Attention aux versions piégées de Pokémon GO

Pas de doute, le phénomène Pokémon GO débarque en force en cet été 2016. L’application tirée du jeu éponyme de Nintendo permet de s’éclater à trouver des Pokemons un peu partout dans le monde. De la réalité virtuelle bien venue pour l’été.

Édité par Niantic, le créateur de Pokémon GO ne propose son appli qu’aux États-Unis, en Australie et en Nouvelle-Zélande. Un pré lancement pour tester les serveurs, très sollicités, et la stabilité du jeu. Bref, normalement, il n’est pas possible d’y jouer en Europe, et donc en France. Sauf qu’il y a toujours des possibilités, comme celle d’installer Pokémon GO vient l’APK (le programme) proposé par de nombreux sites Internet non officiels.

Attention ! des sites qui ne sont pas maîtrisés et contrôlés par les auteurs. Des espaces de téléchargements qui sont des limites du Play Store de Google et de l’App Store d’Apple. Bref, à vos risques et périls.

J’ai déjà pu repérer des APK piégés (ransomwares, cheval de Troie, …) proposés, je l’avoue, dans des lieux peu recommandables. Prenez l’avertissement très au sérieux. Pokemon GO ne vous demandera JAMAIS d’accéder à vos messages [SMS, MMS], à vos appels téléphoniques. Si l’APK que vous avez téléchargez vous propose ces « autorisations », ne l’installez surtout pas. Attendez la version officielle.

Je ne me voile pas la face, le phénomène attire beaucoup d’internautes, jeunes et moins jeunes. Et avec les vacances, une bonne occasion de sauter sur le jeu pour smartphone de l’été. Des milliers de Français l’ont fait. J’en croise beaucoup, dans la rue, comme le montre ma photographie, prise ce 13 juillet dans les rues de Paris. Je rentre de New York, l’engouement est… pire !

A noter que plusieurs éditeurs d’antivirus ont mis la main sur une version « malveillante » de Pokémon GO. Bitdefender, par exemple, parle de DroidJack. Ce cheval de Troie ouvre une backdoor et donne l’accès aux données des appareils mobiles infectés, permettant ainsi leur prise de contrôle à distance par les pirates. Ce malware disponible pour seulement 200 dollars sur certains sites Web, offre au pirate une interface de contrôle facile à utiliser lui permettant par exemple de surveiller l’activité des appareils corrompus, de passer des appels, d’envoyer des SMS, de localiser l’appareil, d’utiliser l’appareil photo ou le microphone ou même d’accéder aux dossiers.

La version iPhone malmenée par la version officielle

Autre mise en garde pour les joueurs de Pokémon GO : sur iOS, l’application semble demander plus d’autorisations que nécessaire. L’accès à l’application via un compte Google semble conférer au développeur Niantic (ex Start-up de Google), un accès complet aux comptes des utilisateurs. Ce problème est en cours de résolution et n’est pas présent dans les versions Android.

Article original de Damien Bancal

Réagissez à cet article

Panorama des menaces sur la cybersécurité industrielle

Vu l’augmentation de l’attention portée à la sécurité de la supervision industrielle au fil des dernières années, de plus en plus d’informations sur les vulnérabilités qui touchent ces systèmes sont publiées. Toutefois, ces vulnérabilités peuvent très bien avoir été présentes dans ces produits pendant des années avant d’être dévoilées. C’est un total de 189 vulnérabilités dans des composants de supervision industrielle qui a été publié en 2015 et la majorité d’entre elles était critique (49 %) ou de gravité moyenne (42 %).

Vulnérabilités de supervision industrielle par année.

Les vulnérabilités peuvent être exploitées.

Il existait des codes d’exploitation pour 26 des vulnérabilités publiées en 2015. De plus, pour bon nombre de vulnérabilités (comme les identifiants codés en dur), un code d’exploitation n’est absolument pas requis pour obtenir un accès non autorisé au système vulnérable. Qui plus est, nos projets d’évaluation de la sécurité de la supervision industrielle montrent que les propriétaires de solutions de supervision industrielle considèrent souvent celles-ci comme une « boîte noire », ce qui signifie que les identifiants par défaut des composants de supervision industrielle restent souvent inchangés et peuvent être utilisés pour obtenir un contrôle à distance du système. Le projet SCADAPASS de l’équipe SCADA Strangelove fournit une représentation des identifiants par défaut de supervision industrielle connus. Le projet dispose actuellement d’informations sur 134 composants de supervision industrielle de 50 éditeurs.

Vulnérabilités dans la supervision industrielle en 2015 par niveau de risque (CVSS v.2 et CVSS v.3)

Les vulnérabilités dans les composants de supervision industrielle sont très diverses.

De nouvelles vulnérabilités ont été détectées en 2015 dans les composants de supervision industrielle de différents éditeurs (55 fabricants différents) et types (interface homme-machine, dispositifs électriques, SCADA, périphériques de réseau industriel, automates programmables industriels, et bien d’autres). Le plus grand nombre de vulnérabilités a été détecté chez Siemens, Schneider Electric et Hospira Devices. Les vulnérabilités dans les composants de supervision industrielle sont de nature différente. Les types les plus répandus sont les débordements de tampon (9 % de l’ensemble des vulnérabilités détectées), utilisation des identifiants codés en dur (7 %) et le cross-site scripting (7 %).

