rapport sur les menaces - F
Transcription
rapport sur les menaces - F
RAPPORT SUR LES MENACES H1 2014 switch on freedom 1 www.f-secure.fr table des matières table des matières résumé 3 2 4 avant-propos à noter Calendrier des incidents synthèse sur le paysage des menaces top 10 des détections logiciels malveillants mobiles MALWARE MAC sources 5 15 6 14 8 9 12 2014 janvier avril L'extension Coremax pirate les navigateurs web Attaques actives utilisant le nouveau bug 0-day dans IE Fin officielle du support de Windows XP autres, 38 % downadup/ conficker, 31 % 1 2 3 attaques en provenance du web ramnit MAC logiciels Appartient à une opération de cyber-espionnage du nom de « The Mask ». Cible les institutions gouvernementales et les entreprises du secteur énergétique. Page 14 Tandis que le paysage des menaces de Windows est dominé par des logiciels malveillants anciens et actuels, Mac voit de nouveaux malware arriver et occuper un espace auparavant tranquille. Les méthodes de distribution et les capacités des logiciels malveillants sont de plus en plus sophistiquées. 25 familles ou variantes Cheval de Troie avec accès à distance se propageant via de fausses notifications d'e-mails. 5 familles Voleur de bitcoins qui prend l'apparence d'une application permettant d'accéder aux informations sur les transactions de MtGox. sslcredthief Ce fichier de bibliothèque espionne les connexions SSL sortantes pour voler les identifiants et mots de passe Apple. Grande famille de logiciels malveillants qui envoient des SMS à des numéros surtaxés. fakeinst Prétend installer des applications, mais envoie des SMS à des numéros surtaxés. Récolte discrètement les données de l'appareil et les envoie à un serveur distant. $ $ $ ils exigent une rançon koler : L'un des premiers ransomware Adaptation mobile du ransomware Gendarmerie Reveton. Prétend chiffrer les fichiers sur l'appareil, mais en réalité, désactive le bouton Retour pour mettre en avant la demande de rançon. slockeR : Premier ransomware chiffré sur Tor Chiffre les images, documents et vidéos sur l'appareil ; désactive le bouton Retour pour restreindre le contrôle de l'utilisateur. Communique avec le serveur de contrôle via le réseau Tor ou par SMS. Oleg Pliss attaque l'Australie COINSTEALER NOUVELLES nouvelle famille eropl Utilisé dans des attaques ciblées contre les communautés tibétaines et ouïgoures. Laoshu ios smssend familles android Clientsnow Cheval de Troie espion qui vole les crypto-monnaies. Prend l'apparence d'une version crackée des applications OS X, mais se propage ensuite via des applications de crypto-monnaies qui sont en réalité des chevaux de Troie. découvertes entre janvier et juin 2014 appartiennent à 294 +1 nouvelles cointhief nouvelles variantes 13 de ces android zeroaccess mask malveillants variantes expiro Page 12 Android reste une cible de choix pour la majorité des menaces mobiles. Cependant, et même si elles sont moins nombreuses, les menaces dirigées vers iOS existent bel et bien. Majava Ensemble d'exploits ciblant des vulnérabilités de la plateforme de développement Java. Une attaque réussie peut notamment donner au pirate le contrôle total du système. autorun wormlink browser exploit Les pirates d'« Oleg Pliss » sont arrêtés à Moscou malveillants android suivis par... Ensemble de logiciels malveillants, de techniques ou d'exploits utilisés pour rediriger le navigateur web vers des sites malveillants où le système peut être la cible d'autres attaques. FBI traque le créateur de Gameover Zeus logiciels mobiles top 3 top 10 des détections juin Le ransomware Gendarmerie arrive sur Android android Page 9, 11 Le paysage des menaces de Windows regorge de logiciels malveillants déjà connus : certaines menaces sont présentes depuis des années, et continuent d'exister en raison de l’absence de correctifs sur certaines machines. majava, 11 % Web-based attacks, 20 % top 10 des détections downadup (alias Conficker) Ce ver âgé de six ans exploite la vulnérabilité MS08-067 dans Windows. Il se propage sur Internet et via des lecteurs amovibles ou des partages réseau. mai Mises à jour d'iOS pour corriger une faille SSL majeure logiciels malveillants sur PC sality mars 31+20+1138N Page 6 février iOS calendrier des incidents Résumé du Rapport sur les menaces H1 2014... En mai, « Oleg Pliss » aurait utilisé la fonction « Localiser mon iPhone » pour verrouiller le compte de nombreux utilisateurs en Australie et exiger une rançon. Apple 3 réfute la présence d'une faille dans le service iCloud. 3 avantpropos par Mikko Hypponen Directeur des recherches F-Secure Labs Je me souviens de la mise en ligne de notre premier site Internet. C'était en 1994, il y a 20 ans. Nous étions alors à la naissance du web ; il n'existait qu'une poignée de sites Internet. Il était évident que le web allait se développer. Effectivement, au cours de ces 20 dernières années, sa taille a explosé. Ce qui est encore plus important, c'est qu'Internet a permis à tout un chacun d'avoir accès à l'univers du web. Avant l'apparition de ce dernier, seuls certains geeks et autres obsédés de l'informatique étaient sur Internet. Aujourd'hui, tout le monde est en ligne. En 1994, nous recherchions à deviner ce qui alimenterait la croissance à venir du Web. Pour qu'il se développe, il fallait qu'il y ait du contenu en ligne, c'est-à-dire des actualités ou des divertissements. Or, quelqu'un devait payer pour que ces actualités et ces divertissements se retrouvent en ligne. Comment les utilisateurs paieraient-ils pour le contenu en ligne ? Nous n'en avions aucune idée. Peut-être que les journaux commenceraient à facturer des frais annuels d'inscription en ligne, comme ils le faisaient pour leur version papier ? Ou peut-être que le web intégrerait une sorte de système de paiement à la demande en ligne ; l'utilisateur pourrait ainsi effectuer facilement des micropaiements sur le navigateur pour accéder au contenu qui l'intéresse. Cela lui permettrait de payer par exemple un centime pour visualiser le dessin du jour de son quotidien préféré. « Nous, les utilisateurs, représentons davantage de valeur à long terme par le biais du profilage et de la sauvegarde de données et de nos actions. » Comme nous le savons désormais, un tel système de micropaiement n'a jamais vu le jour, alors que cela semblait évident il y a 20 ans. Au lieu de cela, une manière complètement différente de payer pour le contenu en ligne a fait son apparition : la publicité. Je me rappelle avoir vu la première bannière publicitaire sur un site Internet, en 1995 ou en 1996. J'avais ri à l'idée qu'une entreprise puisse payer pour afficher des publicités sur le site Internet de quelqu'un d'autre. Je n'aurais pas dû rire : c'est cette même idée qui alimente aujourd'hui la quasi-totalité du contenu en ligne. Et des moteurs de profilage publicitaire hautement efficaces constituent la source quasiment exclusive de tous les profits dégagés par des entreprises comme Google ou Facebook. Google est un exemple particulièrement pertinent du profilage d'utilisateurs. Ses services (comme Search, YouTube, Maps et Gmail) sont gratuits. Vous n'avez pas à débourser un seul centime pour leur utilisation. Or, ces services sont extrêmement chers à exploiter : la facture d'électricité de Google à elle seule s'élève à plus de 100 millions de