*Cyber attaques.Virus sophistiqués.Spasme viral

* De véritables menaces  

** Comment fonctionne un cheval de Troie informatique?

*Aussi appelé «Troyen» (ou «Trojan» en anglais) ce type de programme espion est installé, à son insu, par la victime elle-même. Il permet aux pirates de contrôler les ordinateurs infectés à distance.

*Cyber attaques.Virus sophistiqués.Spasme viral coeur-Un cheval de Troie est un logiciel malveillant – maliciel – qui permet à un pirate informatique de perturber le fonctionnement d’un ordinateur ou d’en prendre le contrôle. Pour faire entrer ce programme espion, le pirate envoie le plus souvent un mail à la personne dont il cherche à infiltrer l’ordinateur et met son «cheval» en pièce jointe. L’ouverture de ce fichier (extension .rar, .zip, .dll, .exe, etc) lance en toute discrétion l’installation du mouchard sur la machine. Celui-ci va généralement se cacher dans la partie immergée – les fichiers système – de l’iceberg que constitue le système d’exploitation (Windows, Linux, MacOS). Pour une plus grande discrétion, le fichier d’installation du cheval de Troie («Trojan horse» en anglais) est parfois dissimulé dans un fichier ou un programme qui fonctionne tout à fait normalement – un jeu par exemple.

Plusieurs techniques alternatives permettent d’amener un internaute à infecter lui-même sa machine. Dans tous les cas, il faut que la source et le contenu du message soient le plus crédible possibles aux yeux du récipiendaire.

Après avoir été installé par la victime, le logiciel se lance ensuite de manière automatique au démarrage de la machine sous un nom générique, identique à ceux des nombreux processus qui permettent le bon fonctionnement d’un ordinateur. C’est d’ailleurs cette grande capacité de dissimulation, au moment de l’installation ou de l’exécution, qui explique le nom* de ce type de maliciel .

A chaque fois qu’il est opérationnel, le «cheval» envoie un message au pirate par Internet pour le prévenir. Suivant la manière dont le mouchard est programmé, le hacker pourra, grâce à un autre logiciel installé sur sa propre machine :

- fouiller et surveiller l’ordinateur de sa victime pour débusquer automatiquement certaines informations (mots de passe, codes bancaires, etc) et les envoyer vers n’importe quel ordinateur extérieur ;

- détruire des données pour gêner le fonctionnement d’un ordinateur ou le rendre inopérant ;

- lancer des procédures automatiques comme, par exemple, des envois de mails massifs («spamming») ;

- ouvrir une porte d’entrée au pirate qui peut alors s’introduire dans la machine pour y consulter des documents ou en prendre le contrôle (le piratage du ministère des Finances semble appartenir à cette catégorie).

Les chevaux «originaux» passent aisément les antivirus

Contrairement aux virus, les chevaux de Troie ne se répliquent pas et ne se transmettent pas de manière contagieuse aux autres ordinateurs. Ce comportement les rend d’ailleurs plus discrets. Les antivirus ne repèrent que les chevaux «génériques» connus des sociétés de sécurité informatique. Si le mouchard a été conçu de manière spécifique par le pirate pour attaquer une cible précise, il passe aisément les mailles du filet de l’anti-virus. Seule son incidence sur le fonctionnement de la machine permet éventuellement à un spécialiste de déceler sa présence. (Le Figaro-07.03.2011.)

* L’épisode du cheval de Troie est le plus connu de la guerre de Troie. Pour mettre fin au conflit qui dure depuis plus de 10 ans, les Grecs mettent en place une terrible ruse. Ils persuadent les Troyens qu’ils vont mettre fin au siège de la ville et offrent à leurs adversaires un gigantesque cheval de bois. Des soldats se dissimulent en réalité dans la gigantesque structure. A la nuit tombée, alors que Troie tout entière célèbre sa «victoire», les combattants sortent de leur cachette pour aller ouvrir les portes de la ville. L’armée grecque s’engouffre alors dans la ville endormie pour trucider soldats et habitants.

