NEWS

Nous venons d’effectuer la mise en place de l’inventaire du parc informatique d’un client. Pour cette mise en place nous avons appliqué une GPO sur le serveur 2008R2 de manière à déployer l’agent sur l’ensemble des machines du parc, ceci bien-sur en tenant compte de la diversité des OS installés chez le client.

Nous avons également créé les utilisateurs sur notre serveur et attribué les droits sur le groupe de ce client. Ceci permet d’une part au directeur de cette entreprise de visualiser directement son parc informatique (matériels, contrats, durée des garanties, pannes, etc …), d’autre part cela permet également aux utilisateurs de créer des tickets d’interventions.

Nous mettons également à disposition du client les statistiques d’interventions sur la maintenance, l’assistance, etc …

Xavier BERTAUX

En effectuant notre prospection commerciale sur des clients variés ainsi que sur des activités très diverses, nous nous sommes rendu compte que bon nombre de ces Entreprises avaient cessé ou étaient sur le point de cesser leur activité.

Un chercheur en sécurité a réussi à récupérer les identifiants de connexion sous Windows ou MacOS. Sur une clé USB est installé un système Linux modifié, soit LAN Turtle soit USB Armory. Comment fonctionne ce vol de vos identifiants ? Faire passer cette clé pour une carte réseau Ethernet. Pour que ce système fonctionne, Il faut donc installer et configurer des outils nécessaires comme un serveur DHCP et l’outil Responder. Il suffit ensuite de brancher cette clé USB à un ordinateur qui, en la détectant, même s’il est verrouillé, commence à échanger des informations réseaux avec elle, dont les identifiants et mots de passe, hachés. En 30 secondes la session peut être piratée. Tous les systèmes Windows semblent vulnérables, y compris MacOS X El Capitan et Mavericks.

La seule parade pour le moment serait de désactiver les ports USB. Ce mode de récupération des identifiants n’a pas été testé sous Linux. Depuis cette découverte, les ventes de LAN Turtle ont fortement augmentées.

Une étude révèle que les entreprises, malgré une bien meilleure protection contre les risques de fuites de données traditionnels, ne sont pas préparées à affronter de nouvelles menaces émergentes.

Entre 2014 et 2016, les entreprises ont été 13% plus nombreuses à subir une fuite de données au cours des douze derniers mois, ce qui représente 815.000 euro de perte en moyenne.

Près d’un quart (23 %) des entreprises interrogées ont subi une perte de données ou une perturbation des systèmes non planifiées en raison d’une violation de la sécurité extérieure, et ce nombre a augmenté de plus d’un tiers (36%) lorsque les violations internes ont été prises en compte. Les entreprises sont de plus en plus confrontées à des menaces visant leurs données primaires, mais également leurs données de sauvegarde et de protection.

Plus de 70% des sociétés interrogées ne sont pas certaines de pouvoir récupérer leurs systèmes ou leurs données en cas de perte ou d’arrêt inattendu. Et la confiance souffre également quand il s’agit des performances des data center, 73% des sondés déclarant ne pas être totalement sûrs que leurs solutions pourront s’adapter à l’accélération du rythme des performances et aux nouvelles capacités du stockage flash.

Si vous désirez faire effectuer un audit de votre sécurité informatique, n’hésitez pas à nous contacter.

En juin, 2.420 familles de logiciels malveillants uniques et actifs attaquant les réseaux d’entreprise ont été recensés, soit une augmentation de 61% par rapport à janvier 2016 et une augmentation de 21% depuis avril.

Cette augmentation continue démontre, une fois de plus, « le large éventail de menaces pesant sur les réseaux d’entreprise et l’ampleur des défis auxquels les équipes de sécurité sont confrontées pour stopper les attaques menées contre leurs données ».

Conficker est resté le logiciel malveillant le plus couramment utilisé en juin, alors que HummingBad est de retour dans le top trois des menaces ciblant les réseaux des entreprises.

La société de sécurité «Check Point» a récemment déclaré que 85 millions d’appareils dans le monde sont infectés par HummingBad. Ce malware génère environ 270 mille euros par mois de revenus publicitaires frauduleux pour les cybercriminels qui l’exploitent.