dollars par an. Logiquement, on pourrait penser qu'une entreprise qui met à disposition des services extrêmement chers, mais ne les fait pas payer à ses clients réalise des pertes. Mais ceci est loin d'être le cas : en 2013, le chiffre d'affaires de Google s'élevait à 60 milliards de dollars. Et l'entreprise a enregistré 12 milliards de dollars de profits. Ainsi, si nous nous lançons dans une estimation conservatrice, et que nous partons du principe que Google possède 1 milliard d'utilisateurs, chaque utilisateur a permis à Google de faire 12 $ de profit l'année dernière, sans payer un centime. Honnêtement, je serais ravi de payer à Google 12 dollars par an pour leurs services sans que mon profil utilisateur ne soit suivi ni analysé. Je serais même prêt à payer 100 dollars par an ! Mais Google ne me donne pas le choix. Nous, les utilisateurs, représentons davantage de valeur à long terme par le biais du profilage et de la sauvegarde de données et de nos actions. Bien entendu, Google est une entreprise. En analysant notre profil, elle ne fait rien d'illégal. Nous leur soumettons volontairement nos données. Par ailleurs, ses services sont excellents. Cependant, j'aimerais parfois que les choses aient évolué autrement, et que nous disposions d'un simple système de micropaiement pour payer le contenu et les services présents sur le web. Aujourd'hui, avec l'avènement des crypto-monnaies, cette idée pourrait bien se concrétiser. 4 à noter Game Over ? Le blocage du botnet GameOver ZeuS (GOZ) par différents organes répressifs gouvernementaux[1] a été, par bien des aspects, une grande victoire. Mais que faire ensuite ? Le botnet a été bloqué mais n'est pas entièrement détruit. Son créateur n'a pas été arrêté. Il court toujours, et s'emploie actuellement à créer un nouveau botnet pour remplacer l'ancien. par Sean Sullivan Conseiller en sécurité F-Secure Labs Pourquoi bloquer GOZ ? CryptoLocker[2], un puissant cheval de Troie ransomware généré par GOZ, était sans aucun doute la raison principale du démantèlement de ce botnet. CryptoLocker, avec sa capacité de crypter parfaitement l'ensemble des documents et fichiers de données du disque dur de la victime, était trop dangereux. Il n'existait pas d'autre remède que de payer la rançon pour obtenir la clé de décryptage. Ainsi, la seule manière de faire cesser cette arnaque était de l'arrêter. Et comme GOZ était à l'origine de CryptoLocker, GOZ a été la cible d'un démantèlement. Escalade CryptoLocker illustre parfaitement les raisons pour lesquelles il est tellement dangereux de bloquer (et non de démanteler entièrement ) un botnet comme GameOver ZeuS. Posez-vous la question : « Mais que se passe-t-il si la prochaine tactique de défense consiste à devenir vénéneux ? » « Si CryptoLocker affichait une telle réussite, pourquoi Slavik (le botmaster de GOZ) n'a-t-il pas déployé ce ransomware sur l'ensemble de son botnet ? » La réponse est évidente : car il n'aurait plus de botnet. Ses deux millions de bots ne pourraient pas éliminer CryptoLocker sans détruire en même temps l'infrastructure de GOZ. Et si l'infrastructure était déjà perdue en raison d'un démantèlement ? Qu'est-ce qui empêche une future version de GOZ d'initier une commande d'« autodestruction » (comme larguer une bombe de chiffrement) si le bot ne communique pas avec son serveur C&C dans une période de temps donnée ? Rien, justement. Évolution L'histoire des logiciels malveillants est d'abord celle d'une évolution. Or, cette évolution s'articule autour d'une dynamique prédateur-proie. À chaque fois que le chasseur découvre le gibier, une nouvelle tactique de défense est nécessaire pour éviter d'être repéré. Mais que se passe-t-il si la prochaine tactique de défense consiste à devenir vénéneux ? Les chasseurs doivent rester sur leurs gardes. SOURCES 1. United States Department of Justice (Département de la justice des États-Unis) ; U.S. Leads Multi-National Action Against “Gameover Zeus” Botnet and “Cryptolocker” Ransomware, Charges Botnet Administrator ; 2 juin 2014 ; http://www.justice.gov/opa/pr/2014/ June/14-crm-584.html 2. F-Secure; Trojan:W32/Cryptolocker; http://www.f-secure.com/v-descs/trojan_w32_cryptolocker.shtml 5 h1 2014 POURSUITES SÉCURITÉ attaques la liberté numérique Calendrier des incidents Le GCHQ est accusé d’espionner les chats vidéo sur Yahoo La Turquie bloque Twitter et YouTube La Thaïlande bloque temporairement Facebook La NSA enregistrerait tous les appels aux Bahamas Fév : les images de 1,8 millions d’utilisateurs ciblés au hasard interceptées et stockées Mars : l’accès des utilisateurs turcs aux médias sociaux est réduit suite à la controverse du gouvernement Mai : le ministère des technologies de l’information affirme que l’accès a été bloqué à la demande de la junte ; les militaires avancent un « problème technique » Mai : Un accord sur la lutte anti-drogue aurait été utilisé pour justifier cette surveillance L’attaque de Yahoo! provoque la réinitialisation des mots de passe Routeurs sans fil domicile/bureau piratés La banque de bitcoins Flexcoin est victime de vols, et ferme Le botnet Windigo infecte les serveurs sous Linux Janv : des mots de passe volés dans des bases de données « tierces » sont utilisés pour accéder à des comptes de messagerie Mars : les chercheurs dans le domaine de la sécurité signalent plus de 300 000 appareils dont les paramètres DNS sont modifiés Mars : un pirate exploite une faille dans le code de transfert pour voler 896 bitcoins (environ 600 000 $) Mars : des chercheurs indiquent que plus de 25 000 serveurs ont été utilisés pour envoyer des spams, rediriger les utilisateurs vers des sites malveillants Les géants du Web dévoilent les requêtes de la FISA Conférence TrustyCon organisée en signe de protestation Fin officielle du support de Windows XP eBay force les utilisateurs à changer de mot de passe à la suite d’une attaque Fév : Google, Facebook et d’autres entités publient des synthèses de requêtes effectuées par le gouvernement américain Fév : ceux qui boycottent la conférence RSA assistent à un contre-évènement sur les « technologies dignes de confiance » Avr : Microsoft recommande à ses utilisateurs de mettre à niveau leur ancien système d’exploitation après la fin du support Mai : le piratage d’une base de données provoque la réinitialisation préventive des mots de passe Le créateur du logiciel malveillant Spyeye plaide coupable aux États-Unis 2 personnes plaident coupables de piratage d’applications Android Les États-Unis accusent 9 personnes pour le logiciel malveillant Zeus L’Australie arrête 2 personnes pour les piratages « Anon » Janv : un ressortissant russe a créé et distribué des logiciels malveillants pour les virements et la fraude bancaires Mars : premières condamnations aux ÉtatsUnis pour la distribution d’applications mobiles contrefaites Avr : 9 personnes accusées d’utiliser Zeus pour infecter des milliers d’entreprises aux États-Unis Mai : l’AFP accuse des suspects d’avoir saboté un site gouvernemental et des attaques par déni de service LE BOTNET Gameover Zeus logiciels vulnérabilités malveillants Mars : commence à voler des portefeuilles de bitcoins et leurs mots de passe de cryptage 6 Mars : injecte des éléments de phishing dans les sites de recherche d'emploi visités Préparation de nouveaux ransomware améliorés