Vous savez, les différentes « trucBOX » ou « Routers » qui nous servent à nous connecter en ADSL ? Eh bien, figurez-vous que ces petites boîtes fonctionnent sous Linux, enfin devrais-je dire LES Linux, car c’est un peu plus compliqué que ça. Donc, certaines de ces petites boites sont victimes d’une bestiole répondant au doux nom de « Linux.psybot« , et qui s’installe en essayant un certain nombre de mots de passe (root, admin, default password, 1234….) rendant ainsi les machines connectées vulnérables à différentes attaques.

Premier conseil : Dans l’interface d’administration (RTFM*) changer le nom de l’administrateur et modifier le mot de passe par défaut de votre trucBOX, et choisir de préférence un mot de passe complexe.

Plus généralement, je préconise l’utilisation de « phrases de passe« ; des titres de livres, de films, par exemple. Le noter dans un endroit sûr est aussi une bonne idée, car ne l’utilisant pas souvent, vous allez l’oublier. Le programme gratuit PassWord Safe fera l’affaire.

D’autre part, sachez que ces systèmes se mettent à jour (si,si…), mais rarement automatiquement.

Deuxième conseil : Toujours dans l’interface (avec le mot de passe compliqué que vous venez de définir) et lancez une procédure de mise à jour (disponible dans l’interface d’administration et la plupart du temps facile à utiliser…RTFM*)

L »administration à distance de certains de ces « routers » est disponible, alors que l’accès depuis le réseau interne suffit.

Troisième conseil : Désactiver cette fonction, ainsi que la possibilité d’accéder à l’interface d’administration en Wifi (Voir le manuel fourni avec le router, RTFM*)

Pour finir et en cas de vrai problème, une réinitialisation peut s’imposer, mais remettra le système dans la configuration d’usine, sans la bestiole.

Quatrième conseil : En dernier recours, procédez à un « hard reset » de l’appareil (RTFM*…) sans oublier de passer immédiatement par les conseils 1, 2 et 3…

*RFTM = Read The Fucking Manual !

Rien d’exceptionnel au départ, il utilise pour se propager une « vulnérabilité » de Windows, corrigée dès l’origine par MSFT, mais appliquée de manière très inégale en fonction des postes, et plus rarement encore sur les Windows « piratés ».
Concrètement, les internautes avec un Windows mis à jour automatiquement ne risquent pas grand-chose. Les entreprises sont largement plus touchées.
Cependant, il ne fait, pour ainsi dire, rien de malveillant, à part se répandre. Ce qui ne cadre pas avec le modèle économique de la cybercriminalité d’aujourd‘hui, quasiment uniquement tourné vers le profit. On s’attend donc à quelque chose…
La première évolution majeure du « ver » (B), en revanche est très innovante, car regroupant de nombreuses techniques malveillantes en un seul programme, pour en faire une menace très efficace.
A noter entre autre :

• 3 méthodes de propagations (internet, réseaux locaux, clefs USB)
• Géo-localisation et empreintes logicielles pour définir précisément la localisation de la machine infectée ainsi que sa version de Windows et la langue utilisée
• Différentes méthodes de mise à jour et de contrôle à distance (web ou P2P)
• Des techniques de défense évoluées: tentatives d’arrêt de programmes de sécurité, chiffrement, blocage des accès aux sites des spécialistes en sécurité…..
• et plus encore (tous les détails ICI, pour les amateurs)

A ce jour, il semble que la dernière version majeure (C ), qui ne se propage plus, fasse évoluer son modus operandi de mise à jour, à partir du 1ier avril.
Pourquoi faire ?

• Rien…
• Installer une version D ?
• Inciter à l’installation de faux anti-virus ?
• Envoi de spam massif ?
• Lancer des attaques en déni de service ? (cf Estonie 2007)
• Mettre en place un « grid » de calcul parallèle massif pour « casser » des algorithmes de chiffrement ?
• En gros, toutes les utilisations possibles d’un botnet….

Attention néanmoins au syndrome « bug de l’an 2000 », finalement bien traité en amont et donc quasi inexistant !

De nombreuses compétences et ressources travaillent actuellement sur le sujet, dont la furtivité (élément essentiel de la cybercriminalité) a vécu. Reste en revanche aux internautes et surtout aux entreprises à ne pas prendre la menace potentielle par-dessus la jambe, et éventuellement apprendre de leurs erreurs.

