Accueil Le blog

Go spy, GO! Popular app with 200M+ users crosses the red line

Have you ever thought that your keyboard could be a professional spy? And we are not talking about jamesbondish handsome spies from Hollywood movies, but about the overt and constant home phoning of the personal information with its future distribution to third parties. Our recent research discovered a popular Android keyboard to spy on its users, with tons of personal information being sent to remote servers and using a prohibited technique to download dangerous executable code.

The goal of the research was to investigate keyboards’ traffic consumption, unwanted behavior and demonstration of ads, and what users’ private data they send to their servers and third-parties. We decided to test keyboard apps after the recent story with TouchPal, a keyboard, that started showing ads to HTC devices users right in the typing area. Why does it matter? A keyboard is an input tool wherethrough almost all your valuable private data passes. Just imagine, you enter your logins, passwords, texts of emails, and messages using your keyboard, and then – everything is sent (maybe even sold) to third-parties. GO Keyboard has become an absolute “champion” in this field. This app offers a “smart” keyboard with various colorful and attractive themes. It has 200M+ users all over the world and is developed by the Chinese GOMO Dev Team.

How did we conduct the research

Besides being a popular ad blocker and a privacy protection utility, AdGuard for Android is also an excellent tool for inspecting the apps’ traffic. The mighty filtering log shows you what exact web requests do your apps send, and the option to record a HAR (Http Archive) file lets you look into the request’s body.

The Mighty Filtering Log

What you should know about the notorious Go keyboard

  • It has 2 versions (first, second) in Google play;
  • It has 200M+ downloads;
  • It advertises itself as “We will never collect your personal info including credit card information. In fact, we cares for privacy of what you type and who you type!”:
  • Its privacy policy contradicts this statement;
  • It communicates with dozens of third-party trackers and ad networks. It also downloads over 14 MB of data and sends quite a lot of information about you right after the installation.
  • It has access to sensitive data including your identity, phone calls log, contacts, microphone.

Unfortunately, everything listed above is a norm nowadays. Recent research showed that 7 in 10 mobile apps share your data with third-party services. However, this developer crossed the red line and directly violated the Google Play content policies – malicious behavior section.

The red line

Apps that steal a user’s authentication information (such as usernames or passwords) or that mimic other apps or websites to trick users into disclosing personal or authentication information.

Without explicit user consent, the GO keyboard reports to its servers your Google account email in addition to language, IMSI, location, network type, screen size, Android version and build, device model, etc.

GO Steals Your Email

Apps or SDKs that download executable code, such as dex files or native code, from a source other than Google Play.

Shortly after the installation, both apps downloaded and executed code from a remote server, directly violating this policy. Some of the downloaded plugins are marked as Adware or PUP by multiple AV engines.

GO Downloading Adware

What’s important, given the apps’ extensive permissions, remote code execution introduces severe security and privacy risks. At any time the server owner may decide to change the app behavior and not just steal your email address, but do literally whatever he or she wants. Remember, it’s a keyboard, and every important bit of information you enter goes through it!

We informed Google of these violations and are waiting for their reaction. Whatever their decision is, we find this behavior unacceptable and dangerous. Having 200+ Million users does not make an app trustworthy. Do not blindly trust mobile apps and always check their privacy policy and what permissions do they require before the installation.

HAR files and plugins are available here.

adguard

CCleaner victime d’un second malware

 

©Priform.jpg

En matière de cybersécurité, l’année 2017 est décidément celle de tous les dangers. Avec 2,27 millions d’utilisateurs touchés, l’attaque contre CCleaner n’était déjà pas passée inaperçue, d’autant que le logiciel star de Piriform est tombé sous le giron de l’éditeur d’antivirus Avast. L’entreprise s’est voulue rassurante et nous a même contactés suite à notre article pour démentir les propos de Cisco Talos : « Cisco prétend que vous devez restaurer votre système pour supprimer la menace. Ceci est incorrect. La mise à jour vers CCleaner 5.34 supprime les logiciels malveillants qui ne peuvent plus nuire, car le serveur a été arrêté par Avast. Dans le cas de CCleaner Cloud, le logiciel a été mis à jour automatiquement. Nous croyons que nos utilisateurs sont à présent en sécurité, car notre enquête indique que nous avons pu désarmer la menace avant qu’elle ne puisse nuire ».  Avast semble s’être avancé un peu vite…