Toutes les vulnérabilités découvertes en 2015 n’ont pas été éliminées.

Il existe des correctifs et de nouveaux micrologiciels pour 85 % des vulnérabilités publiées. Les 15 % restants n’ont pas été réparés ou n’ont été que partiellement réparés pour différentes raisons. La majorité des vulnérabilités qui n’ont pas été éliminées (14 sur 19) présente un risque élevé. Ces vulnérabilités sans correctif représentent un risque significatif pour les propriétaires des systèmes concernés, surtout pour ceux chez qui les systèmes de supervision industrielle vulnérables sont exposés à Internet en raison d’une gestion inadéquate de la configuration réseau. A titre d’exemple, citons 11 904 interfaces SMA Solar Sunny WebBox accessibles à distance qui pourraient être compromises via les mots de passe codés en dur. Bien que ce nombre a considérablement diminué pour Sunny WebBox depuis 2014 (à l’époque, plus de 80 000 composants disponibles avaient été identifiés), il est toujours élevé et le problème des identifiants codés en dur (publié en 2015) qui n’a pas été résolu expose ces systèmes à un risque bien plus élevé qu’on ne le pensait jusqu’à présent.

Application de correctif dans les systèmes de supervision industrielle

De nombreux composants de supervision industrielle sont disponibles via Internet.

220 668 composants de supervision industrielle ont été découverts via le moteur de recherche Shodan. Ils sont installés sur 188 019 hôtes dans 170 pays. La majorité des hôtes accessibles à distance et dotés de composants de supervision industrielle est située aux Etats-Unis (30,5 %) et en Europe. Parmi les pays européens, l’Allemagne arrive en première position (13,9 %), suivie de l’Espagne (5,9 %). Les systèmes disponibles proviennent de 133 éditeurs différents. Les plus répandus sont Tridium (11,1 %), Sierra Wireless (8,1 %) et Beck IPC (6,7 %).

Top 20 des pays par disponibilité de composants de supervision industrielle

Les composants de supervision industrielle accessibles à distance utilisent souvent des protocoles qui ne sont pas sécurisés.

Il existe un certain nombre de protocoles, ouverts et non sécurisés par nature, comme HTTP, Niagara Fox, Telnet, EtherNet/IP, Modbus, BACnet, FTP, Omron FINS, Siemens S7 et de nombreux autres. Ils sont utilisés sur 172 338 hôtes différents, soit 91,6 % de l’ensemble des périphériques de supervision industrielle accessibles depuis l’extérieur trouvés. Les attaquants disposent ainsi de méthodes complémentaires pour compromettre les dispositifs via des attaques de type « homme au milieu ».

Top 15 des protocoles des composants de supervision industrielle accessibles depuis l’extérieur

De nombreux composants de supervision industrielle vulnérables sont accessibles depuis l’extérieur.
Nous avons répertorié 13 033 vulnérabilités sur 11 882 hôtes (soit 6,3 % de l’ensemble des hôtes dotés de composants accessibles depuis l’extérieur). Les vulnérabilités les plus répandues sont Sunny WebBox Hard-Coded Credentials (CVE-2015-3964) et les vulnérabilités critiques CVE-2015-1015 et CVE-2015-0987 dans Omron CJ2M PLC. Si nous combinons ces résultats aux statistiques d’utilisation de protocoles non sécurisés, nous pouvons estimer le nombre total d’hôtes de supervision industrielle vulnérables à 172 982 (92 %).

Top 5 des vulnérabilités dans les composants de supervision industrielle

Plusieurs secteurs sont touchés.

Nous avons découvert au moins 17 042 composants de supervision industrielle sur 13 698 hôtes différents dans 104 pays et probablement présents dans de grandes entreprises. La disponibilité de ces composants sur Internet est probablement associée à des risques élevés. Parmi les propriétaires, nous avons pu identifier 1 433 grandes entreprises, dont certaines appartenant aux secteurs d’activité suivants : électricité, aérospatial, transport (y compris les aéroports), pétrole et gaz, métallurgie, chimie, agriculture, automobile, distribution d’eau, de gaz et d’électricité, agroalimentaire, construction, réservoirs de stockage de liquide, villes intelligentes et éditeurs de solution de supervision industrielle. Des institutions académiques et de recherche, des institutions gouvernementales (y compris la police), des centres médicaux, des organisations financières, des complexes hôteliers, des musées, des bibliothèques, des églises et de nombreuses petites entreprises figurent également parmi les propriétaires de systèmes de supervision industrielle accessibles à distance identifiés. Le nombre d’hôtes de supervision industrielle vulnérables accessibles depuis l’extérieur qui appartiennent probablement à de grandes organisations s’élève à 12 483 (91,1 %) où 453 hôtes (3,3 %), dont des hôtes actifs dans le secteur de l’énergie, des transports, du gaz, de l’ingénierie et de l’industrie et de l’agroalimentaire, contenaient des vulnérabilités critiques.

Disponibilité des systèmes de supervision industrielle par éditeur

Les résultats ci-dessus ne sont que la limite inférieure des estimations. Le nombre réel de composants de supervision industrielle accessibles associés à de gros risques pourrait être bien plus élevé.

