Clavier informatique : azerty ou bépo ?

Depuis le 2 avril 2019, les capacités d’écrire le français ainsi que les langues régionales et européennes se voient augmentées grâce à la norme NF Z71‐300 d’application volontaire proposée par l’Association française de normalisation (Afnor). Les fabricants sont libres d’adopter cette norme car elle n’est pas obligatoire.

Source: Service Public

Peut-on présenter un appartement en volume plutôt qu'en surface dans une annonce de vente immobilière ?

La question : « Je possède un petit logement atypique que je souhaite mettre en vente. Puis-je le présenter en m3 plutôt qu’en m2 dans mon annonce afin de le rendre plus attractif ? »

La réponse de Service-public.fr : « Oui, vous en avez le droit, comme celui de vendre un logement de très petite surface. Toutefois, votre acheteur, s’il souhaite le mettre en location, devra respecter la réglementation en matière de décence du logement. »

Source: Service Public

Air intérieur : attention aux polluants

L’air que l’on respire dans son logement peut être de moins bonne qualité que l’air extérieur à cause de polluants spécifiques liés aux appareils de chauffage et de cuisson, au tabagisme, aux produits d’entretien et désodorisants, aux peintures, au vernis et à la colle du mobilier… L’Agence de l’environnement et de la maîtrise de l’énergie (Ademe) fait le point.

Source: Service Public

Véhicule abandonné : que se passe-t-il en cas d'absence de fourrière municipale ?

En l’absence de fourrière municipale, il est difficile pour les maires de petites communes de procéder à l’enlèvement de véhicules abandonnés. Face à cette situation, un sénateur demande au ministère de l’Intérieur la procédure à suivre pour évacuer ces véhicules qui occupent des places de stationnement et peuvent également, parfois, être dangereux.

Source: Service Public

L’Attaque APT TajMahal révélée

L’Attaque APT TajMahal révélée

En automne 2018 nous avons détecté une attaque qui prenait pour cible l’organisation diplomatique d’un pays d’Asie centrale. Ce cas n’avait rien d’exceptionnel puisque les diplomates et leurs systèmes d’informations suscitent de temps à autre l’intérêt de plusieurs forces politiques ; mais l’outil utilisé était particulièrement intéressant :  une nouvelle plateforme APT connue comme TajMahal.

TajMahal est bien plus qu’un simple ensemble de portes dérobées, puisqu’il s’agit d’un spyware de pointe et de haute qualité équipé de nombreux plug-ins (nos experts ont trouvé 80 modules malveillants jusqu’à présent), ce qui lui permet de réaliser n’importe quel genre de scénarios d’attaque grâce à divers outils. Selon nos spécialistes, TajMahal a été actif pendant cinq ans. Une seule victime a été confirmée jusque-là, et toutes les autres personnes qui en ont souffert doivent encore être identifiées.

Qu’est-ce que TajMahal peut faire ?

La nouvelle plateforme APT se divise en deux parties : Tokyo et Yokohama. Les deux ont été détectées sur tous les ordinateurs infectés. Tokyo agit comme porte dérobée principale et distribue le malware de deuxième étape. Curieusement, il reste dans le système même après que la seconde phase ait été lancée, et il est évident qu’il le fait pour fonctionner comme canal de communication additionnel. Pendant ce temps, Yokohama est la charge utile de l’arme utilisée en deuxième partie. Il crée un système de fichiers virtuel et complet avec des plug-ins, des librairies de tiers, et des fichiers de configuration. Son arsenal est exceptionnellement vaste :

  • Vol de cookies,
  • Interception des documents en attente d’impression,
  • Collecte de données sur la victime (y compris une liste des copies de sauvegarde du dispositif iOS),
  • Enregistrement et capture d’écran des appels VoIP,
  • Vol des images disques optiques faites par la victime,
  • Index des fichiers, y compris ceux des disques durs externes, et possible vol de fichiers spécifiques lorsque le disque dur est à nouveau détecté.