Nous vous informons que nous avons ouvert notre serveur GLPI pour tous les clients référencés. ce serveur est directement accessible sur http://informx.org/glpi avec votre identifiant et votre mot de passe. Vous aurez un accès à l’inventaire complet de votre parc, ainsi qu’au suivi de vos tickets. N’hésitez pas à nous contacter pour recevoir ces identifiants.

Xavier BERTAUX

Avant d’aller plus loin dans l’explication technique, il est nécessaire de préciser que la toute dernière version, la 9.3.1 d’iOS répare cette faille de sécurité. Le conseil du jour donc : mettez à jour vos appareils. Car sous iOS 9.3, des chercheurs en sécurité informatique viennent de démontrer qu’il est possible de changer à distance la date des iPhones et des iPads pour les rendre inutilisables. Comment ?

On savait déjà que si la date de l’appareil était paramétrée au 01/01/1970, cela bloquait le smartphone ou la tablette (le chercheur Zach Straley est à l’origine de cette découverte). Il faut alors réinitialiser la machine pour la rendre à nouveau fonctionnelle. Mais pour ce faire, il faut que l’attaquant puisse accéder physiquement à la machine. Ce qui limite les risques de manière assez considérable. Mais deux chercheurs, Patrick Kelley et Matt Harrigan viennent de démontrer qu’il est possible de réaliser cette attaque à distance.

Détourner le protocole d’horloge réseau (NTP)

Pour ce faire, il convient d’usurper le protocole d’horloge réseau d’Apple en connectant le terminal sur un réseau Wi-fi factice. C’est le site Krebsonsecurity qui publie quelques détails sur cette attaque.

Cela est d’autant plus aisé que les iPhone et iPad dont la fonction Wi-Fi est activée recherchent sans cesse des réseaux auxquels se connecter s’ils n’ont pas déjà établis une connexion. Et cette recherche est facilitée par la pré-identification des réseaux : si le nom d’un réseau de hotspot Wi-Fi est déjà dans la mémoire de la machine, elle va s’y connecter automatiquement même si le point d’accès physique est différent. Déguisé un faux point d’accès Wi-Fi pour se connecter à la machine est alors particulièrement simple à réaliser : Un Raspberry Pi équipé d’une antenne est suffisant affirment les chercheurs.

Ce sont des chercheurs de Pala Alto Networks qui ont découvert et révélé l’information. Un ransomware ciblant le système Mac OS X se diffuse depuis quelque temps via une version vérolée du client BitTorrent Transmission.

C’est la version 2.90, déployée entre le 4 et le 5mars, qui contient le ransomware. Baptisé KeRanger, ce malware s’installe en même temps que Transmission puis, 3 jours après, contacte son serveur pour faire son office, en passant par le réseau Tor.

Utilisant la bibliothèque open source mbed TLS ainsi que des clés RSA et AES, il va chiffrer tout ce qu’il trouve.

Il faudra débourser 1 bitcoin, environ 370 euros, pour obtenir la clé permettant de récupérer ses données. Une nouvelle version de Transmission a été rapidement publiée, contenant un outil permettant de supprimer ce ransomware.

Encore une fois, un malware surpuissant ciblant Android fait son apparition. Son nom est Mazer Bot, découvert par une société de sécurité danoise. Sur le papier, la sale bête est vicieuse puisqu’une fois installée, elle peut prendre le contrôle total du terminal infecté, notamment envoyer des SMS, lancer des appels, accéder à tous les contenus et même faire de votre smartphone un bot pour servir de relais à un attaquant distant et plus encore.

Pire, il se relance à chaque redémarrage et fonctionne en tâche de fond. OK, ce malware peut faire mal comme beaucoup d’autres malwares. Mais comme souvent avec les menaces Android, un peu de bon sens permet de ne pas se faire piéger.

En effet, Mazar Bot se propage sous la forme d’un SMS vous invitant à télécharger une application de messagerie. Donc la première erreur est de se faire avoir par ce genre de message, puis d’accepter un téléchargement depuis un lien, en dehors donc du Google Play ce qui constitue un risque majeur. Enfin, il faut avoir autorisé dans les paramètres d’Android l’installation d’applications de sources inconnues. Or ce paramètre n’est pas activé par défaut.

Bref, se faire infecter par Mazar Bot relève d’une forme assez rare de masochisme…

www.informx.fr