Une petite idée dans le 5ième épisode de Cybergedon, la mini-série sur le « monde sans internet » de Paul Khayat pour NumériMATCH

:

Désopilant !

Combien de fois a-t-on prononcé cette phrase envers des enfants récalcitrants et plongés dans leur jeu vidéo, sur console ou PC ?

- Bah non, là je peux pas, je dois finir le niveau sinon je dois tout recommencer ! (ça sent le vécu, hein ?)

Les parents n’ayant pas expérimenté par eux-même le phénomène « jeu vidéo », ils sont souvent sans repères personnels réel sur le sujet. Sauf peut-être les plus jeunes à qui PONG ne dit pas grand chose, et dans lequel l’immersion dans un univers d’un graphisme ébouriffant ne pouvait durer plus de quelques minutes.

Voic un excellent site qui traite les différents aspects du problème :

Pour ma part, je pense que les jeux à univers persistants, c’est à dire qui continuent à évoluer lorsque l’on y joue pas, sont à proscrire pour les plus jeunes compte tenu du caractère addictif, et à contrôler par la suite.

D’une manière générale, il est fondamental de s’intéresser à ce qu’ils font en ligne pour garder et entretenir le contact…(bientôt une étude sur le sujet.)

Les tout petits apprécieront TOBOLIC, et plus tard MOBICLIC…dans le genre ludo-éducatif.

D’après  ThreatExpert, l’équipe qui a créé les fameux « Spyware Doctor » ou encore « Registry Mechanic« , le premier producteur de maliciels est la Chine, suivie par la Russie, les Etats-Unis et le Brésil. Ici, c’est l’origine du code qui compte, plus exactement là ou il a été compilé avant d’être lancé ou vendu.

On peut tester le « Google Earth » des maliciels en cliquant sur la carte ci-dessous.

Ouh là ! Deux pertes/Vols de données sensibles en quelques jours ! Enfin, je parle de celles rendues publiques…Non pas que je m’inquiète, cela va plutôt dans le bon sens. Si ce n’est que j’ai raté les détails de la divulgation de la « fuite ».

Résumé des épisodes précédents un peu partout, dont là.

Et finalement, la réalité dépasserait-elle la fiction ? Car d’après un article plus ancien :  La construction de la future prison de Nancy confiée à des détenus

Alors, vol de matériel ou d’ informations  ? Simple coïncidence ou préméditation ?

Wait & See…

Etonnant !

C’est justement lorsqu’ils créaient des logiciels pour centres d’appels que les fondateurs de la société VONTU (acquise par Symantec en 2007) ont eu l’idée de développer des solutions permettant la prévention des fuites d’informations…

Rien à voir avec l’actualité… « Le compte de Sarkozy piraté via son abonnement Canal+ » 

Pour mémoire, quelques lignes concernant l’obligation légale de confidentialité :

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher quelles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Loi n°78-17 du 6 Janvier 1978 relative à l’informatique, aux fichiers et aux libertés – art.34 & 35

Risques encourus :

Le fait, par toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Art. 226-22 du code pénal 

Sinon, pour la petite histoire, et rapport à la photo, le nom « Vontu », venait du « mont Ventoux », les entrepreneurs en question étant de grands fans de cyclisme…

Déjà entendu (ou prononcé) cette phrase ?

Et du coup, on passe le début de soirée à nettoyer, mettre à jour, , ré-installer, j’en passe et des meilleures, alors que les autres finissent les petits fours au salon.

Ou encore le coup de fil (famille ou amis) du genre  : Dis, quand je clique là, j’ai plein de fenêtres qui s’ouvrent et je ne peux plus aller sur internet ? tu n’as pas une idée ?

Alors là, je dis STOP… et merci Brian !

Brian qui présente à la Conférence DEMO’09, un pilote du « Projet Guru », le réseau social de support entre « vrais » amis… Les communications entre les 2 systèmes sont sécurisées (Chiffrement+authentification). Le pilote comprend déjà des outils de diagnostics réseau, peut identifier les logiciels installés sur le poste distant, et d’autres services seront implémentés par la suite.

A ce jour, il s’agit d’un prototype, dont on ne sait encore si et quand il sera disponible, et sous quelle forme. A noter cependant que les 2 interventions de cette équipe lors des précédentes conférences DEMO,  on aboutit à des produits finis.

Voir la vidéo en anglais ici.