Il y a quelques jours, Microsoft a lancé une offensive d’ampleur contre le dynamic DNS du fournisseur No-IP. Bilan : vingt-deux de ses domaines ont été saisis.  Les gars de Redmond ont affirmé qu’ils avaient de bonnes raisons de le faire. D’abord, No-IP héberge une multitude de différents malwares, ainsi que de nombreux hackers. Ensuite, il est constamment la cible de cyberattaques, et refuse malgré cela de s’allier à d’autres quand il s’agit d’éradiquer tous ces méchants.

Comme dans la plupart des conflits, chaque camp se renvoie la balle et excelle dans la tactique du  » ce n’est pas de ma faute  » et de  » c’est lui qui a commencé ! ».

C’est surtout le cas pour No-IP, qui  affirme suivre une ligne de conduite irréprochable et toujours être disposé à coopérer quand il s’agit de lutter contre  les cybercriminels. Quant aux clients, ils sont très contrariés par le raid, qu’ils considèrent comme injustifié, surtout contre une compagnie comme No-IP, qui exerce dans la légalité. Ils trouvent aussi insensé que le fournisseur soit face à la justice alors qu’on trouve des malware pratiquement partout.

Est-ce légal de fermer une entreprise parce qu’on y a trouvé un  #virus… ? On en trouve pourtant partout, non ?Tweet

Entre temps, les objectifs fixés pour le raid ont largement été atteints : plus de 4 millions de sites ont été désactivés (certains nuisibles, d’autres non) ce qui a affecté 1.8 millions d’internautes. Microsoft essaie de séparer le bon grain de l’ivraie et s’applique à réactiver les sites inoffensifs. Malgré cela, de nombreux utilisateurs continuent à se plaindre de la perturbation qui concerne encore plusieurs sites.

Chercher à savoir qui est le vrai coupable serait une mission ingrate et désespérée. Je vais laisser les journalistes faire leur travail, et vais plutôt vous donner matière à réfléchir. En se basant uniquement sur des faits et des données chiffrées, on pourra peut-être tirer nos propres conclusions quant à la légalité et l’éthique des actions menées par Microsoft.

1) La saisie de 22 domaines de No-IP a affecté l’activité d’environ 25% des attaques répertoriées chez nous à KL. Et cela représente des centaines d’opérations d’espionnage et de cyberattaques qui ont eu lieu au cours des trois dernières années. Environ un quart d’entre eux possède un centre de contrôle et de commande chez cet hébergeur. Par exemple, des groupes de hackers comme les Syrian Electronic Army et les Gaza Team n’utilisent que No-IP alors que Turla utilise 90% de ses hébergeurs.

2) Il est vrai que, des principaux fournisseurs, No-IP dynamic DNS était le moins disposé à coopérer. Par exemple, ils ont ignoré tous nos mails au sujet des botnets.

3) Nos recherches indiquent que les pirates passent souvent par No-IP pour le pirater les centres de contrôle  et de commande. Une simple recherche via le scanner de Virustotal suffit à le confirmer : 4.5 millions échantillons de malware inédits viennent de No-IP.

4) Pourtant les derniers données enregistrées par notre sécurité de cloud (KSN) révèlent que les choses ne sont pas si simples. Voici un récapitulatif des différentes  cyberattaques enregistrées sur les principaux fournisseurs de  dynamic DNS :

Comme vous pouvez le constater, No-IP n’est pas en tête de liste, ce n’est donc pas lui qui comptabilise le plus grand nombre d’attaques, même si les pourcentages enregistrés restent élevés.

Autre point de comparaison : le % d’hébergeurs dont les noms de domaines terminent par .com représente 0.03%, ceux terminant par.ru 0.39% alors que ceux de No-IP représentent 27.5% !

Et voici d’autres données pour nuancer les choses : en une semaine,  on a comptabilisé environ 30 000 domaines de malware sur No-IP, alors que cette même semaine on a enregistré 429 000 détections chez l’un des domaines les plus malicieux parmi les .com, ce qui représente 14 fois plus que chez No-IP. Ensuite, le 10^ème domaine le plus infecté des .ru a généré 146 000 détections, c’est-à-dire presque autant que les dix premiers fournisseurs de DNS dynamics  réunis.

