Articles

Partir en vacances en toute cybersérénité

Juillet, le soleil, la clôture des dossiers et… les vacances ! Se reposer, voyager, refaire le plein d’énergie… et concernant la cybersécurité de votre entreprise ? Malheureusement les pirates informatiques ne se reposent pas !

Alors pour que vos vacances ne tournent pas au cauchemar, découvrez nos conseils Cyberprotect !

infographie vacances-cyberserenite

 

Et vous, quels sont vos conseils pour passer des vacances en toute cybersérénité ?

Partagez les avec nous sur nos réseaux ! TwitterLinkedInFacebook

Cécile FIORE – CM & Marketing – Cyberprotect

[Bulletin d’alerte Cyberprotect] Campagnes malveillantes visant les logiciels Java, Flash Player et Silverlight

Outre l’actualité particulière de la semaine dernière (http://labo.cyberprotect.fr/?p=1567), nous avons constaté la présence d’un script malveillant sur plusieurs sites légitimes français.

Cette injection de script a pour but de rediriger la navigation de l’utilisateur, à son insu, dans le but de télécharger des logiciels malveillants.

Après analyse du code malveillant par nos équipes, il s’avère que le script vérifie les versions des logiciels suivants : Java, Adobe Flash Player et Microsoft Silverlight.

Ainsi, si le poste de travail de l’utilisateur possède une version non à jour de l’un de ces logiciels, un exploit sera téléchargé par sa machine dans le but de la compromettre par des virus.

Ces étapes sont totalement transparentes pour l’utilisateur.

Nous vous rappelons qu’il est important de maintenir ces logiciels à jour, nous insistons encore sur la particularité de Java, Adobe Flash Player, et ici Microsoft Silverlight, qui sont des cibles privilégiées dans la compromission du réseau de l’entreprise.

Il est essentiel vérifier que vos postes utilisent bien les dernières versions de ces logiciels :

– Java 1.7.0_51 –> http://www.java.com/fr/download/
– Adobe Flash Player 13.0.0.182 → get.adobe.com/fr/flashplayer
– Microsoft Silverlight 5.1.20913.0 →  http://www.microsoft.com/silverlight/ (ou via Windows Update)

Ces logiciels ne sont pas toujours indispensables dans l’utilisation de services Web. Il est fortement recommandé de les désinstaller s’ils ne sont pas nécessaires à votre activité.

Nous recommandons également de bloquer les plages d’adresses IP suivantes :82.146.35.0/24 et 213.229.69.0/24 ainsi que le domaine suivant “jscriptload[point]com” sur vos équipements de sécurité périmétriques (pare-feu, proxy,…)

N’hésitez pas à diffuser ce bulletin d’alerte.

Vulnérabilité en cours d’exploitation sur Microsoft Word, un correctif est disponible

Microsoft a émis un bulletin d’alerte concernant une vulnérabilité exploitable dans les versions 2003, 2007, 2010 et 2013 de Microsoft Word.

En effet, des attaques utilisant des documents .rtf compromis ont été vues ces dernières semaines. L’attaque se conclut par une obtention des droits administrateurs permettant l’exécution de code malveillant sur la machine.

Les documents .rtf (Reach Text Format) est un format qui permet un minimum de mise en page des fichiers textes et qui est souvent utilisé dans les applications de messagerie. C’est donc à travers les courriels que cette menace est la plus exploitée.

Microsoft fournie un correctif temporaire « Fix-it » (disponible ici) qui désactive l’ouverture des fichiers concernés par Microsoft Word.

Il faut donc appliquer le correctif de Microsoft et redoubler de vigilance sur les pièces jointes délivrées par courriel.

Nous rappelons par cette occasion le fin du support de Microsoft Office 2003 (comprenant Microsoft Word) le 8 Avril 2014.  La fin du support des mises à jour signifie qu’en cas de vulnérabilité découverte sur Office 2003, Microsoft ne publiera pas de correctif de sécurité permettant de maintenir les ordinateurs à l’abri de l’exploitation de cette vulnérabilité par des pirates.

Retrouvez le bulletin d’alerte Microsoft [ici]

Utilisateurs de Windows XP : prenez vos précautions !

La date du 8 avril 2014 est à entourer  en rouge dans le calendrier. C’est précisément ce jour là que Microsoft va arrêter de supporter Windows XP.

Commercialisé entre 2001 et 2008, ce système d’exploitation a connu un succès sans précédent dans les entreprises.

