Le deep fake, un nouveau risque pour la fraude bancaire
À l’ère de l’intelligence artificielle, les risques de l’authentification vocale dans le domaine bancaire sont bien réels.
-La plupart des institutions financières canadiennes, comme Desjardins, CIBC et BMO, offrent depuis quelques années l’authentification vocale : une centaine de caractéristiques de la voix (intonation, accent, timbre sonore, débit, etc.) sont utilisées pour vérifier l’identité d’un client au téléphone sans lui poser de questions personnelles telles que le nom de jeune fille de sa mère ou le montant de sa dernière transaction.
Comme les empreintes digitales, les empreintes vocales sont uniques d’une personne à l’autre. Même un André-Philippe Gagnon au sommet de son art ne saurait imiter une voix au point de déjouer un système d’authentification moderne. Toutefois, certains outils d’intelligence artificielle (IA) sont désormais beaucoup plus précis que le célèbre imitateur québécois. Si aucune fraude du genre n’a encore été signalée au pays, selon le Centre antifraude du Canada, les dernières avancées en IA inquiètent des experts.
Car tout comme avec les hypertrucages vidéos (deep fakes), quelques minutes d’enregistrement de la voix d’une personne suffisent maintenant pour la reproduire avec une impressionnante fidélité. Assez pour déjouer les systèmes d’authentification vocale ? C’est le défi que s’est récemment donné le laboratoire du professeur de sciences informatiques Urs Hengartner, de l’Université de Waterloo.
« Nous avons été capables de berner tous les systèmes auxquels nous nous sommes attaqués », résume le chercheur à L’actualité. Son équipe n’a pas fraudé de banques pour faire sa démonstration, elle a plutôt visé les meilleurs systèmes de reconnaissance vocale sur le marché (l’équivalent d’acheter un coffre-fort pour en tester la solidité au lieu d’effectuer un véritable braquage).
Pour répéter l’exploit, un fraudeur n’aurait besoin que d’enregistrements audios d’une personne, d’un peu d’argent pour utiliser des outils en ligne et d’une certaine connaissance technologique. « Ça n’existe pas encore, mais quelqu’un pourrait créer un logiciel qui automatiserait le tout, et alors, n’importe qui pourrait reproduire ces attaques », craint Urs Hengartner. Le chercheur note également qu’il est facile de « voler » une voix en enregistrant quelqu’un à son insu ou en repiquant des vidéos publiées sur les réseaux sociaux, par exemple.
Le spectre de l’hypertrucage vocal ne semble pas angoisser l’industrie bancaire pour autant. « Desjardins est consciente de l’émergence de cette nouvelle forme d’escroquerie et nous avons des stratégies en place pour les contrer », affirme Camille Garcia Bigras, conseillère principale à la direction principale des solutions, canaux assistés, chez Desjardins, dont le service d’authentification vocale est utilisé par plus de 1,5 million de membres depuis son lancement à l’été 2021.
L’authentification vocale est effectuée tout au long de la conversation, et non seulement au début, ce qui complexifie la tâche pour le fraudeur, puisqu’il doit maintenir le leurre pendant toute la discussion. Le rythme décousu d’une conversation avec un pirate qui devrait taper la réponse à chaque question sur un clavier alerterait l’agent, qui utiliserait alors les autres méthodes d’authentification, comme les questions de sécurité.
« Aucune mesure de sécurité n’est parfaite. Les banques analysent le risque et les bénéfices, et elles implémentent les mesures seulement si ça en vaut la peine », explique Urs Hengartner.
En cas de fraude vocale, les clients ne seraient pas tenus responsables, affirment les institutions financières consultées. Ceux qui ne veulent pas risquer d’être les premières victimes peuvent néanmoins ne pas adhérer à ces services, ou encore s’en désinscrire.
Vol d'identité bancaire : quelles sont les méthodes des cybercriminels, quels sont leurs réseaux ?
La Rédaction Clubic
12 décembre 2021 à 17h00
Ouvrir son application
bancaire et y voir des montants considérables débités est une expérience
particulièrement stressante. Trop souvent, les hackers commettent leurs
méfaits dans un but simple : gagner de l'argent, et ce par tous les
moyens. Que vous ayez été victimes d'un piratage en ligne ou que vous
souhaitiez tout simplement vous prémunir de cette mésaventure, vous êtes
au bon endroit.
S'il existe bien des manières pour
les hackers de gagner de l'argent, ils tendent à privilégier des moyens
plus… directs. Le vol des données de votre carte bancaire est
probablement l'une des méthodes les plus simplistes, mais son efficacité
lui a permis un véritable boom. Entre 2019 et 2020, le nombre de
victimes a augmenté de 44,7%
aux États-Unis pour atteindre un total de 393 207 vols déclarés sur l'année de la pandémie.
