mai
11
On ne sait jamais, le nuage pourrait avoir des effets secondaires…..
Là, je ne sais même pas quoi ajouter…à part peut-être :
Il n’y a pas de patch à la stupidité.
Kevin Mitnick
avr
07
J’aime bien le clip (qui ne date pas d’aujourd’hui), présenté par la Commission Européenne,…si, si !
Et des conseils qui restent d’actualité…
mar
29
Air connu…les cyber-arnaqueurs s’appuient sur l’actualité pour adapter leurs appâts. La Coupe du Monde de Football démarre en Afrique du Sud le 11 juin prochain. Pensez-vous qu’ils laisseront passer l’opportunité ?
Alors voici un site qui donne des détails utiles. Bon, c’est en anglais, mais si vous compter vous y rendre, c’est ça ou l’AFRIKAANS !
Puis, ici une interview de Philippe Verveer (ex-Directeur Technique du CIO) et de Candid Wueest (Expert Sécurité Symantec), toujours en anglais, mais l’un des deux est assez facile à comprendre ;-) :
Pour finir, en anglais toujours (to improve your english…), cette vidéo extrait de la série britanique : GUIDE TO SCARY INTERNET STUFF :
Ne pas prévenir, c’est déjà gémir.
Léonard de Vinci.
mar
17
L’idée de mes amis de MessageLabs est simple mais efficace : prendre un large échantillon aléatoire de spams sur une période d’une semaine, en extraire les mots significatifs puis dégager les tendances façon « nuage de mots-clefs » (la taille est proportionnelle à la fréquence), et voilà le résultat :
Rien de surprenant dans le classement des mots, un grand nombre de spams ciblant la vente de médicaments en ligne, pratique courante en Amérique du nord. A noter cependant que 5 des 6 premiers mots sont suivis d’un point d’exclamation. Sans doute pour souligner l’urgence de l’annonce et éviter que l’internaute ne prenne le temps de réfléchir…(si seulement !).
En poussant l’étude plus loin et en classant les spams par source, soit le botnet à l’origine de l’envoi, se dessinent alors des spécialisations. Je rappelle qu’à ce jour, plus de 90% des spams sont envoyés par des botnets.
Voici pour BAGLE :
GRUM :
RUSTOCK :
BOBAX :
Dans le cas des 4 botnets précédents, le nombre de mots reste limité car le but est d’inciter le lecteur à cliquer sur le lien associé, et le pousser à un achat, le plus vite possible. Plus de mots quand même pour Bobax, bien que le thème reste limité à un sujet précis…
un exemple ici :
CUTWAIL
Beaucoup plus de mots dans ce dernier. En effet, la plupart des spams envoyés par Cutwail cherchent pousser l’internaute à ouvrir une pièce jointe, et ainsi infecter sa machine. Thèmes plus variés, textes plus élaborés pour paraître plus réels, souvent même copiés de sources légitimes.
Un Spécimen :
Et sinon, pour créer votre propre nuage de mots-clefs, il y a http://www.wordle.net/ et d’autres…
fév
12
Le PASSEPORT DE CONSEILS AUX VOYAGEURS est un excellent document réalisé par l’ANSSI (Agence Nationale de la sécurité des systèmes d’information) qui reprend les bonnes pratiques pour les voyages à l’étranger notamment. Rien d’exceptionnel car le sujet est déjà bien connu, mais l’avantage d’une mise en forme agréable, au format « passeport », et une liste exhaustive des précautions à prendre. Voici les « bullets points » comme on dit chez nous; je conseille vivement de télécharger la version papier pour se faire une vraie idée.
Avant de partir :
- Relisez attentivement et respectez les règles de sécurité édictées par votre organisme.
- Prenez connaissance de la législation locale.
- Utilisez de préférence du matériel dédié aux missions (ordinateurs, téléphones, supports amovibles, etc.).
- Sauvegardez les données que vous emportez.
- Evitez de partir avec vos données sensibles.
- Emportez un filtre de protection écran pour votre ordinateur si vous comptez profiter des trajets pour travailler vos dossiers, afin dʼéviter que des curieux lisent vos documents par-dessus votre épaule.
- Mettez un signe distinctif sur vos appareils (comme une pastille de couleur).
Pendant votre déplacement :
- En cas dʼinspection ou de saisie par les autorités, informez votre organisme.
- En cas de perte ou de vol d’un équipement ou d’informations, informez immédiatement votre organisme et demandez conseil au consulat avant toute démarche auprès des autorités locales.
- N’utilisez pas les équipements qui vous sont offerts avant de les avoir fait vérifier par votre service de sécurité. Ils peuvent contenir des logiciels malveillants.
- Evitez de connecter vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance.
Avant le retour :
- Transférez vos données
- Effacez votre historique de vos appels et de vos navigations.
Après le retour :
- Changez les mots de passe que vous avez utilisés pendant votre voyage
- Analysez ou faites analyser vos équipements.
