presshightech

édition web pour la presse

Malwares malveillants

L’industrie des malwares se développe de façon exponentielle. Elle empoisonne le développement du web. La vente de codes “malveillants” devient un commerce à l’instar de simples kits anti-virus…

Pour la seule année 2007, de nombreuses pages de sites web auraient été modifiées grâce à quelques simples lignes de codes redirigeant les visiteurs vers des sites pirates (ndr : voir les articles de presshightech.com sur le phénomène du “phishing”). Un code de redirection ou d’ « iFrame » se présentant sous la forme d’un cadre d’un pixel contenant une double programmation vers le site du pirate. Le premier étant un “piégeur” d’infiltration de pages Web. Le second étant un « downloader » permettant d’implanter un programme que le pirate souhaite utiliser (porte “dérobée”, keylogger, robot, etc). Autre “moyen”, les “bots” qui sont des malwares permettant la prise de contrôle à distance de machines vulnérables afin de former un réseau d’attaque caché (ndr : “botnet” typiques des attaques de phishers). Le tout permettant de “spammer” ou bien de faire des attaques en “déni de service distribué”.
Selon François Paget (photo), chercheur en sécurité chez Mc Afee, ces outils d’attaque seraient en vente sur le Net sous la forme de petites annonces sur des forums spécialisés. De quelques centaines d’euros aux plus performants à 3000 dollars, ainsi MPack et WebAttacker (inet-lux.com), IcePack, d’origine russe… Limbo, MPack (DreamCoders Team), Nuclear Grabber (Corpse), Pinch (Coban), Power Grabber (privat.inattack.ru), etc.
Derrière ces outils d’attaque, les “têtes pensantes” seraient concentrées aux Etats-Unis, dans les pays de l’Est et en Chine. Avec dans chacun de ces pays, des groupes très hiérarchisés qui vendent à la fois l’outil et le service, et en cas de réaction, retournent la responsabilité de l’acte sur l’acheteur… un commerce comme un autre. Certains groupes sont maintenant connus : Cult of the Dead Cow, Russian Business Network (casinos virtuels et de la pédo-pornographie), Network Crack Program Hacker (connu pour avoir conçu le rootkit GinWui avec des membres spécialisés dans la suite Microsoft Office dont ils diffusent les vulnérabilités), Honker Union of China (avec 20 000 hackers estimés, connu pour ses attaques régulières de sites gouvernementaux et industriels aux Etats Unis, en Australie et en Nouvelle Zélande).
Lors du 2ème forum international de la cybercriminalité qui s’est tenu à Lille le 20 mars dernier, des participants ont parlé de 100 à 150 millions de machines infectées au niveau mondial, dont 60 000 PC infectés chaque jour en France…
Claude A.Frison (sources : Mc Afee / ITNews / Réseaux et Télécoms)

20/06/2008 Posté par Claude A.Frison | Non classé | , , , , , | Pas encore de commentaires

Spam : en chiffres

Pour échapper à la vigilance des logiciels de protection de messagerie électronique, un spam sur quatre abandonne la forme traditionnelle de texte pour l’image. Le volume total de spam est estimé à 87 milliards par jour selon les analystes.

L’activité du spam en quelques chiffres (spam : courrier électronique non désiré) : sur 130 milliards de courriers échangés dans le monde chaque jour, les deux tiers seraient du spam, soit environ 87 milliards. 50 % des courriers qui transitent par les FAI sont du spam . Selon une étude de Commtouch, 39 % des spams sont consacrés aux produits pharmaceutiques (Viagra, Xanax, etc). Toujours selon Commtouch, 25 % des spams proviennent de l’Europe de l’Ouest et 10 % seraient des spams de nature pornographique (caf avec sources Radicati Group, Commtouch)

19/05/2008 Posté par Claude A.Frison | Non classé | , , | Pas encore de commentaires

Cryptage des données numériques

Les processeurs mis en cause

De quoi inquiéter les centraux bancaires et les officines d’e-commerce, des articles publiés dans la presse spécialisée suscitent quelques interrogations sur la fiabilité des processeurs de nos chères (…) bécanes…