Un myriade de méthodes dans l’arsenal des hackers
Avec les confinements successifs,
les achats en ligne ont connu un essor fulgurant. Cette tendance n'est
pas passée inaperçue auprès des hackers. Pour parvenir à leurs fins et
voler vos données, les individus malveillants disposent de nombreux
outils qui ont fait leurs preuves au fil des années.
Gare aux Wi-Fi publics
Dans un aéroport, dans un café ou
dans un hôtel, les réseaux Wi-Fi gratuits ne manquent pas pour
accommoder les travailleurs nomades et leur fournir un accès à Internet.
Ces réseaux publics sont certes pratiques, mais ils n'en restent pas
moins dangereux, surtout si vous y effectuez des opérations sensibles
comme des achats en ligne. Dans bien des cas, les accès publics sont peu
sécurisés et constituent un terrain de chasse idéal pour un hacker qui
n'a qu'à y poser son piège. Le piège en question : un analyseur de
paquet. À la manière d'un filet, ces logiciels interceptent les données
qui transitent sur un réseau, qu'elles soient chiffrées ou non. Il est
alors facile pour le hacker de filtrer la masse de données pour n'en
tirer que les informations importantes comme des mots de passe ou des
coordonnées bancaires.
Keylogger, une menace facilement oubliée
Les keyloggers, ou enregistreurs de
frappes en français sont des logiciels qui permettent aux hackers
d'avoir accès à chaque frappe sur le clavier, mais également aux
informations dans le presse-papier. Souvent installés à l'insu de
l'utilisateur, les enregistreurs de frappes sont difficilement
détectables et donc redoutablement efficaces sur le long terme. Ici
aussi, un hacker n'aura aucun mal à reconnaitre des mots de passe et des
informations de carte bancaire parmi la foule de caractères tapés.
Phishing et pharming
Le phishing est l'une des
menaces les plus répandues depuis le début de la pandémie. Déjà
populaire auparavant, cette méthode consiste à se faire passer pour une
entreprise ou une institution afin d'arnaquer les utilisateurs. En se
munissant d'une adresse mail cohérente couplée à un texte convaincant,
il est possible d'induire la personne en erreur avant de la faire
télécharger un fichier compromis, contenant souvent un malware. Dans
d'autres cas, le mail peut contenir un lien infecté. Ledit lien mène
parfois vers une page web contenant un exploit, destiné à utiliser une
faille dans le navigateur ou le système d'exploitation pour accéder à la
machine. Dans d'autres cas, ce lien peut mener vers un site ressemblant
trait pour trait à celui de l'institution ou entreprise usurpée, on
parle alors de pharming. Cette méthode bien plus directe va
inciter l'utilisateur à faire confiance au site frauduleux et récupérer
les informations bancaires qui y seront enregistrées.
Le pire dans tout cela ? Le phishing
peut être conjugué à l'une des deux méthodes citées auparavant. Il est
en effet plus facile de créer un mail frauduleux sur mesure lorsqu'on a
déjà récolté certains détails sur la vie personnelle d'un utilisateur.
Dark Web, forums et vente en gros : la face immergée de l’iceberg
Si les méthodes que nous avons
mentionné sont plutôt directes et peuvent être contrées (comme nous le
verrons un peu plus tard), d'autres ne visent pas directement
l'utilisateur, mais les bases de données qui stockent les informations
de cartes bancaires de milliers voire de millions d'entre eux. En
faisant usage de l'ingénierie sociale ou de failles dans le système de
l'organisation visée, les hackers parviennent à y extirper des volumes
importants de données. Identifiants, mots de passe ou données de carte
bancaire y sont parfois stockés en clair, c'est-à-dire sans aucune forme
de chiffrement.
Peu importe la
méthode utilisée, les hackers qui obtiennent les données ne sont souvent
pas ceux qui les utilisent. Comme dans d’autres organisations, chacun
possède sa spécialisation. Le voleur revend son butin à des hackers
dévoués à la gestion de gros volumes de données. Comme vous pouvez vous
en douter, ce type de transactions n'est pas légal, mais les hackers
disposent d'un endroit pour ça : le Dark Web.
Pour des raisons légales, cette
partie « cachée » d'Internet n'est pas facilement accessible, car non
indexée par Google et les autres moteurs de recherche. Il s'agit en
effet du lieu où se vendent de nombreux biens comme de la drogue ou des
malwares. De véritables marketplaces sont prévues à cet effet, mais ce qui nous intéresse ici, c'est la revente de données. Sur des forums ou sur des marketplaces,
ces volumes de data se revendent à des prix allant de 50$ à 5000$.