Pour résumer:

D’un côté, le blocage de sites populaires consultés par des centaines, si ce n’est des milliers d’internautes, ce n’est pas bien. D’un autre côté, fermer des endroits propices au développement de malwares c’est juste, et noble.

Attaquer les domaines de No-IP. Est-ce bien ou mal ? Ambiguïté avec un grand A.Tweet

Puis les mathématiciens ont fait l’avocat du diable en avançant que :

Quantitativement, la fermeture de tous les domaines de No-IP n’est pas plus efficace pour lutter contre la distribution de malware que la fermeture d’un des plus puissants domaines de malware dans une zone populaire comme i.e., .com, .net ou même .ru. Pour faire simple, même si vous étiez sur le point de fermer tous les fournisseurs de dynamic DNS, Internet ne serait pas encore assez propre pour qu’on puisse faire la différence.

Donc la voilà l’ambiguïté avec un grand A.

Cela permet à chacun de se sentir juste et honnête, par rapport à des choses qui sont loin d’être neutres dans cette affaire. Et quand il s’agit de différencier le bien du mal, ce qui est juste de ce qui ne l’est pas, même Nietzsche s’y perd.

Pourtant, certaines pensées resurgissent …

C’est évident que tant que la quantité de pirates ou le degré de criminalité dépassera un certain seuil, les ‘autorités’ commenceront subitement à fermer des services, et à ignorer les lois concernant les libertés sur Internet et la liberté d’entreprendre. Les choses sont comme ça, une règle de vie dans nos sociétés : Si ça colle, il faudra tôt ou tard le nettoyer.

La liste des sites bloqués est déjà relativement longue : Napster, KaZaA, eMule, Pirate Bay et bien d’autres. Depuis No-IP a été ajouté à la liste.

À qui le tour?

// Bitcoin? Cela a déjà commencé.

Piratage en Bourse pour quelques microsecondes.

Les cyber-arnaques sont partout. Même sur le marché boursier. Mais tout d’abord, un peu d’histoire …

Il fut un temps ou trader était un métier respecté, mais aussi très pénible. En effet, les agents de change travaillaient, sans relâche et durant un nombre incalculable d’heures, sur des places financières saturées. Ces derniers étaient stressés jour et nuit par la prise constante de décisions capitales. Ils achetaient et vendaient des titres, des fonds, des obligations, des produits dérivés ou autre, peu importe leurs noms, en choisissant toujours le meilleur moment, en fonction de l’évolution des prix et des taux de change. Plus les traders travaillaient,  plus ils devaient faire face à une augmentation de problèmes cardiaques ou autres maux engendrés par l’épuisement. Parfois, pour mettre un terme à cela, ils décidaient tout simplement de sauter par la fenêtre. En gros, c’était loin d’être le meilleur boulot du monde.

Quoi qu’il en soit, c’était il y a longtemps. Toute cette main d’œuvre épuisée a été remplacée par des machines. De nos jours, il n’est plus nécessaire de se creuser les méninges, stresser ou transpirer : une grande partie du travail est prise en charge par des machines. Ces robots sont programmés pour déterminer quel est le meilleur moment pour vendre ou acheter. En d’autres termes, le métier de courtier se résume aujourd’hui à la programmation de robots. Et dans ce cas, leur temps de réaction (à la micro seconde prêt) est essentiel pour tirer un maximum de profit des oscillations du marché. La vitesse dépend donc de la qualité de la connexion internet des systèmes électroniques d’information boursière. C’est-à-dire que plus le robot se trouve proche du centre boursier, plus il aura de chance de faire du bénéfice. Et inversement, les robots situés en périphérie seront toujours en retard, tout comme ceux qui ne disposent pas du tout nouveau logiciel d’algorithme.

Ces temps de réaction ont récemment été piratés par des cybercriminels. Un programme malveillant visant à retarder de quelques centaines de microsecondes le temps de réaction des robots, a infecté un système de fonds de couverture, ce qui lui a probablement fait perdre des opportunités.