Conclusion

En matière de protection, l’isolement des environnements critiques ne peut plus être considéré comme une mesure de contrôle de la sécurité suffisante pour la supervision industrielle. Les exigences des activités économiques au 21e siècle imposent souvent la nécessité d’intégrer la supervision industrielle à des systèmes et des réseaux externes. De plus, les capacités, les motivations et le nombre des auteurs de menaces qui se concentrent sur les systèmes de supervision industrielle augmentent. Depuis les disques durs ou les clés USB infectés jusqu’aux connexions non autorisées depuis des réseaux de supervision industrielle à Internet via des smartphones ou des modems en passant par les kits d’installation infectés obtenus auprès d’un éditeur ou le recrutement d’un initié, toutes ces méthodes sont à la disposition d’individus malintentionnés très qualifiés qui préparent des attaques contre des réseaux de supervision industrielle isolés physiquement et logiquement.

Les propriétaires de systèmes de supervision industrielle doivent être au courant des vulnérabilités et des menaces modernes et exploiter ces informations pour améliorer la sécurité de leur environnement de supervision industrielle. Ici, le soutien actif de l’éditeur joue un rôle crucial dans l’identification et l’élimination rapides des vulnérabilités du système de supervision industrielle ainsi que dans le partage de solutions temporaires qui permettent de protéger les systèmes jusqu’à la publication des correctifs.

Les caractéristiques des systèmes de supervision industrielle, à savoir que leur sécurité sur le plan informatique est étroitement liée à la sécurité physique, reçoivent souvent un traitement contraire au traitement exigé dans de telles conditions. Les petites et moyennes entreprises, ainsi que les particuliers, s’en remettent complètement aux éditeurs lorsqu’il s’agit de la sécurité de l’Internet des objets. Les consommateurs ne s’aventurent pas au-delà des étapes simples décrites dans les manuels. Ils disposent donc de dispositifs prêts à l’emploi et facilement accessibles, mais également vulnérables. Les grandes entreprises, de leur côté, mesurent bien les risques élevés associés à une configuration incorrecte de l’environnement de supervision industrielle. Toutefois, c’est pour cette même raison que les propriétaires des systèmes considèrent souvent les dispositifs de supervision industrielle comme des « boîtes noires » et ont peur de modifier l’environnement, y compris sous la forme d’améliorations de la cybersécurité.

Les résultats de cette recherche nous rappellent une fois de plus que le principe de la « Sécurité par l’obscurité » ne peut être invoqué pour atteindre une protection efficace contre les attaques modernes et que la sûreté des systèmes de supervision industrielle ne doit pas être négligée au profit de la sécurité car dans ce domaine, la sûreté et la sécurité sont étroitement liées.

Article original de Kaspersky

Réagissez à cet article

Pokémon Go peut-il vraiment prendre le contrôle de votre compte Gmail ?

Après avoir soulevé certains problèmes récemment avec le cas des voleurs armés aux États-Unis qui utilisaient le jeu pour cibler leurs victimes ou celui d’une jeune adolescente qui aurait retrouvé un cadavre pendant sa « chasse » aux Pokémon. La polémique n’en finit plus autour de Pokémon Go. C’est aujourd’hui un problème d’éthique et de sécurité qui est désormais pointé du doigt.

Pokémon Go : comment le jeu a rendu fou le monde entier
En effet lorsque vous installez et que vous jouez à Pokémon Go pour la première fois, le jeu sur smartphone développé par la firme Niantic, demande deux types de connexion. La première consiste à créer un compte via l’application tandis que la deuxième exige de se connecter directement depuis son compte Google. C’est la deuxième connexion qui soulève plusieurs problèmes.

Sur son blog, l’analyste en sécurité Adam Reeve expliquait ainsi ce week-end que cette identification par Google pouvait poser plusieurs problèmes puisque l’application accédait à plusieurs paramètres de votre compte Google : « Pokémon Go et Niantic peuvent désormais lire tous vos emails, envoyer des emails de votre part, accéder à vos documents Google Drive, rechercher dans votre historique de recherche et de navigation, accéder à toutes les photos privées hébergées sur Google Photos et bien davantage ». Des accès qui ne sont, bien évidemment, pas nécessaires pour profiter de l’expérience de jeu de l’application développée par Niantic.

Des informations démenties par Google et Niantic
Cependant, interrogé par le site Gizmodo, Adam Reeve a finalement fait marche arrière sur ses affirmations, expliquant ne pas être « certain à cent pour cent » que son billet de blog est exact. Il a par ailleurs expliqué au site Internet qu’il n’avait jamais développé lui-même d’application utilisant l’identification Google et n’a pas expérimenté ce qu’il indiquait sur son blog.

Du côté de Google également, l’information a été démentie auprès de Dan Guido, expert en sécurité informatique. La firme de Mountain View explique que les autorisations de Pokémon Go ne concernent que la partie « Mon Compte » de Google et n’autorise pas d’accès spécifique à différents services.
Enfin, le studio Niantic, qui développe l’application avec The Pokémon Company, a publié ce mardi un communiqué de presse afin de rassurer les utilisateurs : « Pokémon Go n’accède qu’aux informations basiques des profils Google (votre identification et votre adresse email). Aucune autre information de votre compte Google n’est ou ne sera collectée. […] Google réduira prochainement les autorisations de Pokémon Go uniquement aux données de profil dont Pokémon Go a besoin, les utilisateurs n’auront pas besoin d’effectuer le moindre changement ».