Cette fourchette de prix large est due à la variabilité et à
l'exploitabilité des données. Ainsi en 2021, les coordonnées bancaires
d'un compte contenant 5000$ se revendent en moyenne 240$ selon Privacy Affairs, l'organisation qui dresse un index des prix du Dark Web chaque année.
Les cryptos, nouvel eldorado pour les hackers ?
Nous avons jusqu'ici seulement
abordé les vols de données bancaires, mais un nouveau moyen de paiement
gagne en popularité ces dernières années : les cryptomonnaies. Ces
monnaies virtuelles sont une énième arme employée par les hackers,
notamment pour son intraçabilité qui s'illustre dans deux cas. Tout
d'abord, dès lors qu'ils achètent des données, il est difficile de
remonter à eux, même si les personnes à l'origine de la fuite sont
identifiées. En outre, les hackers peuvent voler les Wallet ou les
cryptodevises d'utilisateurs naïfs sans être identifiés, et ce tout en
empêchant ces derniers de bloquer les transactions effectuées avec le
pécule subtilisé.
Comment se protéger ?
En cas de vol, la première chose
reste d'immédiatement faire opposition auprès de votre banque. De
multiples autres moyens sont envisageables pour vous prémunir.
Aujourd'hui, de nombreuses banques proposent le « 3D Secure »,
une forme d'authentification qui repose sur l'utilisation de
l'application ou l'envoi d'un mot de passe au moment du paiement.
Veillez à ce que cette option soit toujours activée. Plus généralement, l'authentification à deux facteurs devrait être utilisée sur tous vos comptes en ligne. En effet, la fuite de vos données bancaires est souvent synonyme de la fuite de votre mot de passe.
Pour
éviter de subir une fuite de données, ou au moins d'en limiter
l'impact, il est fortement recommandé de ne jamais enregistrer sa carte
bancaire chez les e-commerçants ou sur tout autre site, même avec des
paiements récurrents. Si possible, privilégiez PayPal qui présente
l'avantage de proposer une identification à deux facteurs.
Si
vous effectuez une connexion via un Wi-Fi public, utilisez un VPN afin
de chiffrer toutes ces données qui transitent. Cela n'empêchera pas un
analyseur de données de les intercepter, mais celles-ci deviendront
illisibles pour le hacker grâce au chiffrement opéré par le protocole
VPN. Dans le cas d'une tentative de phishing et de pharming, il faudra
compter sur votre bon sens et avoir un oeil aguerri sur tous les mails
suspects. Des fautes dans l'adresse mail ou le nom de domaine du site
sont souvent révélateurs d'une supercherie. Soyez également vigilant
quant à l'absence de certificat SSL. Enfin, les keyloggers demanderont
l'aide d'un antivirus pour être identifiés. ESET Smart Security est dans
ce sens une excellente alternative ; en plus d'intégrer un navigateur
sécurisé protégeant vos informations de connexion, il dispose d'un gestionnaire simplifié de mots de passe
.
Faille: Log4j,plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud,....les Banques aussi .
Une faille zero day dans Log4j crée d'importantes vulnérabilités dans plusieurs applications dont Minecraft
Fanny Dufour
10 décembre 2021 à 12h50
Une zero day critique a été
trouvée dans Log4j permettant à des attaquants de réaliser des attaques
d'exécution de code à distance.
Plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam
en passant par Apple iCloud
.
Une faille critique facile à exploiter
Log4j est un outil de journalisation
développé par la fondation Apache et utilisé dans de nombreux logiciels
et services Cloud, ce qui explique pourquoi la faille zero day qui le
touche est aussi critique. Rapportée initialement à Apache par l'équipe
de sécurité d'Alibaba Cloud dès le 24 novembre, cette faille est
désormais définie comme la CVE-2021-44228. Elle permet à des attaquants
de créer des requêtes malveillantes pour exécuter du code à distance et
prendre le contrôle total d'un serveur, tout ça sans authentification.
Dans la nuit, plusieurs preuves de
concept de son exploitation ont été postées. À la suite de ça, il a été
rapporté que plusieurs acteurs malveillants scannaient Internet à la
recherche de systèmes vulnérables à attaquer. « En raison de la
facilité d'exploitation et de l'étendue de l'applicabilité, nous
soupçonnons que des groupes de ransomwares vont commencer à exploiter
cette vulnérabilité immédiatement », a déclaré la Randori Attack Team.
De nombreuses applications concernées
Pour le moment, il est compliqué
d'avoir une liste complète d'applications touchées, la faille impactant
les configurations par défaut de nombreux frameworks Apache, que ce soit
Apache Struts2, Apache Solr, Apache Druid, Apache Flink et autres. La
Randori Attack Team prédit qu'un « nombre croissant de produits vulnérables seront découverts dans les semaines à venir ».
