Déja 10 ans d'existence !

Tél: A Linas: 06.67.44.90.09  A Morsang sur Orge: 06.13.40.54.86

 

Incompatibilité supposée

En marge de l'émoi autour des premiers détails concernant la faille critique dite Meltdown, qui touche notamment les machines sous processeurs Intel, Microsoft a commencé à déployer un correctif pour les utilisateurs de Windows. Le géant, toutefois, met en garde : son patch ne s'installera pas automatiquement chez tout le monde.

Logo%20Microsoft%20large

Commençons par la bonne nouvelle : avec sa mise à jour de sécurité en date du 3 janvier, Microsoft pense avoir protégé le kernel de son OS de toute exploitation de la faille baptisée Meltdown, que nous évoquions largement ce jeudi, même si des correctifs complémentaires sont encore attendus. La mauvaise nouvelle ? Cette précieuse mise à jour, qui doit empêcher les programmes courants de pouvoir consulter des informations sensibles dans une mémoire protégée, ne fait pas nécessairement bon ménage avec tous les antivirus du marché. En effet, selon l'antivirus, l'installation du correctif peut avoir de déplaisantes conséquences — Microsoft parle ouvertement de Blue Screen of Death (BSoD ; "écran bleu de la mort") en série, empêchant ainsi tout démarrage.

Fort de ce constat, le géant a pris une décision : sa mise à jour ne s'installe que lorsque l'antivirus est déclaré compatible, ce qui est fait au travers d'une clé de registre correctement paramétrée. Concrètement, les éditeurs d'antivirus compatibles avec le patch (qui bloque aussi l'accès de ces logiciels au kernel) doivent effectuer le changement et ainsi se signaler, ce qui déclenche de facto l'installation du correctif. Pour l'heure, plusieurs grands noms du secteur, comme Symantec, Avast ou Avira, ont déjà réagi, mais d'autres n'ont pas encore suivi le mouvement. "Si la mise à jour de sécurité ne vous a pas été proposée, il est possible que vous utilisiez un antivirus incompatible", explique Microsoft. Et dans ce cas, "vous devriez vous rapprocher du fournisseur". Naturellement, les solutions maison, nommément Windows Defender et Microsoft Security Essentials, sont prêtes à recevoir le correctif.

Précisons que, même dans l'éventualité d'une relative lenteur de l'éditeur de votre antivirus, il est vivement déconseillé de modifier la clé de registre par vous-même. Dans le meilleur des cas, l'installation du correctif ne déclenchera pas d'erreur critique, mais privera l'antivirus de certaines de ses fonctions. Dans le pire, la machine sera tout bonnement inutilisable.

 

Plusieurs millions de mails aux couleurs d’Amazon France viennent de finir dans les boites mails d’utilisateur de la cyberboutique. Prudence à cet achat que vous n’avez pas effectué.

Les cyberattaques de type phishing, il en pleut des dizaines par jour. J’ai souhaité revenir sur celle du moment, elle est aux couleurs de la cyberboutique Amazon France. D’abord, les mails exploités proviennent d’une des bases de données que je vous indiquais avoir repéré dans un espace de stockage pirate, il y a quelques semaines. Dans cette BDD, deux mails honey pots (pot de miel, contenu ayant pour mission de piéger quelqu’un) ZATAZ ! Ensuite, intéressante attaque par le contenu du courriel usurpateur.

https://twitter.com/Damien_Bancal/status/903991901300326401

La missive se fait passer pour Amazon France sous l’adresse mail « Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.« . Elle explique que vous avez acheté un produit dans la nuit : « Nous vous remercions de votre commande. Nous vous tiendrons informés par e-mail lorsque les articles de votre commande auront été expédiés. » autant dire que les lecteurs de zataz ont été nombreux à m’indiquer avoir reçu la lettre électronique et n’avoir rien acheté.

Sur les 12 lecteurs, 8 avaient cliqué sur le lien proposé dans le courriel. 4 ont rentré login et mot de passe. 1 a rentré un faux identifiant. « J’avoue que jusqu’au bout j’y ai cru, souligne un témoin. Le courrier est très bien fait« .

Effectivement, le pirate n’a pas orchestré une attaque sans réflexion. Le message, efficace. Le mail de la victime apparaît dans ce dernier. Le lien usurpateur, https://www.amazon.fr.cmd7521963.info affiche un fier HTTPS. S voulant dire que la connexion est sécurisée. Le « S » a rassuré les 8 lecteurs qui ont cliqué sur le lien. Plus rassurant encore pour les lecteurs. La page usurpatrice affiche leur mail dans l’espace « identifier-vous« .