***********************

*spam viral bien réel…

 

Des vidéos «Couple qui baise dans le métro» et «Chat trop mignon n’arrive pas à se réveiller»? Forcément, avec des intitulés de ce type, vous êtes nombreux à avoir cliqué pour regarder. Et à vous être fait avoir. Car derrière ces deux liens qui se sont propagés sur Facebook depuis quelques semaines se cachent en fait des spams assez vicieux.

Boutons «like» cachés

Concrètement, lorsque vous cliquez sur l’un des liens, vous «likez» («aimez») sans le savoir cette vidéo que vous n’avez pas vue et que vous ne verrez pas puisqu’elle n’existe pas. Les liens renvoient soit à une page Facebook soit à un site, Likeloverr.com, sur lequel vous serez invité à cliquer sur deux rectangles, un rouge et un vert (présentés comme un anti-robot), pour regarder les vidéos.

Or, «les rectangles ne sont pas autre chose qu’un bouton «J’aime» déguisé, lequel est habituellement utilisé de façon non voilée par de nombreux sites, comme 01net», explique le site. En clair, le site trompe sciemment les utilisateurs de Facebook en les forçant à «liker» sa page. Un petit tour dans le code suffit à s’en apercevoir, comme le révèle le site My community manager, captures d’écran à l’appui.

Détournement

Résultat: «Couple qui baise dans le métro» et «Chat trop mignon n’arrive pas à se réveiller» parviennent à cumuler des dizaines -voire des centaines- de milliers d’opinions favorables qui incitent vos amis à cliquer également puis leurs amis etc. Effet boule de neige garanti. Au passage, le sutilisateurs victimes de ce spam deviennent «fans» de ces pages sans avoir donné leur consentement. Une façon de doper artificiellement sur Facebook la visibilité du site Likeloverr.com, à l’origine de cette campagne de spam et depuis fermé par son hébergeur Cookiweb à cause de ces pratiques.

«Likeloverr.com a détourné a postériori le code du site de vidéos que nous avions développé pour lui, explique le directeur de Cookiweb à 20minutes.fr, Aurélien Schaller, qui insiste sur le fait qu’il n’a rien à voir avec Likeloverr. Lorsque je m’en suis aperçu, et devant l’ampleur que cela prenait sur Facebook, j’ai décidé de fermer le site, de supprimer l’ensemble de son contenu et de couper tout contact.» Le site n’est donc plus accessible «depuis le 7 mars», selon Aurélien Schaller.

Sexe, choc et people

Mais les supercheries sont nombreuses et Likeloverr n’est pas le seul sur ce créneau. De «Les vieux face à la technologie» à «Vidéo choc – des gendarmes utilisent du gaz lacrymogène» en passant par «A voir, compilation ‘Les gens sont incroyables’» ou encore «Faites rire votre bébé en déchirant du papier», énumère le blog Nouvelles technologies et droit. «Pour éviter ces mésaventures, le mieux est de ne pas cliquer sur n’importe quoi, conseille le blog. (…) On peut aussi tenter de trouver ladite vidéo ailleurs (Youtube par exemple).  La deuxième possibilité est de vérifier le lien sur lequel on clique (en regardant le code source), peut-être pas très naturel pour beaucoup. La troisième possibilité est de quitter la session Facebook (et les autres sessions ouvertes) pour «isoler» le site contenant la vidéo.» Enfin, signaler le lien en indésirable est l’un des plus sûrs moyens pour que Facebook le repère et supprime sa page. Si le mal est fait et que votre mur est rempli de vidéos aux titres racoleurs (et pas franchement bonnes pour votre image), des conseils existent pour vous en débarrasser (lire encadré).

D’une manière générale, la vigilance doit être de mise pour les vidéos survendues ou contenant des allusions au sexe, aux people ou encore à une info dite «choc». D’autant que certains liens sont potentiellement dangereux pour les données personnelles des utilisateurs du réseau social. Certains sites, comme par exemple l’Italien ClikBomb.net, réclament ainsi identifiant et mot de passe pour lire la vidéo, avant de renvoyer vers des sites d’e-commerce ou de rencontre. Vous voici prévenus. (20Minutes-14.03.2011.)