 

Conclusion

La découverte de TajMahal est particulièrement inquiétante à cause de sa complexité technique, et le nombre de victimes identifiées jusqu’à présent va très certainement augmenter. Cela dit, les produits de Kaspersky Lab détectent TajMahal. Vous pouvez obtenir tous les détails techniques en lisant l’article que nous avons publié sur Securelist.

Nos technologies automatiques et heuristiques ont été les premières à découvrir cette menace. Il est donc logique d’utiliser nos solutions de sécurité éprouvées, comme Kaspersky Security for Business, pour vous protéger de TajMahal et de programmes similaires.

Source: Antivirus

Comment les escrocs se servent de votre « double » pour payer avec votre carte ?

Comment les escrocs se servent de votre « double » pour payer avec votre carte ?

Vous avez sûrement déjà entendu parler de cet étrange phénomène : les accidents d’avion attirent davantage l’attention des médias que les accidents de voiture alors que le nombre d’incidents annuels en avion est bien moindre. Ce même principe s’applique à d’autres aspects de la vie, y compris la cybersécurité et la cybercriminalité.

Lorsque nous avons découvert Carbanak en 2014, un groupe de cybercriminels qui a volé plus d’un milliard de dollars, les médias étaient subjugués. Nous ne devrions pourtant pas oublier que la fraude à la carte bancaire est plus courante, fait des victimes tous les jours, et engendre des pertes financières beaucoup plus importantes. Par exemple, le Nilson Report estime qu’en 2018 la fraude à la carte bancaire a provoqué des pertes qui s’élèvent à 24 milliards, et qu’elle devrait fortement augmenter cette année. Le carding, nom technique utilisé par les cybercriminels et les spécialistes en sécurité pour désigner la fraude à la carte bancaire, n’est pas mort. Au contraire, il est en pleine croissance.

Cela peut sembler surprenant puisque de plus en plus de banques mettent en place des systèmes de sécurité stricts, et des solutions intelligentes de prévention de la fraude qui reposent sur l’apprentissage automatique. Si ce n’est pas le cas, elles protègent les fonds des cartes pour qu’ils soient impossibles de les voler. Ces mesures devraient, en théorie, au moins empêcher les escrocs débutants de voler l’argent des cartes bancaires, mais les statistiques montrent le contraire. Si quelqu’un demande sur un forum du darknet « Quelle est la première chose à faire pour devenir un cybercriminel ? », la réponse est « carding« .

Heureusement, les banques et plateformes de paiement ont pris certaines mesures de sécurité qui rendent la fraude à la carte bancaire de plus en plus difficile. Hélas les systèmes antifraudes ne fonctionnent pas aussi bien dans la réalité. De plus, les personnes qui veulent essayer de voler l’argent des cartes de crédit d’autres personnes disposent de services spéciaux, d’outils, et de marketplaces de ces outils et services.

Empreinte numérique : utiliser l’identité d’une autre personne pour utiliser sa carte

Sergey Lozhkin, chercheur de Kaspersky Lab, a trouvé un marché sur le darknet, appelé Genesis, qui vend les masques numériques des utilisateurs. Il a présenté ses découvertes lors du Security Analyst Summit 2019. Un masque numérique se compose de l’empreinte numérique de l’utilisateur (historique du navigateur, système d’exploitation, informations sur le navigateur, plug-ins installés, etc.), et des informations relatives au comportement de l’utilisateur : ce qu’il fait en ligne et comment.

Pourquoi les escrocs vendraient-ils les masques ? Quel est le lien avec le « carding » ? Les systèmes antifraudes se servent des masques numériques pour vérifier l’identité de l’utilisateur. Si le système antifraude reçoit un masque numérique qui correspond à celui qu’il a obtenu auparavant pour le même utilisateur, alors il va considérer que la transaction est légitime. De nombreuses banques considèrent que cette mesure est suffisante, et ne vont pas demander le code 3D Secure envoyé par SMS, ou la notification qui permet à l’utilisateur de confirmer la transaction.

Par conséquent, si un criminel arrive, de quelque façon que ce soit, à voler votre masque numérique et vos identifiants de services bancaires en ligne, le système antifraude va penser que vous essayez de vous connecter et ne vas pas donner l’alerte. Le criminel peut alors vider votre compte bancaire en toute discrétion.