LunaSec a de son côté confirmé que Steam, Apple iCloud et Minecraft étaient vulnérables. Plusieurs sites dédiés à Minecraft ont
rapporté que des hackers pouvaient exécuter du code à distance sur les
serveurs ou clients utilisant la version Java du jeu grâce à de simples
messages dans le chat.
Les joueurs de Minecraft sont
donc appelés à faire preuve d'une grande prudence, à ne pas se
connecter à des serveurs inconnus et à ne pas communiquer avec des
joueurs qu'ils ne connaissent pas. Il est conseillé que les logiciels et
applications utilisant Log4j2 fassent la mise à jour vers le build log4j-2.15.0-rc2
, le fixe présent dans la version 2.15.0-rc1 ayant déjà été contourné. LunaSec rappelle que des failles similaires dans Apache Struts avaient conduit en 2017 à la fuite de données d'Equifax.
Une grave faille zero-day dans la bibliothèque Java Log4j est déjà exploitée
Sécurité : Une grave
vulnérabilité dans les bibliothèques de journalisation Java permet
l'exécution de code à distance non authentifié et l'accès aux serveurs,
avertissent des chercheurs.
Par
Danny Palmer
|
Une vulnérabilité zero-day récemment découverte dans la
bibliothèque de journalisation Apache Log4j est facile à exploiter et
permettrait à des attaquants de prendre le contrôle total des serveurs
affectés.
Identifiée comme CVE-2021-44228, la vulnérabilité est classée comme grave et permet l'exécution de code à distance non authentifié.
Le CERT-FR a également publié un avis concernant cette faille de sécurité.
Les analystes de l'Anssi indiquent que « cette vulnérabilité permet à
un attaquant de provoquer une exécution de code arbitraire à distance
s'il a la capacité de soumettre une donnée à une application qui utilise
la bibliothèque log4j pour journaliser l'événement.
« Cette attaque peut être réalisée sans être authentifié, par exemple
en tirant parti d'une page d'authentification qui journalise les
erreurs d'authentification. Des preuves de concept ont déjà été publiées
et des codes d'exploitation sont susceptibles d'être rapidement
développés ».
Les systèmes et services qui utilisent la bibliothèque Apache Log4j
entre les versions 2.0 et 2.14.1 sont tous concernés, notamment de
nombreux services et applications écrits en Java.
Toute personne utilisant Apache Struts est « probablement vulnérable »
La vulnérabilité a été découverte pour la première fois dans
Minecraft, mais les chercheurs avertissent que des applications cloud
sont également vulnérables. Il est également utilisé dans des
applications d'entreprise et il est probable que de nombreux produits se
révèlent vulnérables à mesure que l'on en apprend davantage sur la
faille.
« Compte tenu de l'omniprésence de cette bibliothèque, de l'impact de
l'exploit (contrôle total du serveur) et de sa facilité d'exploitation,
l'impact de cette vulnérabilité est assez grave. Nous l'appelons
"Log4Shell" en abrégé », indique LunaSec.
Que faire face à cette menace ?
Les organisations peuvent identifier si elles sont affectées en
examinant les fichiers journaux de tous les services utilisant les
versions Log4j affectées. S'ils contiennent des chaînes de caractères
envoyées par l'utilisateur, le CERT-NZ utilise l'exemple de "Jndi:ldap",
ils pourraient être affectés. Afin d'atténuer les vulnérabilités, les
utilisateurs doivent basculer le paramètre log4j2.formatMsgNoLookups sur
"true" en ajoutant "‐Dlog4j2.formatMsgNoLookups=True" à la commande JVM
pour démarrer l'application.
« Si vous pensez que vous pourriez être affecté par CVE-2021-44228,
Randori vous encourage à faire comme si vous l'étiez et à examiner les
journaux concernant les applications affectées pour identifier une
activité inhabituelle », écrivent des chercheurs en cybersécurité de
Randori dans un article de blog.
« Si des anomalies sont découvertes, nous vous encourageons à supposer
qu'il s'agit d'un incident actif, que vous avez été compromis et à
réagir en conséquence. »
Détectez et bloquez les tentatives d’exploitation de la vulnérabilité Log4j avec CrowdSec
@Korben
—
— En partenariat avec Crowdsec —
Si vous travaillez dans le domaine de la cybersécurité, vous avez probablement passé un très mauvais week-end.
Et ce, à cause de la découverte de la vulnérabilité zero-day Log4j (CVE-2021-44228).