Suite aux révélations de l’équipe conduite par le cryptologue allemand Jean-Pierre Seifert (ex-Intel, enseignant dans les universités d’Haïfa et d’Innsbruck), les fabricants de microprocesseurs seraient sur les dents. En cause, une technique d’espionnage au niveau du code machine qui reposerait sur un logiciel capable de récupérer la clé de cryptage SSL au cours même de la phase de calcul… les spécialistes apprécieront. Qu’il s’agisse de crypter, de signer ou de garantir l’intégrité de données numériques, d’après les expériences conduites par l’équipe de JPS, les processeurs de la quasi-totalité du parc informatique mondial seraient vulnérables et le commerce en ligne serait selon lui menacé, ainsi que tout ce qui permet la dématérialisation des échanges, fondée sur des applications faisant appel aux codes asymétriques (procédé utilisant une clé publique codant les données et une clé secrète pour les restituer). Il s’agirait même de la fin des algorithmes RSA et des clefs de chiffrement couramment utilisées (RSA, acronyme formé à partir des noms de ses créateurs : Rivest, Shamir et Adleman). Pour de plus amples détails, nos lecteurs peuvent se reporter au research group “Mathematical Computer Science”, de la Johann Wolfgang Goethe-University (docs en allemand).

Dans le détail cette menace qui porte le nom d’analyse de prédiction de branche (BPA), nécessitait jusqu’à maintenant de très nombreux essais pour déduire de façon statistique la clé de cryptage (ce qui la rendait de fait impraticable). Dans une étude encore assez confidentielle, JPS décrit la façon dont il a pu (selon lui en une seule tentative) récupérer la quasi-intégralité d’une clé de cryptage de 512 bits (NDR : rappelons que ce type de cryptage consiste en une suite d’autant de 0 ou de 1 permettant de « brouiller » les données transitant par le Net afin de les rendre illisibles ; elle est donc couramment utilisée pour les transactions cryptées ; sachant que la plus grande clé publique faisait 640 bits ; sa décomposition en 2005, avait nécessité pendant trois mois, l’utilisation de 80 microprocesseurs cadencés à 2,2 GHz). Cette découverte fait figure de bombe, puisqu’elle ne ferait appel qu’à une seule lecture de code ; sa force résidant dans le fait que le processus de prédiction, fondamental pour accélérer les performances du processeur, ne serait pas vraiment protégé. Selon lui, le mode de fonctionnement même de la puce, optimisé pour accélérer les calculs, la rendrait vulnérable. « La sécurité a été sacrifiée au bénéfice de la performance », estime le chercheur. Une « taupe » (logiciel) pourrait donc « écouter » la puce en toute discrétion, et renvoyer la clé par exemple à des hackers, voire à des services de renseignement ou à des concurrents potentiels. Sous couvert d’anonymat, des spécialistes de cryptographie confirment le sérieux de la menace sur les systèmes à clé publique : « La solution réelle serait de revoir la conception même de nos microprocesseurs… une solution de court terme serait de ne pas permettre que des applications sensibles tournent en parallèle avec des opérations standards sur un même ordinateur, ce qui est plus facile à dire qu’à faire dans un environnement de travail classique… il reste des remèdes partiels, mais ils impliquent de ralentir considérablement le fonctionnement des PC ».

La polémique avait même fait rage entre observateurs. Selon l’hebdomadaire Le Monde Informatique (LMI, publication d’International Data Group, éditeur de Computer World), le quotidien le Monde « faisait saigner la tomate » à propos d’une technique potentielle qui permet de récupérer les clés de cryptage au cœur des processeurs. Pour cet hebdomadaire spécialisé « il est hautement regrettable que la sécurité des systèmes d’information, qui concerne effectivement l’ensemble des citoyens des pays industrialisés, soit encore traitée sur un ton alarmiste et superficiel, entretenant une défiance diffuse et, plus grave encore, le fatalisme ambiant et l’apathie juridique qui en découle, le tout garantissant l’impunité des responsables des causes réelles et sérieuses des milliards d’euros ou de dollars volés chaque année, en particulier les banques et les détenteurs d’informations personnelles qui ne sont toujours pas tenus, en France, d’alerter les victimes potentielles à la suite d’une effraction de leur système d’information, et l’on ne s’y prendrait pas autrement si l’on voulait, sciemment, désinformer une population tout entière pour lui faire supporter les frais d’une dématérialisation des échanges conduite au seul profit des intermédiaires financiers ». Les résultats des travaux de Jean-Pierre Seifert avaient été publiés lors de la conférence RSA, début 2007. Claude A.Frison

