu dans les stores de certains marchés, dont la France, pour distribuer le fichier .APK de la version Android de l’application. Fichier évidemment compromis par le malware DroidJack (ou SandroRAT) qui ouvrait grandes les portes du système infecté aux attaquants. Plus récemment, début août, l’Anssi (Agence nationale de la sécurité des systèmes d’information) y allait de son grain de sel en alertant sur les risques liés à Pokémon Go. De quoi nous gâcher l’envie de jouer…

Article original de Christophe Lagane

Réagissez à cet article

Shadow Brokers, une affaire de Cyberespionnage

1) Pourquoi un tel intérêt pour les Shadow Brokers ?

Lundi 15 août, un groupe de hackers appelé Shadow Brokers a annoncé avoir piraté des systèmes informatiques utilisés par Equation, une organisation réputée proche de la NSA. A l’appui de ses affirmations, ce groupe jusqu’alors inconnu a posté deux archives sur des sites de partage. La première, en libre accès, renferme 300 Mo de données, où se mêlent des outils et des techniques pour infiltrer des systèmes…. [lire la suite]

2) Le hacking de la NSA est-il établi ?

Bien entendu, ni la célèbre agence américaine ni le groupe de hackers Equation, réputé proche de celle-ci, n’a confirmé que les outils mis en ligne par les Shadow Brokers provenaient bien de leurs serveurs. Mais plusieurs éléments concordants établissent un lien direct entre les fichiers mis en ligne par les Shadow Brokers et le couple NSA/Equation. D’abord, c’est l’éditeur russe Kaspersky qui remarque que plus de 300 fichiers présents dans la première archive utilisent une implémentation des algorithmes de chiffrement RC5 et RC6 identique à celle utilisée par le groupe Equation. « La probabilité que tout ceci (l’archive mise en ligne, NDLR) soit un faux ou ait été conçu par rétro-ingénierie est extrêmement faible », écrivent les chercheurs de Kaspersky dans un billet de blog. [lire la suite]

3) Que dit cette affaire du groupe Equation ?

Le nom de ce groupe, choisi en raison de sa prédilection pour les techniques de chiffrement de haut vol, a été donné début 2015 par Kaspersky à un groupe de hackers, que l’éditeur russe décrivait alors comme le plus techniquement doué qu’il ait jamais identifié. La société parlait alors « d’une menace qui dépasse tout ce qui est connu en termes de complexité et de sophistication des techniques employées, une menace active depuis au moins deux décennies ». Equation exploitait depuis 2008 des failles zero day qui ne seront mises à jour que plus tard, à l’occasion du piratage du nucléaire iranien par Stuxnet. [lire la suite]

4) Que renferme l’archive des Shadow Brokers ?

Plusieurs chercheurs en sécurité se sont déjà penchés sur le cyber-arsenal mis à disposition par les Shadow Brokers (lire notamment l’analyse de Mustafa Al-Bassam ou la synthèse réalisée par Softpedia). On y trouve des exploits, autrement dit des codes d’exploitation permettant de prendre le contrôle ou d’espionner des pare-feu ou passerelles VPN fournis par de grands constructeurs comme Cisco, Juniper ou Fortinet. Des constructeurs qui ont déjà reconnu que les outils mis en ligne menaçaient bien certains de leurs matériels. Mais, dans tous les cas, il s’agit de générations anciennes de machines. Les appliances Cisco Pix, ciblées par plusieurs outils, ne sont par exemple plus supportées par le constructeur depuis 2009. [lire la suite]

5) L’archive a-t-elle livrée tous ses secrets ?

Et il y a aussi les outils dont la vocation ne se limite pas à cibler une gamme de machines en particulier. The Intercept explique ainsi que des éléments d’une architecture exploitée par la NSA pour mettre en place des attaques de type Man-in-the-Middle, autorisant l’interception de requêtes Web, figurent dans l’archive des Shadow Brokers.Sans risque de se tromper, la réponse est non. « Comme il y a 300 Mo de code, de documentations, de binaires, personne n’a publié d’analyse complète », remarquent Hervé Schauer et Christophe Renard.[lire la suite]

6) Quels sont les risques pour les entreprises ?