Une attaque de très grande envergure

Entre-temps, le groupe de chercheurs de Cisco a continué à analyser l’attaque. Ils ont découvert que le malware était plus sophistiqué que ce qu’ils pensaient et qu’il contenait une seconde charge malveillante. Leur rapport révèle qu’il s’agit d’une menace persistante nécessitant d’importantes ressources et que cette dernière ciblait notamment de grandes entreprises high-tech telles que Intel, HTC, Microsoft, Sony Samsung, Epson, Linksys et même… Cisco. Rien que pour la période du 12 au 16 septembre, 700 000 utilisateurs auraient été contaminés par le malware, mais seulement une vingtaine de machines auraient exécuté la seconde charge malveillante durant cette période. Suite à ces résultats, les chercheurs réitèrent leurs recommandations précédentes : « Les personnes touchées par cette attaque ne devraient pas simplement supprimer la version affectée ou mettre à jour la dernière version (5.34), mais restaurer leur système depuis une sauvegarde ou une image système pour être certains d’éradiquer non seulement la backdoor, mais également tout autre malware ». Distribuée depuis le 15 août dernier, la version 5.33 a été potentiellement téléchargée près de 5 millions de fois par semaine. Si vous avez téléchargé cette version, il convient donc de restaurer votre système à une date antérieure au 15 août. Cette nouvelle attaque n’a pas fini de faire parler d’elle…

Données personnelles : les Français de plus en plus inquiets

Les Français s’inquiètent du sort réservé à leurs données personnelles sur Internet, selon un sondage réalisé par l’institut CSA, publié mercredi 20 septembre.

Neuf Français sur dix se disent « préoccupés par la protection des données personnelles sur Internet », en hausse de cinq points depuis 2014, date d’une étude similaire réalisée par l’institut. Selon CSA, cela peut s’expliquer par « la couverture médiatique consacrée au hacking et aux cyberattaques, mais aussi à l’activité de plus en plus intense des Français sur la Toile ».

Les Français sont cependant plus optimistes que l’on pourrait le penser, puisque la part de ceux qui pensent que la sécurité des données personnelles sur Internet s’est améliorée a augmenté de neuf points par rapport à 2014 (26 %) quand celle des Français qui pensent qu’elle s’est dégradée s’est effondrée de quatorze points (28 %).

Défiance envers les réseaux sociaux

Le sondage a été réalisé en ligne sur un échantillon représentatif de la population française. Le fait que ce panel soit uniquement constitué d’internautes n’a pas d’incidence sur sa représentativité, fait-on valoir au Consumer science and analytics (CSA), où l’on estime que le taux d’équipement très élevé des Français fait de la quasi-intégralité d’entre eux des internautes.

Les banques sont l’institution dans laquelle les Français ont le plus confiance pour protéger leurs données personnelles. Mais la proportion (53 %) reste basse, preuve du grand scepticisme dont ils font preuve face aux organismes qui gèrent leurs données. Les réseaux sociaux sont ceux qui s’en sortent le plus mal : seuls 10 % des Français leur font confiance pour protéger leurs données.

Le piratage des données bancaires est paradoxalement l’inquiétude la plus fréquemment citée par les personnes interrogées (huit sur dix), et la crainte principale de près de la moitié des sondés. L’utilisation sans leur consentement d’informations personnelles ou la protection des enfants sur Internet sont aussi des points d’inquiétude évoqués par les personnes interrogées.

Les enseignements de ce sondage confirment ceux d’une étude similaire réalisée en juin dans laquelle les Français se disaient de plus en plus précautionneux avec leurs données personnelles.

Les jeunes sont les plus inquiets

L’institut CSA met en exergue les réponses de jeunes (18-24 ans) pour les comparer à celles du reste de la population. Les proportions obtenues et citées ici doivent être prises avec précaution en raison de la taille réduite de ce sous-échantillon, mais elles permettent d’évaluer un ordre de grandeur.

Contrairement à certaines idées reçues, le niveau d’inquiétude des 18-24 ans est similaire à celui du reste de la population concernant la protection de leurs données personnelles sur Internet. Ils sont même plus nombreux (39 % contre 46 %) à se dire « très préoccupés » par cette question et ont, bien davantage que le reste de la population (61 % contre 33 %), tenté « d’effacer des informations personnelles visibles sur le Web ». Ce dernier point, peut aussi être la conséquence de leur activité en ligne plus intense que les autres classes d’âge.

