Attraper un malware par un simple copier-coller, c’est possible!

Un hacker a trouvé une méthode basée sur Javascript pour modifier le contenu du presse-papier lors d’un copier-coller. Ce qui permettrait de faire exécuter du code dans que l’utilisateur ne s’en rende compte.

HP, Acer, Asus, Dell,… leurs logiciels préinstallés ouvrent la porte aux pirates

Les logiciels de mises à jour des principales marques informatiques sont parsemés de failles de sécurité permettant l’exécution de code arbitraire à distance.

Le Trojan GozNym s’attaque aux banques européennes

Après les institutions financières canadiennes et américaines, auxquelles il a réussi à extirper la coquette somme de 4 millions de dollars le mois dernier, le Trojan hybride GozNym s’intéresse désormais aux banques européennes.

Dernier venu sur le marché des Trojan, GozNym combine les caractéristiques furtives de Nymaim, et les capacités du cheval de Troie Gozi ISFB spécialisé dans le ciblage du secteur bancaire, ce qui en fait un puissant vecteur d’attaque. Selon l’équipe de sécurité X-Force d’IBM, le malware est désormais utilisé dans une vaste campagne contre des institutions financières européennes, dont 17 grandes banques polonaises, une institution financière portugaise, mais il cible aussi des entreprises et des PME diverses. Le très large spectre d’attaque du malware est une première en Pologne : près de 230 URL ciblent les sites web de banques de détail et de fournisseurs de services de messagerie polonais.

Au cours de la première quinzaine d’avril, les chercheurs d’IBM avaient découvert que le Trojan hybride était utilisé pour mener une vaste campagne contre plus de 24 banques américaines et canadiennes, des instituts de crédit et des plates-formes de commerce électronique, et qu’il était parvenu à voler des millions de dollars en quelques semaines seulement. GozNym est très subtile : il est capable de copier les informations d’identification de l’utilisateur, mais il sait aussi crypter les données, se protéger des machines virtuelles et contrôler le brouillage des flux pour rester discret et éviter d’être démasqué.

De faux sites bancaires pour tromper les clients

Certaines procédures de redirection ont déjà été utilisées avec succès par Dyre et Dridex dans des attaques réelles, mais les auteurs à l’origine du Trojan hybride GozNym ont doté le malware de capacités particulières qui lui permettent de masquer ses attaques et d’agir sans être repéré par les spécialistes de la sécurité. Toute la stratégie repose sur l’utilisation d’un site web frauduleux. La redirection de GozNym oriente les victimes, à leur insu, vers un faux site – généralement par l’entremise d’un malware intégré à un spam – qui ressemble comme deux gouttes d’eau au site en ligne de la banque, contournant ainsi les mesures de sécurité de la banque. Ensuite, les attaquants n’ont plus qu’à récupérer les informations d’identification renseignées sur le faux site par la victime et les données d’authentification à deux facteurs, nécessaires pour accéder au vrai compte bancaire et voler de l’argent.

Selon l’équipe X-Force d’IBM, il ne fait aucun doute que le Trojan GozNym est en train de devenir une menace sérieuse pour les institutions financières, et celles-ci devraient se préparer à contrer des attaques de plus en plus fréquentes, les grandes banques en particulier. En plus des solutions de détection des malwares et de protection des terminaux clients, IBM recommande aux utilisateurs qui veulent éviter d’être infectés par des logiciels malveillants « de mettre systématiquement à jour leur système d’exploitation et les applications les plus couramment utilisées avec la dernière version disponible, et de supprimer les applications qu’ils n’utilisent plus ».

Attention aux pièces jointes

Sur le blog de l’équipe X-Forme, Limor Kessem, conseiller en sécurité d’IBM, écrit également que « pour prévenir une infection par le Trojan, il est important de désactiver les publicités et d’éviter les sites sensibles généralement utilisés comme base d’infection. Il rappelle aussi qu’il est capital de ne jamais cliquer sur des liens ou des pièces jointes contenues dans les courriels non sollicités.