En lire plus :CYBERNOUVELLES DU CÔTÉ OBSCUR – 30 JUIN 2014

Les chasseurs de brevets – en savoir plus

Dans ce domaine, les passions continuent à se déchainer, par vague de crises ardentes et déchainées. Malheureusement, les problématiques liées aux parasites de brevets n’ont pas encore disparues. Généralement, on entend seulement parler des cas lourds, plus intéressants. Mais en creusant un peu, on découvre des affaires moins connues, qui sont malgré tout dignes d’intérêt. Nous avons déniché une quantité appréciable d’histoires sur les chasseurs de brevets (ou troll des brevets), assez pour que ce soit le titre de cet article d’ailleurs. Alors voici…

Quand l’ironie est trop forte

Pour ce premier item, je n’ai pas eu à chercher trop longtemps, j’ai seulement fouillé un peu sur Ars Technica. Je suis tombé sur une de ces glorifications du  » regroupeur de brevets  » RPX. Il y est décrit comme un défenseur de la veuve et de l’orphelin, des pauvres et des princesses. Je n’en croyais pas mes yeux :  » RPX vend des abonnements aux sociétés qui se sentent flouées par les chasseurs de brevets, par exemple Apple et plusieurs autres compagnies technologiques. En fait, RPX achète les brevets avant que les chasseurs ne le fassent. En regroupant ainsi le pouvoir de plusieurs compagnies, RPX obtient les brevets à des prix avantageux « . En fait, je suis arrivé à y croire. N’empêche, j’étais secoué par le degré d’hypocrisie…

QUOI ? RPX, un genre d’anti-troll ? Non, mais tout de même…

Source

Nous avons localisé ce pseudo anti-troll au moment de sa création, et nous avons été parmi les premiers à contre-attaquer, et avec succès. En lire plus :Cybernouvelles du côté obscur – 24 juin 2014

Le 15 juin 2004 à précisément 19:17, heure de Moscou, un incident marquait le début d’une nouvelle ère dans la sécurité informatique. Le premier malware pour smartphone était découvert.

C’était Cabir, et il infectait les appareils Nokia propulsés par le système d’exploitation Symbian. Il se propageait via des connexions Bluetooth non sécurisées. Avec cette découverte, le monde apprenait que les malwares – que tout le monde connaissait déjà trop bien (sauf peut-être les vieux ermites et les moines) – n’étaient désormais plus réservés aux ordinateurs et que les smartphones pouvaient aussi en être victimes. Oui, plusieurs se grattaient la tête au début –  » Un virus qui affecte mon téléphone ? Laisse-moi rire !  » – mais la majorité des gens a finalement compris, tôt (quelques mois) ou tard (des années, une décennie) cette réalité toute simple. Pendant ce temps, nos analystes étaient au courant depuis longtemps.

Pourquoi ce malware a-t-il été baptisé Cabir ? Pourquoi avons-nous créé une pièce spéciale sécurisée à notre QG de Moscou ? Comment Cabir est-il abouti dans les poches d’un employé de F-Secure ? Plusieurs questions entourant ce sujet ont été posées à Aleks Gostev, notre chef expert en sécurité, dans une entrevue pour notre intranet. J’ai pensé que ça pourrait être intéressant de la partager avec vous. Voyons ce que dit le principal intéressé !

Accessoirement, l’histoire a débuté quand nous avons utilisé ces deux appareils pour analyser le malware.

…mais plus d’infos à propos de ces deux-là plus bas… En lire plus :10 ans depuis le premier malware pour Smartphone

Je tiens parole et ci-inclus voici le deuxième épisode de ma nouvelle chronique hebdomadaire  » cybernouvelles du côté obscur « , ou quelque chose du genre…

Aujourd’hui, le sujet principal sera la sécurité des infrastructures critiques ; en particulier les problèmes et les dangers liés à ces infrastructures : les attaques sur les installations manufacturières et nucléaires, sur les moyens de transport, les réseaux électriques, et sur les autres systèmes de contrôle des infrastructures (ICS).

Je n’aborderai pas concrètement  » l’actualité  » ; heureusement, les problèmes de sécurité ne se produisent pas sur une base hebdomadaire, du moins rien d’assez juteux pour être mentionné. L’origine de cette absence dans l’actualité réside probablement dans le fait que la majorité des événements sont maintenus secrets (ce qui est à la fois compréhensible et inquiétant),  et qu’en plus personne ne se rend compte que les attaques se produisent (elles peuvent avoir lieu dans le plus grand silence, encore plus inquiétant).

