Articles

Flame : un outil à la pointe du Cyber-espionnage ?

Après Stuxnet et sont petit frère Duqu, la famille des malwares spécialisés dans le cyber-espionnage de qualité s’agrandie avec Flame. Découvert par Kaspersky, Flame est déjà présenté comme un logiciel sophistiqué et dangereux.

Ce malware est une plate-forme capable de recevoir et d’installer des modules différents pour des objectifs différents. Ainsi, il s’agit d’une sorte de logiciel personnalisable et évolutif en fonction des besoins.

On l’apparente à un Trojan car il ouvre une porte dérobée mais à également les caractéristiques d’un ver informatique puisqu’il peut se dupliquer sur un réseau local et via des supports amovibles.

Parmi les fonctions relevées, on trouve des fonctions de surveillance du réseau, de scan de disque, de capture d’écran, de prise du son à partir de micro. Bien que l’on ne connaisse pas encore son mode de propagation, il est déjà identifié qu’il peut être transmis par l’intermédiaire de dispositifs amovibles tels que les clés USB.

Il est fort envisageable que Flame ait été développé par une organisation Étatique puisque son niveau de complexité est fort.

Un outil permettant sa détection a été envoyé à des organismes et entreprises afin de dresser un premier bilan de propagation. La zone géographique ciblée semble être principalement l’Iran et le Moyen-Orient mais d’autres régions du monde peuvent être concernées .

[Source]

 

Comment Conficker continue à se propager

Le ver Conficker reste toujours l’une des plus grandes menaces de logiciels malveillants pour les entreprises, selon la dernière édition du Microsoft Security Intelligence Report.

Les données tirées d’une gamme d’outils de sécurité présents sur 600 millions de systèmes dans le monde indique que Conficker a été détecté près de 220 millions de fois durant les deux dernières années.

Les causes de la forte propagation  du ver sont principalement liées à l’usage de mots de passe faibles mais également aux vulnérabilités des systèmes engendrées par l’absence de mises à jour de sécurité.

92% des infections étaient le résultat de mots de passe faibles ou volés. Environ 8% exploitaient des vulnérabilités pour lesquelles une mise à jour de sécurité existe.

Tim Rains, directeur de Microsoft Trustworthy Computing, a souligné qu’ « il est extrêmement important que les organisations se concentrent sur les fondamentaux de la sécurité afin de se protéger des menaces les plus courantes ».

Une autre raison de la forte infection des entreprises par Conficker est le fait de l’utilisation généralisée du partage de fichiers et ceci toujours avec des mots de passe faibles. C’est ce qui a été exploité par le ver pour se propager.

Retrouvez le rapport complet [ici]

Un ver exploite une vulnérabilité patchée depuis plus d’un an

Un nouveau ver fait se propage sur des serveurs exécutant des versions  anciennes de JBoss Application Serveur.

Cette attaque est critique pour deux raisons, premièrement parce qu’elle vise des serveurs plutôt que des PC donc leur impact est plus fort et deuxièmement parce qu’elle exploite une faille dans JBoss Application Server patchée depuis avril 2010.

Et oui, encore et toujours le même refrain : les attaques sont faites sur des systèmes non à jour. Même Microsoft le dit dans la dernière édition de son rapport sur la Sécurité : les exploits utilisant des failles patchées depuis plus d’un an représente 3,2% des attaques réuissies. En comparaison, les failles zéro-day compte seulement pour 0,12% des activités malveillantes.

Dans ce cas précis, le phénomène peut s’expliquer par le fait que beaucoup d’entreprises externalisent le développement d’applications Web et une fois que l’application est déployée il n’y a pas de maintenance à son égard.