Article original de GEOFFROY HUSSON

Réagissez à cet article

Pillo, un robot intelligent et connecté en guise de pilulier

[youtube https://www.youtube.com/watch?v=DAubLlvNiP0?feature=oembed&w=610&h=343]

Pillo ne sera disponible qu’en 2017, toutefois, ce petit robot pilulier se dévoile déjà à l’occasion de son financement participatif sur IndieGogo. Un crowd-funding presque intégralement réussi ce lundi (près de 75 000 dollars levés) alors-même que le robot n’a été mis en ligne qu’il y a une semaine. Le petit pilulier aura réussi à convaincre des backers en très peu de temps.

Il a pour cela quelques arguments : le petit assistant domestique se propose d’être une interface afin de monitorer et gérer au quotidien la santé des foyers. Pillo distribue quotidiennement aux membres d’une famille les pilules qui lui sont nécessaires et pour cela le robot est équipé d’une technologie de détection des visages, afin de rendre le pilulier totalement autonome et faciliter nos quotidiens. Seulement, là où le robot convainc vraiment, c’est qu’en dehors de son rôle de distributeur, il parvient à trouver un vrai rôle en tant qu’objet .

En plus de surveiller votre consommation de médicaments et de vous demander d’en recommander quand il risque de vous en manquer, Pillo répond également à de nombreuses questions sur votre santé et les aliments que vous consommez et s’ambitionne comme une véritable interface pour les consultations à distance par exemple. Or, c’est là qu’on trouve la valeur ajoutée du Pillo face au pilulier de mamie ; le robot exécute une tâche essentielle chaque jour, mais en plus de répondre à un besoin, il introduit assez de composants et de possibilités pour s’ambitionner comme un véritable hub de la health tech à la maison.

Ses concepteurs ont promis que le produit serait commercialisé, peu importe la réussite de la campagne IndieGogo qui comme souvent sert d’opération publicitaire pour une startup. Le robot était disponible à partir de 256 $ sur la plateforme et sera commercialisé plus de 600 $ en 2017, dans un premier temps uniquement aux USA.

Mieux vaudra en tout cas être sûr de sa fiabilité et de sa sécurité, pour accepter de reposer sur un robot connecté pour distribuer ses pilules au petit déjeuner…

Article original de Corentin Durand

Réagissez à cet article

Attention aux ondes des tablettes et smartphones pour les enfants !

Attention aux technologies sans fil ! Telle est la mise en garde que vient de formuler l’agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses) ce vendredi, dans un rapport portant sur le sujet hautement sensible de l’exposition aux radiofréquences et à la santé des enfants. Dans celui-ci, elle note « des effets possibles sur les fonctions cognitives et le bien-être » et recommande de limiter et d’encadrer l’usage de ces technologies.

Dans le cadre de ce travail, ce sont les enfants de moins de six ans qui ont fait l’objet d’un suivi particulier. L’Anses avait été saisie par les pouvoirs publics afin de vérifier si les dispositions réglementaires à propos des appareils radioélectriques destinés aux plus jeunes sont suffisamment protectrices en matière de santé et de sécurité. Il ressort que « les enfants pouvaient être plus exposés que les adultes » du fait de leurs spécificités morphologiques et anatomiques.

C’est ce que détaille à France Info Olivier Merckel, chargé de l’évaluation des risques. « Les enfants sont plus exposés que les adultes aux champs électromagnétiques : l’épaisseur du crâne chez les enfants est plus petite que chez les adultes donc on a une exposition globale plus importante ». En outre, les « caractéristiques de certains de leurs tissus » contribuent à cette vulnérabilité accrue. Il faut donc redoubler de vigilance quant à l’exposition des petits.

Le problème, c’est la généralisation des équipements de transmissions sans fil dans leur environnement. « Les données disponibles sur l’exposition montrent une forte expansion de l’usage des nouvelles technologies sans-fil, notamment chez les très jeunes enfants », relève le rapport. Il y a le smartphone, il y a la tablette, il y a les objets connectés, il y a le babyphone, il y a les jouets radiocommandés… et beaucoup d’autres appareils dédiés à la surveillance du petit ou à l’occuper.

LES ENFANTS SONT PLUS EXPOSÉS QUE LES ADULTES
Or, on le devine aisément : plus la source émettrice est proche, plus l’intensité et la quantité du rayonnement sont élevées. En la matière, des appareils comme des smartphones ou des babyphones peuvent légitimement constituer une source d’inquiétude, car ils sont en général très près de la tête — que ce soit pour parler au téléphone ou bien pour entendre les bruits de bébé et s’assurer que tout va bien.

QUELS EFFETS POTENTIELS ?

L’Anses souligne toutefois que « les données actuelles ne permettent pas de conclure à l’existence ou non d’un effet des radiofréquences chez l’enfant sur le comportement, les fonctions auditives, les effets tératogènes et le développement, le système reproducteur, les effets cancérogènes, le système immunitaire, la toxicité systémique ». Des études plus approfondies seront sans doute nécessaires.

L’Anses mentionne toutefois deux cas où à un effet des radiofréquences est possible : les fonctions cognitives d’abord. « Les résultats montrant des effets aigus se basent sur des études expérimentales dont la méthodologie est bien maîtrisée », note le rapport. Un effet négatif sur le bien-être peut aussi être envisagé, même s’il « pourrait cependant être lié à l’usage du téléphone mobile plutôt qu’aux radiofréquences qu’ils émettent ». Bref ce serait plus ce serait la manière dont on s’en sert le problème.