GameOver Zeus commence à voler des bitcoins Le ver TheMoon se propage dans certains routeurs L’extension Coremax pirate les navigateurs Janv : des chercheurs dans le domaine de la sécurité signalent le développement d’un nouveau kit PowerLocker à réaliser soi-même Janv : Le logiciel malveillant commence à voler des portefeuilles de bitcoins et leurs mots de passe de cryptage Fév : certains routeurs Linksys sont infectés par l’exploit du firmware pour propager des copies du ver Avr : une extension de navigateur pirate les publicités et redirige les utilisateurs vers un site indésirable Mises à jour d’iOS pour réparer une faille SSL majeure Attaques actives utilisant le nouveau bug 0-day dans IE Un faille 0-day sur Flash Player touchée par une attaque de type « drive-by » Vulnérabilité 0-day utilisée dans des attaques ciblées Fév : une vulnérabilité SLL permet aux pirates d’intercepter le trafic entre les utilisateurs Fév : la faille CVE-2014-1776 dans les navigateurs web IE 10 et 9 permet l’installation de logiciels malveillants Fév : correctif d’urgence Adobe pour l’exploitation d’un bug permettant d’installer discrètement un logiciel malveillant Mars : des documents d’appât RTF utilisent un bug pour exécuter un code à distance Le calendrier des incidents dresse la liste des actualités intéressantes dans le domaine de la sécurité numérique lors du premier semestre 2014. Les éléments contenus dans ce calendrier ont été signalés par différents portails technologiques, des publications sur la recherche en matière de sécurité, des sites d'organes répressifs, de grands titres de presse ainsi que le Weblog de F-Secure. La liste des sources se trouve à la page 15. Mai : des produits exportés interceptés, modifiés pour devenir des dispositifs d’espionnage Juin : décision visant à « perturber les communications des insurgés » Juin : des centaines de sites seraient bloqués, interdisant les publications de médias importants Juin : YouTube débloqué, un mois après la levée de l’interdiction concernant Twitter La faille Heartbleed est exploitée pour pirater une session VPN AU-CERT signale une augmentation des cyber-attaques TrueCrypt prévient que son logiciel est désormais « dangereux » Une attaque massive par déni de service touche Hong Kong Avr : NY Times rapporte que des pirates ont utilisé des failles pour pénétrer des réseaux d’entreprise ciblés Mai : selon un rapport, 56 % des entreprises interrogées ont signalé des cyberattaques Mai : un projet de chiffrement de lecteur affirme que cet outil n’est « pas sûr », et déconseille son utilisation Juin : attaque de plus de 300Gbits/s sur un système électoral après un référendum civique Lancement de MyBulletins pour faciliter le flux des mises à jour Google lance son formulaire de « droit à l’oubli » Google Apps ajoute le chiffrement Lancement de la campagne Reset the Net Mai : service conçu pour simplifier l’identification des mises à jour de sécurité identifiables Mai : un tribunal de l’UE condamne le moteur de recherche à supprimer les liens « non pertinents » dans les requêtes en UE Mai : le chiffrement des e-mails de bout en bout est proposé aux utilisateurs Juin : coalition de groupes visant à encourager l’utilisation d’outils de résistance à la surveillance Les États-Unis recherchent 5 pirates chinois pour des faits d’espionnage Près d’une centaine de pirates arrêtés pour le cheval de Troie Blackshades Les pirates d’« Oleg Pliss » sont arrêtés à Moscou FBI traque le cerveau à l’origine de Gameover Zeus Mai : le Département de la justice affirme que des membres de PLA ont piraté des entreprises américaines pendant huit ans Mai : arrestations aux ÉtatsUnis, en Europe et dans d’autres pays pour la vente de chevaux de Troie utilisés pour espionner les utilisateurs Juin : le ministre de l’intérieur russe annonce l’arrestation de deux personnes concernant des demandes de rançon sur iOS en Australie Juin : acte d’accusation contre un ressortissant russe à la suite du démantèlement du botnet POURSUITES L’accès à YouTube et Twitter est rétabli en Turquie SÉCURITÉ La junte thaïlandaise bloque certains sites, censure les signalements attaques L’Irak bloque les médias sociaux en raison d’une menace de l’État islamique la liberté numérique La NSA placerait des backdoors dans certains routeurs LE BOTNET Gameover Zeus Juin : Le FBI et ses partenaires lancent le démantèlement de l'« Opération Tovar », et recommandent fortement aux utilisateurs de nettoyer leur PC Juin : période de deux semaines pour permettre aux utilisateurs de nettoyer leur PC ; le botnet est toujours en phase de rétablissement Le ransomware Gendarmerie passe à Android Rootkit BlackEnergy pour Windows 8 Havex traque les systèmes ICS/ SCADA Avr : application non fonctionnelle supprimée, les utilisateurs qui l’ont achetée sont remboursés Mai : le logiciel malveillant Koler tente de verrouiller l’appareil affecté et affiche une demande de rançon Juin : échantillon mis en ligne vers le service VirusTotal, avec moins de fonctionnalités Juin : un logiciel malveillant utilisé dans des attaques ciblées vérifie les systèmes de contrôle industriel Le bug Heartbleed est évoqué dans les médias du monde entier La mise à jour Java SE corrige 37 problèmes, certains étant critiques Windows XP concerné par un correctif hors cycle Les géants d’Internet financeront des projets cruciaux Avr : des millions de sites et téléphones sont soupçonnés d’être affectés par la faille OpenSSL Avr : le correctif résout de nombreux problèmes, dont quatre classés « très critiques » Mai : Microsoft fait une exception pour le système d’exploitation en fin de vie, qui reçoit un correctif IE8 0-day Mai : Core Infrastructure Initiative visant notamment à financer OpenSSL et OpenSSH logiciels malveillants vulnérabilités Arnaque de l’application Virus Shield signalée dans Play Store 7 h1 2014 menaces synthèse sur le paysage deS Tendances générales La tendance qui se dégage le plus nettement au premier semestre 2014 est la croissance continue des ransomware et des activités de rançon, sur les plates-formes fixes comme mobiles. Bien que le démantèlement du botnet Zeus[1] en juin dernier ait su ralentir la propagation de la menace de Cryptolocker (au moins pendant un certain temps), les ransomware continuent de se développer, et ce semestre a vu des menaces existantes comme Cryptolocker mettre à jour leurs méthodes de distribution, de chiffrement et de paiement afin de conserver une longueur d'avance sur les autorités répressives. Les ransomware sont passés aux mobiles ; la menace Koler constitue la première tentative de s'imposer sur la plateforme Android. Si ce logiciel malveillant a menacé mais n'a pas véritablement chiffré les fichiers, le ransomware Slocker qui est survenu peu après, l'a fait [3]. Comme d'habitude avec les menaces Android, ces deux ransomware prétendent être des applications légales afin d'amener l'utilisateur à les installer volontairement. [2] Parallèlement, l'activité de rançon sur les appareils iOS a pris une forme différente. L'iOS 7 comprend la fonctionnalité « Verrouillage d'activation », qui permet de verrouiller à distance un appareil iOS utilisant un mot de passe et un identifiant Apple. Dans le cadre d'une utilisation malveillante de cette fonctionnalité, les pirates proposent un identifiant et un