Qui voyage avec du courage dans ses bagages apporte avec lui le passeport le plus sage. Daniel Desbiens
fév
02
Joyeux anniversaire Conficker ! Enfin, si l’on peut dire, car c’était bien en janvier 2009 que le « phénomène » commençait à prendre de l’ampleur. Une année plus tard, c’est « Hydraq » qui défraye la chronique. Même si entre temps d’autres programmes malveillants ont fait parler d’eux, les caractéristiques globales de Conficker et Hydraq sont intéressantes à confronter, car finalement très différentes.
Ceci reste une vision très simplifiée de la situation à fin janvier; plus de détails techniques sont disponibles en suivant les liens proposés plus bas.
CONFICKER |
HYDRAQ |
|
| Type de Maliciel (caractéristiques majeures) | Ver Conficker se distingue principalement par ses capacités de propagations variées. | Porte dérobée L’essentiel de Hydraq se concentre vers les fonctions de contrôle à distance. |
| Vecteur d’infection | Multiple, auto-propagation Vulnérabilité systèmePartages réseauP2P | Simple Vulnérabilité navigateur |
| Vulnérabilité ciblée Bulletin de sécurité MS | CVE-2008-4250 MS08-67 | CVE-2010-0249 MS10-02 |
| Vulnérabilité « Zéro Day » | NON La vulnérabilité a été révélée conjointement à la mise à disposition d’un correctif | OUI Diffusion du correctif une semaine environ après la découverte de la vulnérabilité |
| Command & Control | Complexe Communication vers de multiples domaines créés de manière aléatoire, parallèlement au P2P. | Simple Un seul domaine codé « en dur », rapidement identifié et fermé. |
| Diffusion | Large Conficker s’est rapidement propagé sur des millions de machines, et reste actif à ce jour. | Réduite Hydraq est utilisé pour des attaques très ciblées et de ce fait très peu répandu, pour l’instant. |
| Systèmes de défense | Considérable Conficker embarque de nombreuses techniques pour se protéger | Faible Utilisation de la technique du « code spaghetti » |
| Système de mise à jour | Intégré Le système de mise à jour est très sophistiqué et automatisé. | Manuel La mise à jour est théoriquement possible mais non automatique. |
| Variantes | Plusieurs 3 variantes majeures (A,B,C) puis d’autres mineures | Non-significatif Quelques infimes variations du code. |
| Fonctionnalités | Pauvres Conficker se comporte plus comme une plateforme de téléchargement ouverte à d’autres activités malveillantes (BotNet, Facticiels…), voire à la location. | Riches Les options disponibles dans Hydraq autour de la prise de contrôle à distance sont puissantes, avec notamment la possibilité de « voir » la machine infectée via des outils de type VNC. |
| Motivation principale | Profits financiers Approche cybercriminelle « classique » qui cherche des profits rapides. | Vol d’information Un « retour sur investissement » à plus long terme, en fonction des informations dérobées. |
| Détection | Facile | Facile |
| Suppression | Complexe A cause des mécanismes d’auto-défense et des ré-infections successives au sein d’un réseau local | Aisée Aucune technique de camouflage |
| Mesures de protection | Mise à jour OS, navigateurs et plug-ins les plus fréquentes possibles et suite de sécurité de dernière génération. | Mise à jour OS, navigateurs et plug-ins les plus fréquentes possibles et suite de sécurité de dernière génération. |
Globalement, Conficker est un maliciel dont le développement à surtout porté sur les vecteurs de propagation, les techniques de mise à jour et les mécanismes de défense, mais sans réel potentiel d’attaque une fois en place, misant sur le téléchargement ultérieur d’autres menaces. Hydraq en revanche, s’il reste plus simple en matière d’installation et d’auto-défense, possède un large panel de fonctionnalités à disposition de l’attaquant, jusqu’au contrôle complet de la machine, écran, clavier souris compris.
Voici d’ailleurs une vidéo très explicite :
Alors, approches différentes ou évolution plus profonde ? Plus certainement une adéquation au besoin et au but recherché. En tout état de cause, le soin et le temps consacré au développement et « lancement » de ces « produits » (estimation grossière de 3 à 4 mois pour Conficker, la moitié pour Hydraq) démontre les capacités techniques, organisationnelles des auteurs et/ou donneurs d’ordres, qu’il serait particulièrement dangereux de sous-estimer.
Conficker/Downadup :
Hydraq :
http://www.symantec.com/connect/blogs/trojanhydraq-incident
http://www.symantec.com/connect/blogs/hydraq-vnc-connection
PS : un grand MERCI à Nicolas pour son aide !
fév
01
D’accord, un poil limite.. :-/
Mais il est évident qu’un tel lancement planétaire ne sera pas ignoré par les cyber-vilains. Comme déjà évoqué précédement, l’actualité reste la source privilégiée d’inspirations pour les arnaqueurs du net. Certains sites étant même très utiles en la matière : la page d’accueil de Twitter présente par exemple et en permanence les sujets les plus traités par la communauté.
