Archives

Et l’espion Russe dans tout ça ? Ce terrifiant pyrotechnicien confirmé classé par ses supérieurs dans la catégorie des esthètes turbulents* se met, lui aussi aux nouvelles technologies. Il développe désormais des Barbouziciels baptisés « vers des sables » (car ce fin lettré a truffé son code d’allusion au roman « Dune » de Franck Herbert). Lequel asticot virtuel est envoyé en mission dans les mémoires des ordinateurs de l’Otan, des instances Européennes et sur toutes les machines appartenant à des diplomates travaillant, de près ou de loin, sur la crise opposant l’Ukraine à la Russie. Rien que ça. C’est Reuter qui en parle parmi les premiers, citant Isight, inventeur « en collaboration avec Microsoft » de la faille cve-2014-4114 qui affecte Windows et Windows Server 2008 et 2012. Si l’on élague un peu le sensationnalisme de l’annonce, on se retrouve avec une faille presque « old school » (exploitation OLE via le packager qui peut alors interpréter des fichiers forgés), elle-même accompagnée de 4 ou 5 exploits connus depuis fort longtemps. On notera au passage le fait que la révélation de cette faille et de cette exploitation survient la veille du patch Tuesday.

Comme un CVE difficilement exploitable à distance sans un peu de « social engineering » s’avère relativement difficile à vendre à la presse, un tantinet d’espionnage épicera illico l’annonce. Boris Vassiliev, ce vaillant défenseur du salut du Kremlin sert, à son corps défendant, les intérêts économiques de ces vils pourceaux capitalistes que sont les chasseurs de faille. D’ailleurs, s’il ne fallait qu’un seul argument pour prouver que Sandworm est bel et bien un virus majeur digne de figurer au panthéon des infections apocalyptiques, ce serait le suivant : le logo du virus existait avant même que le communiqué officiel d’Isight ne soit publié. Plus fort que Heartbleed, n’est-il pas ?

*ndlc Note de la correctrice : moi, mon préféré, c’est le docteur Müller, car lui, au moins, il offre des fleurs aux dames. Même si celles-ci sont en vénélite compressée, inaltérables à l’eau de mer, antimagnétiques, fluorescentes et ininflammables.

Depuis les premières publications des fichiers Snowden, la presse infosec ne bruisse plus que d’histoires de barbouzes. Le cyber-espion et son Kali-Linux dopé aux chevaux de Troie sous stéroïdes remplace les gros bras des services Action, les crochets du droit et les James-Bond-Girl alanguies. L’efficacité y gagne ce que le romantisme y perd.

Mais parfois, entre deux cyber-spys, l’on trouve une véritable taupe qui travaille à l’ancienne et qui vient « sous-mariner » des entreprises situées dans des pays étrangers. Etrangers à la nationalité de l’homme de l’ombre, l’on s’en doute. C’est du moins ce qu’affirment nos confrères de The Intercept, dans un nouvel article détaillant Sentry, le programme d’espionnage offensif. L’agent sous couverture s’inscrit dans le cadre du programme Sentry Eagle et l’un de ses sous-programmes Sentry Osprey. Sa mission ? Infiltrer des « entités commerciales », participer aux meetings, effectuer des opérations spécifiques, collecter des renseignements sur des technologies bien précises, établir des canaux de transmission discrets, surveiller l’activité des communications numériques (Sigint).

La crainte du stagiaire Chinois se double désormais du doute du Directeur d’Agence surdiplômé par Stanford mais émargeant chez NSA.

Le cyber-braquage est la rançon de la « plastic money », le prix que doive payer les banques pour diminuer les coûts liés à la gestion du papier-monnaie. Si, la semaine passée, le monde de la sécurité numérique s’intéressait aux premiers pas des virus visant les DAB et GAB, ce lundi est, pour Brian Krebs, l’occasion de faire coup double en révélant deux braquages visant la grande distribution Nord Américaine.