C’est pourquoi certains malfaiteurs obtiennent les données des appareils des utilisateurs et les mettent en vente sur Genesis. D’autres achètent ces informations, qui coûtent entre 5 et 200 dollars selon la quantité de données et d’identifiants inclus, et les utilisent pour se faire passer pour le propriétaire du masque numérique.

Pour ce faire, ils utilisent un plug-in de navigateur gratuit. Développé par les créateurs de Genesis, et connu comme Genesis Security, ce plug-in leur permet d’utiliser le masque numérique pour recréer l’identité virtuelle et légitime de l’utilisateur, et ainsi tromper les systèmes antifraudes. Pour faire simple, ce plug-in modifie les paramètres que le système antifraude prend en compte pour qu’ils correspondent à ceux de l’appareil de la victime et imitent leur comportement.

Obtenir les empreintes

Comment les cybercriminels qui se cachent derrière Genesis obtiennent les données qu’ils vendent ? La réponse est simple mais assez vague : grâce à diverses espèces de malware.

Certains malwares n’essaient pas de chiffrer vos données pour demander une rançon, ou de voler votre argent de suite après avoir accédé à votre appareil. Quelques espèces s’installent tranquillement, collectent toutes les données auxquelles elles ont accès, et créent des masques numériques qui sont ensuite vendus sur Genesis.

Autres méthodes utilisées pour contourner la prévention de la fraude

Pour court-circuiter les systèmes de prévention de la fraude, la technique utilisée doit avant tout être familière, ou paraître totalement nouvelle. Les cybercriminels connaissent toutes les options qui s’offrent à eux, même cette seconde possibilité, et il existe même un service sur Internet qui réalise cette action.

Lorsque nous disons totalement nouvelle cela signifie qu’il n’y a aucune correspondance entre le masque numérique utilisé et tous les autres masques numériques que le service connaît. En d’autres termes, le fraudeur ne peut pas se connecter au service équipé d’un système de prévention de la fraude, même s’il installe un nouveau navigateur sur son ordinateur puisque certains paramètres seront les mêmes que ceux utilisés par le masque numérique précédemment utilisé : matériel informatique, résolution de l’écran, et bien d’autres.

Un service, qui s’appelle Sphere, permet aux escrocs de créer une nouvelle identité numérique et de personnaliser tous ces paramètres pour que le système de prévention de la fraude la considère comme totalement nouvelle. Rien ne l’empêche de faire confiance à cette nouvelle personne.

Dites non à votre double

Le problème est que, quelle que soit la sophistication du système de prévention de la fraude, ces techniques fonctionnent puisque les algorithmes du système de prévention de la fraude, qui détermine si la personne peut accéder aux fonds, utilisent exactement les mêmes données que celles recueillies par les malfaiteurs.

Est-il possible de se protéger de cette fraude à la carte bancaire perfectionnée ?

Pour les banques, la protection consiste à introduire une utilisation obligatoire de l’authentification à deux facteurs, y compris en utilisant certaines technologies de biométrie comme second facteur : lecture d’empreintes digitales (les vraies empreintes, pas les numériques), et reconnaissance faciale ou de l’iris. Les banques doivent aussi avoir connaissance des différents genres de fraude qui émergent, sinon elles ne peuvent pas prendre les mesures nécessaires pour les combattre.

Quant à l’utilisateur, la seule façon de se protéger de ce type de fraude à la carte bancaire est de s’assurer que personne ne puisse mettre la main sur son masque numérique. Pour ce faire, il doit installer une solution de sécurité robuste qui va éliminer tous les malwares qui essaient de falsifier ses données.