On constate généralement 4 catégories :
- L’actualité (M.Jackson, grippe H1N1, Haïti, L’iPad…)
- Les grands évènements (Elections US, JO de Vancouver, Coupe du monde de foot…à noter le site 2010NetThreat traite ce précisément du sujet )
- Les « marronniers » comme on dit dans la presse pour les évènements récurrents (Voeux, soldes, Saint Valentin…)
- ou même des fausses informations si l’actu est pauvre…
Attendons-nous donc aux arnaques en tout genre autour du bidule d’Apple :
- Spam et phishing via des site proposant des « pré-commandes »
- Informations sur l’objet dans des documents infectés
- Vidéos bidons, dont bien entendu le bon « codec » doit être téléchargé
- ou encore l’affichage en « tête de gondole » (SEO poisonning) des moteurs de recherches, des sites « soi-disant » à fond sur le sujet, mais qui, dès le premier clic, trouve votre machine infectée ! Heureusement, on propose de règler le problème grâce à l’acquisition d’un anti-saleté spécifique (voir Facticiels)…
A bon entendeur…
jan
21
…TOP OF THE LIST, KING OF THE HILL, A NUMBER ONE !
Voilà, c’est fait, AV-COMPARATIVE, testeur indépendant d’anti-virus, dévoile la liste des meilleurs produits 2009.
« And the oscar goes to » : Symantec, avec Norton Internet Security 2010 !
Et donc, voici le palmarès 2009 :
Tout les détails sont là : http://www.av-comparatives.org/images/stories/test/summary/summary2009.pdf
Et pour :
- les sceptiques, les grincheux…
- les envieux, les jaloux, les mal-lunés, les trolls des cavernes…
- ceux qui n’ont pas testé Norton depuis 3 ans
- ceux qui n’aiment pas les premiers par ce qu’ils sont premiers
- ceux qui pensent toujours que « c’est-nous-qu’on-fait-les-virus »
- …j’en passe et des meilleurs…enfin, meilleurs….
Voici les résultats des 6 éditions précédentes :
- 2009 : Symantec
- 2008 : Avira
- 2007 : Eset
- 2006 : Eset
- 2005 : Kaspersky
- 2004 : Kaspersky
Je rappelle à toutes fins utiles qu’AV-COMPARATIVE, est membre de l’AMTSO (Anti-Malware Testing Standards Organisation), du sérieux en somme.
Pourvou qué sa doure !!!
Laetitia Ramolino (Maman de Napoléon Bonaparte)
jan
18
Deux copies d’écrans histoire d’illustrer les risques à cliquer sur des sites infectés par des cyber-pourris, qui essayent de tirer partie du malheur Haïtien en piègant les e-donnateurs potentiels.
Dans ce cas, ce n’est pas le détournement de don qui est visé, mais bien l’installation d’un facticiel sur la machine de l’internaute.
1) La recherche :
2) si l’on clique sur le lien indiqué ci-dessus, voici ce mon Norton Internet Security 2010 me dit :
Pour l’anecdote, l’attaque vient de Jamaïque, bien que je doute fortement que l’impétrant soit Jamaïcain.
ATTENTION, ces exercices sont réalisés par des professionnels, ne pas les reproduire à la maison !!!
jan
16
Certainement pas « mortel »….. mais potentiellement risqué !
Une étude publiée récement par Wefi sur les 48 millions de hotspots identifiés par eux mondialement, montre que 40% sont accessibles sans mots de passe aux Etats-Unis, contre 25% en moyenne en europe, 30% en France et jusqu’à 35% en Belgique.
C’est certainement le moment de rappeler fermement que les hotspots « ouverts » sont par définition suspects, et qu’il pourrait être risqué de les utiliser pour procéder des opérations divulgant des informations confidentielles (achat ou vente en ligne, e-banking ou même e-mail, notamment en POP3, genre Outlook Express). En effet, tout ce que l’on tape, envoie ou reçoit peut être enregistré, car en clair, si point de SSL activé ou de VPN.
A la pelleteuse (!), ce doux concept peut se résumer principalement en deux parfums :
1) Le « ROGUE ACCESS POINT« : Le piratage du point d’accès proprement dit, via des outils disponibles (tutoriels compris) sur certains sites spécialisés, très faciles à trouver, et dont le principe est de rediriger toutes les communications à destination d’un point d’accès valide, vers un point d’accès malveillant.
2) Le « FAKE ACCESS POINT » : La création pure et simple d’un « vrai-faux » point d’accès « gratuit » (basé sur des produits également disponibles à la vente) lui-même connecté à internet, mais attirant ainsi les internautes vers une connexion complétement tracée, enregistrée, surveillée…..
En tout état de cause, et sans tomber dans la paranoïa, la vigilance reste, comme toujours, notre meilleure alliée.
Sur internet, quand c’est trop beau pour être vrai…..c’est le cas.
Moi.