**Se débarrasser d’une vidéo spam?

Comme l’explique The site oueb
, il faut vous rendre sur votre profil pour l’effacer. Pour cela, vous devez «modifier le profil» et, dans la partie gauche, cliquer sur «Activités et intérêts» et dans la partie centrale sur «Afficher d’autres pages». Une fenêtre s’ouvre dans laquelle vous aurez les autres pages que vous aimez et la fausse vidéo en question. Cliquez sur «Retirer la page» puis sur «Fermer».

 ***Gare aux vidéos piégées sur Facebook

L’un de vos amis publie sur son compte Facebook une vidéo au choix d’une « Italienne sexy », d’un « couple qui baise dans le métro », d’un « chat trop mignon » ou d’un document « secret à propos de la Lune » ? Attention, il s’agit sûrement d’un piège !

Ces derniers jours, une recrudescence de faux liens tapisse les fils d’actualités Facebook de nombreuses personnes, profitant de la viralité du réseau social.

Derrière ce qui apparaît comme un lecteur de vidéo se cache en réalité un lien vers un site web extérieur. Celui-ci peut reprendre l’aspect graphique d’un YouTube, dissimulant un potentiel vol de données et une utilisation frauduleuse du compte Facebook. Naïf, si l’internaute clique sur la vidéo pour lancer la lecture, alors apparaît automatiquement sur son compte Facebook le même lien posté et le profil « aime » ce lien.

De plus, certains sites, comme par exemple l’Italien ClikBomb.net, réclament identifiant et mot de passe Facebook pour lire la vidéo. Il va sans dire que ces données sont ensuite soigneusement récupérées par le site.

  »Phishing avec des simulacres de YouTube »

  »L’internaute croît avoir affaire avec une simple vidéo, mais derrière c’est un code malicieux« , explique à Nouvelobs.com Laurent Heslault, expert en cybercriminalité chez Symantec. « Il s’agit de tentatives de phishing avec des simulacres de YouTube », poursuit-il.Une autre possibilité est d’arriver sur un site identifié comme extérieur qui impose de cliquer sur « J’aime » avant de lancer la vidéo. Un cas de figure qui s’est récemment illustré sur de nombreux comptes Facebook français avec le site Likeloverr.com. Même principe sur le site Cdrole.fr, qui dissimule dans le bouton « play » de son lecteur de vidéo le « J’aime » de Facebook.

Dans le cas où un internaute s’est fait prendre au piège, il est vivement conseillé de modifier son mot de passe et, pour éviter de propager le « spam », de supprimer le lien et le « J’aime » de son mur, voire même de signaler le lien comme « indésirable ».

« Malheureusement, un clic sur un lien malveillant peut avoir des conséquences  dramatiques  pour  les  internautes », conclut Symantec qui propose l’application Facebook Norton Safe Web qui identifie tout lien malveillant sur le fil d’actualités. (Nouvel-Obs.08.03.2011.)

********************

** Bercy victime d’une attaque informatique, l’Elysée visée

 La salle de veille permanente de l’Agence nationale de sécurité des systèmes d’information. Selon son directeur général, il s’agit de «la première attaque contre l’État français de cette ampleur et à cette échelle».

- Plus de 150 ordinateurs du ministère de l’Economie et des Finances ont été infiltrés. Les pirates visaient les dossiers de la présidence française du G20. L’Elysée et le ministère des Affaires étrangères auraient été visés, mais pas touchés.

coeur- Les pirates informatiques sont sur tous les fronts. Après les Bourses de New York et Londres notamment, des hackers sont parvenus à percer la sécurité informatique du ministère français de l’Économie et des Finances, révèle ce lundi le site internet de Paris Match. Une information confirmée par le ministre du Budget François Baroin au micro d’Europe 1, et par l’entourage de la ministre de l’Economie Christine Lagarde à l’agence Reuters. Selon une source haut placée au ministère de l’Intérieur, l’Elysée et le ministère des Affaires étrangères auraient été «visés, mais pas touchés», selon l’Agence nationale de la sécurité des systèmes d’information.