mot de passe Apple, soi-disant pour accéder à un contenu « gratuit ». Une fois que l'utilisateur utilise ces informations de connexion pour donner accès à son appareil iOS, les pirates changent le mot de passe, verrouillent l'appareil, et demandent ensuite une rançon. Le cas le plus connu d'activité de rançon sur la plate-forme iOS a été l'incident « Oleg Pliss » qui a affecté des utilisateurs australiens en mai, et pour lequel deux individus ont été arrêtés à Moscou[4]. Dans la même veine, des chercheurs dans le domaine de la sécurité ont fait état [5] de discussions menées dans des forums clandestins, dont l'objet est de développer un kit de construction de ransomware à réaliser soi-même. Celui-ci n'a pas encore vu le jour. Cependant, compte tenu du fait que la plupart des autres formes de logiciels malveillants évoluent de créations programmées à des produits issus de programmes conçus en un clic, la naissance éventuelle d'un kit de création de ransomware semble tout à fait plausible à l'avenir. Ces développements coïncident avec le signalement croissant d'attaques ciblées contre des entreprises et des entités gouvernementales, qui rassemblent et retiennent des données en attendant le versement d'une rançon, ce qui couvre également des incidents ayant un fort impact médiatique, comme l'affaire de la rançon de Nokia [6]. La réussite et l'utilisation croissante de ces programmes et de ces attaques soulignent encore davantage l'importance de la sécurité des données des utilisateurs domestiques, professionnels et gouvernementaux. 8 Parallèlement, Windows XP a finalement atteint sa fin de vie le 8 avril 2014 (malgré un correctif d'urgence publié peu après sa fin de vie). Malgré les pressions visant à les faire passer à Windows 8 (ou n'importe quel système d'exploitation faisant l'objet d'un support actif), on estime entre 10 et 30 % la proportion d'utilisateurs d'ordinateurs dans le monde [7] utilisant encore ce système d'exploitation qui reste la cible privilégiée des pirates, et qui ne bénéficie plus désormais d'aucun correctif. Bien que certains utilisateurs (en particulier les clients des gouvernements et des entreprises) aient étendu le support de XP, la sécurité deviendra désormais de plus en plus une affaire de « libre-service ». Le premier semestre de 2014 a également été le théâtre de toute une série de rapports mettant en avant une surveillance contestable, une censure en ligne ou des activités de manipulation des données de la part d'entités gouvernementales de différents pays. Des sociétés technologiques majeures ont entrepris différents efforts afin d'améliorer la sécurité de leurs offres, et se sont employées à faire pression sur leurs gouvernements respectifs en faveur d'une meilleure transparence. Nous vous invitons à consulter notre calendrier des incidents du premier semestre 2014 pour obtenir davantage d'informations. Logiciels malveillants sur PC Comme on peut le constater dans nos statistiques du Top 10 des détections, les menaces les plus fréquentes signalées au premier semestre 2014 à nos systèmes de télémétrie par les utilisateurs de nos produits, appartiennent principalement aux mêmes familles de logiciels malveillants que celles observées lors du second semestre de l'année dernière ; seul leur ordre change. Downadup (également connue sous le nom de Conficker dans les médias) est la menace la plus souvent signalée au cours de ce semestre, en particulier au Moyen-Orient, en Amérique du Sud et en Asie. Ce ver créé il y a six ans continue de se propager à l'état sauvage, et la fin du support de Windows XP ne va en rien améliorer la situation. Outre Downadup, Majava et différentes attaques en provenance du web ("web-based" attacks) continuent d'être les plus visibles en Europe et en Amérique du Nord ce semestre. Les familles d'infecteurs de fichiers Sality et Ramnit sont également des menaces qui existent depuis plusieurs années, mais qui continuent d'attaquer les utilisateurs dans toutes les régions, sauf en Amérique du Nord et en Europe. Les familles Wormlink, BrowserExploit et Expiro ont fait leur entrée dans notre Top 10 des détections. Il est intéressant de noter un changement au cours du premier semestre de cette année : les détections liées à des exploits spécifiques et connus (p. ex. CVE-2013-2471) ne sont désormais plus visibles dans notre Top 10 des détections. top 10 des détections 31 20 % downadup / conficker Ver En exploitant la vulnérabilité MS08-067 dans Windows pour se propager sur Internet (ainsi que par l'intermédiaire de lecteurs amovibles ou de partages réseau), ce ver a infecté des millions d'ordinateurs dans plus de 200 pays. Six ans après sa première apparition, des machines non équipées de correctifs maintiennent toujours Downadup en vie. Comme lors du semestre précédent, on continue de le rencontrer au Brésil, aux Émirats arabes unis et en Italie, ainsi qu'en Malaisie et en France cette année. attaques en provenance du web redirection Un ensemble de logiciels malveillants, de techniques ou d'exploits utilisés pour rediriger le navigateur web vers des sites malveillants où le système peut être la cible d'autres attaques. La tendance de la fin 2013 se poursuit, avec des signalements provenant la plupart du temps de France, des États-Unis et de Suède, bien que cette année la Malaisie dépasse ces trois pays et signale le nombre le plus élevé de ce type de détections. 10 sality VIRUS Une large famille de virus qui infectent les fichiers EXE et qui utilisent L'Entry-Point Obscuration pour dissimuler leur présence. Des variantes peuvent également interrompre des processus, voler des données, etc. Vu pour la première fois en 2010, Sality est particulièrement fréquent en Malaisie, au Brésil, en Turquie et en Inde. 3 browserexploit EXPLOIT Détecte l'utilisation d'un processus de navigateur pour déposer et exécuter un programme potentiellement dangereux. La plupart des signalements concernant ces détections proviennent des ÉtatsUnis, de la Finlande, de la France et du Royaume-Uni. 9 ramnit Virus Infecte les fichiers EXE, DLL & HTML. Est également capable de déposer un fichier qui tente de télécharger d'autres logiciels malveillants à partir d'un serveur distant. Observé pour la première fois en 2011, Ramnit traîne ses guêtres en Asie, en particulier en Malaisie, en Inde, au Vietnam et en Indonésie. 3 expiro virus Infecte des fichiers exécutables et utilise un keylogger pour voler les informations des cartes de crédit. Signalé le plus souvent en Italie, en Finlande, aux États-Unis, en France et en Allemagne. 11 majava EXPLOIT Une collection d'exploits visant des vulnérabilités dans la plate-forme de développement Java. Une attaque réussie peut notamment donner au pirate le contrôle total du système. Plus fréquemment signalée par des clients aux États-Unis, en France et au Royaume-Uni. 7 autorun 4 wormlink Ver Se propage principalement par l'intermédiaire de disques amovibles et de disques durs infectés. Les variantes de cette famille comprennent des contenus dangereux, comme les voleurs de données. Les rapports de détection d'exécution automatique proviennent le plus souvent de France, de Malaisie, d'Inde, de Pologne et de Turquie. EXPLOIT Détecte les icônes de raccourcis malveillants utilisés pour exploiter la vulnérabilité critique CVE-2010-2568 Windows afin d'obtenir le contrôle total du système. Les signalements de cette menace provenaient principalement de Malaisie, de Turquie, du Vietnam et d'Inde. 2 zeroaccess botnet Les restes de ce botnet continuent de perturber les utilisateurs en France, aux ÉtatsUnis, Royaume-Uni, en Suède et en Finlande. 