Alors, plus bas, voici une liste de plusieurs faits curieux qui décrivent bien l’état actuel des choses, les tendances en matière de sécurité des infrastructures essentielles, et quelques observations quant aux stratégies à mettre en place pour faire face à ces menaces.

Il s’avère qu’il existe un bon nombre de raisons d’être préoccupé par la sécurité des infrastructures critiques.

L’objectif des ingénieurs qui fabriquent et installent des ICS est d’assurer ‘leur fonctionnement stable et constant, et c’est tout !’. Donc, s’il y a une vulnérabilité dans le contrôleur, si le système est connecté à Internet, si le mot de passe est 12345678, ils s’en moquent, même si cela permettrait à des pirates de prendre le contrôle du système ! Ils se soucient seulement du maintien de la température adéquate et du fonctionnement stable et sans heurts du système.

Après tout, la correction d’une complication, ou toute autre interférence, peut causer un arrêt du système pour un certain temps, ce qui mérite un blâme sévère pour les ingénieurs des ICS. Oui, oui, ainsi vont les choses avec les infrastructures critiques. On ne voit pas les différents tons de gris présents entre le blanc et le noir. Ou bien serait-ce que tout le monde fait l’autruche ?

En septembre dernier, nous avons mis en place un honeypot. Nous l’avons connecté à Internet et avons prétendu que c’était un système industriel en service. Le résultat ? En un mois, il a été victime de 422 intrusions.  Les cybercriminels sont allés jusqu’à atteindre les automates programmables industriels (API) internes, un des pirates a même réussi à les reprogrammer (comme dans le cas de Stuxnet). Notre expérience avec le honeypot a démontré qu’il est garanti à 100% que les ICS soient piratés aussitôt qu’ils sont connectés à Internet. Et que peut-on faire avec un ICS piraté… beaucoup, beaucoup de choses, comme dans les scénarios de films d’Hollywood. Et les ICSs ont toutes sortes de tailles et de formes. Par exemple, celui-ci :

Malware nucléaire

Source

En lire plus :Cybernouvelles du côté obscur – 4 juin 2014

Bonjour tout le monde!

Il me semble que ça fait un moment que je n’ai pas abordé de thématique liée à la cybercriminalité sur ce blog – ce qui est branché, ce qui l’est moins et ainsi de suite. Vous pensez même peut-être que je suis là à me tourner les pouces, et que je traite des sujets, disons un peu plus…existentiels.

D’abord, soyez assuré que nous sommes au courant de TOUT ce qui se passe dans la cyberjungle ; mais c’est que nous publions déjà une tonne d’information détaillée et technique sur d’autres plateformes d’informations.

Le seul problème, c’est que peu de gens finissent par lire ces fameux articles. C’est compréhensible : les détails peuvent être un peu ennuyants, spécialement pour les non-initiés. Mais ce n’est pas une raison pour ne rien publier à ce sujet, loin de là. Ici, sur ce blog, je ne veux pas importuner les lecteurs avec trop d’infos technologiques. J’aborde les anecdotes bizarres, amusantes, les cybernouvelles les plus croustillantes, de partout dans le monde.

Donc, que s’est-il passé de bizarre, de divertissant et d’amusant la semaine dernière ?

 » Il m’a frappé !  »  » Non, c’est lui qui a commencé ! »

Les péripéties entourant le cyberespionnage entre la Chine et les États-Unis ont pris un nouveau virage.

Cette fois-ci, les États-Unis s’en sont pris directement à la Chine. Le nom et la photo de cinq spécialistes militaires chinois ont fait la une d’une affiche du FBI digne des westerns d’antan. Les individus sont accusés d’avoir pénétré dans les réseaux de compagnies Étasuniennes pour y voler des informations secrètes.

