Dans l'un des dossiers, une cible a été amenée à verser 15,4 millions de dollars - Flickr - CC Commons

Interpol a annoncé lundi 1er août l'arrestation au Nigeria d'un homme soupçonné d'avoir escroqué en ligne des centaines de victimes dans le monde pour un montant de plus de 60 millions de dollars.

Un homme soupçonné d'avoir escroqué en ligne des centaines de victimes dans le monde a été arrêté à Port-Harcourt au Nigéria, a annoncé Interpol lundi 1er août. Il aurait fait main basse sur plus de 60 millions de dollars. L'organisation de coopération policière internationale a indiqué:

"Le Nigérian âgé de 40 ans et connu sous le nom de Mike serait derrière des arnaques totalisant plus de 53 millions d'euros et impliquant des centaines de victimes dans le monde. Dans l'un des dossiers, une cible a été amenée à verser 15,4 millions de dollars".

Une quarantaine de membres infiltrés dans des PME

Interpol a précisé que le réseau démantelé comprenait au moins une quarantaine de membres au Nigeria, en Malaisie et en Afrique du Sud, qui fournissaient les logiciels malveillants et commettaient les fraudes

"Le réseau s'est infiltré dans des comptes de courrier électronique de petites et moyennes entreprises dans le monde, notamment en Australie, au Canada, en Inde, en Malaisie, en Roumanie, en Afrique du Sud, en Thaïlande et aux Etats-Unis", selon le communiqué.  source 

(Crédits : © Regis Duvignau / Reuters)

Le système informatique de la Federal Deposit Insurance Corporation (FDIC), qui garantit les dépôts bancaires américains, a été piraté "par un gouvernement étranger, probablement le gouvernement chinois", selon un rapport publié par la commission des Sciences de la chambre des représentants.

Des pirates informatiques probablement liés aux autorités chinoises ont pénétré au début de la décennie dans les ordinateurs d'un régulateur bancaire américain, y compris celui de sa présidente, selon une commission du Congrès américain.

Le système informatique de la Federal Deposit Insurance Corporation (FDIC), qui garantit les dépôts bancaires américains, a été piraté "par un gouvernement étranger, probablement le gouvernement chinois", selon un rapport publié par la commission des Sciences de la chambre des représentants.

L'ordinateur de la présidente piraté

Le piratage incluait même "l'ordinateur de l'ancienne présidente", selon le rapport de cette commission à majorité républicaine.

La première contamination a été décelée en 2010, avec d'autres détections en 2011 puis en 2013, selon le rapport qui s'appuie sur un document de l'inspection générale de la FDIC.

"Au total, 12 ordinateurs ont été contaminés et dix serveurs de la FDIC ont été pénétrés et infectés par un virus créé par un pirate", selon le rapport de la commission parlementaire.

Accord entre Washington et Pékin pour lutter contre le piratage informatique

Les Etats-Unis et la Chine ont annoncé en septembre 2015 être tombés d'accord pour lutter contre le piratage informatique, un des plus gros contentieux entre Washington et Pékin.

Les Etats-Unis reprochent à la Chine d'utiliser le butin de ses cyber-espions pour avantager les entreprises chinoises et fausser la concurrence. En avril, l'amiral Michael Rogers, chef du cyber-commandement du Pentagone, avait estimé que les Chinois restaient "engagés dans des activités contre les entreprises américaines".

"La question qui reste posée est de savoir si les fruits de ces activités sont ensuite partagés avec les entreprises privées chinoises", a-t-il déclaré. "Nous n'avons pas la réponse définitive".

La commission des Sciences de la chambre des représentants reproche à la FDIC d'être déficiente en matière de sécurité informatique.

Elle mettra sur le grill jeudi dans une audition à Washington le président actuel de la FDIC, Martin Grueberg, et son inspecteur général, Fred Gibson, pour des problèmes de sécurité informatique plus récents.