Avec un compte à rebours lancé depuis Avril 2012 (http://www.google.com/hostednews/afp/article/ALeqM5jxMq_yMUroig1MpQfXzFJdxThO3A) , les parts de marchés de Windows XP n’ont pas beaucoup diminué. Il tient même le second rang, avec 37% de part de marché à moins de 9 mois de sa « fin ».


Source : Netmarket Share, Juillet 2013
(http://www.netmarketshare.com/operating-system-market-share.aspx?qprid=10&qpcustomd=0&qpsp=175&qpnp=1&qptimeframe=M&qpct=3)

 

Les risques qui en découlent

La fin du support des mises à jour signifie qu’en cas de vulnérabilité découverte sur Windows XP, Microsoft ne publiera pas de correctif de sécurité permettant de maintenir les ordinateurs à l’abri de l’exploitation de cette vulnérabilité par des pirates. C’est comme si l’on trouvait la combinaison pour ouvrir un cadenas et que l’on ne vous autorisait plus un changer son code… Le risque est bien réel et imminent.

Petite anecdote dans les choses aberrantes que l’on nous rapporte, un responsable informatique d’une collectivité locale avait déclaré « il n’est pas inutile de migrer les postes ayant Windows XP pour des raisons de sécurité, les pirates ne vont pas s’amuser à attaquer un système obsolète ».

Ils n’attendent que cela ! En effet, lorsqu’une vulnérabilité non connues est exploitée par des malwares, un correctif de l’éditeur est émis quelques temps après, mais là, les failles resteront présentes.

Il est fort probable que les attaques visant des vulnérabilités non connues vont connaitre un ralentissement ces prochains mois et que les pirates les garderont sous le coude pour les exploiter dès le mois d’Avril en évitant ainsi qu’elles soient corrigées par Microsoft.

A partir d’avril, les pirates pourront également se procurer les patchs de sécurité réservés aux professionnels ayant l’extension de support pour pouvoir étudier les vulnérabilités corrigés et les réutiliser sur les versions de Windows XP ne bénéficiant pas de l’extension de support.

Se préparer au changement

Les solutions à cette problématique sont simples : prendre l’option d’extension de support de Microsoft qui fournira des correctifs de sécurité ou migrer les postes de travail vers un autre système d’exploitation.

Au vue des tarifs importants de l’extension de support (environ 200$ par licence pour la première année), il est souvent recommandé de mettre en place la seconde option.

Cependant, sans y être bien préparé, une migration de masse des postes de travail peut engendrer des problèmes d’exploitation liés à certaines incompatibilités avec des logiciels métiers ainsi que des coûts indirects

Il est donc important de réfléchir dès aujourd’hui à la fin de Windows XP pour ne pas se retrouver avec des systèmes vulnérables aux attaques.

En revanche, pour les particuliers, la solution la plus sage semblerait être le changement de système d’exploitation.

Les gamers français visés par 29 300 attaques par an

La France se classe en 4ème position des pays européens les plus touchés par ces attaques.

Kaspersky Lab publie ses derniers chiffres concernant le nombre d’attaques dans l’univers des jeux vidéo. A ce jour, 4,4 millions de programmes malveillants ciblant les Gamers[1] ont été recensés. 

Ce chiffre est bien plus élevé qu’en 2012 ; année au cours de laquelle ont été dénombrés déjà 3,3 millions de malwares ciblant les jeux vidéo [1].

En outre, l’appât du gain semble la motivation principale des cybercriminels, via le vol des données contenues sur les comptes des joueurs ainsi que celui de leurs objets virtuels, dont la valeur peut atteindre plusieurs milliers d’euros pour certains.

Kaspersky Lab a dressé le top 10 des pays européens les plus touchés par les tentatives d’attaques survenues entre janvier et juin 2013 :

–       l’Espagne arrive en première position avec 94 700 attaques annuelles,

–       Pologne (85 000)

–       Italie (52 200)

–       La France se trouve en 4ème position avec 29 300 attaques ciblées recensées

–       l’Allemagne (18 300 attaques),  puis l’Ukraine, la Grèce, la Roumanie, le Portugal et la Serbie.

Au niveau mondial, une augmentation de cyber-attaques visant des joueurs de jeux vidéo en particulier a également été identifiée. Au premier semestre 2013, plus de deux millions d’attaques contre des joueurs dans le monde ont été dénombrées, soit environ 11 500 attaques par jour alors que ce nombre atteignait 7 000[1] en 2012.