28/04/2008 Posté par Claude A.Frison | Non classé | , , , , , , | Pas encore de commentaires

Phishing

massiv attack

Les opérations de phishing se multiplient. Et ce malgré les alertes émises par les administrateurs gérant les transactions de leurs clients. Des internautes même avertis se laissent encore prendre au piège. Les banques ne sont pas les seules concernées par ce phénomène. Dans tous les secteurs, les pays à fort taux de connexions sont touchés par les agissements de circuits mafieux. Dernier exemple connu, durant trois mois, des pirates ont débité 250 comptes chez Nordea (banque suédoise comptant 2 millions de clients). Butin, environ 800 000 euros restitués depuis aux victimes. Depuis l’automne dernier, l’enquête policière a permis d’interpeller une centaine de petits malins recrutés via le Net. Les enquêteurs sont remontés jusqu’aux commanditaires situés en Russie, opérant via des serveurs nord-américains. Autre exemple du même type, le démantèlement début 2006 d’un réseau franco-russe de détournements de fonds. Des internautes français avaient réussi à pénétrer les comptes bancaires d’une soixantaine de leurs compatriotes. Bilan de l’opération pirate : 200 000 euros détournés. Encore une fois les commanditaires de l’opération étaient russes, agissant via une société fictive aux états-Unis. En bref, ils proposaient à des internautes français de recevoir sur leur compte l’argent détourné. Des mules, mais pas des ânes, puisqu’ils percevaient de 1 à 5 % de commissions sur les sommes détournées, une fois avoir reviré le butin récolté vers la tête du réseau. On ne peut pas leur jeter la pierre, les sites bancaires figurent logiquement parmi les plus sécurisés. Mais il est difficile d’obtenir des statistiques précises. Celles-ci ne communiquant que très peu sur ce sujet, on les comprend. Sans doute de peur de dissuader leurs clients d’utiliser leurs guichets en ligne. Des services payants, qui représentent une manne financière constante, non négligeable au bilan. Claude A.Frison

28/04/2008 Posté par Claude A.Frison | Non classé | , , , , , , | Pas encore de commentaires

Passwords harvesting fishing

Pêche aux mots de passe
Étymologiquement, le terme de « phishing » vient de l’expression anglaise « passwords harvesting fishing » (pêche aux mots de passe), utilisée à l’époque des premières attaques de ce type sur les serveurs d’America Online. En français, il est communément traduit par « hameçonnage ». La technique consiste à faire croire aux internautes qu’ils reçoivent un mail de la part d’un site de confiance qu’ils consultent fréquemment. Une page parfaitement imitée les enjoint à compléter une simple case d’identification par mot de passe, pour authentification. Une fois entré et validé, le tour est joué. A l’insu du particulier, en un éclair, l’attaquant peut se connecter sur la page du client et obtenir des renseignements personnels.
Plus grave est la situation quand le pirate, flanqué de ses cyber-acolytes parvient à installer sur le poste client un virus de type troyen (exemple haxdoor.ki). A noter qu’un simple cookie peut contenir ce type de programme. Il s’ajoutera à la base du registre au démarrage du système d’exploitation, se propageant là où il est sensé aller. Une manip d’autant plus facile que beaucoup d’internautes modifient les paramétrages de leurs pare-feux, voire désactivent les contrôles de cookies et de scripts à l’accès, ceci afin d’accélérer la rapidité de leur système, excédés qu’ils sont par les ralentissements que leur fait subir leur programme antiviral. Claude A.Frison

28/04/2008 Posté par Claude A.Frison | Non classé | , , , , , , | Pas encore de commentaires

« Articles précédents