Voir de tels outils mis à la disposition de cybercriminels est évidemment inquiétant. « On est ici face à des outils d’attaque de haut niveau, mis librement à disposition sur le Web, explique Gérôme Billois. Les entreprises doivent donc être très attentives, effectuer l’inventaire des matériels exposés sur leur parc et apporter les modifications nécessaires pour protéger leurs infrastructures. Heureusement, les exploits mis au jour sont assez anciens et ciblent donc du matériel âgé. Mais certaines machines peuvent toujours être en exploitation. » Au fur et à mesure que les codes de l’archive des Shadow Brokers seront décortiqués, des correctifs et des indicateurs de compromission vont être publiés. Ce qui permettra aux RSSI de contrer la menace. C’est donc plutôt une course de fond qui s’engage. [lire la suite]

7) Qui a fait le coup ?

La liste des suspects s’est très vite limitée à quelques noms. Très rapidement, Nicolas Weaver, de l’université de Berkeley, pointe la Chine, soupçonnée de nombreux actes de cyber-espionnage contre les intérêts américains, et la Russie. Une seconde hypothèse que défend lui aussi Edward Snowden, précisément réfugié en Russie après avoir été à l’origine de la plus importante fuite de données de l’histoire de la NSA. [lire la suite]

8) Un second lanceur d’alertes à la NSA ?

Car une autre hypothèse a également de nombreux partisans : celle de l’implication d’un ‘insider’, un nouveau lanceur d’alerte à la NSA. Plusieurs éléments viennent étayer cette hypothèse. Primo, l’archive en question renferme différentes versions d’un même outil, des manuels d’utilisation ou des fichiers à vocation interne. Ce qui cadre mal avec l’hypothèse d’un serveur d’attaque, ou d’un serveur de pré-production, qui aurait été compromis par un assaillant externe. [lire la suite]

9) Quelles sont les conséquences possibles ?

D’ores et déjà, la fuite a dû déclencher un branle-bas de combat au sein de la NSA, qui doit chercher l’origine de cette encombrante archive et, surtout, comment mettre fin aux révélations successives sur ses activités offensives. L’agence devra également s’assurer qu’elle n’exploite plus les codes révélés au public pour ses opérations actuelles. Car, très rapidement, les outils de sécurité seront en mesure de détecter les signatures des outils révélés par les Shadow Brokers.[lire la suite]

10) Qu’en pense Bernard Cazeneuve ?

Passée la boutade, le ministre de l’Intérieur français, qui entend prendre la tête d’une initiative internationale permettant d’encadrer le chiffrement, a devant les yeux une autre illustration des limites que pointent de nombreux spécialistes, y compris le Conseil national du numérique (CNNum).Après l’affaire Juniper (le constructeur avait employé un algorithme de chiffrement affaibli par la NSA, qui avait été détourné par un acteur inconnu), les révélations des Shadow Brokers illustrent une fois encore le caractère spécifique des armes cyber.[lire la suite]

Article original de Reynald Fléchaux

Réagissez à cet article

Et si PokemonGo prennait en otage votre téléphone portable?

Est-ce vraiment une surprise ? Pas vraiment en fait ! Un pirate informatique, qui semble être originaire du Maghreb, a lancé un faux PokemonGo que certains internautes n’auraient jamais du attraper. C’est le chercheur Michael Gillespie qui a mis la main sur ce malveillant.

Ce PokemonGo pirate, signé par ce qui semble être un jeune algérien, est capable de chiffrer toutes les données du téléphone piégé, de les télécharger vers le serveur du pirate et d’ouvrir une porte cachée dans le smartphone, histoire que le voyou 2.0 réussisse à s’infiltrer tranquillement dans l’appareil. D’après l’équipe Bleeping Computer, ce ransomware semble préparer une campagne de diffusion à grande échelle. Un ransomware qui utilise un kit dédié aux cryptolockers vendu dans le blackmarket. Heureusement, il est assez basic.

En attendant, ce cryptolocker touche les appareils sous Windows et bloque la lecture des fichiers : .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif, .png. Le microbe ne vise, pour le moment, que les utilisateurs d’Arabie Saoudite.

En cas d’infiltration, le pirate propose de lui écrire à « Vos fichiers ont été chiffrés, le décodage possible via me.blackhat20152015@mt2015.com et je vous remercie d’avance pour votre générosité« .