Source: Antivirus

RSAC 2019 : pourquoi les pirates informatiques ont besoin du domain fronting

RSAC 2019 : pourquoi les pirates informatiques ont besoin du domain fronting

Le domain fronting, une méthode utilisée pour se protéger derrière un domaine tiers, est sous le feu des projecteurs depuis que Telegram s’en est servi pour éviter d’être bloqué par Roskomnadzor, le régulateur d’Internet en Russie. Cette fois, ce sont les membres du SANS Institute qui ont parlé du sujet lors de la conférence RSA. Pour les pirates informatiques cette technique n’est pas un vecteur d’attaque, mais plutôt une façon de contrôler l’ordinateur infecté et d’exfiltrer les données volées. Ed Skoudis a décrit, dans le rapport dont nous avons déjà parlé, un plan d’action que les cybercriminels ont tendance à utiliser pour « disparaître dans les Cloud ».

Les attaques APT les plus complexes sont détectées lorsqu’elles échangent des données avec le serveur de commande. Ces échanges soudains entre un ordinateur du réseau interne de l’entreprise et une machine externe inconnue sont un avertissement qui va sûrement amener l’équipe IT à réagir. C’est pourquoi les cybercriminels sont fermement résolus à cacher ces communications. Il est de plus en plus courant d’utiliser plusieurs réseaux de diffusion de contenu (CDNs) pour mener à bien cette action.

L’algorithme décrit par Skoudis ressemble à cela :

  1. Un ordinateur du réseau de l’entreprise est infecté par un malware.
  2. Cette machine envoie une requête DNS à un site Internet irréprochable et fiable à partir d’un CDN de confiance.
  3. Le pirate informatique, qui est un client du même CDN, héberge son site Internet au même endroit.
  4. L’ordinateur infecté établi une connexion TLS chiffrée avec le site Internet de confiance.
  5. Au cours de cette connexion, le malware envoie une requête HTTP 1.1 pour s’occuper du serveur Web du pirate informatique qui se trouve dans le même CDN.
  6. Le site Internet transmet la requête aux serveurs du malware.
  7. Le canal de communication est instauré.

Pour les spécialistes des technologies de l’information responsables du réseau de l’entreprise, tous ces échanges semblent avoir lieu avec un site Internet sûr, à partir d’un CDN connu, et passeraient par un canal chiffré, puisqu’ils considèrent que le CDN, client de l’entreprise, fait partie de leur réseau de confiance. C’est une grosse erreur.

Selon Skoudis, les symptômes décrits ci-dessus sont ceux d’une tendance extrêmement dangereuse. Le domain fronting est désagréable mais gérable. Le danger est que les criminels s’aventurent déjà dans les technologies Cloud. En théorie, ils peuvent créer des chaînes de CDN et cacher tranquillement leurs activités derrière les services Cloud, et ainsi organiser un « blanchiment de connexion ». La probabilité qu’un CDN en bloque un autre pour des raisons de sécurité est pratiquement nulle. Cela endommagerait certainement l’entreprise.

Pour faire face à genre de méthodes, Skoudis conseille d’employer des techniques d’interception TLS. Il est particulièrement important de savoir que vous pouvez vous retrouver dans cette situation, et de ne pas oublier ce vecteur d’attaque sur le Cloud lorsque vous modélisez les menaces.

Les experts de Kaspersky Lab connaissent aussi très bien ces astuces malveillantes. Notre solution Threat Management and Defense peut détecter ces canaux de communication et révéler une éventuelle activité malveillante.

Source: Antivirus

Une infection EXE pour votre Mac

Une infection EXE pour votre Mac

Comme nous l’avons déjà dit plusieurs fois, l’idée selon laquelle macOS est invulnérable est un mythe. Les cybercriminels ont récemment découvert une autre méthode leur permettant de contourner, dans la plus grande discrétion, le mécanisme de défense intégré de macOS. Ils recueillent les données du système infecté puis les ajoutent à l’adware en utilisant des fichiers ayant une extension EXE, qui d’habitude ne s’exécutent que sous Windows. Un fichier EXE qui pourrait infecter les utilisateurs Mac ? Plutôt étrange, mais cette technique est bel et bien efficace.