UN USAGE RAISONNABLE

Est-ce que cela veut dire qu’il faut tenir les enfants loin de ces sources d’émission ? En clair, faut-il les priver de portable jusqu’à un âge avancé, retirer les jouets high tech et vérifier que la chambre n’est pas trop exposée ? Pour Olivier Merckel, il faut prendre quelques mesures, mais ne pas non plus exagérer. Les jeunes de moins de 13 ans peuvent passer « quelques appels, quelques SMS par jour » mais « certainement pas plusieurs heures ».

Un usage maîtrisé. Tel est donc le conseil général donné par l’Anses à l’attention des parents. « L’Agence recommande aux parents d’inciter leurs enfants à un usage raisonnable du téléphone mobile, en évitant les communications nocturnes et en limitant la fréquence et la durée des appels ». Mais des actions doivent aussi être engagées du côté des pouvoirs publics, au niveau français ou européen.

UNE RÉGLEMENTATION À REVOIR

Pour l’Anses, il convient d’actionner plusieurs leviers, à commencer par l’obligation de soumettre l’ensemble des dispositifs radioélectriques, et notamment ceux destinés aux enfants, « aux mêmes obligations réglementaires en matière de contrôle des niveaux d’exposition et d’information du public que celles encadrant les téléphones mobiles ». L’agence demande aussi de reconsidérer les niveaux de référence visant à limiter l’exposition environnementale.

Les pouvoirs publics doivent également « réévaluer la pertinence du débit d’absorption spécifique (DAS) ». Il s’agit d’un indicateur utilisé pour l’établissement des valeurs limites d’exposition des personnes, à des fins de protection contre les effets sanitaires connus et avérés (effets thermiques) des radiofréquences. Il convient également de « développer un indicateur représentatif de l’exposition réelle des utilisateurs de téléphones mobiles », « quelles que soient les conditions d’utilisation ».

UN DÉBAT PERMANENT

La question des ondes et de leurs effets potentiels sur la santé a donné lieu à une littérature scientifique abondante. L’Anses elle-même publiait déjà en octobre 2013 un avis dans lequel elle notait à l’absence d’effets avérés sur la santé mais suggérait quand même de prendre des mesures de précaution, en particulier du côté des enfants et des utilisateurs intensifs. La publication avait toutefois fait l’objet de critiques dans la société civile, au sein d’associations spécialisées.

Deux ans auparavant, le centre international de recherche sur le cancer déclarait que les champs électromagnétiques de radiofréquence sont peut-être cancérogènes. Mais là encore, les conclusions avaient été discutées. Ainsi, des organisations professionnelles avaient estimé que le risque soulevé par les experts n’avait pas été clairement démontré par un lien évident de cause à effet et, que de ce fait, la poursuite des travaux scientifiques est indispensable.

Article original de Julien Lausson

Réagissez à cet article

Risques d’infection dans le médical des Objets Connectés

Un des problèmes de la montée en puissance de l’Internet des objets ? La sécurité.

Spécialistes, constructeurs, éditeurs répètent à longueur de conférences qu’il faut absolument que l’IoT soit « secure by design ». Entendez par là que les capteurs, le protocole de communication, la plateforme de traitement de l’information, l’architecture soient sécurisés dès leur conception.

Oui mais voilà, c’est sans compter sur le fameux héritage technique. Le monde de la santé rentre typiquement dans ce cadre et tout particulièrement les outils médicaux connectés. On pense ici aux IRM, scanners, radios, ou pompes à insuline. Ces équipements sont de plus en plus ciblés par les cyberattaquants, car ils sont moins bien protégés que des PC ou des serveurs.

Conséquence de cette faible sécurité, les vieux virus se rappellent aux bons souvenirs des administrateurs et des RSSI. Un rapport de la société de sécurité TrapX Labs, disséquant une attaque baptisée MEDJACK.2, montre que les attaques utilisent des malwares comme networm32.kido.ib ou le ver Conficker en complément de menaces plus sophistiquées. Moshe Ben Simon, co-fondateur de TrapX, résume bien ce paradoxe : « un loup intelligent déguisé avec des vieux habits de mouton ».

Mise en place de backdoors

Premier constat, les équipements médicaux connectés à Internet fonctionnent avec des versions de Windows non corrigées allant de XP (qui n’est plus supporté par Microsoft) aux versions 7 et 8. Des cibles de choix pour les anciens virus. « Ces vieux virus sont utilisés avec des malwares (en l’occurrence MEDJACK.2) plus élaborés pour installer des backdoors dans l’établissement de santé et ensuite mener une campagne par exfiltration de données, voire se transformer en #ransomware », souligne le rapport.

Les échantillons de Conficker que les experts de la société de sécurité ont analysé, montrent que le ver a été modifié pour avoir une meilleure capacité à se déplacer dans un réseau. Pire, son évolution fait qu’il est devenu indétectable pour les équipements médicaux. Dans son enquête auprès de 3 hôpitaux, TrapX relève qu’aucune alerte n’a été remontée par les établissements sur la présence de Conficker.  A son apogée en 2009, Conficker avait infecté entre 9 et 15 millions d’ordinateurs. Il avait, comme capacité, de casser les mots de passe, d’enrôler les PC dans des botnets, etc. La version actuelle est diffusée par phishing envoyé aux personnels de l’hôpital.