L’équipe CrowdSec s’est retroussé les manches pour développer un
scénario capable de détecter et bloquer les tentatives d’exploitation de
cette vulnérabilité. Vous pouvez le télécharger directement depuis le Hub de CrowdSec et l’installer en un clin d’œil.
L’efficacité de CrowdSec se basant sur le pouvoir de la foule, et à
la lumière de la taille de leur communauté en pleine expansion, la
solution a déjà collecté un grand nombre d’adresses IP qui tentant
d’exploiter la vulnérabilité. Vous pouvez consulter la liste ici.
Elle est très fréquemment mise à jour et il va sans dire que vous
devriez bloquer sans attendre celles qui sont marquées comme
« validated ».
Ces adresses IP ont été sélectionnées par l’algorithme de consensus
de la solution, ce qui signifie qu’elles ont reçu de nombreux votes
défavorables de la part de leur réseau d’utilisateurs. Celles qui sont
marquées comme “not enough data” sont très suspectes mais peuvent encore
contenir quelques faux positifs. Les adresses classées dans la
catégorie « benign » sont utilisées par des personnes qui sont
généralement du bon côté de la force, pour aider, scanner, et non à des
desseins malfaisants.
Vous pouvez également utiliser leur mode replay,
ou forensics, pour analyser les logs de vos serveurs afin de vérifier
si une exploitation Log4j a été tentée sur l’une de ces IP, par qui et
quand, en utilisant le scénario approprié et la ligne de commande
ci-dessous :
Si vous souhaitez accéder à plus de détails concernant cet IPS open
source et collaboratif, qui est capable de détecter et bloquer de
nombreux comportements malveillants, tout en vous permettant de
collaborer entre cyber défenseurs en échangeant les IPs bloquées,
visitez leur site web ou leur dépôt GitHub.
Hackers, failles, banque, vol de donné, vol d'identité,
photo jean-françois desgagnésPascal Desgagnés a
comparu jeudi au palais de justice de Québec pour faire face à de
multiples accusations dont vol et fraude à l’identité.
Les maîtres de l’informatique comme Pascal Desgagnés, qui
sont « dangereux » pour les organisations selon certains experts,
continueront de nuire à la vie privée des citoyens et des vedettes qui
protègent mal leurs informations sensibles.
« Les victimes, comme la majorité du monde, ont de mauvais mots de
passe et ils n’ont pas un deuxième facteur d’authentification », assure
le créateur du Hackfest et expert reconnu en sécurité informatique,
Patrick Mathieu.
Pour le moment, la méthode précise utilisée par Desgagnés pour
pirater les cellulaires des personnalités comme Véronique Cloutier reste
nébuleuse.
Cependant, tout porte à croire qu’il s’agit d’une fuite de photos
similaire à celle vécue par des vedettes américaines en 2014, de type « fappening ».
Il s’agit d’un pirate qui trouve facilement les mots de passe des
iCloud des vedettes. « Ils ont ensuite accès à la sauvegarde de leurs
cellulaires », explique M. Mathieu. Organisations à risque
De son côté, le président du Groupe Vigiteck, une firme en
informatique judiciaire, estime que les individus considérés comme des
génies de l’informatique comme Desgagnés peuvent être dangereux pour
toutes organisations privées et gouvernementales.
« Ces gens ont des expertises de niche et ils sont en demande. Ils
font leur travail et si le gestionnaire n’est pas alerte, il peut avoir
de lourds impacts », prévient Paul Laurier, également ex-policier à la
Sûreté du Québec.
Selon l’expert, les entreprises et les ministères ne supervisent
pas assez l’évolution du travail de leurs informaticiens. Il estime que
l’incident avec Pascal Desgagnés n’est que « la pointe de l’iceberg
».
« Je fais des dossiers dans le privé et 80 % du temps l’entreprise
et l’informaticien règlent à l’amiable. De cette manière, il peut aller
travailler ailleurs. Il n’est pas le seul. Il y en a d’autres »,
assure-t-il.
Le PDG d’EVA-Technologies, une firme en cybersécurité, est
également d’avis que les entreprises n’encadrent pas assez leurs
experts.
« Les informaticiens ont souvent des droits plus élevés que la
moyenne au sein d’une organisation. C’est certain qu’il y a un risque
plus élevé s’il n’y a pas une bonne supervision », souligne Éric
Parent. Desjardins, victime
Le Mouvement Desjardins est un bel exemple où l’organisation n’a peut-être pas suivi d’assez près Pascal Desgagnés.