Les fichiers EXE peuvent être une menace pour les systèmes sous Windows, mais aussi pour ceux sous macOS

 

L’histoire d’une infection : un pare-feu piraté et accompagné d’un malware EXE

Il est assez ironique de constater que ce malware n’a pas été ajouté à n’importe quel fichier, mais à la copie pirate d’un produit de sécurité : le pare-feu Little Snitch. Comme on pouvait s’y attendre, les utilisateurs qui ont essayé d’économiser un peu d’argent en ne payant pas la licence du produit, ont eu droit à un véritable casse-tête.

La version infectée du pare-feu s’est répandue à travers les torrents. Les victimes ont téléchargé une archive ZIP qui contenait une image disque au format DMG sur leurs ordinateurs. Rien d’étrange jusque-là. Si nous analysons de plus près le contenu de ce fichier DMG, nous remarquons qu’il y a un fichier MonoBundle avec un certain fichier installer.exe à l’intérieur. Il n’est pas normal d’avoir ce genre de fichier sous macOS, puisque les fichiers EXE ne s’exécutent pas sur les machines Mac.

Le pare-feu détourne le regard

En réalité, les fichiers exécutables Windows sont si insupportables sous macOS que Gatekeeper (un dispositif de sécurité de macOS qui empêche les programmes malveillants de s’exécuter) ignore tout simplement les fichiers EXE. C’est assez compréhensible : il n’est pas vraiment logique de surcharger le système en lui demandant d’analyser des fichiers qui vont de toute évidence rester inactifs, surtout si un des arguments de vente d’Apple est la vitesse de fonctionnement.

Tout irait bien s’il n’y avait pas un « mais » : de nombreux programmes sont disponibles sous Windows et les utilisateurs de Mac en ont parfois besoin. Il existe donc plusieurs solutions permettant d’exécuter des fichiers qui ne sont pas natifs de la plateforme. C’est notamment le cas du framework Mono, un système gratuit qui permet aux utilisateurs d’exécuter les applications Windows sous d’autres systèmes d’application, y compris macOS.

Comme vous pouvez le deviner, les cybercriminels exploitent ce framework. La plateforme de développement a généralement besoin d’être installée séparément sur l’ordinateur, mais les escrocs informatiques ont trouvé une méthode qui leur permet de l’inclure avec le malware. Vous vous souvenez du sinistre fichier EXE qui apparaît dans le dossier MonoBundle ? Par conséquent, le malware s’exécute sans problème, et même sur les ordinateurs Mac de personnes qui n’utilisent que des programmes natifs.

Histoire d’infections : spyware et adware

De suite après son installation, le malware commence à collecter des informations sur le système infecté. Les cybercriminels sont particulièrement intéressés par le nom du modèle, les identifiants de l’appareil, les caractéristiques du processeur, la RAM, et bien d’autres choses. Le malware recueille et envoie des informations relatives aux applications installées à son serveur C&C.

En même temps, il télécharge plusieurs images supplémentaires sur l’ordinateur infecté, et cache les installeurs en faisant croire qu’il s’agit de Adobe Flash Media Player, ou Little Snitch, alors qu’en réalité ce sont les outils habituellement utilisés par les adwares, dont les bannières vous gênent.

Comment se protéger

La morale de cette histoire est simple : dans un monde où règnent les technologies de l’information, aucun système n’est parfaitement sécurisé. Vous ne pouvez pas faire aveuglément confiance aux logiciels de protection intégrés, même s’ils sont considérés comme fiables. Voici quelques conseils pour que vous sachiez comment protéger votre ordinateur des malwares malins.

  • N’installez jamais la version piratée d’une application. Si vous avez vraiment besoin du programme, et n’êtes pas du tout disposé à le payer, alors essayez d’abord de trouver une alternative gratuite.
  • Téléchargez toujours les applications à partir de sources officielles : l’App Store ou le site Internet du développeur.
  • Si vous décidez de télécharger une application à partir d’une source non officielle, par exemple un traqueur torrent, comme nous l’avons dit plus tôt, vérifiez minutieusement quel fichier est véritablement téléchargé. Tout fichier supplémentaire qui se trouve dans le pack d’installation devrait éveiller vos soupçons.
  • Utilisez un antivirus de confiance qui analyse tous les fichiers suspects, sans exception.

Source: Antivirus