février 8th, 2013

Google, une nouvelle « page de bonne pratique sécurité », en Français dans le texte

MalwareByte, éditeur d’antivirus, se lance dans l’autopsie d’un malware utilisant, à l’instar des Stuxnet/Flame et consorts, des certificats légitimes. L’infection se propage via un pdf forgé et se « met à niveau » après coup.

Kaspersky, éditeur d’antivirus, a diffusé en ce début de semaine une mise à jour référencée 8.1.0.831 qui a verrouillé le trafic http de milliers de machines encore sous Windows XP. Un correctif de correctif a été diffusé dans la foulée …

Lorsqu’un « casse du siècle » survient pour la première fois, c’est vraiment un « casse du siècle ». A la seconde édition, cela tourne à la négligence. A la troisième, on peut commencer à parler de philanthropie. Visa, durant la dernière trêve des confiseurs, aurait été victime d’un formidable casse à la carte de débit portant sur 9 millions de dollars dans un premier temps, puis 2 millions de dollars supplémentaires quelques jours plus tard. Comme par le passé avec la désormais célèbre affaire RBS-Worldplay, le vol organisé a été perpétré par une petite armée de mules, réparties sur 12 pays différents, et opérant de manière synchronisée durant un laps de temps très court (moins de deux jours). Les mules étaient chargées de retirer un maximum de liquide sur des distributeurs automatiques de billets (DAB) à l’aide de cartes dont les montants avaient été modifiés après intrusion sur les systèmes d’information des établissements financiers visés.

Brian Krebs détaille le film des évènements dans un article aussi palpitant qu’un polar de quai de gare. Il mentionne au passage la très discrètes lettre que Visa a expédié à ses différents membres, laissant ainsi clairement entendre que la majorité des réseaux et serveurs informatiques des établissements visés par les mules étaient vulnérables. On peut s’étonner de voir ainsi rappeler la nécessité d’installer quelques IDS sur un système bancaire, de configurer correctement un firewall ou de déployer les correctifs nécessaires pour éviter des attaques en injection SQL. Tout ça fleure bon un amateurisme inquiétant : Les porteurs de cartes de débit pouvaient retirer parfois jusqu’à 500 dollars.

Précisons que ni les mules, ni les cerveaux n’ont, jusqu’à présent, été fortement inquiétés. Dans l’affaire du casse RBS-Worldplay (qui a été chiffré à près de 9 millions de dollars), les cerveaux de l’affaire ont fini par se faire arrêter et condamner… à deux ans de prison avec sursis. En ces temps de militarisation des cyber-compétences, un bon malfrat libre vaudrait-il mieux qu’un prisonnier aigri croupissant dans les geôles de la Loubianka ?

Hackito Ergo Sum, quatrième épisode : la conférence de sécurité parisienne vient de publier son appel à communication. La date de clôture a été fixée au 31 mars prochain, et les orateurs retenus seront informés le 4 avril suivant. Le programme définitif sera rendu public trois jours plus tard.

Cette année, HES se déroulera du 2 au 4 mai, dans l’enceinte de la Cité des Sciences de Paris (La Villette). Les tarifs d’entrée sont fixés à 480 € pour les représentants d’entreprises, à 160 € pour les professionnels de la sécurité et 70 Euros pour les « non inscrits ». Des ateliers de formation pratique répartis sur deux jours sont également proposés à raison de 1900 euros par participant.