En lire plus :Cybernouvelles du côté obscur – 26 mai 2014

Internet, les appareils mobiles et tous les autres gadgets ont apporté tant de choses incroyables dans nos vies qu’il est parfois difficile d’imaginer comment il était possible de vivre sans eux avant. Acheter des billets d’avion et enregistrer, faire du shopping en ligne et gérer ses comptes bancaires, partager des données avec plusieurs appareils, garder les enfants occupés à l’arrière de la voiture avec un film sur leurs tablettes (dans ma jeunesse on se contentait de rester assis ou de jouer à « Jacadi a dit »). Mais je m’écarte du sujet et ce très tôt dans ce post…

Hélas, en plus de toutes les bonnes choses  utiles pour rendre notre vie plus facile, Internet nous a apporté d’autres choses – de mauvaises choses qui peuvent être dangereuses. Les malwares, les courriers indésirables, la cybercriminalité difficile à démanteler, les armes cybernétiques, etc., etc. Il existe aussi la fraude sur Internet, dont je vais parler dans ce post ou, pour être plus précis, comment la combattre.

Mais commençons par les bases : qui souffre vraiment des fraudes sur Internet ?

Les consommateurs ? Eh bien, oui mais ce n’est rien comparé aux entreprises. Les principales victimes de la fraude en ligne sont les banques, les détaillants, en résumé : tous les services en ligne.

Quelques chiffres pour illustrer l’étendue de la fraude sur Internet :

• En 2012, aux États-Unis seulement, les pertes directes de la fraude en ligne atteignaient les 3,5 milliards de dollars.
• Ces pertes représentaient environ 24 millions de commandes en ligne frauduleuses.
• Près de 70 millions de commandes ont été annulées dû à des suspicions d’arnaque.

Plutôt alarmant.

En attendant, les opérateurs en ligne prennent-ils vraiment des mesures contre la fraude ?

Bien sûr que oui, et ils en prennent même plein !

En lire plus :Lutter contre les fraudes sur Internet

Comment trouver et détruire tous les programmes malveillants qui se cachent dans la jungle qu’est votre ordinateur ?

Et plus particulièrement, les programmes super malveillants jamais vus auparavant, qui s’avèrent être également super efficaces (et qui sont souvent sponsorisés par des États ?)

Facile. La réponse est très simple : vous ne pouvez pas.

Enfin, vous pouvez toujours essayer : mais pour trouver un chat noir dans l’obscurité, vous avez besoin de super outils pour réaliser cette tâche manuellement – et ça coûte cher. Mais pour le faire automatiquement avec un logiciel antivirus – c’est une toute autre histoire : vous arrivez normalement à détecter les infections sophistiquées mais ça s’arrête là. C’est du moins le cas des anciens antivirus qui utilisent les classiques signatures antivirus et les analyses de fichiers.

Mais quelle est donc la solution ?

De nouveau, c’est très simple : mettez des génies au travail – pour automatiser la recherche des infections et les fonctions de destruction des produits antivirus. En lire plus :AVZ : L’heuristique sans faux positifs pour combattre les futures menaces

Avant toute chose, un petit rappel… :

Une protection garantie à 100% n’existe pas. Vous le savez surement parfaitement  à l’heure actuelle. En effet, même le plus fiable des antivirus se laisse parfois surprendre par des attaques professionnelles. Ce qui est déjà une mauvaise nouvelle. Mais il y a pire :  savoir que des antivirus moins performants sont contournés  de manière beaucoup plus fréquente.

S’ils le veulent, les criminels professionnels de haut niveau peuvent s’introduire dans n’importe quel système, heureusement,  de tels « cyber-Moriarty »  ne courent pas les rues. La plupart des délits sur Internet sont  réalisés par des  programmeurs ordinaires qui semblent perdre totalement la tête -séduits par l’avidité et pensant qu’ils pourront s’en tiré sans représailles (ha !). Ces arnaqueurs n’ont habituellement pas les compétences suffisantes pour s’en sortir  lorsqu’ils piratent les systèmes de défense les plus avancés, mais ils sont plus que capable d’entrer dans un ordinateur qui n’est pas protégé du tout ou alors qui est doté d’une défense défectueuse. Mais, hélas, ce genre de chose est monnaie courante.

La logique de base de tout cela plutôt simple :

Plus la protection est forte- plus les défenses le sont, évidemment.  Et plus les attaques sont professionnelles – plus elles sont à même de briser des  systèmes de défense.

