Cybersécurité - Innovations digitales et numériques

On ne sait pas très bien comment le FBI compte s'y prendre pour mettre en place cette interface avec le public, ni comment se fera l'échange d'échantillons de malware. Mais James Comey a laissé entendre que Malware Investigator permettrait d'envoyer un échantillon du logiciel malveillant vers le système et de recevoir rapidement en retour un rapport sur celui-ci. « L'objectif est de faire remonter des information de sources diverses et nombreuses et d'identifier les endroits à partir desquels pourraient être lancés certains types de cyberattaques. Malware Investigator pourrait faire office de système unifié de détection des menaces », a-t-il déclaré.

Le nombre total de vulnérabilités "officielles" a, apparemment, baissé de 6 % en un an, tandis que le nombre de vulnérabilités importantes a diminué de 9%. C'est a priori une bonne nouvelle, mais HP se demande si ce déclin n'est pas l'arbre qui cache la fôret et si un certain nombre de vulnérabilités non dévoilées ne serait pas transmis au marché noir en vue d'une utilisation privée et/ou malveillante. 

Le Cyber Risk Report 2013 révèle également que près de 80 % des applications examinées contenaient des vulnérabilités dont l’origine se situe à l’extérieur du code source. Ce qui veut dire que même un logiciel développé avec rigueur peut s’avérer particulièrement vulnérable s’il est mal configuré.

Il y a quelques recommandations simples pour vous protéger dans bien des cas. En premier lieu si vous achetez un appareil (principalement d’occasion) il est recommandé de restaurer intégralement le système d’exploitation. Ensuite il faut installer uniquement des applications sur les magasins officiels et éviter l’installation de programmes douteux. Ces mesures simples peuvent vous assurer un bon niveau de protection.

Cela bouge vite dans le domaine de la sécurité, et, en particulier, dans le domaine de l’analyse préventive des attaques dite APT (Advanced Persistent Threat). Juste quelques jours après le rachat de Mandiant par FireEye dans une opération estimée a 1 milliard de dollars, Palo Alto met la main sur Morta Security, une start-up californienne qui travaille dans le même domaine que Mandiant.

ChewBacca est un cheval de Troie très actif ces trois derniers mois, durant lesquels près de 50 000 données de cartes bancaires ont été volées par son biais dans 11 pays dont les Etats-Unis, la Russie, le Canada et l'Australie. Il faut néanmoins souligner que le malware cible les données stockées dans les bandes magnétiques des cartes : ces dernières sont enregistrées lorsqu'elles sont passées dans la machine, tandis qu'un keylogger enregistre de son côté le code tapé sur le clavier numérique.

Les experts en sécurité ont étudié le fonctionnement des serveurs de commande et de contrôle du malware : l'interface n'est accessible que via le réseau caché TOR, par le biais d'une adresse en .onion. Le logiciel malveillant, une fois installé sur la machine infectée, est capable d'extraire des informations spécifiques des processus en fonctionnement, et les envoie sur une adresse en .onion également. Techniquement, le malware n'est cependant pas particulièrement discret, et se cache dans le dossier « démarrer » de Windows, sous la forme d'un exécutable système. Reste que 20% des logiciels antimalware ne le détectent pas à ce jour.

 

Les terminaux Android sont la cible priviligiée voire unique des malwares pour mobiles. Selon le rapport annuel 2014 de Cisco sur la sécurité, ces logiciels malveillants ciblent à 99 % les appareils Android. Sur cette plate-forme, le malware mobile le plus répandu, à 43,8 pour cent, est Andr/Qdplugin.La deuxième cible (0,84 % du total des malware affectant les mobiles) est constitué par les chevaux de Troie ciblant Java Micro Edition (J2ME ).La bonne nouvelle est que ces logiciels malveillants ne représentaient que 1,2 pour cent de tous les malwares rencontrés en 2013, essentiellement sur le web.Ces résultats sont corroborés par le fait que, parmi les catégories de smartphones, les mobiles Android sont, à 71 %, ceux qui sont le plus confrontés aux malwares rencontrés sur le web. Ils sont suivis par les iPhone d'Apple avec 14 % puis par les iPad.

Les enquêteurs soupçonnaient les auteurs des attaques d'avoir utilisé des logiciels malveillants (malwares). Parmi ceux-ci pourrait figurer un logiciel connu sous le nom de « RAM scraper » (littéralement « gratte-RAM »), qui permet d'intercepter des données cryptées au moment où elles transitent – décryptées – par la mémoire vive d'un ordinateur. Une porte-parole de Target a déclaré que le groupe ne faisait aucun commentaire sur l'enquête concernant le vol de données.