Selon notre Bureau d’enquête, il a ruiné un logiciel de gestion de
projets et fait perdre des milliers de dollars à la coopérative. À partir d’un logiciel Microsoft, il devait créer un outil personnalisé selon les besoins de la coopérative financière. Or, il a tellement modifié l’outil de gestion pour répondre au
besoin du client, qu’une fois parti, plus personne ne pouvait entretenir
le logiciel chez Desjardins. Il avait ajouté des « bouts de code », il a « joué dans les bases
de données du produit » même s’il n’en avait pas l’autorisation. (C'est non éthique aux produits Microsoft, a la limite de reverseingenering)
En raison de son improvisation, Desjardins a dû faire table rase du
projet. Précisons que cet incident n’a pas de lien avec la fuite de
données. « Pas gérable »
Ce n’était « pas gérable », nous a confirmé une source bien au fait
du dossier. Pourtant, Desjardins y avait injecté plusieurs centaines de
milliers de dollars.
Par ailleurs, après avoir réalisé une enquête interne, Revenu
Québec a assuré hier qu’aucune donnée n’a été compromise dans le cadre
de son contrat avec Pascal Desgagnés.
Le suspect agissait comme consultant au fisc depuis deux ans pour la firme R3D Conseil.
Il travaillait comme « pigiste » pour R3D Conseil depuis 2015.
Les trois victimes identifiées
Seulement trois des 32 victimes alléguées de Pascal Desgagnés sont connues jusqu’ici. Véronique Cloutier
Photo Stevens LeBlanc
Animatrice
Jessica Harnois
Photo Pierre-Paul Poulin
Sommelière
Martine Forget
Photo Ghyslain Lavoie
Mannequin et épouse du gardien des Red Wings Jonathan Bernier
Les initiales des 29 autres
A.N.
J. M-T.
F.B.
J.M.
C.M.
J.R.
M.C.
L.M.
A.G.
K.K.
I.V.
E.F.
C.P.
K.R.
A.B.
M.B.
E.F.
A.L.
G.O.C.
M.-P.D.
M.-M.B.
A.A.
B.C.-M.
B.H.
C.L.
F.S.
K.T.
M.-O.P.
N.G.-V.
Revenu Québec met un terme à son contrat avec l’homme
soupçonné d’avoir espionné les cellulaires de personnalités publiques.
Il avait aussi accès au système informatique de l'Assemblée nationale.
Selon son profil LinkedIn, Pascal Desgagnés avait un mandat d’un
an comme consultant avec le fisc. Il a également collaboré avec le
Mouvement Desjardins et la Ville de Québec sur des projets
informatiques.
Jeudi, Revenu Québec n’a pas voulu dire le rôle de l’homme de 45
ans dans son organisation. Il n’a également pas été possible d’obtenir
plus d’information sur les accès qu’il avait dans les systèmes de
l’agence.
«Revenu Québec a mis fin au lien contractuel qu’il entretenait
avec Pascal Desgagnés, à la suite de son arrestation et de sa mise en
accusation par le Service de police de l’agglomération de Longueuil,
hier», a indiqué au Journal la porte-parole, Geneviève Laurier,
ajoutant qu’aucun autre commentaire ne sera émis afin de ne pas nuire
au processus judiciaire. Consultation des dossiers
Selon l’expert en sécurité informatique, Éric Parent, en raison de
son profil, le suspect pourrait effectivement «par curiosité» avoir pu
consulter des dossiers de gens chez Revenu Québec. Actuellement,
précisons qu’aucune des victimes n’aurait subi de dommages financiers.
«Tout dépendamment de ses accès, c’est quasiment une certitude
qu’il a jeté un coup d’œil. Il ne s’est pas gêné pour le faire avec les
cellulaires», indique le PDG d’EVA-Technologies, une firme en
cybersécurité.
Photo Jean-François Desgagnés
Le suspect était aussi consultant externe en informatique à
l'Assemblée nationale. Son accès au système lui a été retiré hier soir.
«J’ai comme information que ses accès informatiques étaient très
limités. Nous effectuons actuellement des vérifications», note la
porte-parole de l'Assemblée nationale, Julie Champagne.
Cette dernière n’était pas en mesure de dire, jeudi, si l’homme a écouté ou non des conversations de députés.
Du côté de la Ville de Québec, la direction confirme que Pascal
Desgagnés a collaboré avec la municipalité comme consultant notamment
avec la firme Fujitsu de 2011 à 2012.
«Il était mandaté sur des systèmes de gestion de projet à titre de
spécialiste Sharepoint.Il n'avait pas accès aux systèmes et données
sensibles de la Ville», a souligné le porte-parole, David O’Brien.
Jeudi, Pascal Desgagnés, qui aurait commencé à sévir le 20
décembre 2013, a comparu au palais de justice de Québec. L’homme qui
fait notamment face à des accusations pour vol d’identité et de fraude à
l’identité a été libéré et reviendra devant le tribunal le 31 mars.
Pascal Desgagnés est le président de la firme Conseil TI Newcolorz.