MySpace laisse filer les données de 360 millions de comptes

MySpace avoue avoir été victime d’un vol massif de données touchant 360 millions de comptes. Plus 60 millions d’identifiants ont aussi été volés sur Tumblr.

Les réseaux sociaux prendraient-ils la sécurité des données personnelles à la légère ? La question semble légitime, alors qu’il y a peu, Linkedin concédait que des données d’utilisateurs, volées en 2012, avaient été mises en vente sur le web. Le vol a concerné plus de 167 millions de comptes du réseau social pour professionnels.

Des révélations semblables, concernant des vols de mots de passe et d’identifiants, touchent désormais aussi MySpace et Tumblr. MySpace, qui a confirmé les faits, a même établi un record peu enviable en la matière, avec 360 millions de comptes piratés. Si les données ont été mises en vente tout récemment, le ou les criminels ont mené leur action malveillante avant 2013. Du côté de Tumblr, la plateforme a révélé avoir découvert une faille, datant également de 2013, qui a causé le vol de données de 65 millions d’utilisateurs.

Les données chipées sur les trois plateformes sont vendues sur le darkweb par un même pseudo («peace_of_mind»). Sur son blog spécialisé Naked Security, Sophos souligne que cela ne signifie pas pour autant qu’un seul et même individu serait nécessairement responsable des trois attaques. Quoiqu’il en soit, les experts conseillent évidement aux victimes potentielles de modifier leurs mots de passe, spécialement s’ils utilisent les mêmes sur différents sites.

www.ICTjournal.ch

Un vague massive de spams JavaScript distribue le ransomware Locky

Les pays européens sont aujourd’hui victimes d’une vague de spams essayant d’exécuter un code JavaScript installant le redoutable ransomware Locky.

Au cours de la semaine écoulée, un grand nombre d’ordinateurs à travers l’Europe – et d’autres endroits dans le monde dont les Etats-Unis et le Canada – ont été touchés par une campagne massive de spams transportant des pièces jointes JavaScript malveillantes qui installent le ransomware Locky. Les pièces jointes sont généralement des fichiers d’archives .zip qui contiennent .js ou fichiers .jse intérieur. Ces fichiers s’exécutent directement sous Windows sans avoir besoin d’applications supplémentaires.

L’éditeur spécialisé dans la sécurité ESET a observé un pic dans les détections de JS / Danger.ScriptAttachment, un téléchargeur malware écrit en JavaScript qui a démarré le 22 mai et a atteint son sommet le 25 mai. JS / Danger.ScriptAttachment permet de télécharger divers programmes malveillants à l’insu des internautes, mais il a récemment été adapté pour distribuer Locky, un programme malveillant répandu qui utilise un chiffrement fort pour crypter les fichiers des utilisateurs. Cependant, il est très rare que des gens envoient des applications légitimes écrites en JavaScript par email. Les utilisateurs devraient éviter d’ouvrir ce type de fichiers.

La France touchée à 36%

De nombreux pays en Europe ont été touchés. Les taux de détection les plus élevés ont été observés au Luxembourg (67%), en République tchèque (60%), en Autriche (57%), aux Pays-Bas (54%), au Royaume Unie (51%) et en France 36%. Les données de télémétrie de l’éditeur ont également montré des taux de détection importants pour cette menace au Canada et aux États-Unis. Bien que Locky n’a pas de défauts connus qui permettraient aux utilisateurs de déchiffrer leurs fichiers gratuitement, les chercheurs en sécurité de Bitdefender ont développé un outil gratuit qui peut prévenir les infections Locky. L’outil trompe le ransomware en lui indiquant que l’ordinateur est déjà infecté.

L’utilisation de fichiers JavaScript pour distribuer Locky a commencé un peu plus tôt cette année, ce qui a incité Microsoft à publier une alerte à ce sujet en avril dernier.

 

Loi Sapin 2 : rejet de l’amendement Bluetouff sur les failles informatiques

Dans le cadre du projet de loi relatif à la transparence, en discussion à l’Assemblée nationale, les députés ont repoussé un amendement Les Républicains qui voulait protéger les hackers ayant découvert une faille informatique.

