L'actualité infosec de la semaine - 42ème numéro (07 Février au 16 Février 2017)
Comme chaque semaine voilà l'actu infosec by Hackademics, un condensé rapide et pragmatique hebdomadaire des news infosecs de la semaine écoulée.
Bonne lecture et n'hésitez pas à aller creuser les sujets (via les sources proposées).
Malware - Une mystérieuse vague attaque le monde
C'est la société Kaspersky qui tire la sonnette d'alarme cette semaine, avec cette inquiétante découverte: un nouveau malware d'origine inconnue aurait frappé 140 structures, principalement des banques ou des grandes entreprises, dans plus de 40 pays différents! En Angleterre et en France, on compte seulement une petite dizaine de cas, mais c'’est les États-Unis, avec 21 cibles, qui apparaissent comme le pays le plus touché. Les attaquants ont pris tout le monde de court en utilisant ici un nouveau genre de malware qui ne se base sur aucune signature connue, et qui se révèle très discret. L'attaque est simple: trouver un point d'entrée en utilisant une vulnérabilité sur un serveur non-patché puis, prendre le contrôle à distance des ordinateurs grâce à divers scripts malveillants (comme Meterpreter, un payload disponible dans la suite Metasploit). Une fois les machines contaminées le malware se cache dans le registre de Windows, le rendant ainsi indétectable à tout analyse d'antivirus, et se charge de voler le plus d'informations possible. Le groupe derrière ces attaques n'est toujours pas identifié...
Par Bioshock
Source: http://www.v3.co.uk/v3-uk/news/30043...gets-hit-in-uk
Le trojan qui aidait le botnet Mirai...
Non, vous ne rêvez pas, il semblerait que les malwares commencent à s'entraider entre-eux! Peut-être une forme primitive de conscience entrain de naître, qui sait... Plus sérieusement (et plus inquiétant aussi), des chercheurs de la société Dr.Web viennent de découvrir un nouveau malware: Trojan.Mirai.1. Son unique but est de faciliter la propagation du botnet Mirai et de lui fournir de nouvelles victimes potentielles. Se propageant de manière multiple (mails de phishing, faux téléchargement via des pages webs malveillantes...). Le malware fonctionne de manière simple et efficace: une fois installé sur la machine hôte, le trojan va scanner le réseau à la recherche de quelconques objets connectés sous Linux, comme des caméras par exemple, si le malware parvient à se connecter à l'un d'entre eux, il va alors télécharger dessus un fichier binaire contenant Mirai, qui va pouvoir alors s'installer dessus, l'objet connecté rejoignant alors l'immense réseau du botnet. Il s'agit d'une évolution inquiétante du comportement du botnet, et il ne serait pas surprenant de voir émerger de nouveaux trojan de ce genre dans les semaine à venir.
Par Bioshock
Source: https://www.nextinpact.com/news/1032...x-internes.htm
Macros - Lorsque les vieilles attaques arrivent sur Mac
Les macros... une technique vieille comme le monde, que tous les utilisateurs avertis de Windows connaissent, mais qui peut s'avérer redoutable lorsque la victime méconnait cette menace. Le principe est simple: les macros sont des bouts de codes écrits en Visual Basic, et qui permettent d'effectuer des actions complémentaires sur des documents (notamment avec la suite Office de Microsoft). Cette fonctionnalité s'est rapidement vue détournée par de nombreux pirates, et désormais le réflexe "attention aux pièces jointes" est clairement devrait être imprimé dans toutes les têtes... Mais voilà que ce fléau débarque sur Mac OS. De nombreux chercheurs ont repérés il y a peu un document nommé "U.S. Allies and Rivals Digest Trump's Victory – Carnegie Endowment for International Peace". Ce document, évidemment malveillant se base sur les macros, et surfe sur la vague de l’'élection de Donald Trump, pour inciter son téléchargement. Si les macros parviennent à sexécuter correctement, l'installation d'un malware se lance, pour récupérer les mots de passe et autres informations sensibles. La partie de code de cette pièce jointe malveillante proviendrait d'un kit d'exploitation, ciblant les utilisateurs de Mac. Prudence donc...