Les données patients : la ruée vers l’or

L’objectif de ces attaques : obtenir les dossiers patients. Des informations très demandées sur le Dark Web et affichant une forte valeur marchande au marché noir. « Les cybercriminels peuvent voler l’identité d’un patient pour se faire rembourser par les assurances des traitements coûteux et, en plus, revendre ces traitements au marché noir ». TrapX estime qu’un dossier médical se monnaye entre 10 et 20 dollars sur le marché, contre 5 dollars pour une information financière. En début de semaine, on apprenait le vol de 9,3 millions de données de santé de citoyens américains. Le calcul est vite fait…

Article original de Jacques Cheminat

Réagissez à cet article

Faut-il que les robots et les IA payent des cotisations sociales ?

Faut-il reconnaître un droit spécifique des robots ? La commission du Parlement européen en charge des affaires juridiques (JURI), qui a établi un groupe de travail sur la robotique et l’intelligence artificielle, le pense. Elle prépare actuellement un rapport rédigé par l’eurodéputée luxembourgeoise Mady Delvaux (S&D), déposé le 31 mai dernier, qui demande à la Commission d’élaborer une proposition de directive sur des règles de droit civil sur la robotique. Le texte n’a pas encore été adopté en commission JURI, et devrait être débattu en séance plénière du Parlement européen le 12 décembre prochain.

Parmi ses dispositions, la proposition de résolution invite l’exécutif à réfléchir à la manière dont le modèle social européen peut évoluer, alors que « le développement de la robotique et de l’intelligence artificielle pourrait avoir pour conséquence l’accomplissement par des robots d’une grande partie des tâches autrefois dévolues aux êtres humains ».

Mady Delvaux, députée luxembourgeoise au Parlement Européen (groupe Socialistes & Démocrates)

 
UNE SITUATION PRÉOCCUPANTE POUR L’AVENIR DE L’EMPLOI ET LA VIABILITÉ DES RÉGIMES DE SÉCURITÉ SOCIALE
Actuellement, l’essentiel du financement de sécurité sociale, qu’il s’agisse du socle de base de l’assurance santé, de la retraite ou de l’assurance chômage, est assis sur une ponction d’une partie conséquente des salaires versés aux employés. C’est le salarié chargé de faire l’inventaire dans un hypermarché qui cotise pour être protégé le jour où son employeur jugera plus rentable de faire faire l’inventaire par un robot intelligent.

Paradoxe des paradoxes, l’employeur lui-même complète les cotisations par ses propres versements qui sont proportionnels aux salaires versés, ce qui fait qu’il doit cotiser lorsqu’il continue à payer l’humain (et cotiser d’autant plus lorsqu’il le paye bien), mais qu’il n’a plus rien à payer lorsqu’il le remplace par un robot.

DÉCLARER LES GAINS DE PRODUCTIVITÉ POUR MIEUX LES TAXER ?

Dès lors, si l’on considère que les emplois deviennent plus rapides à détruire qu’à créer dans une société toute obnubilée par l’ubérisation et les gains de productivité, cette « hypothèse s’avère préoccupante pour l’avenir de l’emploi et la viabilité des régimes de sécurité sociale, si l’assiette de contributions actuelle est maintenue », s’inquiète le rapport Delvaux.

L’eurodéputée luxembourgeoise propose donc à la Commission « d’envisager la nécessité de définir des exigences de notification de la part des entreprises sur l’étendue et la part de la contribution de la robotique et de l’intelligence artificielle à leurs résultats financiers, à des fins de fiscalité et de calcul des cotisations de sécurité sociale ». Dit autrement, les entreprises seraient taxées sur la part de leur chiffre d’affaires imputable aux productions automatisées, pour alimenter le pot commun de la sécurité sociale.

UN REVENU UNIVERSEL DE BASE FINANCÉ PAR LES ROBOTS

« Eu égard aux effets potentiels, sur le marché du travail, de la robotique et de l’intelligence artificielle, il convient d’envisager sérieusement l’instauration d’un revenu universel de base », ose même la députée socialiste, alors que la Suisse vient de rejeter la proposition par référendum, et qu’en France le débat est souhaité par Manuel Valls mais sans cesse repoussé.

Mais comment calculer les cotisations que les entreprises devraient reverser ? La question est extrêmement complexe et n’est pas aidée par l’annexe du rapport, où il est simplement précisé que les entreprises devraient être tenues de déclarer à l’administration :

• Le nombre de « robots intelligents » qu’elles utilisent ;
• Les économies réalisées en cotisations de sécurité sociale grâce à l’utilisation de la robotique en lieu et place du personnel humain ;
• Une évaluation du montant et de la proportion des recettes de l’entreprise qui résultent de l’utilisation de la robotique et de l’intelligence artificielle.

Or comment savoir, par exemple, si un rendez-vous enregistré dans l’agenda par Siri ou Cortana est un gain de productivité imposable au titre de la robotisation, parce qu’il aurait pu être inscrit par un(e) secrétaire, ou directement par le patron ou le cadre à travers un logiciel plus ou moins automatisé ? La fiscalité traditionnelle est déjà d’une complexité impressionnante, mais ce n’est rien en comparaison de ce que propose le rapport. Et pourtant, il faudra bien y réfléchir et trouver des solutions. À moins que la crise que nous traversons soit véritablement conjoncturelle et que se créent rapidement de nouveaux emplois durables difficilement remplaçables à court ou moyen terme. « Des emplois qui répondent à des besoins d’humanité », comme le défend le roboticien sud-coréen Jeakweon Han.