 Les services de Bercy se sont aperçus de cette attaque informatique colossale, qui visait notamment des documents relatifs au G20, au mois de décembre dernier. «Tout de suite, les services spécialisés ont pris les dispositions pour faire cesser les attaques (…) Ce travail a été définitivement clos le week-end dernier», a précisé l’entourage de la ministre. 10.000 ordinateurs ont dû être débranchés au cours du week-end pour mettre fin à cette attaque informatique.«Une première attaque contre l’Etat de cette ampleur»Selon Patrick Pailloux, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), «ceux qui ont agi sont des professionnels déterminés et organisés. C’est la première attaque contre l’État français de cette ampleur et à cette échelle», a-t-il souligné à Paris Match.Au total, plus de 150 ordinateurs du ministère ont été infiltrés, selon la méthode classique du courrier piégé. «Les hackers ont essayé d’attaquer d’autres ministères. Il y a peut-être des choses que nous n’avons pas vues, mais, à ma connaissance, seul Bercy a été touché», expliquait Patrick Pailloux. Prémonitoire, il déplorait, dans une interview à PCinpact publiée fin février, «une tendance réelle à l’aggravation des attaques, ce qui fait craindre que les exemples se multiplient».Aucun ordinateur touché ne contenait cependant de données personnelles de contribuables, a assuré François Baroin. «L’attaque visait plutôt les questions internationales que les questions internes telles que les douanes ou le fisc. Des informations ont certainement été obtenues, mais ce qui est important, c’est que l’on connaisse l’origine et que l’on définisse les modalités de cette attaque», a-t-il jugé. Pour l’heure, Bercy a porté plainte contre X auprès du parquet de Paris et la DCRI, les services de renseignement français, a été saisie.Même si l’origine de l’attaque n’a pas encore été établie, un haut fonctionnaire évoque sur le site de l’hebdomadaire une possible piste chinoise. «On a constaté qu’un certain nombre d’informations étaient redirigées vers des sites chinois», rapporte Paris Match citant un haut fonctionnaire, sous le couvert de l’anonymat. «Mais cela ne veut pas dire grand-chose», a-t-il tempéré. De son côté, François Baroin s’est contenté d’évoquer «des pistes non encore confirmées».

Coïncidence, tôt dans la matinée, un député sud-coréen confirmait que des hackers chinois avaient accédé en juin dernier à des dossiers militaires confidentiels sud-coréens, relatifs à l’achat d’avions espions sans pilotes américains. Selon un autre député sud-coréen s’appuyant sur un rapport gouvernemental, 8183 des 21.899 tentatives d’attaques lancées l’an dernier par des hackers contre le système informatique du gouvernement sud-coréen provenaient de Chine. (Le Figaro-07.03.2011.)

****************

  ** les cyber attaques inquiètent les gouvernements

Les autorités britanniques et américaines ont fait appel à des services de sécurité spécialisés après avoir constaté des cyber attaques de nature terroriste visant leurs places boursières l’an dernier.

coeur- Pour les hackers, la cible à la mode est boursière. Dernière victime en date: le Nasdaq. «Dans le cadre de nos contrôles de sécurité routiniers, nous avons détecté des fichiers suspects sur nos serveurs et nous avons conclu que notre logiciel en ligne Directors Desk avait été potentiellement touché», a indiqué la société Nasdaq OMX dans un communiqué. «Il n’y a à ce stade aucune preuve que des pirates informatiques aient pu accéder aux données des clients de Directors Desk ou s’en emparer», tente de rassurer la société boursière.D’après le Wall Street Journalde samedi, le système informatique du Nasdaq a été violé plusieurs fois en 2010 et une enquête fédérale est en cours pour tenter d’identifier les responsables de ces intrusions. «Les enquêteurs examinent des mobiles variés: bénéfices financiers illégaux, vol de secrets commerciaux, ou atteinte à la sécurité nationale passant par l’endommagement de la plateforme d’échanges», indique l’article.