Bref, un piège qui pourrait maltraiter plus d’un internaute.

Pour contrer ce genre de chose, passez votre souris sur le lien proposé dans le mail. Ne cliquez pas sur ce lien, regardez juste l’information qui va s’afficher, en bas à gauche de votre outil web. Si ce n’est pas la même url, poubelle.

Ensuite, en cas de doute, préférez taper l’adresse de la cyberboutique dans votre navigateur.

Si votre adresse mail apparaît dans ce genre d’attaque, dites vous qu’elle est définitivement perdue. Elle sera exploitée par les pirates. Autant en changer !

Pour finir, n’oubliez pas qu’Amazon propose la double authentification. Dans le cas d’une interception malveillante de votre mot de passe, sans le second code proposé par la double authentification, le pirate ne pourra pas accéder à votre compte client.

Source: www.zataz.com
Posted On 02 Sep 2017

Tag: , , , ,

 

 

C’est probablement l’incident qui a mis les ransomware sous les feux de la rampe médiatique, plus d’un an avant l’épidémie de WannaCry. En fevrier 2016, le Hollywood Presbyterian Medical Center de Los Angeles en Californie a été visé par le ransomware Locky. L’attaque a chiffré les systèmes de tout le réseau, empêchant les employés d’accéder aux ordinateurs et aux données.
 

L’hôpital a fini par céder et a accepté de payer une rançon de 40 bitcoins, une somme équivalant à l’époque 17.000 dollars afin de récupérer la clef de déchiffrement.

« La manière la plus rapide de retrouver l’accès à nos données et aux fonctions administratives était de payer la rançon et d’obtenir la clef de déchiffrement. Afin de pouvoir revenir à un rythme d’opération normal, c’est donc ce que nous avons fait » a expliqué à l’époque Allen Stefanek, le président du Hollywood Presbyterian Medical Center.

Locky a poursuivi ses infections au cours de l’année 2016 à un rythme effréné, sans autre alternative pour les victimes que le paiement de la rançon. Cette souche de ransomware était si populaire qu’au mois de novembre 2016, elle était devenue l’un des malwares les plus communs.

Mais en décembre 2016, Locky a entièrement disparu. Certains chercheurs ont ainsi évoqué l’idée que les opérateurs étaient partis en vacances pour les fêtes. Il a fait son retour en janvier, mais dans des proportions moindres par rapport au volume de diffusion constaté précédemment.

« Locky est un ransomware incroyablement sophistiqué et puissant » résume Adam Kujawa, directeur Malware Intelligence chez MalwareBytes. « Au final, les cybercriminels veulent de l’argent et ils sont pour cela prêts à utiliser tous les outils à leur disposition. » Si Locky est un succès, les cybercriminels à l’origine de son projet restent probablement des opportunistes constamment à l’affût de nouveaux outils pour extorquer des rançons. Si cela implique de laisse Locky de côté pendant une période, alors qu’il en soit ainsi.

Mais pour l’instant, Locky reste une valeur sûre : si les victimes cessaient de payer des rançons, les cybercriminels auraient tôt fait de passer à de nouvelles méthodes. Mais plus de 18 mois après l’attaque du Hollywood Presbyterian Medical Center, Locky est toujours là et s’attaque à de nouveaux réseaux. Les ransomwares restent une méthode efficace, car de nouvelles machines continuent d’être infectées et de nouvelles entreprises acceptent de payer les rançons pour récupérer l’accès à leurs systèmes, notamment en l’absence d’outil de décryptage.

Pour résumer, Locky est de retour, car Locky est efficace. La prochaine fois qu’il semblera disparaître, ne criez donc pas victoire trop vite : il est plus que probable que ses créateurs aient simplement choisi de faire une pause pour le rendre encore plus efficace.

Cet article est une traduction de "Locky ransomware: Why this menace keeps coming back" initialement publié sur ZDNet.com

Panique à bord pour les utilisateurs du réseau social Instagram ! La fuite de données orchestrée par le groupe « DoxAGram Team » s’avère beaucoup plus sévère que prévue, et représente 6 millions de comptes.