9 Logiciels malveillants sur Mac 2014 a débuté avec près de 20 nouvelles variantes uniques, découvertes rien qu'au cours des deux premiers mois. Ce rythme s'est ensuite ralenti, de sorte qu'à la fin du premier semestre, 25 nouvelles menaces sur Mac ont été trouvées. Parmi les nouvelles variantes uniques, 13 appartiennent à cinq nouvelles familles, Mask et Clientsnow étant impliquées dans des attaques ciblées. Les trois familles restantes, à savoir Coinstealer, Cointhief et LaoShu, affectent les utilisateurs Mac normaux. Retrouvez davantage d'informations sur les nouvelles familles de logiciels malveillants sur Mac à la page 14. Sur les mobiles Le premier trimestre 2014 a été le théâtre d'un certain nombre de grandes premières en termes de logiciels malveillants sur mobile (indiquées dans notre Rapport du premier trimestre 2014 sur les menaces mobiles). Au deuxième trimestre 2014, la majorité des menaces signalées par notre sécurité mobile pour les utilisateurs d'Android à nos systèmes de télémétrie continuent de cibler la plate-forme Android. Les chevaux de Troie demeurent également les principaux types de logiciels malveillants pour les mobiles, et s'appuient fortement sur les réseaux sociaux classiques pour accéder à l'appareil et aux données qu'il contient. Les trois menaces les plus souvent signalées sont les familles SMSSend, FakeInst et Eropl. De manière plus surprenante, cette période a également vu deux vers SMS, des animaux plutôt rares de nos jours, circuler sur des appareils Android. Retrouvez davantage d'informations sur les logiciels malveillants sous Android à la page 12. Logiciels malveillants sous iOS Les applications véritablement malveillantes sur la plateforme iOS sont peu nombreuses et plutôt espacées, mais elles existent. Contrairement à Android, les logiciels malveillants sous iOS sont pour l'instant uniquement efficaces sur les appareils débloqués, ce qui rend les outils de déblocage créés par différents pirates (et qui fonctionnent normalement en exploitant des bugs non documentés sur la plate-forme) intéressants pour les chercheurs dans le domaine de la sécurité. En juin, l'outil PanGu pour iOS 7.1.1 a fait l'objet d'une publication inattendue. Certains le soupçonnent d'utiliser des exploits volés, et d'autres ont fait part de leurs inquiétudes concernant une boutique d'applications malveillantes, installée avec l'outil. Ces deux problèmes ont été réglés à l'aide d'une mise à jour ultérieure [8]. Constantes Malgré les différents développements et innovations auxquels nous avons assistés au cours de ce dernier trimestre, un grand nombre des découvertes liées à la sécurité mobile dont nous avions fait état dans notre Rapport sur les menaces H2 2013 restent inchangées. Lorsque nous avons étudié de nouveau la sécurité sur les boutiques d'applications au premier semestre 2014 (en comparant le nombre d'échantillons malveillants par rapport au nombre total d'échantillons que nous avons obtenus d'une boutique), nous n'avons constaté aucun changement significatif par rapport au résultat que nous avions indiqué dans le rapport précédent. Malgré les récentes nouvelles selon lesquelles quatre applications malveillantes auraient été trouvées et extraites du Play Store de Google au premier semestre, compte tenu du grand nombre d'applications présentes sur le marché, de la faible incidence des applications malveillantes (pour l'instant) et des efforts rapides déployés par les équipes pour gérer les menaces signalées, le Play Store reste la plate-forme en ligne la plus sûre concernant les applications mobiles. Nous n'avons également noté aucune modification significative dans les noms de groupes de fichiers utilisés par les applications malveillantes sous Android. La plupart d'entre elles utilisent un nom d'emprunt, mais à l'aspect légal (p. ex., com.software.app) pour le groupe de fichiers, ou simplement une série de lettres sans aucun sens (p. ex., fkjsgmjl.ceinnykas). L'utilisation de noms ne voulant rien dire est particulièrement répandue dans la famille Fakeinst. Bien que la vérification du nom du logiciel reste une précaution de sécurité standard pour les menaces sur PC, le même conseil est difficile à appliquer aux menaces sous Android, car le nom du groupe de fichiers est rarement montré à l'utilisateur, et n'est visible sur l'appareil que pour les processus d'exécution dans le menu Paramètres > Applications > Exécuter > Processus. Dans la mesure où cela ne risque pas de changer de sitôt, la vigilance au moment du téléchargement reste pour le moment la précaution la plus efficace que les utilisateurs de mobiles peuvent prendre pour éviter les chevaux de Troie. Plutôt au cours du premier semestre, les utilisateurs de Reddit ont signalé un fichier de bibliothèques suspectes, appelé Unflod Baby Panda. Une fois installé sur un appareil iOS débloqué, ce logiciel malveillant espionne les connexions SSL sortantes afin de voler l'identifiant et le mot de passe Apple de l'appareil [9]. Retrouvez davantage d'informations sur les logiciels malveillants sous iOS à la page 14. SOURCES 1. Federal Bureau of Investigations ; GameOver Zeus Botnet Disrupted ; 2 juin 2014 ; http://www.fbi.gov/news/stories/2014/june/gameover-zeus-botnet-disrupted/gameover-zeus-botnet-disrupted 2. Weblog de F-Secure ; “Police Ransomware” Expands To Android Ecosystem ; 16 juin 2014 ; http://www.f-secure.com/weblog/archives/00002704.html 3. Weblog de F-Secure ; SLocker Android Ransomware Communicates Via Tor And SMS ; 16 juin 2014 ; http://www.f-secure.com/weblog/archives/00002716.html 4. Info Security ; ‘Oleg Pliss’ Apple Hackers Could Be Behind Bars ; 10 juin 2014 ; http://www.infosecurity-magazine.com/news/oleg-pliss-apple-hackers-could-be/ 10 par région top 10 des détections pour 1 000 utilisateurs > 500 rapports pour 1 000 250 - 500 rapports pour 1 000 100 - 250 rapports pour 1 000 50 - 100 rapports pour 1 000 MoyenOrient Amérique du Sud Downadup Ramnit Sality Autorun WormLink Downadup Sality Autorun Attaques en provenance du web Attaques en provenance du web ZeroAccess BrowserExploit Majava Expiro Algérie, Égypte, Émirats Arabes Unis, Iran, Liban, Oman Afrique Argentine, Brésil, Chili, Colombie, Costa Rica, Équateur, Guadeloupe Downadup Attaques en provenance du web Attaques en provenance du web Afrique du Sud, Ghana, Kenya, Maroc, Tunisie Amérique du Nord Sality Ramnit WormLink Autorun Majava BrowserExploit Expiro ZeroAccess Australie, Chine, Corée du Sud, Hong Kong, Inde, Indonésie, Japon, Malaisie, Nouvelle-Zélande, Pakistan, Philippines, Singapour, Taïwan, Thaïlande, Turquie, Vietnam Europe Attaques en provenance du web Attaques en provenance du web BrowserExploit Downadup ZeroAccess Expiro Majava Autorun Sality Ramnit WormLink Ramnit WormLink Majava BrowserExploit ZeroAccess Expiro Asie Sality Ramnit Downadup Autorun WormLink ZeroAccess Majava BrowserExploit Expiro 0 - 50 rapports pour 1 000 Canada, États-Unis, Mexique Downadup Majava Autorun BrowserExploit Expiro ZeroAccess Sality Ramnit WormLink Allemagne, Autriche, Belgique, BosnieHerzégovine, Bulgarie, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Iles Aland, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Norvège, Pays-Bas, Pologne, Portugal, République tchèque, Roumanie, Royaume-Uni, Russie, Serbie, Slovaquie, Slovénie, Suède, Suisse, Ukraine Remarque : d'autres pays ont été exclus en raison d'un manque de données statistiques valides. 