 *Scénario hollywoodien

Cette annonce fait écho à celle du Times, lundi dernier. Le quotidien britannique évoquait dans ses colonnes un scénario digne d’un film hollywoodien : le siège de la Bourse de Londres menacé par une cyber attaque terroriste tandis qu’au même moment Wall Street était victime d’une attaque du même type d’origine russe. D’après le journal, ces faits auraient réellement eu lieu l’an dernier, obligeant les États-Unis et le Royaume-Uni à faire appel à des services de sécurité spécialisés pour enquêter.

Des responsables, cités anonymement, pensent que ces attaques étaient destinées à provoquer la panique sur les marchés et déstabiliser, plus globalement, les institutions financières du monde occidental.

  «Menace réelle»

D’après le Times, la tactique la plus commune reste la prise de contrôle des ordinateurs pour coordoner des attaques de serveurs. Les hackers utilisent de plus en plus souvent des «botnets», des réseaux de machines contrôlés à distance, et dont l’accès se monnaye sur Internet à 130 livres (150 euros environ) pour une centaine d’ordinateurs. Ce système rend très difficile l’identification des auteurs des attaques – d’où le secret entourant l’identité des «terroristes» visant les Britanniques – et rend plus compliqué des enquêtes déjà ralenties par l’inventivité de ces génies de l’informatique.

Le responsable du service de renseignement électronique britannique (GCHQ), Iain Lobben, évoque en tout cas une menace «réelle et persistante». Des propos confirmés par le chef des Forces armées britanniques, David Richards, qui ajoute qu’une cyber attaque pourrait économiquement «paralyser un pays avec la même efficacité qu’une série d’attaques à la bombe contre les villes».

*Renforcer la sécurité nationale

Ces craintes rejaillissent seulement quelques jours après que l’Union européenne a suspendu les transactions sur la Bourse de carbone, victime d’une série de cyber attaques ayant entraîné le vol et la revente de quotas d’une valeur de 28 millions d’euros environ. L’Autriche, la Grèce, la République tchèque, la Pologne et l’Estonie ont été visées. L’Union européenne s’est dite consciente du problème mais a renvoyé chaque pays à ses responsabilités : «La sécurité des registres nationaux, c’est la responsabilité des États membres. Nous devons rappeler aux pays de l’Union qu’ils doivent prendre des mesures», expliquait ainsi la porte-parole de la Commission, Maria Kokkonen. La Bourse reste d’ailleurs fermée le temps de permettre aux États de sécuriser leurs systèmes nationaux.

L’urgence semble de mise alors que la situation dépasse largement le cadre boursier. D’après Ian Lobben, les ordinateurs des départements gouvernementaux d’un pays comme le Royaume-Uni reçoivent plus de 20.000 e-mails malveillants et sont l’objet de 1000 cyberattaques chaque mois. (Le Figaro-07.02.2011.)

****************

 Un virus sophistiqué ravive la crainte du cyberterrorisme
 

Le virus Stuxnet s’immisce dans les systèmes de contrôle des centrales et d’usines. Il aurait pu être développé avec le soutien d’un État, jugent les chercheurs, et pourrait cibler l’Iran.

coeur- Les experts en sécurité informatique ne savent pas encore quelle est la cible exacte de Stuxnet, ni qui en est à l’origine. Mais ils s’accordent pour dire qu’ils n’avaient jamais vu un virus poser une telle menace dans le monde réel. En gestation depuis un an, ce ver s’immisce dans les infrastructures de contrôle d’usines et de centrales nucléaires. «Ce programme malveillant n’a pas été conçu pour voler de l’argent, envoyer du spam ou voler des données personnelles, mais pour saboter des usines et endommager des systèmes industriels», analyse Eugene Kaspersky, PDG de Kaspersky Lab. «Nous entrons dans une nouvelle ère de cyberguerre et de cyberterrorisme», alerte-t-il.Pour parvenir à ses fins, Stuxnet exploite toute une série de vulnérabilités dans des systèmes de contrôles industriels. Le degré de sophistication de ce virus prouve que ses concepteurs ont été particulièrement bien renseignés sur leurs cibles et qu’il ne s’agit pas de pirates isolés, jugent ainsi les spécialistes de la sécurité informatique. Selon les estimations de Symantec, qui n’avait «jamais vu une telle menace auparavant», entre cinq et dix personnes ont travaillé sur ce projet durant six mois. «Une attaque de ce type ne peut être conduite qu’avec le soutien et le financement d’un Etat», avance même Eugene Kaspersky.