Les pirates utilisent souvent la technique dite "du point d’eau" pour diffuser l’APT. Cette technique utilise les points de passages sur le web des salariés d’une entreprise pour atteindre cette dernière. « L’année dernière, nous avons ainsi vu le site web d’un sous-traitant du secteur de l’aéronautique français infecté » explique Laurent Gentil, sales engineering manager chez Sophos qui ajoute « ce n’était probablement pas ce sous-traitant mais les grands groupes aéronautiques qui étaient visés. » L’une des manières de procéder est d’installer des DLL malveillantes à côté d’une application saine. L’utilisateur installe le malware en même temps qu’un logiciel légitime et n’y voit que du feu. « Les pirates se mélangent avec le système d’exploitation ou avec des installeurs de programmes légitimes » pousuit Laurent Gentil.

« La sécurité informatique n’est pas une science exacte et aucune organisation n’est à l’abri d’un incident de sécurité, parce que la protection absolue est devenue totalement inaccessible. En tant qu’assureur spécialiste, notre rôle est de permettre à l’entreprise de travailler sur un transfert de ces risques spécifiques face à des conséquences stratégiques pour la survie de l’entreprise », conclut François Brisson.

Mise à jour du contrat développeur et blocage des téléchargements des fichiers applicatifs APK de sources alternatives depuis le navigateur Android sont quelques-unes des mesures prises par Google, essentiellement depuis Android 4.3, pour mettre fin aux PUA et prolifération des malwares. Mais si à terme « les nouvelles mesures de sécurité de la plate-forme Android auront des effets positifs sur les taux d’infection […] leur adoption restera lente, laissant les utilisateurs exposés aux attaques par ingénierie sociale », estiment les auteurs du rapport. Selon eux, « la sécurité mobile dans son ensemble continuera d’être un sujet brûlant en 2014 ». N’en doutons pas.

Selon le rapport d’analyse Kaspersky Lab, la campagne The Mask repose sur des emails de spear-phishing qui contiennent des liens vers un site web malicieux. Ce site web contient un certain nombre d’exploits conçus pour infecter les visiteurs, en fonction de la configuration du système. Lorsqu’un utilisateur a été infecté, le site web le redirige vers le site web bénin qui a été référencé dans l’email d’origine, qui peut être par exemple une vidéo Youtube ou un portail d’actualités.

Le malware est entièrement développé en Java. Il exploite une faille de la plateforme Java 7 Update 21 et toutes les versions antérieures. Bien que la vulnérabilité ait été corrigée par la mise à jour de Java publiée en juin par Oracle, le nombre d'utilisateurs encore sur les versions antérieures reste assez important pour tirer la sonnette d'alarme.

L’emplacement du dossier Windows le plus commun pour Cryptorbit est  » % AppData %  » et il peut être facilement enlevé en utilisant des outils antivirus, et, contrairement aux ransomwares traditionnels, vous pouvez décrypter vos fichiers en utilisant l’utilitaire du système « Restauration du système ».

La meilleure protection contre ces infections est une bonne sauvegarde complète de votre système. Aussi, il est vivement de garder les fichiers importants sur des serveurs ou des périphériques externes, et non en local.

José Martinez, Directeur de la sécurité Europe du Sud chez Cisco, explique : « Notre Rapport Annuel sur la Sécurité dresse un tableau préoccupant de l'état actuel de la sécurité informatique, mais nous avons les moyens de prémunir efficacement les entreprises et les organismes publics contre l'ensemble de ces attaques potentielles. Pour cela, Cisco, avec ses partenaires, accompagne les Responsables Sécurité pour comprendre les motivations et les méthodes des pirates informatiques avant, pendant ou après l'attaque. » Cisco rappelle évidemment qu'il a les moyens et les compétences pour protéger de manière efficace les entreprises de toutes ces menaces et qu'il se tient à la disposition des responsables sécurité pour discuter de la question et des moyens à mettre en oeuvre pour que cela ne soit plus un problème. 

Heureusement, il existe des moyens de protection contre ce type de menaces, à commencer par une sauvegarde régulière des données. Même si un malware chiffre vos données personnelles, vous pourrez toujours les récupérer. Dans le cas contraire, vous serez piégé. Récupérer des données chiffrées par RSA 2048 bits est quasi-impossible.  Vous serez alors tenté de payer, sachant qu’il n’y a aucune garantie que les cybercriminels vous transfèrent réellement la clé pour déchiffrer vos données.