Article original de Damien Bancal

Réagissez à cet article

Géolocaliser un téléphone mobile en deux clics de souris

Les téléphones portables, de nos jours, sont de véritables ordinateurs aux capacités de traçage, surveillance et cyber surveillance qui fait froid dans le dos. Regardez, prenons les exemples tels que Facebook et son option « amis à proximité » ou encore PokemonGo et sa capacité de géolocalisation. Du traçage au centimètre. Des technologies de « ciblage » qui deviennent simple à créer et à utiliser. Tristan, informaticien Parisien, vient de contacter ZATAZ pour présenter son cas d’étude : un outil de traçage en temps réel capable de tracer l’itinéraire de ses cibles.

Géolocaliser un téléphone : Souriez, vous êtes pistés

Depuis quelques temps Tristan s’intéresse aux applications proposées dans les mobiles, et plus précisément aux logiciels qui font transiter des informations telles que des positions de latitude et de longitude. Avec un associé, il a lancé Lynx Framework, une entité spécialisée dans la création d’outils de sécurité pour les applications web.

A parti de ses recherches, Tristan a créé un outil de « traque », de quoi géolocaliser un téléphone qui met à jour les dangers de nos mobiles et de leurs capacités à indiquer notre emplacement, mais aussi, nos itinéraires. « En analysant les requêtes envoyées par certaines applications je me suis rendu compte qu’il serait possible de récupérer le positionnement de plusieurs personnes en même temps et de les positionner sur une carte de type google map. » m’explique le chercheur.

A l’image des sauvegardes de Google Map que je vous indiquais en 2015, l’outil « privé » de Tristan fait pareil, mais en plus discret encore. Via un outil légal et disponible sur Internet, Burp Suite, notre chercheur a analysé les requêtes envoyées par plusieurs logiciels de rencontres disponible dans le Google Play.

Comment cela fonctionne-t-il ?

« Le tracker prend le contrôle de plusieurs comptes d’application de rencontre et récupère la position des personnes à proximité, indique-t-il à ZATAZ.COM. Il ajoute ces informations dans sa base de données et vérifie l’existence des positions pour cette identité. » Si l’application de Tristan retrouve la même personne, mais pas à la même position, il va créer un itinéraire de l’individu via son ancienne position« . Nous voilà avec la position et le déplacement exacts d’un téléphone, et donc de son propriétaire, à une heure et date données.

Géolocaliser un téléphone : Chérie, tu faisais quoi le 21 juillet, à 12h39, à 1 cm de ta secrétaire ?

Après quelques jours de recherche, Tristan a mis en place une base de données de déplacement dans une ville. Une commune choisie au hasard. Son outil est en place, plusieurs systèmes sont lancés : Une carte avec le positionnement des personnes croisées ; une page plus explicite pour chaque personne avec la date de croisement, son âge… ; une page ou notre chercheur gère ses comptes dans l’application. Bonus de son idée, un système d’itinéraire complet a été créé. Il permet de tracer un « chemin » de déplacement si la personne croisée a déjà été croisée dans le passé, dans un autre lieu. « J’ai positionné un compte au centre de la ville, un autre à l’entrée et le suivant à la sortie, ce qui a données en quelques heures une 50ène de données » confie-t-il « Il est inquiétant de voir autant de données personnelles transitées en clair via ces applications ».

Géolocaliser un téléphone : détournement possible d’un tel « tracker » ?

Vous l’aurez compris, « tracer » son prochain est facilité par ses applications qui ne protègent pas les informations de positionnement des utilisateurs. Il devient possible d’imaginer une plateforme, en local, avec plusieurs comptes positionnés à des endroits différents dans une ville. Bilan, suivre plusieurs individus devient un jeu d’enfant. Si on ajoute à cela les applications de déplacement de type UB, qui communique les données de ses chauffeurs par exemple, ainsi que celles d’autres réseaux sociaux, il devient réellement inquiétant de se dire que positionner une personne et la tracer se fait en quelques secondes. Deux solutions face à ce genre de traçage : jeter votre portable ou, le mieux je pense, forcer les éditeurs d’applications à vérifier la sécurisation des données envoyées, et les chiffrer pour éviter qu’elles finissent en clair et utilisable par tout le monde.

Article original de Damien Bancal

Réagissez à cet article

Découvrez la faille qui ouvre toutes les Volkswagen sans clef

Nul doute que Volkswagen aurait préféré ne pas revoir de sitôt Flavio D. Garcia. Travaillant à l’université de Birmingham, cet ingénieur en informatique présente, lors de la conférence Usenix qui se tient du 10 au 12 août à Austin (Texas), les conclusions d’une étude (« Lock it and still lose it ») sur les télécommandes permettant l’ouverture des voitures de tourisme.