Dans le détail, Stuxnet s’attaque d’abord à des postes fonctionnant sous Windows en se déployant depuis des clés USB grâce à des failles «zero day», qui n’ont pas encore été identifiées. Il parcourt ensuite le réseau local à la recherche d’un logiciel très précis, conçu par Siemens. Une fois installé, il reprogramme un composant – l’automate de programme industriel – et envoie de nouvelles instructions aux machines. Il sait ensuite échapper à la vigilance des administrateurs et se mettre à jour grâce à un module «peer-to-peer», qui vient télécharger les fichiers sur les machines disposant de la toute dernière version.

Le virus Stuxnet pourrait cibler l’Iran

Ainsi armé, Stuxnet peut immobiliser des oléoducs, des centrales électriques et d’autres installations contrôlées par ces automates, et provoquer une catastrophe en commandant des valves ou en faussant l’affichage des capteurs de pression et de température. «Stuxnet arrive à contrôler le fonctionnement des machines physiques», confirme Lia O’Murchu, chercheur chez Symantec. Interrogé, Siemens a reconnu que des infections ont été détectées sur quinze systèmes industriels, pour la plupart en Allemagne. Mais il n’y a eu jusqu’à présent «aucun cas de conséquences sur leur production», a assuré un porte-parole.

Outre la complexité du virus, sa répartition géographique éveille toutefois des soupçons d’attaques concentrées sur un seul pays. Sur les 10.000 ordinateurs infectés, près de 60% ont en effet été détectés en Iran, selon Symantec. Ralph Langer, un expert allemand en sécurité qui a particulièrement travaillé sur Stuxnet, suggère que la république islamique a pu être prise pour cible. Et en particulier le réacteur nucléaire de Bouchehr, sur lequel Siemens a travaillé dans les années 1970. Un autre chercheur chez GSMK, Frank Rieger, juge que la cible serait plutôt l’usine d’enrichissement de Natanz.

Dans les deux cas, les preuves manquent. Questionné par la BBC, Siemens affirme qu’il n’a pas participé à la récente reconstruction du réacteur de Bouchehr, et n’avoir aucun lien avec le programme nucléaire iranien. Le groupe allemand, qui refuse de se livrer à des «spéculations», rappelle qu’il a proposé une mise à jour de sécurité de son logiciel début septembre, tandis que les failles de Windows ont été corrigées cette semaine. Cependant, le virus peut encore muter. Symantec a retrouvé des premières versions datant de juin 2009, qui se sont perfectionnées depuis, en exploitant de nouvelles failles. (Le Figaro-24.09.2010.) 

 

***********************

 

5 réponses à “*Cyber attaques.Virus sophistiqués.Spasme viral”

  1. 7 08 2011
    fieldrunners hd (03:12:14) :

    I agree with your *Cyber attaques.Virus sophistiqués.Spasme viral at ElAyam.5, great post.

    Répondre

  2. 27 10 2011
    certification iso 9001 (16:32:25) :

    Cet article est trés interressant et de surcroit carrément bien rédigé.

    Répondre

  3. 27 10 2011
    certification iso 9001 (16:45:32) :

    Post trés instructif et carrément bien écrit.

    Répondre

  4. 8 11 2011
    MoodyMadleine (18:41:26) :

    Hello everybody. I just managed to register and was wondering that I will make a little offtopic here. If the category is wrong, moderation, please move it to correct forum category. This is my first post on that forum. I would be glad if somebody was able to help me with this problem. The one who can resolve my problem gets served with bottle of beer :)

    _______________
    wyszukiwarka mp3

    Répondre

  5. 21 12 2012
    bloons tower defense 5 (21:57:43) :

    How to contact you?
    bloons tower defense 5

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>




humain, trop humain! |
ACTUBUZZ BY GBA |
Quoi de neuf Cerise? |
Unblog.fr | Créer un blog | Annuaire | Signaler un abus | ActuBlog etc...
| Badro
| ENTV, une Pose Café