Certains Français ont acquis de bons réflexes en ligne pour protéger leurs données : 93 % d’entre eux mettent à jour leurs logiciels, au moins de temps en temps, même si seulement un peu plus de la moitié d’entre eux le fait « souvent ». Cependant, ils sont encore 13 % à utiliser un mot de passe identique pour tous leurs comptes en ligne, quand 61 % le réutilisent parfois.

Une augmentation de cinq points de ces deux catégories cumulées par rapport à 2014, que l’institut CSA estime être liée à « l’inflation des usages en ligne » : difficile en effet de varier les mots de passe quand le nombre de services auxquels on est inscrit explose.

Obsolescence programmée: une plainte déposée contre des fabricants d’imprimantes

 

Obsolescence programmée: une plainte déposée contre des fabricants d'imprimantes

L’association Halte à l’Obsolescence Programmée (HOP) met en cause plusieurs marques, dont Canon, HP ou Epson, qu’elle accuse de «raccourcir délibérément la durée de vie des imprimantes et des cartouches».

Il s’agit d’une première en France, se félicite Halte à l’Obsolescence Programmée (HOP). L’association née en 2015 et spécialisée dans la lutte contre l’obsolescence programmée – une technique imputée aux fabricants pour réduire volontairement la durée de vie d’un produit et inciter le consommateur à acheter davantage – a déposé lundi une plainte auprès du Procureur de la République de Nanterre à l’encontre de plusieurs grandes marques d’imprimantes. Les fabricants HP, Canon, Brother et en particulier Epson sont cités dans cette plainte pour obsolescence programmée et tromperie, accusés par l’association de mettre en place des pratiques visant à «raccourcir délibérément la durée de vie des imprimantes et des cartouches».

Concrètement, parmi les techniques mises en cause, l’association affirme que «des éléments des imprimantes, tel que le tampon absorbeur d’encre, sont faussement indiqués en fin de vie» ou encore que «le blocage des impressions au prétexte que les cartouches d’encre seraient vides alors qu’il reste encore de l’encre». Or, depuis la loi sur la Transition énergétique de 2015, ce type de pratiques est désormais un délit. «L’obsolescence programmée est punie d’une peine de deux ans d’emprisonnement et de 300.000 euros d’amende», dit la loi. Précisément, le montant de l’amende peut atteindre 5% du chiffre d’affaires annuel moyen du fabricant contrevenant, «calculé sur les trois derniers chiffres d’affaires annuels connus à la date des faits».

L’association, qui appuie sa plainte sur une enquête qu’elle a réalisée durant plusieurs mois et dévoilée ce week-end, assure que «les pratiques dénoncées touchent l’ensemble des frabricants». Selon Me Emile Meunier, l’avocat de l’association cité dans un communiqué, «ces faits pourraient aussi révéler une entente illégale entre les fabricants d’imprimantes (…) Des millions de Français propriétaires d’imprimantes pourraient être lésés». L’association a informé l’Autorité de la concurrence de sa plainte. «Les imprimantes prêtes à jeter sont symptomatiques d’un modèle consumériste que nous dénonçons, mais cela concerne tous les secteurs, des collants aux machines à laver», déclare pour sa part Laetitia Vasseur, cofondatrice et déléguée générale de HOP.

Reste à voir, désormais, si la justice va donner suite à cette plainte. «À défaut, l’association envisage de se porter partie civile directement auprès du juge d’instruction», assure-t-elle. Sollicité par le Figaro, Epson France n’a pas souhaité «à ce jour faire de commentaires sur le sujet». De son côté, «Canon France a pris connaissance de la plainte et coopérera à toute demande éventuelle des autorités». «Canon est une entreprise responsable, notre activité et notre marque sont basées sur une croissance économique durable. Nous réduisons nos besoins en ressources naturelles, suivons attentivement l’évolution de l’économie et ses risques et respectons les communautés qui comptent sur nous», fait-on valoir au siège du groupe dans l’Hexagone. HP France, enfin, n’était pas immédiatement disponible pour répondre à nos questions.