 

Depuis la disponibilité de la Livebox v4, le module SFP est aux abonnés absents. (crédit : S.L.)

Mais où est donc passé l’adaptateur fibre optique SFP de la Livebox v4 d’Orange qui devait remplacer l'encombrant boitier ONT de la précédente box. Lors de son dernier show Hello, le PDG d’Orange Stéphane Richard avait bien mis en avant ce détail, l’arrivée d'un convertisseur optique de la taille d’une clef USB qui s’insère à l’arrière de la box. Et à l’occasion d’un point presse de l’opérateur en mai dernier, les équipes techniques de l’opérateur nous avait étrangement bien précisé que, lors de la commande la box v4, il était nécessaire de préciser qu’elle était destinée une liaison fibre optique car le module SFP n’est pas inclus par défaut. A la réception de la Livebox v4, en remplacement d’un v3 qui devait repartir, j’ai conservé le boitier ONT en prévision d’un oubli de la part des services commerciaux de l’opérateur. Lors de ma commande par téléphone, j’avais pourtant bien indiqué que j’avais un abonnement Jet fibre optique et que l’adaptateur SFP était nécessaire. Ce qui n’est bien sûr pas le cas avec l’ADSL.

Faute de convertisseur SFP dans le package , j’ai réutilisé mon ancien boitier ONT mais sans cette précaution ma Livebox V4 aurait été totalement inutile puisque incapable de se connecter au brin optique. Un contact par tchat avec le support technique d’Orange début juin a été particulièrement vain puisque mon interlocuteur ne comprenait pas ma demande et a fini par me dire que je devais aller dans une boutique Orange pour récupérer ce fameux module SFP. Un déplacement totalement inutile puisque le responsable de l'agence m’a répondu que les adaptateurs n’étaient pas disponibles et qu’il ne savait absolument pas quand ils arriveraient.

Orange fait fuir les power users

Un email envoyé au directeur des relations presse, publiques et extérieures d’Orange Benoit Pernin a lui aussi été particulièrement superfétatoire puisque la réponse a été la suivante : « Le nouvel adaptateur fibre fourni par Orange (ONT SFP) est actuellement proposé dans quelques zones géographiques, puis le sera courant 2016 sur l’ensemble de la France métropolitaine. Le nouvel adaptateur fibre n’est pas disponible en boutique ni fourni avec les équipements. » Nous avons donc d’un coté les annonces marketing et de l’autre la dure réalité du terrain. Après un petit tour sur différents forums, je me suis aperçu que je n’étais pas le seul concerné par ce problème de module SFP aux abonnés absents. Je précise pour finir qu’aucun sous-traitant d’Orange n’est intervenu pour installer la box v4 à mon domicile.

Je reviendrai plus longuement sur cette box avec un test car, si les débits sont élevés, certaines fonctionnalités sont laborieuses et vraiment ratées pour un geek (NAS sans intérêt, espace cloud Orange riquiqui, module femtocell toujours externe, boitier TV anémique en HD, gestion des restrictions pénible...). Mais avec un abonnement facturé près de 60€ par mois, sans compter les options, la cible d'Orange est certainement monsieur ou madame Michu...

Des chercheurs en sécurité ont découvert un nouveau malware furtif qui utilise des méthodes très sophistiquées de camouflage pour échapper à la détection et préparer le terrain pour introduire d'autres composants logiciels malveillants dans les réseaux d'entreprises d'énergie à des fins d'espionnage.