Des conclusions peu flatteuses pour le groupe automobile allemand : la quasi-totalité des véhicules qu’il a vendus ces 20 dernières années, près de 100 millions pour la seule période allant de 2002 à 2015, peuvent être déverrouillés sans clés… et sans plip, du nom de cette fameuse télécommande aujourd’hui livrée en standard avec la plupart des voitures de tourisme.

Flavio D. Garcia étudie depuis plusieurs années les vulnérabilités associées aux systèmes de commande à distance dans l’univers automobile. En 2012, il avait constaté, avec plusieurs collègues, que les récepteurs RFID Magamos Crypto, adoptés par de nombreuses marques de luxe, pouvaient être détournés non seulement pour ouvrir et fermer les portes, mais aussi pour faire démarrer le moteur, le tout sans disposer des clés.

Contacté par ses soins en mai 2013, Volkswagen avait déposé plainte, arguant qu’une publication de ces recherches exposerait ses véhicules à un risque accru de vol. La Haute Cour du Royaume-Uni lui avait accordé une injonction, retardant d’autant la publication, finalement effectuée il y un an et sous une forme très restreinte : une seule phrase, dans les annexes de la conférence Usenix, comme le souligne Bloomberg.

Arduino pour intercepter les données

Cette fois-ci, Flavio D. Garcia s’est épargné les considérations juridiques. Avec deux associés de l’université de Birmingham et la firme allemande Kasper & Oswald, il aborde deux vulnérabilités distinctes ; l’une concernant Volkswagen et l’autre applicable à une longue liste de constructeurs.

Point commun entre ces failles : elles sont fondées sur l’interception des données transmises par les télécommandes, qui fonctionnent sur les bandes de fréquence à 433 ou 868 MHz en Europe et 315 MHz en Amérique du Nord – à l’exception de quelques anciens systèmes basés sur la technologie infrarouge.

Le module d’interception, sur base Arduino. 

Pour intercepter les données envoyées par les télécommandes, les chercheurs ont fabriqué un module radio à partir d’une carte Arduino. Et se sont aperçus que, de manière générale, le niveau de protection des données dépendait de l’âge des véhicules. Sur des modèles du début des années 2000, il arrive qu’aucune méthode de cryptographie ne soit appliquée : un code unique est envoyé à chaque appui sur le(s) bouton(s) d’ouverture et de fermeture des portes. Sur des voitures plus récentes, des paramètres ont été ajoutés. Notamment un compteur incrémenté à chaque pression, permettant d’éviter qu’une commande soit exécutée deux fois.

Clonage des clefs

Mais, dans tous les cas, il est possible de déterminer la structure des paquets de données, d’autant plus que ceux-ci sont souvent transmis à plusieurs reprises, sans doute pour s’assurer que la communication aboutisse dans les environnements difficiles sujets à des interférences.

Une télécommande Volkswagen de nouvelle génération. 

L’équipe de Flavio D. Garcia a identifié pas moins de 7 schémas de transmission. Parfois, le signal varie en amplitude ; d’autres fois, en fréquence. La quantité de données change elle aussi, au même titre que les algorithmes de chiffrement. Mais dans tous les cas, la sécurité peut être déjouée et la clé, clonée.

Cette opération de clonage ne peut toutefois se faire qu’une fois obtenue la clé logée dans le récepteur RFID de la voiture. Pour cela, les chercheurs en ont extrait le firmware. Et ont alors fait une sacrée découverte : cette « clé maîtresse » est la même sur des dizaines de millions de véhicules du groupe Volkswagen.

Mais aussi Nissan, Dacia, et Renault…

Sur la liste – non exhaustive – des modèles considérés comme vulnérables figurent les Audi A1, Q3, R8, S3 et TT, les Skoda City Go, Roomster, Fabia 1 et 2, Octavia, SuperB et Yeti, les Seat Alhambra, Altea, Arosa, Cordoba, Ibiza, Leon, MII et Toledo… ainsi que les Volkswagen Amarok, (New) Beetle, Bora, Caddy, Crafter, e-Up, Eos, Fox, Golf 4, 5 et 6, Golf Plus, Jetta, Lupo, Passat, Polo, T4, T5, Scirocco, Sharan, Tiguan, Touran et Up.

Dans le prolongement de ces conclusions, Flavio D. Garcia et consorts se sont intéressés aux circuits intégrés PCF7946 et PCF7947, que le fabricant de semi-conducteurs NXP fournit à de nombreux constructeurs automobiles, détaillent nos confrères de ITespresso.