« Les gamers continuent d’être une cible lucrative pour les cybercriminels. L’utilisation croissante d’argent réel pour acheter des objets virtuels leur permet des rendements élevés », déclare Nicolas Brulez, Principal Malware Researcher chez Kaspersky Lab. « En plus des attaques de malwares, le phishing est également aussi très présent et s’est adapté aux codes du jeux vidéo. Nous observons d’ailleurs depuis quelques années des exemples particulièrement convaincants en ce qui concerne l’écriture mais aussi en matière de mise en page et de graphisme. »

Même si le nombre d’attaques visant les gamers augmente, il est possible de s’en prémunir en suivant des règles de sécurité élémentaires. Kaspersky Internet Security [2] propose ainsi un mode gaming dans lequel le joueur peut s’aventurer dans le monde virtuel sans limitation et en toute sécurité.

Pour plus d’information, Kaspersky Lab sera présent au salon international Gamescon à Cologne en Allemagne du 21 au 22 août, dans le stand Rheinsaal Sektion 5/6, Congress Centre North. Kaspersky Lab animera une table ronde sur le thème « L’industrie du jeu vidéo assiégée ». Christian Funk, Senior Virus Analyst, Global Research & Analysis Team de Kaspersky Lab sera également présent pour répondre à vos questions si vous le souhaitez.

 

[1] D’après une analyse des chiffres du réseau réseau Kaspersky Security Network

* Ces données ont été recueillies en toute confidentialité avec l’accord des participants du réseau Kaspersky Security Network (KSN), qui réunit des millions d’utilisateurs des produits de Kaspersky Lab à travers le monde. KSN collecte automatiquement des informations sur les tentatives d’infection, de téléchargement et de lancement de programmes suspects sur les ordinateurs des utilisateurs. Ces informations sont ensuite utilisées aux fins d’analyse par les serveurs centraux de Kaspersky Lab.
[2] http://www.kaspersky.com/fr/internet-security

Retrouvez ce communiqué de presse sur le site Kaspersky [ici]

Dorkbot prolifère sur Facebook

Une nouvelle variante du malware Dorkbot infecte les utilisateurs de Facebook à travers le monde via la messagerie instantanée. Il circule principalement aux États-Unis, en Inde, au Portugal, au Royaume-Uni, en Allemagne, en Turquie et en Roumanie.

Ce malware espionne la navigation Web et récupère des données de l’internaute. Il se présente comme un fichier image (.jpg) sur la fenêtre de chat de Facebook et se propage entre les différents contacts. Dorkbot n’est pas propre à Facebook, il se diffuse sur le même principe à travers d’autres services de messagerie instantanée  mais également via les périphériques USB.

En plus du vol des identifiants et mots de passe, BitDefender annonce qu’il peut aussi opérer au téléchargement d’autres logiciels malveillants et se mettre lui-même à jour.

La prolifération de se mode de propagation s’appuie sur l’appât provenant d’un message aguichant de la part d’un « ami » présent dans sa liste de contact. Cependant, les nombreuses campagnes de sensibilisation aux méthodes d’ingénierie sociale sur les réseaux sociaux tendent à ralentir le taux de réussite.

[Source]

[Analyse de Dorkbot par BitDefender]

[MàJ 18/04/2013] – [Bulletin d’alerte Cyberprotect] Campagne d’infection en cours

MàJ 18/04/2013

La menace reste toujours extrêmement élevée à ce jour. Nous avons constaté une grande vague de publicités malveillants suite à la diffusion d’une newletter par email de la part de l’un des leader de la vente de chaussure en ligne.

Suite à un changement d’adresse IP des serveurs malveillants, nous vous recommandons de bloquer la plage d’adresse Ip publique suivante sur vos équipements de sécurité périmétriques (pare-feu/proxy…) : 193.0.178.0/24

Lire la suite

Un malware utilise Google Docs comme relais pour communiquer avec son C&C

Des chercheurs en Sécurité de Symantec ont découvert un malware utilisant Google Docs, faisant maintenant parti de Google Drive, comme relais pour communiquer avec son Centre de Commande et de Contrôle (C&C).

