Cybersécurité - Innovations digitales et numériques

Zberp, un cheval de Troie combinant des caractéristiques de Zeus et Carberp (deux malwares spécialisés dans les attaques contre les sites de banque en ligne), menace les clients de nombreux sites de banque en ligne dans le monde. Selon les chercheurs de Trusteer, l'éventail des fonctionnalités offertes par ce malware hybride est large. Ainsi, Zberb est capable de voler des informations sur les ordinateurs infectés, comme leurs adresses IP et leurs noms, peut effectuer des captures d'écran et les télécharger sur un serveur distant, voler les identifiants FTP et POP3, récupérer les certificats SSL et les informations saisies dans les formulaires web, détourner les sessions de navigation et insérer du contenu malveillant dans les sites web consultés, initier des connexions distantes en utilisant les protocoles VNC (Virtual Network Computing) et RDP (Remote Desktop Protocol).

Avez-vous déjà laissé la porte arrière de votre maison ouverte par inadvertance ? Cet oubli peut vite devenir stressant, car il laisse la possibilité à un inconnu de s’introduire chez vous, pour y voler tous vos effets personnels. En matière informatique, un « backdoor » (ou porte dérobée) représente le même risque, à la différence près que vous pouvez laisser cette porte ouverte pendant des mois avant de vous en apercevoir.

Les cybercriminels utilisent généralement un logiciel malveillant pour installer un Backdoor sur nos ordinateurs. Cette porte dérobée leur permet ensuite d’en prendre un contrôle partiel, voire total :

• Vol, modification ou suppression de fichiers, de documents personnels
• Installation de nouveaux logiciels malveillants

Baptisée iBanking l’application qui est soi-disant conçue pour générer des mots de passe à usage unique n’est qu’un prétexte pour que l’utilisateur lui donne des droits suffisamment importants afin de récupérer sur le mobile les différents identifiants des applications installées, mais également les codes reçus par SMS afin de réaliser des transactions, par exemple. (EP)

Il n’y a bien sûr rien de nouveau ici, mais cela mérite d’être rappelé : les codes malveillants sont essentiellement utilisés pour prendre pied sur la première machine. Les intrus utilisent ensuite souvent d’autres techniques pour se déplacer au sein du réseau (interception de mots de passe, force brute, voire ingénierie sociale). Ils contrôlent donc la plupart des autres machines de manière naturelle, sans nécessiter de code malveillant. Seule l’observation du comportement de ces machines et de leur trafic pourra alors permettre de les identifier.

Le kit de logiciels malveillants utilisé dans cette cyberattaque circule depuis plus de 2 ans. Une fois le serveur contaminé, ce dernier participe au transit d'une grande quantité de spam, mais peut également avoir d'autres usages en fonction de la machine de l'internaute. « Il est intéressant de noter que la menace varie en fonction du système d'exploitation de l'utilisateur. Ainsi, pour un ordinateur sous Windows visitant un site infecté, Windigo, tente d'installer un malware via un kit d'« exploit ». En revanche, Windigo affiche des publicités de sites de rencontres pour les utilisateurs sous MAC OS. Les possesseurs d'iPhone, quant à eux, sont redirigés vers des contenus pornographiques » souligne le rapport. 500 000 internautes sont redirigés chaque jour vers du contenu malveillant en lien avec Windigo.

En vertu de l'article 323-3-1 du code pénal, les utilisateurs français de Blackshades encourent de deux à cinq ans de prison. Des peines toute théoriques. A travers cette affaire emblématique, la nouvelle sous-direction de la lutte contre la cybercriminalité de la police judiciaire, inaugurée le 29 avril, entend surtout adresser un message aux internautes tentés par les plaisirs coupables du hacking. « Nous voulons aussi faire passer le message sur certains forums que ces pratiques sont sanctionnables », résume Valérie Maldonado, qui dirige la sous-direction par intérim.

Le malware utilisé pour cette opération cybercriminelle mondiale a infecté près de 1 500 terminaux de points de vente, systèmes comptables et autres plates-formes de back-office de détaillants dans 36 pays. Les systèmes ont été reliés entre eux pour constituer un botnet surnommé Nemanja par les chercheurs de IntelCrawler, l'entreprise de sécurité spécialisée dans la cybercriminalité à l'origine de la découverte. Les chercheurs pensent que les pirates derrière cette opération d'envergure sont peut-être originaires de Serbie.

Deux autres services verront le jour dans le courant de l'année, à commencer par Raw Intelligence Data Feed. Conçu pour des clients qui disposent de leur propre CERT (Computer Emergency Response Team), ce dispositif les informe en temps réel sur les malware (signatures de Virus, URLS potentiellement infectées...). Les renseignements délivrés sont issus de la base de données communautaire de malware que Kaspersky entretient grâce aux remontées de ses antivirus déployés partout dans le monde. Ils peuvent être fournies au format XML afin d'être intégrés dans les outils de pilotage de la sécurité des systèmes des informations utilisés par les CERT internes. Bientôt, Kaspersky proposera aussi un service d'abonnement à des rapports renfermant cette fois-ci des informations moins techniques et compilées après coup sur les codes malicieux. L'éditeur sera à même de fournir ces données en distinguant les secteurs géographiques ou encore économiques touchés par tel ou tel type de code malveillant. Remis en mode texte, ces rapports s'adressent avant tout aux directions générales et aux directions chargées de la sécurité informatique des entreprises.

  ThetaRay affirme que sa solution est capable de détecter ce type d'attaques dans les systèmes industriels. Elle est actuellement testée dans une centrale électrique de l'état de New York. ThetaRay a reçu l'appui financier de plusieurs partenaires, dont Jerusalem Venture Partners et General Electric. Mais la start-up n'a pas dévoilé le montant de ces contributions, ni expliqué comment le GE comptait déployer sa technologie de surveillance. Les systèmes de sécurité de ThetaRay seront disponibles partout à partir de l'automne. Leur tarif sera de l'ordre de « plusieurs centaines de milliers de dollars », a déclaré le CEO.

En votant favorablement sur ce texte, le Conseil des Etats accepte l'utilisation de chevaux de Troie étatique (Govware) ainsi que les écoutes des communications téléphoniques sur internet et la surveillance des courriels dans le cadre de procédures pénales. Pour la bernoise Anita Fetz (PS), le problème reste toutefois que la « loi ne définit pas clairement qu'est-ce qui sera exactement surveillé ».

Sur le papier, on pourrait donc croire que les distributeurs de billets vont être pris d’assaut par des rafales de SMS. Mais dans les faits, c’est bien plus complexe. Car pour, au final, effectuer un retrait en envoyant un simple message, encore faut-il au préalable avoir eu accès physiquement au distributeur (à son lecteur CD, puis à son port USB,etc) et avoir pu y installer le programme malveillant.