Le moteur de cette rustine, portée par Nathalie Kosciusko-Morizet, Alain Suguenot ou encore Lionel Tardy, était limpide : le droit pénal de l’informatique punit aujourd’hui de deux ans d’emprisonnement et 60 000 euros d’amende, le simple fait « d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données ».

Kitetoa, Zataz, Bluetouff

Or, ce couperet attend tous les intrus, peu importe leur motivation. Aujourd’hui, « le simple fait de vérifier l’existence d’une faille constitue un accès non autorisé, donc une infraction », constatent les signataires qui citent trois jurisprudences, les affaires Kitetoa (2002), Zataz (2009) et Bluetouff (2015) qui toutes, ont confirmé l’existence d’une épée de Damoclès pesant sur ce genre d’activités : « Le risque est désormais de dissuader ceux qui découvrent des failles de les signaler aux responsables informatiques, par peur de poursuites judiciaires. [Or,] sans lanceurs d’alerte, les sites mal protégés resteraient alors plus longtemps vulnérables face à des internautes mal intentionnés ».

Ces députés de l’opposition voudraient donc déployer un parapluie au profit des hackers qui ont « tenté de commettre ou commis ce délit » mais – point crucial – ont « averti immédiatement l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause » afin « d’éviter toute atteinte ultérieure aux données ou au fonctionnement du système ».

Dans une telle hypothèse, ces « sentinelles du web » doivent être exemptées de poursuites, puisqu’elles « jouent ainsi un rôle utile de lanceurs d’alerte » et méritent « un cadre juridique » exonératoire de responsabilité, ces vigies n’ayant aucune intention de nuire.

Seulement, en séance, leur généreuse proposition a été repoussée d’un revers de la main. Alors que le projet de loi Sapin 2 contient des articles relatifs aux lanceurs d’alerte, le rapporteur et député PS Sebastien Denaja l’a jugée… « hors sujet ». Quant au gouvernement, il s’est contenté du minimum syndical, un rapide et bref « avis défavorable ». Circulez !

La vaine tentative lors du projet de loi Lemaire

Ce n’est pas la première fois que des députés tentent une telle incursion. Lors du projet de loi pour une République numérique, deux amendements LR et EELV avaient été pareillement repoussés. À l’Assemblée nationale, c’est une autre option, portée par la majorité PS, qui l’a emportée, à savoir une exemption de peine, mais non comme ici, de poursuite (notre actualité).

Au Sénat, craignant l’arrivée d’une une forme d’immunité pénale encourageant le piratage informatique, les parlementaires ont préféré un système encore moins ambitieux. En l’état actuel du projet de loi Lemaire, bientôt arbitré  en Commission mixte paritaire, les fonctionnaires de l’Agence nationale de sécurité des systèmes informatiques (ANSSI), alertés de l’existence d’une faille de sécurité par une personne de bonne foi, n’auraient pas à dénoncer cette intrusion comme l’oblige en principe l’article 40 du Code de procédure pénale.

Cependant, cette bienveillance n’est que de façade : rien n’empêchera la prétendue victime, le responsable du système informatique poreux, de porter plainte contre l’intrus et même d’obtenir sa condamnation.

Voilà pourquoi NKM, Lionel Tardy et les autres signataires de l’amendement ont blâmé ces alternatives : « en exemptant de peine mais pas de poursuite (rédaction AN), ou en se contentant d’autoriser à l’ANSSI à ne pas poursuivre systématiquement le lanceur d’alerte (rédaction Sénat), ces dispositions n’apportent pas une véritable sécurité à ce dernier, qui risque toujours des poursuites (même s’il n’y a pas de peine à la fin) et qui devra assumer le coût de sa défense ». Leur argumentaire n’aura pas pesé une cacahuète dans l’hémicycle.

 

Source : Loi Sapin 2 : rejet de l’amendement Bluetouff sur les failles informatiques