Alors que certains pensaient que seuls quelques comptes de célébrités étaient touchés en fin de semaine dernière, il s’avère que le piratage est massif : plus de 6 millions de comptes utilisateurs sont en fuite sur le DarkNet, et les données de certaines célébrités sont à vendre à l’unité à 10 dollars pièce (en Bitcoin) ou en pack avec des tarifs promotionnels. On retrouve les informations personnelles (y compris le numéro de téléphone mobile comme le rapport le communiqué officiel) de stars telles que Selena Gomez, les noms de Justin Bieber, de Taylor Swift, Neymar ou encore Kirsten Dunst.

Les cybercriminels semblent avoir réussi à exploiter la faille de sécurité de manière automatisée afin d’extraire des données de plusieurs millions d’utilisateurs. Malins, il ont aussi ouvert le service dédié Doxagram sur le DarkWeb afin de commercialiser les données volées… La faille en question se trouvait dans une API Instagram depuis 2016, utilisée dans une ancienne version de l’application mobile, et plus précisément, au sein de la fonction de réinitialisation du mot de passe. La vulnérabilité a été signalée par Kaspersky à Instagram, qui l’a corrigé dans le courant de la semaine dernière. Attention tout de même, car à ce jour, rien ne prouve que ce soit cette vulnérabilité qui a été exploitée par les pirates pour dérober ces données sensibles : elle ne semblait pas être l’idéale pour extraire à grande échelle…

Notons que les données en fuites concernent les adresses e-mail et les numéros de téléphones entre autre, mais pas de mots de passe. Les pirates ont envoyé un échantillon de 10 000 comptes à Ars Technica et le chercheur et expert en sécurité Troy hunt a pu les authentifier.

 

On retrouve donc une véritable industrialisation du processus de commercialisation des données personnelles volées, que l’on appelle couramment « Doxing as a service« .

En parallèle, Instagram explique être en train d’enquêter sur cette brèche de données et invite ses utilisateurs à la prudence afin d’éviter que des cybercriminels n’exploitent les données récupérées pour prendre le contrôle du compte de la cible. La société précise que les mots de passe des utilisateurs n’ont pas été dérobés, mais les informations personnelles telles que les numéros de téléphone peuvent être utilisées pour réinitialiser les mots de passe sur certains services, ou pour des tentatives de phishing plus élaborées. Une chose est sûre, c’est que l’on a affaire ici à un très gros leak, qu’il ne faut pas ignorer.

Notons que les pirates se seraient vantés de détenir l’intégralité des données des 200 millions d’utilisateurs du réseau social. Facebook, de son côté, a déclaré que cette information était mensongère. Affaire à suivre !

 

Source: UnderNews.fr

Microsoft a corrigé, en mars, les failles utilisées par la NSA, et révélées par Shadow Brokers en avril !

Intéressant, c’est le moins que l’on puisse dire. Les hackers de la NSA, les Shadow Brokers ont diffusé avant le week-end de Pâques, des outils de piratage qui auraient été utilisés par les pirates de la National Security Agency. Des codes, des logiciels, des failles portant les doux noms de ODDJOB, ZIPPYBEER, ESTEEMAUDIT… Des logiciels utilisés par le service de renseignement de l’Oncle Sam qui servaient, soit à infiltrer un ordinateur sous Windows, soit carrément espionner l’utilisateur des systèmes d’exploitation de Microsoft. L’ensemble des Windows étaient touchés par ces vulnérabilités made in NSA.

Par on ne sait quel miracle, les failles ont été corrigées par Microsoft, en mars. Soit 1 mois avant l’annonce des hackers de la NSA. Les Shadow Brokers ont-ils alertés Microsoft ? J’en doute ! La NSA alors ? Toujours est-il que vendredi soir, Microsoft diffusait sur son blog un message réconfortant. Les outils de la NSA n’étaient donc pas des 0days ? Microsoft n’explique pas, comme il est habituel, d’où provient l’aide qui lui a permis de patcher.

En attendant, la NSA doit se mordre les doigts d’avoir perdu autant de possibilités d’infiltrer n’importe quel Windows dans le monde… ou pas !

Pendant ce temps, on apprend dans les pages de DataSecurityBreach.fr que la société Oracle a corrigé 299 failles, dont Struts. Vulnérabilité utilisée par la NSA et révélée par Shadow Brokers.

ORDINATEUR PORTABLE: Remplacement  Dalle / Inverter / Clavier  sur DEVIS