Définition floue

Alors que, selon une étude de l’Ademe, à peine un Français sur cinq (18%) considère comme une évidence le fait de réparer un appareil électroménager ou high tech plutôt que de le jeter, le législateur a commencé à s’intéresser de près à l’obsolescence programmée depuis la loi Hamon de 2014 sur la consommation. Le texte a introduit l’obligation pour les fabricants et distributeurs d’informer le consommateur sur la durée de disponibilité des pièces de rechange, par le biais d’étiquettes en magasin ou sur les bons de commande. Mais sur près de 400 distributeurs contrôlés entre 2015 et 2016, plus de 6 établissements sur 10 présentaient «au moins une anomalie sur les différentes réglementations contrôlées», selon une récente enquête de la DGCCRF. Si bien qu’au printemps dernier, l’association de consommateurs UFC-Que Choisir a saisi le Conseil d’État afin de modifier le texte et prévoir des sanctions.

En 2015, la loi sur la Transition énergétique est allée plus loin en faisant de l’obsolescence programmée un délit. Problème: dès l’adoption de cette loi, de nombreux juristes ont souligné le fait que la définition même de l’obsolescence programmée retenue dans le texte restait floue et que le délit serait donc bien difficile à prouver dans le cas d’éventuelles poursuites judiciaires. L’Europe pourrait bien régler ce problème en adoptant sa propre loi. Le Parlement européen a en effet demandé cet été à la Commission de légiférer sur le sujet. Incitations fiscales pour privilégier la réparation, critères de résistance minimum… les pistes avancées par les eurodéputés à l’initiative de cette demande sont nombreuses. Elles sont désormais entre les mains de l’exécutif européen qui a assuré être «déjà en train de travailler sur certaines suggestions» sans préciser toutefois s’il comptait ou non légiférer sur la question.

lefigaro

CCleaner victime d’un malware

©CCleaner_1.jpg

Dire que CCleaner est une cible de choix pour les pirates informatiques est un euphémisme. Téléchargé plus de 2 milliards de fois, le logiciel de nettoyage et d’optimisation de Piriform distribué par Avast est l’un des plus populaires de la planète. Les hackers ont utilisé une technique de plus en plus courante consistant à s’attaquer non pas directement aux ordinateurs, mais aux serveurs de téléchargement en y installant une backdoor (porte dérobée). L’ironie de l’histoire, c’est que les serveurs en question appartiennent à Avast, l’un des éditeurs d’antivirus les plus populaires. L’attaque révélée par les chercheurs de Talos aurait touché 2,27 millions d’utilisateurs ayant téléchargé la version 5.33 (32 bits) de CCleaner. De son côté, Piriform déclare avoir pris depuis les mesures nécessaires pour désarmer la menace. L’éditeur invite toutefois les utilisateurs à effectuer au plus vite la nouvelle mise à jour 5.34.

Des attaques sophistiquées

Cette attaque d’une rare ampleur en rappelle une autre, perpétrée il y a quelques mois sur les serveurs de la société ukrainienne MEDOC pour propager le ransomware Petya. “Les attaquants tirent bénéfice de la confiance qu’accordent les consommateurs aux serveurs de téléchargement des mises à jour des éditeurs de logiciels“, déclare Talos. Les hackers semblent cibler de plus en plus les serveurs de distribution de mises à jour des entreprises afin de pouvoir diffuser plus facilement et à plus grande échelle des logiciels malveillants. Une tendance peu rassurante que les chercheurs en sécurité vont devoir surveiller de près.

lesnumeriques

Après le Xiaomi Mi A1, bientôt une déclinaison Android One pour le Motorola Moto X4

Motorola Moto X4 IFA 2017

Le programme Android One semble continuer de s’élargir avec la probable arrivée du Motorola Moto X4, qui a été dévoilé lors de l’IFA 2017.

On vous parlait il y a peu d’Android One visant l’entrée de gamme et plus récemment le milieu de gamme avec l’arrivée de Xiaomi dans le programme. Le Moto X4 devrait bientôt rejoindre le Xiaomi Mi A1 au sein de la gamme Android One.

Motorola Moto X4 sous Android One

L’information vient d’Evan Blass qui a simplement partagé une photo sur Twitter :

Il n’y a pas plus d’informations, mais on peut néanmoins affirmer qu’il s’agit bien d’un Moto X4 à un détail près, celui-ci possède l’appellation Android One au dos.