Les entreprises du secteur de l'énergie sont encore la cible d'un malware. Après le malware Killdisk en décembre dernier qui a permis à des pirates à s'introduire sur le réseau des fournisseurs d'énergie ukrainiens, un autre vient d'être découvert. Le programme malveillant, que les chercheurs de l’entreprise de sécurité SentinelOne ont surnommé Furtim’s Parent, a les caractéristiques d’un dropper, c’est à dire un programme conçu pour télécharger et installer des composants et des outils malveillants supplémentaires. Les chercheurs pensent qu'il a été mis en circulation en mai et qu’il a été très probablement créé par des attaquants parrainés par un état. La fonction des droppers est de préparer le terrain pour installer ensuite d'autres composants logiciels malveillants qui pourront réaliser des tâches spécifiques. Leur priorité est de ne pas se faire détecter, d’obtenir des privilèges d’accès, et de désactiver les protections existantes. Autant de tâches que le Furtim’s Parent accomplit parfaitement bien. Quand il est exécuté pour la première fois sur un système, le malware commence par tester l'environnement. Il fait l’inventaire des machines virtuelles, des sandbox, des programmes antivirus, des pare-feu, des outils utilisés par les analystes en sécurité pour repérer les malware et recherche même les logiciels de biométrie.

La batterie de tests est très étendue. Ils consistent aussi bien à vérifier les listes noires dans l’identifiant de la CPU, les hostnames, les noms de fichiers, les bibliothèques DLL, que les répertoires, les caractéristiques de base de la CPU, les pilotes du noyau, les processus en cours, la référence du disque dur, les cartes réseau, les adresses MAC et les informations BIOS, tous les artefacts laissés par des applications de virtualisation et des applications de sécurité connues. Dans certains cas, quand le malware détecte ce type logiciel, il se met en veille. Dans d'autres cas, il continue à fonctionner, mais limite son action et, s’il détecte des programmes antivirus, il essaye de les désactiver. L’étendue et la complexité de ces tests suggèrent que les créateurs du malware connaissent très bien Windows et les produits de sécurité. Ce qui fait dire aux chercheurs que Furtim’s Parent a été créé par plusieurs développeurs de haut niveau qui ont également accès à des ressources considérables.

Une installation sous forme de flux de données NTFS

Le malware ne s'installe pas sous forme de fichier sur le disque, mais en tant que flux de données NTFS alternatif (ADS). Ce flux est activé très tôt dans le processus de démarrage d’un ordinateur et fait intervenir des API Windows de bas niveau non documentées pour contourner les routines de détection de comportement utilisées par les produits de sécurité. « L'utilisation d'appels de sous-routines indirects rend presque impossible l’analyse statique manuelle, et l'analyse dynamique manuelle est lente et laborieuse », ont déclaré mardi dans un blog les chercheurs de SentinelOne. « L'auteur du malware  a pris un soin particulier à protéger aussi longtemps que possible cet échantillon de la détection ».

Le malware utilise deux exploits d'escalade de privilèges de Windows, l’un corrigé en 2014 et l’autre en 2015 par Microsoft, associés à une technique de contournement déjà connue, dite de contrôle de compte utilisateur (UAC) pour obtenir des privilèges administrateur. Quand cet accès est obtenu, le malware ajoute l'utilisateur au groupe Administrateurs pour éviter une connexion sous un autre compte qui pourrait éveiller les soupçons. Une fois installé, le logiciel malveillant désactive sans se faire repérer les couches de protection de plusieurs produits antivirus et détourne les paramètres DNS du système pour empêcher l'accès à des serveurs spécifiques de mise à jour de l'antivirus. Ensuite, le terrain est prêt pour le téléchargement et l'exécution des charges utiles.

Un dropper qui permet aussi de télécharger des documents

Une charge utile observée par les chercheurs de SentinelOne était utilisée pour recueillir des informations sur les systèmes infectés et pour les renvoyer à un serveur de commande et de contrôle. L’outil était très probablement un outil de reconnaissance, mais le dropper peut également être utilisé pour télécharger des composants qui permettent d’extraire des données sensibles ou d'effectuer des actions destructrices. Les producteurs et distributeurs d'énergie sont une cible intéressante pour des attaquants parrainés par un État parce qu’ils peuvent éventuellement causer des dommages physiques sur les installations, comme ce qui s'était donc passé en Ukraine.