Crédit photo de la une : Stephen Chin

Article original de Guillaume Champeau

Réagissez à cet article

Les Smart TV, nouvelle cible des ransomwares ?

Frantic Locker, le rançongiciel qui bloque les Smart TV

Alors que les ransomwares font de nombreuses victimes, le spécialiste de la sécurité informatique Trend Micro révèle que le rançongiciel Frantic Locker s’en prend désormais aux Smart TV.

Présent sur le marché depuis avril 2015, il n’a cessé d’évoluer et un grand nombre de variantes différentes ont développées lui permettant de s’ouvrir à de nouveaux horizons.

Ainsi, dernièrement, Frantic Locker, aussi connu sous le nom FLocker, est diffusé via des campagnes de spam par SMS ou bien par un site web préalablement piégé. Bien évidemment, l’objectif des cybercriminels est toujours le même : faire télécharger des applications malveillantes par l’intermédiaire de clics sur des liens frauduleux.

Mais là où le rançongiciel étonne, c’est qu’il ne bloque pas que les ordinateurs et les smartphones tournant sous Android. En effet, les cybercriminels ont fait des Smart TV leurs nouvelles victimes. Autrement dit, de nombreux téléspectateurs peuvent désormais vivre la mauvaise expérience de voir leur télévision laisser apparaître un message informant qu’une rançon de 200 dollars (en cartes-cadeaux iTunes) était nécessaire pour débloquer leur appareil.

Si tel n’est pas le cas, l’écran restera figé.

Un type d’attaque qui épargne encore certains pays

Depuis son lancement au printemps 2015, le rançongiciel Frantic Locker n’a cessé de se propager au point de cibler un nombre croissant de terminaux.

Concernant les Smart TV, toutes sont potentiellement vulnérables au ransomware FLocker mais selon Trend Micro, il s’autodétruirait en s’installant sur les Smart TV localisées dans plusieurs pays de l’Est de l’Europe comme la Russie, l’Ukraine, la Biélorussie, la Géorgie, la Bulgarie, l’Arménie, l’Azerbaïdjan, le Kazakhstan ou encore la Hongrie.

Article original de Jérôme DAJOUX

Réagissez à cet article

QRCodes : pièges à internaute ? – ZATAZ

On retrouve ces QRcodes, baptisés aussi Flashcode, dans les journaux, la publicité… Il est possible de naviguer vers un site internet ; mettre l’adresse d’un site en marque-page ; faire un paiement direct via son cellulaire (Europe et Asie principalement) ; ajouter une carte de visite virtuelle (vCard, MeCard) dans les contacts, ou un événement (iCalendar) dans l’agenda électronique ; déclencher un appel vers un numéro de téléphone ; envoyer un SMS ; montrer un point géographique sur Google Maps ou Bing Maps ; coder un texte libre. SnapChat, par exemple, propose un QR Code maison pour suivre un utilisateur. Bref, toutes les possibilités sont ouvertes avec un QRcode. Il suffit de présenter l’image à votre smartphone, et à l’application dédiée, pour lancer la commande proposée par le QR Code. A première vue, un pirate a eu l’idée de fusionner QR Code et hameçonnage.

Fusionner QR Code et hameçonnage

Le hameçonnage, baptisé aussi Phishing/Filoutage, est une technique qui ne devrait plus être étrangère aux internautes. Pour rappel, cette attaque informatique utilise le Social Engineering dont l’objectif est la collecte des identifiants de connexion (mail, login, mot de passe, adresse IP…). Dans l’attaque annoncée il y a quelques jours par la société Vade retro, le cybercriminel a présenté son mail comme une image usurpée à un opérateur national et proposant au destinataire un remboursement consécutif à une facture payée. Le QR Code conduisait à un site présentant une page falsifiée qui incitait la victime à renseigner son identifiant et mot de passe légitime chez l’opérateur usurpé, puis présentait un message d’erreur.

L’illustration flagrante des cyber-risques pour tous

Comme le rappel Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC aujourd’hui, presque tout le monde a une adresse électronique personnelle ou du moins professionnelle. C’est en effet devenu un mode de communication indispensable non seulement pour travailler mais également pour consommer toutes sortes de biens et services. Destinées aux particuliers, les messageries électroniques ne sont pas toujours sécurisées. Avec l’usage en masse de l’internet, et la dématérialisation des richesses, ce sont de précieux biens tels que nos données personnelles, « l’or noir du 21ème siècle », qui sont aujourd’hui convoités par les personnes mal intentionnées.

QRCodes : carrés aux angles dangereux

Les QRcodes envahissent le web et nos vies. Déjà, dès 2012, je vous informais d’une attaque découverte dans le métro parisien. Preuve que les pirates se penchaient sur la manipulation des QRcode depuis longtemps. J’ai pu rencontrer un chercheur « underground » qui s’est penché sur le sujet. Nous l’appellerons DBTJ. Il se spécialise dans la recherche de procédés détournés pour QRcode. « Avec mes collègues, explique-t-il à ZATAZ.COM, nous avons testés plusieurs cas, qui, hélas, se sont avérés efficaces. » Dans les cas de Qrcodes malveillants que j’ai pu constater : naviguer vers un site internet et se retrouver face à un code raquetteur (Ransomware) : mettre l’adresse d’un site en marque-page (Shell) ; ajouter une carte de visite virtuelle (vCard, MeCard) dans les contacts, ou un événement (iCalendar) dans l’agenda électronique, lancer un DDoS… bilan, derrière cette possibilité se cachait un vol de données et une mise en place d’usurpation d’identité.