Si l’on se fie à la collaboration avec Xiaomi, qui a très simplement adapté son Xiaomi Mi 5X afin qu’il puisse entrer dans le programme Android One, on peut penser que ce Moto X4 en fera de même et gardera la plupart de ses caractéristiques.

On s’attend donc à un écran de 5,2 pouces Full HD, un SoC Snapdragon 630 couplé à 3 Go de RAM et 32 Go de stockage (extensible via une carte micro SD).

Fait intéressant, Android One semble monter en gamme après le Xiaomi Mi A1 qui se vend moins de 200 euros, ce Moto X4 coûte environ 400 euros dans sa version classique et on voit mal son prix chuter de moitié pour les beaux yeux d’Android One, surtout s’il garde ses caractéristiques d’origine.

Nous attendons donc d’en savoir plus au sujet de ce Motorola Android One qui pourrait bien être assez intéressant en fonction de ses caractéristiques finales.

erenumerique

Le gouvernement américain interdit Kaspersky dans les agences fédérales

 

image dediée

Le département américain de l’Intérieur (Department of Homeland Security) interdit depuis hier aux agences gouvernementales d’utiliser les produits de Kaspersky. La suite logique d’une séquence initiée en juillet. L’éditeur russe, de son côté, proteste de sa bonne foi.

Il y a deux mois, la General Services Administration rayait de ses listes les logiciels de sécurité de Kaspersky. Les administrations publiques devaient donc supprimer ces produits de leurs postes sous trois mois. Des craintes avaient été exprimées : la société russe était soupçonnée d’entretenir des liens approfondis avec le renseignement de son pays, le puissant FSB. Un article de Bloomberg étalait notamment des éléments troublants.

On se souvient que Kaspersky avait largement protesté, surtout par la voix de son PDG, Eugene Kaspersky. Ce dernier évoquait de « nombreuses allégations, interprétations erronées et erreurs ». Il qualifiait l’article de « bullshit », publié selon lui pour avancer un pion sur le vaste échiquier politique. En toile de fond, les tensions croissantes entre les États-Unis et la Russie.

Désormais, Kaspersky aura aussi maille à partir avec le DHS.

Après les administrations, les agences fédérales.

Le département américain de l’Intérieur a en effet interdit hier à l’ensemble des agences fédérales d’utiliser elles aussi les produits de l’éditeur.

Le communiqué du DHS, publié par Reuters, laisse peu de place au doute sur les raisons. Le ministère souligne le risque que « le gouvernement russe, en agissant seul ou en collaboration avec Kaspersky, puisse capitaliser sur les accès » fournis par l’éditeur russe « implique directement la sécurité nationale ». Et de rappeler que sa mission est avant tout de « s’assurer de l’intégrité et de la sécurité des systèmes d’informations fédéraux ».

Le Washington Post pointe de son côté que si les agences fédérales sont concernées, ce n’est pas le cas de l’armée. Un porte-parole de la Défense a cependant affirmé au journal que les produits de Kaspersky n’étaient généralement pas utilisés dans les installations militaires.

Comme pour la General Services Administration, les agences ont 90 jours pour supprimer Kaspersky de leurs ordinateurs.

Pour Kaspersky, ces décisions sont illogiques

L’entreprise, de son côté, se dit « déçue » par la décision du DHS. Elle compte communiquer plus tard sur le sujet, et indique même qu’elle présentera des informations « prouvant que ces allégations sont sans fondement ».

Kaspersky ne comprend pas pourquoi de telles décisions radicales. Travailler de manière si inappropriée « avec n’importe quel gouvernement se ferait au détriment de son activité », puisque 85 % de ses revenus proviennent des marchés extérieurs à la Russie. « Kaspersky n’a jamais aidé, et n’aidera jamais le moindre gouvernement dans son cyberespionnage ou ses cyberoffensives ». Elle ajoute qu’il est « déconcertant qu’une entreprise privée soit considérée coupable jusqu’à preuve de son innocence, à cause de problèmes géopolitiques ».

Tandis que des sénateurs américains, comme Jeanne Shaheen, se félicitent de cette prompte réponse à une « menace directe », Kaspersky évoque pour sa part une très mauvaise interprétation des lois russes. Ces derniers obligent bien à remettre au gouvernement certaines données, mais elles s’appliquent surtout au domaine des télécoms et fournisseurs d’accès, pas aux éditeurs de logiciels.