5. Arstechnica ; Dan Goodin ; Researchers warn of new, meaner ransomware with unbreakable crypto ; 7 janvier 2014 ; http://arstechnica.com/security/2014/01/researchers-warn-of-new-meaner-ransomware-with-unbreakable-crypto/ 6. BBC ; Nokia ‘paid blackmail hackers millions’ ; 18 juin 2014 ; http://www.bbc.com/news/technology-27909096 7. Tech Republic ; Tony Bradley; Windows XP use declining, but millions still willingly at risk ; 16 avril 2014 ; http://www.techrepublic.com/article/windows-xp-use-declining-but-millions-still-willingly-at-risk/ 8. International Business Times ; Pangu 1.1.0 Apple iOS 7.1.1 Jailbreak Update Adds Mac OS X Support And Removes 25PP Option ; 30 juin 2014 ; http://www.ibtimes.com/pangu-110-apple-ios-711-jailbreak-update-adds-mac-os-x-support-removes-25pp-option-1615366 9. SektionEins ; iOS Malware Campaign “Unflod Baby Panda” ; 18 avril 2014 ; https://sektioneins.de/en/blog/14-04-18-iOS-malware-campaign-unflod-baby-panda.html 11 logiciels Q2 malveillants 2014 mobiles nouvelles 294 $ Trojan:iPhoneOS/SSLCredThief 1 L'un des premiers ransomware Ce fichier de bibliothèque signé espionne les connexions SSL sortantes pour voler les identifiants et mots de passe Apple Trojan:Android/Koler est l'adaptation mobile du ransomware « Gendarmerie » Reveton. Signalée pour la première fois en mai, cette application prétend donner accès à du contenu réservé aux adultes. Mais une fois installée, elle exige une « amende » pour « violation de sécurité » (ou termes similaires). Bien qu'elle prétende chiffrer les fichiers sur l'appareil, l'application Koler ne fait en réalité que désactiver le bouton Retour pour mettre en avant la demande de rançon. iPhone Android Android top 3 familles Trojan:Android/SMSSend Grande famille de logiciels malveillants qui envoient des SMS à des numéros surtaxés. Trojan:Android/FakeInst Premier ransomware chiffré sur Tor Prétend installer des applications, mais envoie des SMS à des numéros surtaxés. $ Contrairement à Koler, le logiciel malveillant Trojan:Android/Slocker signalé en juin chiffre réellement les images, documents et vidéos sur l'appareil. Comme Koler, il désactive également le bouton Retour pour restreindre le contrôle de l'utilisateur. Certaines variantes de Slocker peuvent communiquer avec leur serveur de contrôle via le réseau Tor (qui assure une transmission anonyme) ou par SMS. Trojan:Android/Eropl Récolte discrètement les données de l'appareil et les envoie à un serveur distant % LES PLUS TOUCHÉS pays 23 France 11Arabie 9Saoudite 8 85 8 Royaume-Uni Espagne Finlande 3 Malaisie 3 Brésil 2Pays-Bas $ $ Oleg Pliss attaque l'Australie $ $ Inde Allemagne $ $ familles ou variantes demande de rançon $ En mai, « Oleg Pliss » aurait utilisé la fonction « Localiser mon iPhone » pour verrouiller le compte de nombreux utilisateurs en Australie et exiger une rançon. Apple réfute la présence d'une faille dans le service iCloud (certains rapports ont montré du doigt des arnaques au phishing). En juin, deux individus ont été arrêtés à Moscou, en Russie, à la suite de cette attaque. $ 21 Tous les autres pays SOURCES 1. Malware don’t need Coffee ; Kafeine ; Police Locker land on Android Devices ; 4 mai 2014 ; http://malware.dontneedcoffee.com/2014/05/police-locker-available-for-your.html 2. McAfee Blog ; Christiaan Beek ; iDroid Bot for Sale Taps Into Mobile Wallet ; 10 avril 2014 ; https://blogs.mcafee.com/mcafee-labs/idroid-bot-for-sale-taps-into-mobile-wallets 3. Apple Insider ; Hackers use ‘Find My iPhone’ to lockout, ransom Mac and iOS device owners in Australia ; 26 mai 2014 ; http://appleinsider.com/articles/14/05/27/hackers-break-into-lock-macs-and-ios-devices-for-ransom-in-australia 4. GData Security Blog ; Android smartphone shipped with spyware ; 16 juin 2014 ; https://blog.gdatasoftware.com/blog/article/android-smartphone-shipped-with-spyware.html 5. Palo Alto Networks Research Center ; Claud Xiao, Zhi Xu ; Cardbuyer: New Smart Android Trojan Defeats Multi-factor Verification and Steals Prepaid Game Cards ; 24 avril 2014 ; http://researchcenter.paloaltonetworks.com/2014/04/cardbuyer-new-smart-android-trojan/ 12 6. SektionEins ; iOS Malware Campaign “Unflod Baby Panda” ; 18 avril 2014 ; https://sektioneins.de/en/blog/14-04-18-iOS-malware-campaign-unflod-baby-panda.html $ $ LES Logiciels espions inclus Une société de sécurité signale avoir découvert un smartphone sorti d'usine avec un logiciel espion très dangereux (Trojan:Android/SmsSend.AC) intégré au firmware de l'appareil, qui offre à celui qui contrôle le logiciel malveillant un accès complet aux données sauvegardées sur le téléphone. Voleur de cartes prépayées Ver : Android/ Samsapo. A Voler les identifiants Apple iDroidBot à vendre Selon les signalements, Trojan:Android/Cardbuyer serait capable de déjouer différents processus de vérification utilisés par les plates-formes de jeux en ligne ou de paiement, et d'intercepter les SMS afin d'acheter discrètement des cartes prépayées avec l'argent de l'utilisateur. NEWS En avril, des forums clandestins russes postent des publicités pour iDroidbot, ciblant les appareils fonctionnant sous iOS 7.1 et Android. Ce bot est notamment capable de voler les coordonnées des cartes bancaires enregistrées ainsi que des unités de portefeuilles QIWI. Les utilisateurs de Reddit signalent la diffusion d'un fichier de bibliothèque suspect. Une fois installé, il suit tous les processus en cours d'exécution et espionne les connexions SSL sortantes afin de voler l'identifiant et le mot de passe Apple de l'appareil. Par la suite, ce logiciel malveillant sera nommé Unflod Baby Panda. Это твои фото? Traduction : est-ce votre photo ? Un lien contenu dans un SMS demande de télécharger une application qui enregistre le téléphone sur un service surtaxé, vole ses données, s'envoie tous les contacts listés, et bien plus. « Dear [NAME], Look the Self-time, http://goo.gl/****** Un lien contenu dans un SMS demande le téléchargement d'une application « SelfTimer » qui envoie un SMS à 20 contacts et demande aux utilisateurs de télécharger un fichier supplémentaire. Ver : Android/ Selfmite Dans le Play Store Virus Shield BankMirage Songs et Prized En avril, le site Android Police révèle que Virus Shield, un logiciel de sécurité qui figurait parmi les applications payantes les mieux notées du Play Store de Google (avec plus de 10 000 téléchargements et une note de 4,7) est en réalité une arnaque. Google la retire alors du marché, et offre aux utilisateurs qui l'ont achetée un remboursement, ainsi que du crédit sur le Play Store. Clone malveillant d'une application bancaire légale pour la banque Israélienne Mizrahi Bank. Il vole les identifiants des utilisateurs grâce à un formulaire d'identification intégré à l'application. Les chercheurs pensent qu'il était peut-être conçu pour rassembler des données pour une attaque ultérieure, car l'application ignorait ouvertement les mots de passe. Ce logiciel malveillant n'était disponible sur le Play Store que pendant quelques jours, avant qu'une société de sécurité ne le signale et que l'application soit rapidement retirée. Ces deux applications gratuites se comportent de la même manière que les applications de minage des crypto-monnaies que l'on retrouve dans des boutiques d'applications tierces. Elles minent discrètement la monnaie numérique pendant que l'appareil est en charge, et l'empêchent de passer en mode veille. Ces deux applications ont été supprimées du Play Store après l'annonce de leur découverte. 