Avec le même mode opératoire, ils sont ainsi parvenus à pirater une Fiat Punto, un Citroën Jumper, un Dacia Duster, une Renault Modus ou encore un Nissan Qashqai. Il leur a toutefois fallu ici pousser l’expérimentation plus loin, en interceptant plusieurs codes (4 à 8, d’après le rapport, car ces codes changent à chaque pression sur la télécommande) et en utilisant un ordinateur pour déchiffrer certaines données. En l’occurrence, une partie des 28 bits du compteur.

Une étape indispensable : sur un grand nombre de véhicules, la télécommande se bloque si ledit compteur, censé augmenter d’une unité à chaque appui, n’est pas synchronisé avec celui du récepteur RFID.

Des vols bien réels

Le déchiffrement prend moins de 10 minutes en exploitant les failles de HiTag2, un algorithme de cryptographie lancé il y a près de 20 ans et associé aux circuits intégrés PCF7946/7947. Pour intercepter plus rapidement le nombre de codes requis, les chercheurs ont bloqué la transmission des signaux afin que les utilisateurs ciblés pressent à nouveau le bouton de leur télécommande.

La principale limitation de la méthode imaginée par les chercheurs réside dans la portée des télécommandes. Généralement quelques dizaines de mètres. Il faut donc impérativement se trouver dans ce périmètre. Dès lors, il est possible d’envisager d’autres scénarios d’attaque. Par exemple, une sorte de DDoS à partir du système de blocage de la télécommande.

Ces recherches permettent de mettre le doigt sur un phénomène en pleine explosion : aux États-Unis, les forces de l’ordre constatent de plus en plus de vols de voitures sans effraction. Les images de vidéosurveillance révèlent souvent l’utilisation d’un simple boîtier électronique. Ce mois-ci, une trentaine de Jeep ont ainsi été volées dans le Texas avec un simple ordinateur.

Article original de Silicon

Réagissez à cet article

Découvez à quoi ressemble une plateforme de cyberespionnage avancée

Suite à leur première découverte, les équipes de Kaspersky racontent avoir isolé un étrange exécutable chargé en mémoire sur le serveur du contrôleur de domaine d’une organisation infectée. Une librairie enregistrée comme un filtre de mots de passe Windows, fonction utilisée par les administrateurs pour obliger les utilisateurs à respecter les règles de sécurité ; et surtout un module ayant accès à des informations sensibles, comme les mots de passe desdits administrateurs. « La backdoor passive de Projet Sauron démarre chaque fois qu’un domaine, un utilisateur local ou un administrateur se connecte ou change son mot de passe, et elle récupère alors rapidement les mots de passe en clair », écrit Kaspersky.

Cibler les communications chiffrées

Au fil de son enquête, l’éditeur russe a pu mieux cerner les contours de cette menace jusqu’alors inconnue. Pour le spécialiste de la sécurité informatique, Projet Sauron masque une organisation à la pointe en matière de cyber-espionnage, une organisation à la tête d’une plate-forme modulaire de piratage, « conçue pour orchestrer des campagnes de long terme via des mécanismes de persistance furtifs couplés à de multiples méthodes d’exfiltration d’information ». Certaines d’entre elles étant peu communes. La plate-forme recourt notamment au protocole DNS pour exfiltrer des données. Tous les modules ou protocoles réseau de Sauron emploient par ailleurs des algorithmes de cryptage forts, comme RC4, RC5, RC6 ou AES.

D’autres éléments témoignent de la sophistication de cette menace et de son intérêt pour des informations hautement confidentielles. Comme l’utilisation de codes fonctionnant uniquement en mémoire, ce qui rend leur détection plus complexe. Une technique déjà exploitée par Duqu, une menace déjà mise au jour par Kaspersky et à l’œuvre… sur ses propres systèmes ! Le Russe explique encore que Projet Sauron s’intéresse tout particulièrement aux logiciels de chiffrement de ses cibles, tentant de dérober des clefs, des fichiers de configuration et les adresses IP des serveurs gérant les clefs. Autre détail révélateur de la volonté de Sauron de pénétrer les organisations les mieux protégées : la capacité, sur des réseaux isolés d’Internet (employés dans les domaines les plus sensibles), à exfiltrer des données sur des supports de stockage USB spécialement reconfigurés pour abriter une zone invisible du système d’exploitation hôte, zone dans laquelle vont être stockées des données à exfiltrer.