Ce malware est une nouvelle version de la famille Backdoor.Makadocs qui utilise Google Drive « Viewer » comme un proxy pour recevoir ces instructions émises depuis le C&C. La visionneuse Google Drive  a été conçue pour permettre l’affichage de plusieurs types de fichiers directement dans Google Docs à partir d’URLs.

Il est certain que l’auteur utilise cette approche pour rendre plus difficile la détection de trafic malveillant par les produits de sécurité car les connexions à Google Drive utilisent le protocole HTTPS par défaut et sont donc chiffrées, déclare le chercheur Symantec Takashi Katsuki.

Le malware semble particulièrement récent puisqu’il vérifie si la machine victime utilise Windows 8 ou Windows Server 2012.

Découvrez l’article d’origine et ses illustrations pertinentes [ici]

Proxybox : un réseau de proxy au service des cybercriminels

Selon les chercheurs en sécurité de Symantec, des cybercriminels utilisent des ordinateurs infectés par un logiciel malveillant pour alimenter un service commercial de proxy.

Il ya trois mois, les chercheurs de Symantec ont ouvert une enquête sur un malware appelé Backdoor.Proxybox qui était connu depuis 2010 mais dont l’augmentation de l’activité les interpellé.

«Notre enquête a révélé une opération malveillante, nous donnant des informations intéressantes sur le fonctionnement et la taille de ce botnet » a déclaré Joseph Bingham, chercheur chez Symantec.

Le programme malveillant est de type cheval de Troie avec des fonctionnalités rootkit qui transforment l’ordinateur en un serveur proxy. Les opérateurs du réseau de zombies vont donc l’utiliser pour alimenter un service de proxy commercial appelé Proxybox.name.

Parce qu’on ne peut pas cacher l’IP réelle d’un utilisateur, les serveurs proxy sont couramment utilisés pour échapper aux tentatives de censure en ligne, contourner les restrictions fondées sur la région d’accès au contenu, ou dans de nombreux cas, procéder à diverses activités illégales.

Entièrement anonymes et transparents, les serveurs proxy SOCKS peuvent acheminer le trafic pour n’importe quelle application, et non pas seulement les connexions par navigateur. Ils sont aussi difficiles à localiser, et c’est exactement ce que propose le service Proxybox.

Selon le site Proxybox, pour 25 $ par mois, les clients peuvent avoir accès à 150 serveurs proxy à partir des pays qu’ils désirent, et pour 40 $, ils peuvent avoir accès à un nombre illimité de proxy. Les opérateurs de services promettent de ne pas conserver les logs d’accès, ce qui rend ces serveurs parfait pour une utilisation criminelle car il n’y aura pas de journaux pour les autorités qui souhaiteraient enquêter.

Après avoir étudié les serveurs de commande et de contrôle du Botnet, les chercheurs de Symantec pensent  qu’il y a environ 40.000 machines actives contre 2000 selon le site de ProxyBox

Le malware Proxybox est distribué par divers moyens, y compris par des attaques de type drive-by download lancées à partir de sites Web compromis via des exploits commerciaux comme Blackhole.

Les risques pour les utilisateurs dont les ordinateurs sont infectés par Backdoor.Proxybox sont importants. Car si des serveurs proxy non autorisées sont en cours d’exécution sur leurs systèmes, leurs adresses IP pourrait être impliquée dans diverses activités illégales à leurs insu et reconnus comme responsable des dommages causés à des tiers.

[Source]

Des certificats d’Adobe utilisés dans des malwares

Adobe enquête actuellement sur ce qui semble être une utilisation non appropriée d’un certificat de signature de code Adobe pour Windows. La firme a pris connaissance de l’existence de malwares qui étaient signés avec des certificats valides d’Adobe.

Adobe a prévu de révoquer ce certificat le 4 octobre 2012 pour tous les codes de logiciel signés après le 10 juillet 2012. La révocation de ce certificat affecte uniquement les utilisateurs d’Adobe sous Windows et trois applications Adobe AIR  qui fonctionnent à la fois sur Windows et Mac.

Un serveur de clés compromis a été identifié. Ce dernier ne respectait pas les normes de sécurité du groupe et des programmes malveillants y ont été détectés.

Adobe distribue actuellement des mises à jour pour tous les produits affectés afin de fournir à ses clients un code de logiciel signé via un nouveau certificat numérique.

Une enquête judiciaire est actuellement en cours afin de déterminer précisément comment ces signatures ont été récupérées.

Retrouvez le communiqué original d’Adobe [ici] et le résumé en Français [ici]