De nos jours, avec 2.5 milliards d’utilisateurs Internet de victimes potentielles, cette logique mène au constat suivant :

Les criminels n’ont pas besoin  de pirater des  super chambres fortes (en particuliers lorsque ce qui y est sauvegardé dans ces coffres super sécurisés se révèle être très bizarre/ suspect/dangereux, il vaut mieux ne rien savoir du tout). C’est plus simple – et moins cher – de s’introduire dans quelque chose  de plus abordable, comme le réseau d’un voisin, sachant que  ses défenses sont certainement moindres et  ses cachettes plus facile à trouver.

Voici donc le tableau : pour le pirate moyen, il n’y a pas d’intérêt à prendre la peine de se préparer et d’exécuter des attaques super professionnelles. Ça n’a pas non plus beaucoup de sens de passer de Windows à Mac.  Il est beaucoup plus efficace de toucher  le plus de victimes possibles avec des attaques non ciblées qui ne sont pas trop compliquées à exécuter.

Meilleure est la protection, moins ces malotrus seront intéressés.  Ils ne s’aventureront pas à essayer de la briser, ils trouveront tout simplement  des victimes plus vulnérables quelque part d’autre.

Maintenant, laissez-moi vous en dire plus à propos d’une fonctionnalité qui dissuade les cybercriminels d’attaquer votre ordinateur, et donne aux pirates l’envie d’aller voir ailleurs, là où la fonctionnalité n’existe pas. Oui, il est grand temps de vous ouvrir à nouveau les yeux et de vous en dire plus à propos de la lettre K de votre barre des tâches et comment elle vous offre une protection de haut niveau grâce à l’émulation.

En lire plus :Émuler pour mieux exterminer

Tous les jours, notre courageux laboratoire anti-virus examine des milliers de fichiers. Tous les jours ! Certains s’avèrent être des fichiers propres et honnêtes, ou juste des codes endommagés, des scripts innocents, des déchets de données, etc., etc., etc., mais la plupart du temps il s’agit de fichiers malveillants – nombreux desquels sont analysés et examinés automatiquement (comme je l’ai déjà expliqué dans ces cyber-pages.)

Mais de temps à autre, nous tombons sur des objets vraiiiiment inhabituels – quelque chose de complètement nouveau et d’inattendu. Quelque chose qui active les cellules grises, fait battre le cœur plus vite, et fait monter le taux d’adrénaline. Je parle de choses comme Stuxnet, Flame, Gauss et Red October.

Et il semble que nous avons trouvé quelque chose qui rentre dans cette catégorie originale…

Oui, nous avons découvert un autre malware monstre – un ver provenant des cyber-rues de l’Internet russe. Ce que nous avons remarqué dès le début c’est qu’il surpasse tous les programmes malicieux d’aujourd’hui en termes de sophistication – y compris les espions cybernétiques professionnels et les armes cybernétiques – mais aussi tous les logiciels connus – à en juger par la logique de ses algorithmes et la finesse de son codage.

Oui les amis, c’est du lourd !

Nous n’avons jamais vu un tel niveau de complexité et de perplexité dans un code machine tel que celui-ci. Analyser les vers et les chevaux de Troie les plus compliqués prend normalement plusieurs semaines – alors que pour celui-ci, il semble que cela va prendre plus de temps ! Peut-être plusieurs années !!! Il est extrêmement élaboré et complexe.

Je ne connais aucun développeur de logiciels qui aurait été capable de développer un tel monstre. Et aucun cybercriminel qui pour la plupart créent des malwares primitifs. Aucun service secret ne semble être derrière le malware le plus évolué apparu ces dernières années. Non. Cette nouvelle trouvaille ne peut pas être le fruit d’une de ces trois entités.

Alors, vous êtes assis maintenant ? Non ? Asseyez-vous.

Je pense qu’il est théoriquement impossible que ce code ait été écrit par un être humain (vous êtes content d’être assis maintenant, non ?).

Ce code est tellement compliqué que j’ai peur que ce nouveau ver ait des origines extraterrestres.

En lire plus :Découverte de nouveaux virus extrêmement élaborés à Tcheliabinsk