Si Kaspersky admet ne pas connaître le vecteur d’infection qu’utilisent les assaillants pour compromettre un premier système, il explique que Sauron détourne les scripts des administrateurs système de sa cible pour déployer ses malwares sur le réseau de sa victime. Des scripts normalement dédiés au déploiement de logiciels légitimes… De quoi faciliter les déplacements latéraux des assaillants une fois un premier système compromis.

Disparition des indicateurs de compromission

Pour Kaspersky, Projet Sauron a par ailleurs appris des erreurs d’autres acteurs similaires (comme Duqu, Flame, Equation ou Regin), évitant par exemple d’utiliser les mêmes artefacts d’une cible à l’autre. « Ce qui réduit leur valeur comme indicateurs de compromission pour les futures victimes », relève l’éditeur. Kaspersky estime que plus de 50 types différents de plug-ins peuvent venir se connecter sur la plate-forme de cyber-espionnage de Projet Sauron. « Presque tous les implants cœur de Projet Sauron sont uniques, possèdent des tailles et des noms de fichiers différents et sont bâtis individuellement pour chaque cible », écrit Kaspersky. Bref, pour l’éditeur, les assaillants ont intégré les méthodes des chercheurs en sécurité, qui traquent des schémas ou comportements identiques d’une cible à l’autre afin d’identifier de nouvelles menaces. « Sans ces schémas, l’opération sera plus difficile à mettre au jour », résume la société russe.

Cette dernière dit avoir identifié 30 organisations attaquées. « Mais nous sommes sûrs qu’il ne s’agit là que du minuscule sommet de l’iceberg. » Les organisations attaquées sont situées en Russie, en Iran et au Rwanda. Et opèrent dans des secteurs sensibles : gouvernement, recherche scientifique, armée, opérateurs télécoms, finance. S’y ajouteraient des cibles situées dans les pays italophones, selon Kaspersky, qui relève que la plate-forme de Sauron a été configurée pour cibler des organisations utilisant cette langue. De son côté, Symantec explique avoir identifié la menace chez 4 organisations ou individus en Russie, au sein d’une compagnie aérienne chinoise, dans une organisation suédoise et dans les murs d’une ambassade située en Belgique.

Difficile évidemment de déterminer d’où émane l’attaque. Kaspersky estime qu’il s’agit même là d’un problème « insoluble », étant donné la capacité des assaillants à multiplier les écrans de fumée afin de brouiller les pistes. L’éditeur russe relève toutefois un détail intéressant : l’emploi de termes renvoyant aux manuels Unix et notamment de ‘Cruft’ (désignant un élément superflu du logiciel), utilisé par les spécialistes de BSD. Pour Kaspersky, cette bizarrerie pourrait indiquer la présence, dans les équipes du Projet Sauron, de développeurs ‘old school’ ayant effectué leurs premières armes au sein de ces environnements. A moins qu’il ne s’agisse là que d’un écran de fumée de plus.

Article original de Reynald Fléchaux

Réagissez à cet article

Snowden conçoit une coque d’iPhone anti-espionnage

Edward Snowden continue son combat contre la surveillance. L’ancien analyste de la NSA et lanceur d’alerte, qui a levé le voile sur les pratiques d’écoute massive à travers le monde, travaille à la réalisation d’une nouvelle coque d’iPhone. Son atout: elle est capable de protéger les données du téléphone qu’elle abrite.

Pour ce projet, Edward Snowden s’est associé au hacker Andrew « Bunnie » Huang. Dans un rapport, les deux hommes précisent que le mode avion est loin d’être efficace contre le piratage. « Croire au mode avion d’un téléphone hacké équivaut à laisser une personne ivre juger de sa capacité à conduire », indiquent-ils.

Contrôler les signaux envoyés à l’iPhone

Le système, encore au stade d’étude, a été présenté à l’occasion d’une conférence le 21 juillet. L’objet est un périphérique sous logiciel libre qui se pose à l’emplacement de la carte SIM. Il permet ensuite de contrôler les signaux électriques envoyés aux antennes internes du téléphone et donc de savoir si le téléphone partage des informations avec des tiers, sans que vous en soyez conscients.

Mashable explique que « lorsque le mode avion est activé et que les connexions réseaux sont supposées être désactivées, une alerte est envoyée dès lors qu’une transmission anormale est détectée ». L’anomalie repérée, le périphérique peut même éteindre le téléphone immédiatement.