Nos
confrères de 9to5Mac rapportent plusieurs cas d’utilisateurs d’Apple
Card ayant été la cible d’un piratage de leur compte bancaire Apple.
Dans l’un d’eux, le voleur a simplement opéré une copie de la carte
bancaire Apple Card du porteur pour l’utiliser ailleurs et sans même
l’accord de son propriétaire. Dans le second cas, plus surprenant,
l’utilisateur a vu son compte Apple Card être débitée alors même qu’il
ne dispose pas de la carte physique.
La copie de la carte, une stratégie déjà éprouvée
Copier
les faces avant et arrière d’une carte bancaire est une fraude que
subissent déjà les cartes bancaires antérieures à l’Apple Card. Le
voleur dispose avec cette stratégie de toutes les informations utiles et
nécessaires pour par exemple passer des commandes en ligne, sans avoir à
connaître le code secret de paiement. Heureusement, pour contrer cela,
les banques ont instauré l’identification à double facteur, avec la
nécessité généralement de confirmer tout paiement via un code reçu sur
le téléphone. Mais en ce qui concerne l’Apple Card, la protection contre
ce type de stratégie semble avoir ses défauts. Un certain David,
utilisateur de la carte d’Apple en a fait les frais. Il a raconté avoir
enregistré des notifications d’achats réalisés via son Apple Card
physique, alors même qu’il l’avait sur lui.
En outre, les achats
ont été effectués à des centaines de kilomètres de sa propre position.
Il est allé se plaindre de la situation auprès d’Apple. Un représentant
de la firme californienne s’est alors dit surpris de voir deux Apple
Card être utilisées en même temps, d’autant plus que la copie d’une
Apple Card est rendue complexe de par l’absence de numéro en face avant,
à l’inverse d’une CB classique.
L’investigation sur le cas rare de David suit toujours son cours.
Une fraude à l’Apple Card, même sans carte physique.
Mais
la fraude peut devenir encore plus surprenante quand l’utilisateur du
service bancaire d’Apple n’a même jamais commandé d’Apple Card. Un
certain Larry raconte en effet avoir vu son compte Apple Card être
débité pour des achats de l’autre côté des USA, alors qu’il promet
n’avoir jamais utilisé d’Apple Card physique.
Dans ce cas, une
hypothèse à envisager reste le cas d’une fuite des données de Larry à
partir des serveurs de chez Apple ou Goldman Sachs, la banque partenaire
pour Apple Card. Car pour le support du géant californien, le cas de
Larry est extrêmement étonnant au vu du niveau de sécurité mis au point
afin de protéger les utilisateurs d’Apple Card.
Nous avons déjà évoqué dans un article précédent l’attitude à tenir face aux publicités pour des placements miraculeux.Mais l’imagination des escrocs a peu de limites et l’Autorité des Marché Financiers tire à nouveau la sonnette d’alarme : il existe de nouveaux types d’escroqueries financières. Voici ce que vous devez connaître à leur sujet… pour vous protéger, vous et vos proches !
Du Forex aux cheptels bovins en passant par le vin
L’arnaque d’investissement star des années 2015-2017 fut probablement celle à l’investissement dans le Forex,
c’est à dire les marchés d’achat/vente de monnaies internationales.
Celle-ci s’accompagnait d’autres produits financiers à haut rendement
(et à très haut risque) comme les options binaires et les CFD.
Les autorités ont fait ce qu’il fallait en France pour lutter contre ce
phénomène qui est en très net recul. Ce sont donc à présent de nouveaux
placements qui ont les faveurs des escrocs.
Aujourd’hui, on assiste à une véritable diversification des supports d’investissement dont les principaux sont :
les terres rares et autres minerais peu connus du grand public
des fonds de placement mélangeant plusieurs de ces produits
On vous propose un
investissement dans un de ces domaines ? Soyez méfiants… très méfiants
même ! Et dans le doute abstenez-vous absolument ! L’essentiel des
démarches commerciales et publicitaires sur le sujet cachent en effet
des escroqueries.
La mécanique de l’arnaque
Le principe est d’abord de vous attirer avec une promesse : ceux
qui connaissent le secret de l’investissement sur tel marché peu connu
gagnent beaucoup d’argent… et vous pouvez vous aussi participer à la
fête ! Progressivement, les victimes vont être entraînées dans
une spirale d’engagement savamment orchestrée qui va les mener à mettre
beaucoup d’argent sur la table.
Une fois que vous avez cliqué
sur la publicité pour en savoir plus, vous allez tomber sur des sites
plutôt correctement documentés. Les différents marchés visés dans ces
escroqueries ont en effet de nombreuses particularités techniques qui
sont généralement bien présentées. Cela leur donne une apparence de
sérieux qui permet de convaincre de nombreuses personnes d’aller plus
loin, y compris des gens bénéficiant de bonnes connaissances financières de base, comme dans ce témoignage.