Chez Dairy Queen tout d’abord, qui vient de découvrir que près de 400 de ses magasins étaient infectés par le virus Backoff spécialisé dans la récolte d’identifiants bancaires. La chaine de restauration rapide prévient ses clients six semaines après que le premier article publié par Brian Krebs ait signalé la très forte probabilité d’un piratage massif. Selon la Direction, « seuls » les noms, numéros de compte en banque et date d’expiration de la carte ont pu être détourné. Rien de très grave donc, puisqu’avec ce genre d’information, l’on est contraint de ne pouvoir acheter que ce que l’on peut trouver sur Internet, le code PIN étant inutile et la grande majorité des vendeurs ne vérifiant jamais le numéro CVV (même s’ils le demandent parfois). Et tout au plus les clients peuvent-ils également être la cible d’une attaque en phishing… pourquoi s’inquiéter ? Pour l’heure, aucune estimation du nombre de victimes potentielles n’a été publiée. Les 400 magasins infectés sont considérés par le Président de l’entreprise comme « un faible pourcentage du réseau de distribution US ».
Chez Kmart, autre grande chaine de distribution, c’est encore un virus, installé dans les terminaux point de vente, qui s’est mis à collectionner les numéros de carte de payement qui passaient à sa portée. Le bilan risque d’être excessivement lourd, car le problème n’a été décelé que très récemment. Or, les traces analysées laissent entendre que le malware est dans la place depuis le mois de septembre. Là encore, des brassées de numéros de compte ont été récupérées par le malware, mais le nom des possesseurs de cartes et clients a échappé au zèle du virus.

Tant l’affaire des virus DAB que ces deux récentes intrusions montrent une certaine évolution des techniques de piratage bancaire. Longtemps, les vols d’identités étaient la conséquence d’un accès distant (wifi, faille d’interface d’application Web) et d’une exploitation du système informatique du backoffice (faille SQL en règle général). Désormais, ce sont les front end, les équipements dédiés qui sont visés par des charges visant spécifiquement des appareils prétendument « inviolables, juré, craché, parole de banquier ». Si le « virus DAB » relève encore du fantasme de vendeur d’antivirus qui regarde d’un œil concupiscent l’émergence d’un nouveau marché potentiel, l’infection des TPV et des machines de facturation des grandes chaines de distribution est indiscutablement « mainstream ».

Plusieurs bureaux de police aux USA diffusent de prétendus « logiciels de protection des mineurs » qui sont en fait des keyloggers et des outils d’accès à distance (sans le moindre chiffrement des données échangées). L’EFF analyse ce logiciel nommé ComputerCOP plus intrusif et plus répandu qu’une attaque HeartBleed.

La palme du xylo-langage et de l’euphémisme revient, ce mois-ci, à la Banque J.P. Morgan-Chase qui, suite au formidable pillage d’identités du mois dernier, admet dans son dernier rapport financier que ses « comités de direction et de vérification ont régulièrement pris connaissance de problèmes de sécurité importants »

Selon Brian Krebs, outre le fait que la quasi-totalité des magasins Home Dépôt auraient été frappés par ce vol massif d’identités bancaires, le malware utilisé serait une variante de BlackPOS , outil d’interception de lecteurs de cartes bancaires déjà utilisé dans le hack des magasins Target

Epidémie d’attaques en déni de service distribué, prévient Akamai . Une fois n’est pas coutume, le Bot servant à conduire l’attaque repose sur un parc de machines Linux vulnérables supportant d’anciennes version d’Apache, Struts ou Tomcat mal entretenues.

Un bug dans… Bugzilla, la plateforme réservée aux chasseurs de bugs d’une bonne partie de l’univers Open Source. Le défaut permettait d’accéder aux contenus des comptes donc aux descriptions de vulnérabilités non corrigées. Trois CVE ont été corrigés

De la douceur, du feutré. Oubliées, les tractations entre carders et achat en loucedé d’identités bancaires. Aux orties, les coques plastiques des Skimmers, les claviers marrons, les lecteurs de piste faisandés et les caméras planquées. Le turbin évolue dans le mitan du techno-braco, et même le boulot de mule en est moins risqué. L’astuce ? Injecter un virus spécial « Windows Embedded » qui remplace littéralement la gestion du clavier et de la mécanique de distribution. La mule tape un code secret, sélectionne la cassette la plus remplie, indique le montant du retrait, et les talbins s’empilent dans la fente de prélèvement. Tu prends les adjas les fouilles bourrées d’artiche, sans te soucier des cognes.

