Le 12 mai 2017, un ver informatique nommé WanaCrypt0r 2.0, ou WannaCry, infectait en masse des ordinateurs du monde entier. Nous vous proposons de revenir sur les dessous de l’affaire avec notre dossier sur ce malware inquiétant.

Lire la suite

Suggestions

Le 26 avril, le site Cryptome.org publie une archive de 500 Mo de données issues de la banque du Qatar (Qatar Natonial Bank, QNB). Au total, ce sont 1,4 Go de fichiers que cumulent plus de 15 000 documents, dont des identifiants et des opérations bancaires.

Parmi les documents se trouve en effet une base de données répertoriant plus d’un million de cartes bancaires, incluant le nom du propriétaire, la date d’expiration et le plafond de retrait.

Dans un autre dossier issu de la fuite de données se trouve une liste de clients singuliers, tels que des membres de la famille royale du Qatar Al Thani, des employés de la chaîne de télévision Al Jazeera, du Département de la Défense américain mais également des espions du MI6 et de la DGSE.

Lire la suite

Suggestions

Après plusieurs mois d’enquête, le FBI révèle que la méthode utilisée pour accéder aux centaines de comptes iCloud des célébrités dans le cadre du « fappening » n’était qu’une simple campagne de phishing. Pas de vulnérabilité pour les comptes iCloud d’Apple, mais un exemple de plus de l’efficacité et du danger de l’ingénierie sociale (ou social engineering).

Le social engineering consiste à se faire passer pour une personne ou un service afin d’obtenir des renseignements. Si la technique n’est pas nouvelle, elle devient de plus en plus facile à exécuter, en raison de notre empreinte numérique qui grandit chaque jour un peu plus.

Et les cibles s’affinent également : ces derniers mois, un cyber-criminel du nom de Cracka a réussi à prendre possession des comptes e-mail du directeur de la CIA John Brennan et du directeur du renseignement américain James Clapper (avec en plus la ligne téléphonique de ce dernier, qu’il a pu rediriger).

Lire la suite

Suggestions

Le 23 décembre dernier, des coupures d’électricité dues à une attaque informatique ont eu lieu dans des régions de l’ouest de l’Ukraine. Dès le jour de la coupure, la compagnie Prykarpattyaoblenergo a déclaré que cet incident avait pour origine une intervention extérieure, sans préciser laquelle. Les services ukrainiens de sécurité (SBU) ont quant à eux accusé les attaquants d’être partie prenante avec l’Etat russe.

Les relations entre les deux pays étant particulièrement tendues dans le cadre de la guerre civile faisant rage à l’Est de l’Ukraine, les cyberattaques provenant de l’un ou l’autre des deux camps sont courantes, ainsi que les accusations hâtives. Toutefois, les effets de l’attaque sont ici réels, plusieurs centaines de milliers de personnes ayant effectivement subi les coupures d’électricité durant plusieurs heures.

Lire la suite

Suggestions

Une nouvelle version du malware dénommé Carbanak a récemment été analysée par des chercheurs en informatique. De nouvelles variantes sont ainsi apparues en Europe et aux États-Unis, zones privégiées par les attaquants.

Pour rappel, le malware, également appelé Anunak, est un virus ayant permis de dérober environ un milliard de dollars depuis sa diffusion. Le groupe d’attaquants qui le distribue agirait depuis la Russie, l’Ukraine et possiblement la Chine.

Les cibles se trouvent être directement les entreprises et non les utilisateurs. Ainsi, plus d’une centaine de banques, de systèmes d’e-paiement et d’institutions financières à travers une trentaine de pays différents ont été victimes des pirates.

Les cibles sont étudiées et triées en amont. Le logiciel malveillant est déployé sur peu de postes, afin de ne pas attirer l’attention.

Lire la suite

Suggestions

Un groupe de pirates surnommé APT 29 et soupçonné de collaborer avec le gouvernement russe a conçu un malware baptisé Hammertoss capable de se dissimuler dans du trafic internet légitime afin de communiquer avec son serveur de Commande & Contrôle.

  • Une fois installé sur une machine cible, le malware utilise des sites comme Twitter et GitHub afin de communiquer avec les attaquants. Il génère des identifiants Twitter de façon quotidienne et aléatoire grâce à un algorithme. Le groupe d’attaquants connaissant l’algorithme, il peut ainsi utiliser le compte pour poster un tweet contenant un hashtag (lui-même contenant une clé de déchiffrement) et un lien. Le malware suit ensuite le lien vers une page légitime (notamment des pages GitHub) générée par le groupe et contenant une image. Celle-ci contient des instructions chiffrées, insérées à l’aide de techniques de steganography (l’art de faire passer inaperçu un message dans un autre message). Une fois les instructions repérées, le malware les déchiffre à l’aide de la clé présente dans le hashtag, puis les exécute.
  • Les instructions sont diverses et peuvent notamment amener le malware à uploader des données de la machine cible vers un cloud de sauvegarde, où les pirates peuvent les récupérer.
  • Hammertoss peut également être programmé pour déclencher ce processus après une date spécifique, typiquement durant les horaires de travail de la victime.
  • Cette méthode permet au malware de s’insérer parmi le trafic légitime et ainsi d’éviter d’être détecté, rendant plus complexe les tâches de repérage de trafic toxique. De même, les images contenant les instructions varient considérablement en taille, rendant malaisée leur identification.

Lire la suite

Suggestions

Le 5 juillet, un pirate a publié environ 400 GB de données qu’il affirme avoir piratées auprès de l’entreprise Hacking Team. Cette dernière produit des solutions telles que des spywares ou des enregistreurs de frappe qu’elle met à la disposition des gouvernements et agences étatiques.

  • Les données piratées contiennent notamment des contrats, des factures, des listings de clients, des emails, ainsi que des mots de passe pour les comptes de l’entreprise sur des réseaux sociaux.
  • Ces informations ont été mises à disposition par le pirate via BitTorrent et Pastebin. Des données techniques ont également été publiées. En particulier, les vulnérabilités zero-day utilisées par les logiciels espions ont été divulguées. Elles concernaient notamment Adobe Flash et Windows. Ces dernières sont aujourd’hui respectivement patchées par les deux compagnies.
  • Le pirate dénommé Phineas Fisher, hacktiviste anti-surveillance du web, a affirmé être l’auteur de l’attaque. En août 2014, il aurait également piraté l’entreprise Gamma International, basée en Grande-Bretagne et proposant des solutions similaires.
  • Cette fuite de données pourrait avoir deux conséquences néfastes principales pour Hacking Team. Les relations entre Hacking Team et plusieurs de ses clients ont été révélées. L’entreprise niait ainsi tout lien avec des gouvernements ou agences gouvernementales sous embargo par des Etats ou organisations tels que les Etats-Unis, l’Union Européenne ou les Nations Unies. Toutefois, plusieurs documents piratés mettent en évidence l’existence supposée de relations commerciales avec certains d’entre eux, par exemple une entreprise russe liée au FSB, pouvant porter atteinte à la réputation de Hacking Team. D’autre part, la publication d’une partie du code source de certains logiciels, ainsi que de mots de passe supposément utilisés par le PDG de l’entreprise et particulièrement simplistes pourraient avoir des conséquences quant à la crédibilité de l’expertise de cette dernière.

Lire la suite

Suggestions