Journaliste, activiste et lanceur d’alerte

L’outil, dont le premier prototype devrait être rendu public d’ici un an, a été pensé pour venir en aide aux journalistes, activistes et lanceurs d’alerte « pour détecter quand leurs smartphones sont surveillés et trahissent leurs localisations ».

Le programme d’espionnage américain de la NSA, révélé par Edward Snowden a, permis la collecte de données personnelles de millions de citoyens, ainsi que des institutions et chefs d’Etats étrangers. Ces révélations ont montré que ces collectes dépassaient le cadre de la lutte nécessaire contre le terrorisme ou contre les autres risques géopolitiques.

Article original de l’express

Réagissez à cet article

15 millions de comptes Telegram d’Iraniens  piratés

Des chercheurs en sécurité informatique ont annoncé à l’agence de presse Reuters que l’application Telegram avait subit une attaque informatique qui a donné l’occasion aux malveillants de mettre la main sur 15 millions de données d’utilisateurs Iraniens.

Pour rappel, Telegram a été fondé en 2013 par le Russe Pavel Durov. Cet outil de messagerie permet de rendre « illisible » des communications entre personnes autorisées (sauf si groupe publique). Pour cela, les communications sont chiffrées. Dans les options de l’application : chiffrer les messages, auto destruction des textes…

Collin Anderson et Claudio Guarnieri, les deux chercheurs travaillent entre autres pour Amnesty International, ont expliqué que la vulnérabilité est exploitable via son utilisation des SMS. Une faille qui avait pourtant été révélée en 2013 par Karsten Nohl. Selon les deux chercheurs, les utilisateurs Iraniens ont été touchés par une infiltration qui a peut-être permis à des « espions » de mettre la main sur les informations de 15 millions d’utilisateurs de ce pays.

Cyberattaques terroristes déjouées au Maroc

Selon un communiqué du ministère de l’Intérieur cité par des médias locaux, dont le Matin.ma, ainsi que le quotidien ivoirien Fraternité Matin, cette opération antiterroriste a été menée sous la houlette du parquet général et visait 343 individus.

Outre des projets terroristes ciblant des centres de loisir, des festivals, des établissements sécuritaires du Royaume, des cyberattaques à un niveau de préparation bien avancée devaient être dirigées contre les institutions marocaines. Objectif? Bloquer le fonctionnement des structures étatiques et paralyser l’économie.

D’autres personnes arrêtées par les forces de police marocaine sont soupçonnées de recruter des combattants mineurs via les réseaux sociaux.

Article original de Alselme AKEKO

Réagissez à cet article

Le site Internet des avocats de Mossack Fonseca, encore piraté !

Mossack Fonseca, pour rappel, un cabinet d’avocats basé au Panama qui a connu des fuites de données, voilà quelques mois. Des juristes qui cherchent des opportunités économiques aux entreprises, banques, artistes, politiques et sportifs ayant de l’argent à placer… hors de leur juridiction fiscale nationale.

Plusieurs fuites de données avaient été révélées en mars 2016, visant les clients de cette entreprise d’Amérique Centrale. Je vous expliquais comment, en quelques clics de souris et l’ami Google, j’avais pu accéder à plusieurs dizaines de milliers de CV, sauvegardés dans le portail web de « Monseca », comme du vulgaire papier. La presse Internationale, via les Panama Papers avaient diffusé des centaines d’informations sur des « VIP » ayant tenté de cacher à l’administration fiscale l’argent qu’ils possédaient.

Six mois plus tard, nous aurions pu penser que ces « professionnels » avaient pris quelques cours, du moins d’éducation numérique, pour protéger leurs sites Internet. Raté ! D’abord le noyau Linux qui fait tourner leur serveur. Un pirate Russe leur a stipulé, sur Twitter, qu’il datait toujours de 2013. Autant dire qu’il s’est empressé de lancer une petite attaque, histoire de réveiller ses interlocuteurs. Une autre fuite, cette fois avec le fichier phpinfo.php, accessible d’un clic de souris, offrant a qui sait le lire, des données pouvant être exploitées à des fins malveillantes.

A noter que de nouvelles révélations sont annoncées dans cette affaire du Panama Papers. Du blanchiment d’argent et du détournement concernant des hommes d’affaires, en Afrique !

Article original de Damien Bancal

Réagissez à cet article