C’est Symantec qui a eu le premier la puce à l’oreille, mis la main sur le virus et lui a donné un blaze : Padpin. Rien que les recommandations fournies sur la page Web en question en expliquent plus sur les méthodes de diffusion du virus que tous les manuels de cybertruanderie : « Bloquez les extensions .vbs, .bat, .exe, .pif et .scr sur vos serveurs de messagerie ». « Désactivez le partage de ressources ». Et la pire « Use a firewall to block all incoming connections from the Internet to services that should not be publicly available ». En Engliche dans le texte histoire de ne pas être accusé de traduction tendancieuse et d’entourloupe de sens… Comment un grossium comme Symantec peut-il recommander d’utiliser un firewall sur un réseau bancaire si ses spadassins n’ont pas déjà constaté de visu des systèmes DAB « en petite tenue sur Internet » ? Y’a pas à tortiller, les distributeurs, du moins de l’autre côté de l’Atlantique, sont parfois directement reliés au réseau local de la banque, lui-même relié à Internet d’une manière ou d’une autre. Recta.

Les archers de F-Secure vont plus loin encore, et se demandent comment les auteurs de Padpin sont parvenus à découvrir la fameuse API donnant accès aux « clefs du coffre ». Mais tout simplement en lançant une requête sur Baidu, le Google Chinois. La documentation technique des distributeurs NCR s’y trouve au grand complet, y compris et surtout les échanges d’API nécessaires à la sélection du service « clavier de saisie de code pin ». Du velour, j’te dis.

A l’Est, encore du nouveau. Chez Kaspersky, on bosse sur une toute nouvelle pince-monseigneur numérique nommée Tyupkin. Une vingtaine de signatures auraient été détectées en Russie, 4 aux USA, 2 en Chine et 1 en France. Chiffres à prendre avec des pincettes, car extirpés d’un savant usage des heuristiques de VirusTotal. Pour les mules et les attirés de la tirette, force est d’admettre que les conditions de travail sont revues à la hausse par rapport au système « skimmer/carding ». Une sorte de progrès social par la numérisation des caves, en quelques sortes. Les risques de se faire pincer sont faibles, et grande est la simplicité des manipulations à enchaîner. Une courte séquence vidéo tournée par l’équipe Kaspersky montre à quel point le concept même de « money for nothing »* prend corps grâce aux NTIC et à cette vision si particulière de la sécurité que cultivent les saigneurs de la finance. L’on comprend mieux les raisons pour lesquelles les légers découverts et les « services » par défaut qu’imposent les grands squales de l’oseille subissent une inflation que la disparition des agences et les compressions de personnel ne parviennent pas à compenser. Pour sûr, tout ça va éveiller de la vocation. Déjà Jules-la-perceuse s’est reconverti. Il abandonne la chignole et le pain de plastique au profit d’un Lenovo et d’un compilateur C… on l’appelle désormais « le dab du DAB » ou « Cash Converter ». Dans moins de 5 ans, parole, les meilleurs casses seront signés Microsoft Visual Studio, les complices s’appelleront Windows XP ou 98, et les braqués NCR, Diebold ou Nixdorf.

*ndlc Note de la Correctrice : Les moins de 15 ans y verront une allusion à une ritournelle du groupe Dire Straits et les amoureux de l’understatement et de l’humour Britannique une référence aux romans de P.G. Wodehouse.

Le marché de la sécurité devrait atteindre, en cette fin d’année, 71 milliards de dollars affirme une étude du cabinet Gartner. Une croissance de 8 points d’une année sur l’autre, avec des secteurs plus porteurs que d’autres. Notamment celui de la protection contre les fuites de données, qui progresserait de près de 19%. La sécurité dans le cloud connaît également une forte croissance, frisant les 10 % des dotations (équipements, services, infrastructure) sécurité de l’ensemble de l’industrie. Cette croissance serait essentiellement provoquée par l’évolution des dépenses des PME en matière de protection informatique. Les autres secteurs en croissance sont ceux de la mobilité et des réseaux sociaux bien que, précisent les analystes du domaine, les dépenses liées à la mise en conformité continuent à soutenir le marché US, tandis que de récentes règlementations en matière de protection des données personnelles animent le secteur DLP en Australie, Union Européenne, Singapour et la Malaisie.