J’ai pu constater aussi des QR Code capable de déclencher un appel vers un numéro de téléphone ou envoyer un SMS. « Nous avons réfléchis aux méthodes d’infections les plus débiles aux plus élaborés, s’amuse mon interlocuteur. Envoyer le QRcode depuis votre téléphone ; la fonctionne SMS dans SET pourrait être intéressante et ne laissera pas de traces ; utiliser le QRcode sur de faux sites, ou encore des sites vulnérables XSS (via un iframe) ; fausses publicités ; remplacer les QRcode aperçus sur des affiches. »

Ce dernier cas a été remarqué par ZATAZ.COM. Il suffit de coller un autre Flashcode, malveillant cette fois, en lieu et place de l’original sur une affiche, dans un arrête de bus par exemple. Effet malheureusement garanti. « Dans le cadre de la démonstration, nous avons infecté exactement 1.341 personnes d’une banlieue de Saint-Denis, et cela en seulement 14 heures, souligne le témoin de ZATAZ.COM. Avec une technique de SE (Social Engineering) d’une simplicité redoutable, nous avons fait des publicités contenant notre QRcode pour un jeu mobile gratuit que nous avons ensuite imprimé en plusieurs exemplaires et diffuser dans les lieux publics (gare/train – centre-ville). » ZATAZ.COM peut confirmer qu’après le test, les « pentesteurs » du QRcode ont effacé l’intégralité des informations collectées.

Bref, voilà de quoi regarder ces petits carrés noirs et blancs d’un œil nouveau … et plus suspicieux. Pour se protéger, des logiciels comme GData QRCode permettent de palier ce type d’intrusion. A utiliser sans modération.

Article original de Damien BANCAL

Réagissez à cet article

Hardwear.io 2016 : Hardware Security Conference

A l’ère de l’automatisation où la technologie joue un rôle clé dans l’amélioration de l’efficacité des dispositifs, la nécessité de traiter de manière proactive la sécurité matérielle est largement sous-estimée. Allant de simples gadgets connectés utilisés au quotidien, aux systèmes automobiles, aux appareils médicaux sans fil où au matériel de défense nationale ; tout fonctionne sur une technologie sophistiquée mais très vulnérable .

Hardwear.io propose à la fois une plate-forme et une communauté, une occasion d’échanger entre professionnels, et le plus important apporte des solutions aux problèmes critiques relatifs à la sécurité du hardware.

Des sessions de formation se tiendront pendant deux jours, avant la tenue de la conférence, les 20 et 21 septembre 2016 à la Hague, aux Pays-bas. Avec des intervenants de renom, pour échanger sur divers sujets comme les backdoors, l’exploitation des failles, la confiance, les assurances et les attaques sur l’équipement matériel, les firmware et protocoles connexes .

Hardwear.io est est menée par l’équipe de nullcon – Conférence internationale de sécurité basée en Inde, l’un des événements de la sécurité des systèmes d’information de premier plan en Asie depuis 2010. Hardwear.io est une conférence qui apporte à la fois une plate-forme et une communauté pour la sécurité du matériel informatique, où les chercheurs mettent en valeur leurs travaux et échangent leurs innovations liées aux attaques et à la défense hardware. L’objectif de la conférence tourne autour de quatre principales préoccupations : le firmware et les protocoles connexes à savoir backdoors, exploits, la confiance et les attaques.

L’APPEL A CONTRIBUTIONS EST OUVERT

Pour tous ceux qui souhaitent intervenir lors de la conférence Hardwear.io 2016, les sujets peuvent être soumis jusqu’au 5 juillet 2016 via hardwear.io. Hardwear.io privilégie les sujets ayant trait à la sécurité du matériel en profondeur, à la fois sous l’angle offensif et défensif.

Parmi les domaines proposés (sans s’y limiter) :

– Circuits intégrés
– Processeurs
– Internet des objets / Smart Devices
– Crypto Hardware
– Systems embarqués
– Systèlmes automatisés Automobile, Aerien, train et composants hardware
– Systèmes de controle industriels / SCADA
– Systèmes Satellites
– Objets médicaux connectés
– Smartphone firmware, hardware
– Firmware
– Test de pénétration Hardware
– Module plateforme de confiance
– Protocoles de communication Radio et hardware
– Confiance et assurance Hardware et algorithms
– Multimedia hardware, firmware, protocols
– Telecom Hardware et réseaux
– Serrures éléctroniques et physiques

Parmi les intervenants clés en 2015, Hardwear.io a accueilli : Jon Callas, Harald Welte, Javier Vidal, Jaya Baloo, Florian Grunow et d’autres experts de renom en sécurité qui ont tous renforcé l’équipe des organisateurs de la nécessité de poursuivre ces rencontres de la sécurité hardware dans le monde ultra connecté d’aujourd’hui. Pour plus d’information, et pré-ventes early bird: http://hardwear.io

Article original de Damien Bancal 

Réagissez à cet article