3,99 GRATUITE GRATUITE 7. WeliveSecurity ; Robert Lipovsky ; Android malware worm catches unwary users ; 30 avril 2014 ; http://www.welivesecurity.com/2014/04/30/android-sms-malware-catches-unwary-users/ 8. Naked Security ; Paul Ducklin ; Anatomy of an Android SMS virus - watch out for text messages, even from your friends! ; 29 juin 2014 ; http://nakedsecurity.sophos.com/2014/06/29/anatomy-of-an-android-sms-virus-watch-out-for-text-messages-even-from-your-friends/ 9. Android Police ; Michael Crider ; The #1 New Paid App In The Play Store Costs $4, Has Over 10,000 Downloads, A 4.7-Star Rating... And It’s A Total Scam [Updated]; 10 avril 2014 ; http://www.androidpolice.com/2014/04/06/the-1-new-paid-app-in-the-play-store-costs-4-has-over-10000-downloads-a-4-7-starrating-and-its-a-total-scam/ 10. Lookout Blog ; Meghan Kelly ; Cloned banking app stealing usernames sneaks into Google Play ; 24 juin 2014 ; https://blog.lookout.com/blog/2014/06/24/bankmirage/ 11. ZDNet ; Liam Tung ; Google yanks two battery-sucking Bitcoin mining Android apps from Play store ; 28 mars 2014 ; http://www.zdnet.com/google-yanks-two-battery-sucking-bitcoin-mining-android-apps-from-play-store-7000027828/ 13 H1 2014 MALWARE MAC nouvelles variantes de logiciels malveillants sur Mac au total ont été découvertes entre JANVIER ET JUIN 2014 19 10 9 nouvelles, uniques variantes ont été découvertes rien qu'au cours des deux premiers mois 24 % Cheval de Troie Ce rythme s'est ralenti vers la fin du premier semestre, les logiciels malveillants sur Mac arrivant souvent par vague. 0 AVRIL variantes 1 3 2 MARS 13 sur 25 FÉVRIER JANVIER 16 % Autres JUIN 60 % Backdoor MAI 60 Q 16 24 + 25 mask appartiennent à 2 utilisées pour des attaques ciblées 5 nouvelles familles LAOSHU La famille LaoShu (qui signifie littéralement rat ou souris en chinois) est un cheval de Troie avec accès à distance qui se propage via de fausses notifications d'e-mails. 3 affectent des utilisateurs de Mac normaux coinstealer RESSOURCES La famille Coinstealer est un voleur de bitcoins qui prend l'apparence d'une application[3] permettant d'accéder aux informations sur les transactions de MtGox. Elle a été diffusée via le compte Reddit et le blog personnel piratés du PDG de Reddit[4] après la mise hors ligne d'un échange de bitcoins, sans explications[5]. Elle semble avoir tenté de profiter de l'état psychologique des clients de MtGox qui voulaient obtenir davantage de détails sur le moment. 1. La famille Mask appartient à une opération de cyber-espionnage du nom de « The Mask ». Elle cible les institutions gouvernementales et les entreprises du secteur énergétique. clientsnow La famille Clientsnow est liée à GhostNet. Il s'agit de l'une des nombreuses familles de logiciels malveillants sur Mac utilisées dans le cadre d'attaques ciblées contre les communautés tibétaines et ouïgoures. cointhief La famille CoinThief est un cheval de Troie espion qui vole les crypto-monnaies. Depuis le deuxième trimestre 2013, il est parvenu à se propager sans se faire remarquer via BitTorrent, prenant l'apparence de versions crackées d'applications OS X populaires. Mais ce cheval de Troie a changé de tactique en 2014, et a commencé à se répandre par l'intermédiaire d'applications de crypto-monnaies piratées, trouvées dans des référentiels en ligne comme Github, ainsi que des sites de téléchargement populaires, comme downloads.com. Ce changement de tactique s'est avéré efficace, car les personnes qui recherchent des applications de cryptomonnaies sont plus à même de posséder déjà de la cryptomonnaie[1]. Et la plupart d'entre elles ne s'attendent pas à trouver des applications victimes d'un cheval de Troie sur des sites de téléchargement légaux. Ceci a affecté un nombre important d'utilisateurs, et a finalement engendré la découverte de la famille[2]. *REMARQUE : les nombres indiqués représentent les variantes uniques détectées. Cela signifie que les outils d'installation « reconditionnés » ne sont pas comptabilisés, et que les logiciels malveillants multi-composants comptent pour un. Twitter ; Broderick Aquilino ; 12 février 2014 ; https://twitter.com/BrodAquilino/status/433529401699864576 2. Threatpost ; Michael Mimoso ; Mac Trojan Steals Bitcoin Wallet Credentials ; 10 février 2014 ; http://threatpost.com/mac-trojan-steals-bitcoin-wallet-credentials/104152 3. Wikipedia ; Front and back office application ; 24 mars 2014 ; http://en.wikipedia.org/wiki/Front_and_back_office_application 4. Forbes ; Andy Greenberg ; Hackers Hit Mt. Gox Exchange’s CEO, Claim To Publish Evidence Of Fraud ; 9 mars 2014 ; http://www.forbes.com/sites/andygreenberg/2014/03/09/hackers-hit-mt-gox-exchanges-ceo-claim-to-publish-evidence-of-fraud/ 5.14Forbes ; Andy Greenberg ; Bitcoin’s Price Plummets As Mt. Gox Goes Dark, With Massive Hack Rumored ; 25 février 2014 ; http://www.forbes.com/sites/andygreenberg/2014/02/25/bitcoins-price-plummets-as-mt-gox-goes-dark-with-massive-hack-rumored/ sources Calendrier des incidents Liberté numérique 1. The Guardian ; Spencer Ackerman, James Ball ; Optic Nerve: millions of Yahoo webcam images intercepted by GCHQ ; 2. 3. 4. 5. 6. 7. 8. 28 février 2014 ; http://www.theguardian.com/world/2014/feb/27/ gchq-nsa-webcam-images-internet-yahoo Arstechnica ; Sean Gallagher ; Turkey now trying to block YouTube as social media crackdown continues ; 28 mars 2014 ; http://arstechnica.com/tech-policy/2014/03/turkey-now-tryingto-block-youtube-as-social-media-crackdown-continues/ Reuters ; Thai ministry sparks alarm with brief block of Facebook ; 28 mai 2014 ; http://in.reuters.com/article/2014/05/28/ thailand-politics-facebook-idINKBN0E80U520140528 Arstechnica ; Sean Gallagher ; NSA loves The Bahamas so much it records all its cellphone calls ; 21 mai 2014 ; http://arstechnica. com/tech-policy/2014/05/nsa-loves-the-bahamas-so-much-itrecords-all-its-cellphone-calls/ Guardian ; Glenn Greenwald ; How the NSA tampers with USmade internet routers ; 12 mai 2014 ; http://www.theguardian. com/books/2014/may/12/glenn-greenwald-nsa-tampers-usinternet-routers-snowden BBC ; Joe Miller ; Iraq blocks Facebook and Twitter in bid to restrict Isis ; 16 juin 2014 ; http://www.bbc.com/news/ technology-27869112 CNET ; Micheal Tan ; After Thailand’s coup, a stifling of online dissent (Q&A) ; 12 juin 2014 ; http://www.cnet.com/news/behindthailands-high-tech-coup-stifling-online-dissent-q-a/ BBC ; YouTube access restored in Turkey ; 4 juin 2014 ; http://www.bbc.com/news/technology-27691892 Sécurité 17. F-Secure Weblog ; Sean Sullivan ; FISA Transparency ; 4 février 2014 ; http://www.f-secure.com/weblog/archives/00002666.html 18. F-Secure Weblog ; Sean Sullivan ; TrustyCon Video ; 28 février 2014 ; http://www.f-secure.com/weblog/archives/00002679.html 19. ZDNet ; Larry Seltzer ; Windows XP dies at 12 1/2 after long illness ; 8 avril 2014 ; http://www.zdnet.com/windows-xp-dies-at12-12-after-long-illness-7000028134/ 20. BBC ; Leo Kelion ; eBay makes users change their passwords after hack ; 21 mai 2014 ; http://www.bbc.com/news/ technology-27503290 21. PCWorld ; Mark Hachman ; Microsoft simplifies security updates with MyBulletins ; 28 mai 2014 ; http://www.pcworld.com/ article/2207346/microsoft-simplifies-security-updates-withmybulletins.html 22. PC Mag ; Stephanie Mlot ; Google launches ‘right to be forgotten’ form ; 30 mai 2014 ; http://www.pcmag.com/ article2/0,2817,2458736,00.asp 23. Forbes ; Ben Kepes ; No More Scroogled, No More NSA, Google Apps Gets Encryption ; 21 mai 2014 ; http://www.forbes.com/ sites/benkepes/2014/05/21/no-more-scroogled-no-more-nsagoogle-apps-gets-encryption/ 24. The Guardian ; Dominic Rushe ; Edward Snowden calls for greater online privacy in Reset the Net campaign ; 5 juin 2014 ; http:// www.theguardian.com/world/2014/jun/05/edward-snowdenprivacy-reset-the-net POURSUITES Attaques 9. Forbes ; James Lyne ; Yahoo Hacked And How To Protect Your Passwords ; 31 janvier 2014 ; http://www.forbes.com/sites/ jameslyne/2014/01/31/yahoo-hacked-and-how-to-protect-yourpasswords/ 10. Arstechnica ; Dan Goodin ; Hackers hijack 300,000-plus wireless routers, make malicious changes ; 4 mars 2014 ; http://arstechnica.com/security/2014/03/hackers-hijack-300000plus-wireless-routers-make-malicious-changes/ 11. Reuters ; Bitcoin bank Flexcoin shuts down after theft ; 4 mars 2014 ; http://www.reuters.com/article/2014/03/04/us-bitcoinflexcoin-idUSBREA2329B20140304 12. TechRadar ; Stu Robarts ; Windigo malware attack infects 25,000 servers ; 19 mars 2014 ; http://www.techradar.com/ news/computing/windigo-malware-attack-infects-25-000servers-1235128 13. NYTimes ; Nicole Perlroth ; Heartbleed exploited to hack VPN device ; 18 avril 2014 ; http://bits.blogs.nytimes.com/2014/04/18/ heartbleed-internet-security-flaw-used-in-attack/?_php=true&_ type=blogs&_r=0 14. The Australian ; Cyber attacks on the rise ; 29 mai 2014 ; http://www. theaustralian.com.au/news/latest-news/cyber-attacks-on-therise/story-fn3dxiwe-1226936311311?nk=9a4d4fc48406e6e6a41b8e1 4de5fa4d6 15. KrebsonSecurity ; Brian Krebs ; True Goodbye: ‘Using TrueCrypt Is Not Secure’ ; 29 mai 2014 ; http://krebsonsecurity. com/2014/05/true-goodbye-using-truecrypt-is-not-secure/ 16. The Register ; Darren Pauli ; Massive DDoS attack hits Hong Kong ; 23 juin 2014 ; http://www.theregister.co.uk/2014/06/23/ most_sophisticated_ddos_strikes_hk_democracy_poll/ 25. United States Department of Justice ; Cyber Criminal Pleads Guilty to Developing and Distributing Notorious Spyeye Malware ; 28 juin 2014 ; http://www.justice.gov/opa/pr/2014/ January/14-crm-091.html 26. United States Department of Justice ; Leader and Co-Conspirator of Android Mobile Device App Piracy Group Plead Guilty ; 24 mars 2014 ; http://www.justice.gov/opa/pr/2014/March/14crm-303.html 27. United States Department of Justice ; Nine Charged in Conspiracy to Steal Millions of Dollars Using “Zeus” Malware ; 11 avril 2014 ; http://www.justice.gov/opa/pr/2014/April/14crm-375.html 28. The Register ; Simon Sharwood ; ‘Anons’ cuffed by Australian Federal Police ; 22 mai 2014 ; http://www.theregister. co.uk/2014/05/22/anons_cuffed_by_australian_federal_police/ 29. The Register ; Iain Thomson ; US authorities name five Chinese military hackers wanted for espionage ; 19 mai 2014 ; http://www.theregister.co.uk/2014/05/19/us_authorities_name_ five_chinese_military_hackers_wanted_for_espionage/ 30. SC Magazine UK; Doug Drinkwater ; 100 hackers arrested over Blackshades Trojan ; 19 mai 2014 ; http://www.scmagazineuk.com/100-hackers-arrested-overblackshades-trojan/article/347488/ 31. Info Security ; ‘Oleg Pliss’ Apple Hackers Could Be Behind Bars ; 10 juin 2014 ; http://www.infosecurity-magazine.com/news/olegpliss-apple-hackers-could-be/ 32. United States Department of Justice ; U.S. Leads Multi-National Action Against “Gameover Zeus” Botnet and “Cryptolocker” Ransomware, Charges Botnet Administrator ; 2 juin 2014 ; http://www.justice.gov/opa/pr/2014/June/14-crm-584.html 15 Logiciels malveillants 33. Malware Must Die ; Threat Intelligence - New Locker: Prison Locker (aka: Power Locker ..or whatever those bad actor call it) ; 3 janvier 2014 ; http://blog.malwaremustdie.org/2014/01/ threat-intelligence-new-locker-prison.html 34. F-Secure Weblog ; Sean Sullivan ; Gameover ZeuS Jumps on the Bitcoin Bandwagon ; 14 mars 2014 ; http://www.f-secure.com/ weblog/archives/00002685.html 35. InfoSec Handlers Diary Blog ; Johannes Ullrich ; Linksys Worm “TheMoon” Summary: What we know so far ; 13 février 2014 ; https://isc.sans.edu/diary/Linksys+Worm+%22TheMoon%22+Sum mary%3A+What+we+know+so+far/17633 36. F-Secure Weblog ; Coremex Innovates Search Engine Hijacking ; 1 avril 2014 ; http://www.f-secure.com/weblog/ archives/00002689.html 37. Android Police; Michael Crider; The #1 New Paid App In The Play Store Costs $4, Has Over 10,000 Downloads, A 4.7-Star Rating... And It’s A Total Scam [Updated] ; 10 avril 2014 ; http://www.androidpolice.com/2014/04/06/the-1-new-paid-appin-the-play-store-costs-4-has-over-10000-downloads-a-4-7-starrating-and-its-a-total-scam/ 38. F-Secure Weblog ; “Police Ransomware” Expands To Android Ecosystem ; 15 mai 2014 ; http://www.f-secure.com/weblog/ archives/00002704.html 39. F-Secure Weblog ; Broderick Aquilino ; BlackEnergy Rootkit, Sort Of; 13 juin 2014 ; http://www.f-secure.com/weblog/ archives/00002715.html 40. F-Secure Weblog ; Daavid Hentunen ; Havex hunts ICS/SCADA systems ; 23 juin 2014 ; http://www.f-secure.com/weblog/ archives/00002718.html Vulnérabilités 41. ZDNet ; Violet Blue ; Major Apple security flaw: Patch issued, users open to MITM attacks ; 22 février 2014 ; http://www.zdnet. com/major-apple-security-flaw-patch-issued-users-open-tomitm-attacks-7000026624/ 42. KrebsonSecurity ; Brian Krebs ; Microsoft Warns of Attacks on IE Zero-Day ; 27 avril 2014 ; http://krebsonsecurity.com/2014/04/ microsoft-warns-of-attacks-on-ie-zero-day/ 43. PCWorld ; Ian Paul ; Adobe releases emergency Flash patch for Windows and OS X systems; 8 février 2014 ; http://www.pcworld.com/article/2027624/adobe-releasesemergency-patch-for-windows-and-os-x-systems.html 44. Arstechnica ; Dan Goodin ; Zero-day vulnerability in Microsoft Word under active attack ; 25 mars 2014 ; http://arstechnica.com/security/2014/03/zero-day-vulnerabilityin-microsoft-word-under-active-attack/ 45. CNet ; Richard Nieva ; Heartbleed bug: What you need to know (FAQ) ; 11 avril 2014 ; http://www.cnet.com/news/heartbleed-bugwhat-you-need-to-know-faq/ 46. KrebsonSecurity ; Brian Krebs ; Critical Java Update Plugs 37 Security Holes ; 16 avril 2014 ; http://krebsonsecurity. com/2014/04/critical-java-update-plugs-37-security-holes/ 47. Bit-tech; Gareth Halfacree ; Windows XP gets first post-EOL security patch ; 2 mai 2014 ; http://www.bit-tech.net/news/ bits/2014/05/02/winxp-eol-patch/1 48. SCMagazine ; Marcos Colon ; Tech giants to fund vital projects ; 29 mai 2014 ; http://www.scmagazine.com/core-infrastructureinitiative-to-fund-openssl-audit/article/349068/ 16 SWITCH ON FREEDOM © F-Secure Corporation 2014. Tous droits réservés. 17