 

Un effet boule de neige en perspective

La société russe assiste progressivement à une vraie mise au ban de ses produits par le marché américain. Les signaux forts envoyés par le DHS et la GSA ne peuvent qu’avoir un impact négatif sur la consommation des antivirus de l’éditeur, que ce soit auprès des entreprises ou du grand public. La semaine dernière par exemple, le revendeur Best Buy a tout simplement décidé de ne plus les vendre.

Le gouvernement confie une mission sur l’intelligence artificielle au député Cédric Villani

image dediée

Le secrétaire d’État au Numérique, Mounir Mahjoubi, a annoncé ce week-end qu’il venait de confier une mission d’information au député LREM (et célèbre mathématicien) Cédric Villani. L’objet ? L’intelligence artificielle. Sujet sur lequel un épais rapport avait déjà été remis au précédent gouvernement, en mars dernier.

Le parlementaire, lauréat de la Médaille Fields 2010, dispose de trois mois pour remettre ses conclusions à l’exécutif. Mounir Mahjoubi souhaite proposer à terme « une stratégie pour les prochaines années, définir si un débat national doit être mené et sur quels sujets », rapporte le JDD. Avec une interrogation clé : « Comment les Français peuvent‑ils se préparer à penser ce nouveau monde qui arrive ? »

Le développement de l’intelligence artificielle suscite en effet beaucoup d’espoirs, mais aussi des craintes : gains de compétitivité, problématique des « robots tueurs », risque de destruction d’emplois, protection des données personnelles, etc.

Le secrétaire d’État au Numérique a confié, toujours au JDD, s’être dirigé vers Cédric Villani pour sa « méthode de travail, du fait de son métier de mathématicien, assez hétérodoxe et complète ». « J’avais besoin de trouver un partenaire qui pense différemment qu’au gouvernement », a-t-il ajouté.

Trois mois pour de nouvelles recommandations sur l’IA

« Si on prive les Français d’une réflexion sur le sujet, il y aura un déni de démocratie » a poursuivi Mounir Mahjoubi. L’ancien président du Conseil national du numérique (CNNum) semble néanmoins oublier que le gouvernement de Bernard Cazeneuve avait confié en janvier dernier à France Stratégie et au CNNum le soin de co-piloter plusieurs groupes de travail chargés de définir… « les orientations stratégiques de la France dans le domaine de l’intelligence artificielle ».

Un rapport avait ainsi été présenté fin mars à l’exécutif (voir notre article), d’où était ressorti un premier lot de recommandations : inciter les entreprises à intégrer des « briques » d’intelligence artificielle, viser une transformation d’envergure de la formation tout au long de la vie, poursuivre le mouvement d’ouverture des données publiques et approfondir celui de la circulation des données, etc.

nextinpact

WikiLeaks dévoile Angelfire de la CIA, des outils pour compromettre Windows 7

CIA - Central Intelligence Agency

WikiLeaks vient de publier de nouveaux documents concernant plusieurs outils d’infection utilisés par la CIA. Rassemblés sous le projet Angelfire, ils ciblent les ordinateurs sous Windows 7 ou Windows XP en s’attaquant au secteur de démarrage.

Dans le cadre de sa mission Vault 7, Wikileaks lève le voile sur un nouveau projet secret de la CIA. Nommé « Angelfire project », il rassemble cinq outils de piratage afin de compromettre des systèmes sous Windows XP et Windows 7. Tous travaillent ensemble au travers d’une infection du secteur de démarrage de l’unité de stockage.

Solartime est un logiciel malveillant dont l’objectif est de modifier le secteur de démarrage afin d’exécuter un deuxième module nommé Wolfcreek. Ce dernier a pour fonction de permettre le chargement d’autres implants. Le troisième module, Keystone, est lié à Wolfcreek.  Son rôle est de permettre un démarrage de logiciels malveillants sur les systèmes compromis.  Tout ceci fonctionne de manière transparente. Aucun fichier système n’est modifié.

Enfin BadMFS est un système de fichiers cryptée et cachés à la fin de la partition active. Le cinquième élément est une alternative à BadMFS. Windows Transitory File system est présenté comme une nouvelle méthode d’installation d’AngelFire. Le processus utilise cette fois des fichiers temporaires.