Par Bioshock
Source: https://www.nextinpact.com/news/1032...nt-sur-mac.htm
Le créateur de Leaked Source débusqué ?
Le désormais célèbre enquêteur Brian Krebs vient de publier sa dernière enquête sur la personne qui serait derrière le site Leaked Source et révèle les dessous de cette affaire bien sordide. En effet, un des administrateurs de ce site était aussi gérant du site abusewith[dot]us qui lui prodigue des conseils pour pirater les comptes de joueurs de jeux-vidéos. En autre, il est remonté jusqu'à la possible identité physique de cette personne qui dément, elle, certaines de ces allégations. ce qui est compréhensible à la vue des charges qui pèsent sur les personnes derrière Leaked Source. Une bonne lecture donc.
Par L'OMBRE
Source: https://krebsonsecurity.com/2017/02/...kedsource-com/
La France attaquée pour les élections de 2017 ?
Nous avons eu cette semaine des déclarations d'un peu de partout comme quoi la France était ou serait la victime d'attaques informatiques afin de perturber l'élection présidentielle de 2017. Je vous propose de revenir sur les magnifiques déclarations de l'équipe de campagne de Emmanuel Macron. En effet, elle a affirmée être la cible d'attaques répétées en provenance de la Russie. Armée de ses 6 experts en cybersécurité, elle continue pour l'instant a avoir de sérieux problèmes de sécurité informatique et notamment son site web https://en-marche.fr/ qui tourne sous WordPress mais dans une version qui comporte nombreux trous de sécurité. Ainsi que le souligne le Protocole Zataz, le site de François Fillon aurait lui aussi quelques problème de trous béants dans son site. On peut attendre des attaques, mais si on ne pratique pas une des bases essentielle de la sécurité informatique qu'est la mise à jour du site web du parti, ces cyber-experts feraient bien de retourner lire les 42 mesures de l'ANSSI qui détaillent les pratiques incontournables pour renforcer la sécurité des systèmes dinformation. Je leur conseille personnellement la N° 34 qui porte sur comment "Définir une politique de mise à jour des composants du système dinformation".
Par L'OMBRE
Sources:
- https://www.ssi.gouv.fr/uploads/2017...ique_anssi.pdf
- https://www.zataz.com/fillon-macron-...irates-russes/
Le Saviez-Vous ?
Le manuel de Tallinn est sans aucun doute l’élément législatif le plus important de ces dernières années, pour ce qui concerne le domaine de la cybersécurité. En effet, avec le développement et la démocratisation des nouvelles technologie au début des années 2000, de nombreux États on révélés un intérêt nouveau et tout particulier pour ces dernières. Mais c’était sans compter les menaces qui en découlent… Car si d’un coté les nouveaux utilisateurs s’étaient adaptés, les États et en particulier le domaine juridique, n’avait pas fait évoluer leur Droit! Donnant ainsi une zone de législation très floue, sans règles particulières. C’est quand l’Estonie est prise pour la première fois en 2007 pour cible par ce que l’on pourrait qualifier de la première cyberattaque, que le monde va réagir. Le fruit de cette réaction est le manuel de Tallinn. Rédigé par l’OTAN sur une durée de trois ans par un groupe d’une vingtaine d'experts multi-nationaux, il s’agit là d’un guide ayant pour but de retranscrire les droits internationaux aux cyberconflits. Les principaux apports de ce texte, ont été l’encadrement des nouvelles cyberarmes, que de nombreuses armées ont désormais ajoutées à leur arsenal ou encore le fait de pouvoir reconnaître un cyberconflit comme un conflit armé. C’est un grand pas vers la législation du domaine informatique, même si, et notamment en France, il reste de nombreuses zones d'ombre à éclaircir.
Par Bioshock
By L'OMBRE , Bioshock, Anonyme77 & _47