Projet Angelfire, des problèmes connus

Wikileaks

Wikileaks

WikiLeaks souligne cependant que ces différents outils du projet Angelfire ne sont pas parfaits. Leurs actions et leurs présences sont détectables en raison de plusieurs problèmes reconnus par la CIA et listés dans les documents en question.

Par exemple, Keystone, déguisé en une copie de svchost.exe, reste présent dans le répertoire C:\Windows\system32. Ceci pose souci si l’OS est installé sur une partition ou un emplacement différent. De son côté BadMFS est à l’origine de données stockées dans un fichier nommé zf. La victime peut dès lors le détecter. Enfin la stabilité n’est pas garantie et un crash potentiel de l’un des composants est source de détection.

Les documents ne sont pas datés, mais Angelfire a été conçu pour Windows 7 et Windows XP.

ginjfo

Guillaume Poupard (ANSSI) : les cyberattaques vont être “plus violentes et plus répétées”

Guillaume Poupard est le directeur général de l’ANSSI, l\'Agence nationale de la sécurité des systèmes d’information. 

Ces derniers mois, les cyberattaques se sont multipliées. Le monde économique est de plus en plus touché par ces attaques à échelle mondiale. Guillaume Poupard, directeur général de l’Agence nationale de sécurité des systèmes informatiques (ANSSI), était l’invité de l’interview éco mercredi 30 août.

Selon lui, l’attaque la plus dévastatrice est “celle que l’on ne voit pas. Des attaques très discrètes qui rentrent sur le réseau pour voler des informations. Ce vol d’informations qui peut durer des années”. Il invite les entreprises à “anticiper” les piratages et vols d’information.

franceinfo : les entreprises font leur rentrée, est-ce qu’une nouvelle cyberattaque menace les entreprises ?

Guillaume Poupard : Je ne peux pas vous le dire mais ce qui est certain, c’est qu’on va avoir d’autres attaques toujours plus violentes, toujours plus intenses, plus répétées. On subit déjà ces attaques depuis plusieurs années. Il y a des attaques périphériques qui vont s’attaquer aux sites web pour porter des messages. Ce que l’on a beaucoup traité. Ce qui est très grave pour notre économie, même pour notre sécurité nationale, ce sont des attaques d’espionnage des gens qui cherchent à voler des informations notamment chez les entreprises. Des informations techniques, commerciales et stratégiques, dans les boîtes mail des dirigeants notamment. Et puis il y a les attaques d’escroquerie à grande échelle comme les rançongiciels, pour extorquer de l’argent. C’est de la criminalité. Elle s’adapte, elle bénéficie du numérique comme tout le monde, les criminels sont aussi en transformation numérique.

Quel est le type d’attaque le plus dévastateur pour les entreprises ?

C’est celle que l’on ne voit pas. Des attaques très discrètes qui rentrent sur le réseau pour voler des informations. Ce vol d’informations peut durer des années, d’où l’importance de chercher à détecter ces attaques. C’est extrêmement discret, totalement indolore. Les entreprises découvrent cela par les effets que ça produit, comme un concurrent qui gagne systématiquement les contrats, ou un produit que vous avez conçu et qui sort chez un concurrent avant vous. C’est tout l’intérêt de mettre en place une stratégie de détection pour s’en rendre compte très vite. Si c’est de l’espionnage économique, si on le sait dans les 24h, ça permet de réagir efficacement. Le savoir au bout de trois ans, c’est dramatique.

Craignez-vous le grand chaos informatique que certains redoutent ?

On ne le craint pas, on l’anticipe. C’est notre rôle, notre devoir. Il faut tout faire pour que ces attaques ne se produisent pas, et si c’est le cas, pour que leurs conséquences soient fortement limitées. Si demain, 10% des PME se retrouvent bloquées suite à une attaque comme celles qu’on a connues au printemps, c’est une question majeure pour l’économie française. On doit absolument anticiper cela. Il faut que les victimes potentielles prennent cela en main. Aujourd’hui, la menace au-delà du vol, c’est le sabotage. Si je dois donner un seul conseil : la cybersécurité est l’affaire des décideurs. Il faut s’y intéresser, poser des questions sur les risques et les menaces. On met à disposition sur notre site internet plein de matériel, il y a de la formation en ligne sur notre site et en octobre on aura le mois de la cybersécurité qui est un mois européen sur lequel je compte beaucoup pour porter ces messages au sein des entreprises.

franceinfo