Un marketing très au point
La suite va toujours se
dérouler en ligne, mais cette fois, vous aurez la plupart du temps à
faire avec un « conseiller » qui s’occupera de vous personnellement. Il
échangera dès lors avec vous très régulièrement, par messagerie mais
aussi par téléphone (dont le numéro est français).
Pour vous convaincre de
mettre quelques billes dans ce placement miracle, on va vous proposer
d’ouvrir un compte sur un site spécifique et d’y placer un faible
montant. Cet essai sera systématiquement gagnant et va vous mettre en confiance.
On vous propose donc d’augmenter la mise régulièrement, notamment
l’aide de relances téléphoniques particulièrement insistantes.
Les virements que vous devez
effectuer pour ces placements se font sur des comptes de pays proches de
la France qui peuvent même faire partie de la zone Euro. Résumons :
l’investissement proposé est bien documenté
vous gagnez de l’argent
vos contacts avec votre conseiller sont bien réels, efficaces et sérieux
vous avez à faire une société apparemment établie en France
… difficile de résister, non ?
Le piège se referme
Malheureusement, lorsque vous voulez récupérer un peu de l’argent que vous avez ainsi placé les problèmes commencent.
on vous demande de payer différents frais
votre super-conseiller devient mystérieusement difficilement joignable.
vous n’arrivez pas à mettre la main sur votre argent
vous comprenez finalement que tout est perdu
Certains escrocs vont même
encore plus loin. Avec une nouvelle identité, ils tentent de vous faire
verser de nouvelles sommes d’argent sous différents prétextes : soit
parce que vous devez de l’argent du fait des opérations financières que
vous avez faites, soit parce qu’on vous promet que vous allez récupérer
les sommes perdues moyennant quelques frais… Ces nouvelles sommes seront
bien évidemment elles aussi perdues.
Des conséquences terribles
Les escroqueries financières sont, avec certaines arnaques sentimentales,
les plus destructrices pour leurs victimes. Ce sont en effet celles qui
mettent en jeu les montants les plus importants : certaines personnes
voient parfois disparaître les économies de toute une vie en quelques semaines.
Dans bien des cas, les
victimes ont honte et essaient de cacher le problème à leur entourage !
Bien souvent viennent même des idées noires… qui peuvent mener à une
issue fatale.
La victime-type de l’arnaque de l’escroquerie financière a quelques caractéristiques :
dans 65% des cas, elles ont plus de 50 ans
elle est en moyenne, plus aisée et mieux éduquée que le reste de la population
l’isolement social est un facteur de risque supplémentaire
Toutefois, aucune tranche
d’âge ou classe sociale n’est complètement épargnée… et même si vous ne
vous sentez pas concernés, dites-vous que vos parents ont de bonnes chances de l’être.
Nos conseils contre les arnaques financières
Quelques vérifications de base permettent d’éviter l’essentiel des pièges.
vérifiez que la société d’investissement existe et qu’elle est française via infogreffe
vérifiez qu’elle est enregistrée à l’ORIAS(obligatoire !)
prenez garde aux usurpations ! Certaines sociétés se font
passer pour des structures réelles. N’hésitez pas à faire des
recherches complémentaires pour vérifier si votre contact fait bien
partie de la société qu’il prétend
Si jamais vous vous laissez tenter pour un placement, retenez les points suivants :
les placements à haut rendement sans risque n’existent pas
si on vous demande de faire un virement à l’étranger
(même dans un pays proche, même si les prétextes semblent très bons),
arrêtez tout
si on insiste pour vous faire miser plus d’argent, arrêtez tout
vous devez parler de ce que vous faites à vos proches :
ils auront du recul pour analyser la situation et pourront vous aider
avant que les choses n’aillent trop mal
au moindre doute, contactez l’AMF au 01 53 45 62 00
Encore une fois : Ces conseils sont aussi valables pour protéger votre entourage… alors partagez-les !
Sécurité : Le botnet Emotet,
souvent considéré comme l’un des plus dangereux, reprend ses opérations
après avoir été silencieux pendant près de quatre mois.
Emotet, l’un des botnets de logiciels malveillants les plus importants
du moment, a repris vie après une période d’inactivité de près de quatre
mois à compter de la fin du mois de mai de cette année.
Durant cette période, les serveurs de commande et de contrôle
(C&C) du réseau d’ordinateurs infectés avaient été arrêtés et Emotet
a cessé d’envoyer des commandes aux machines infectées, ainsi que de
diffuser nouvelles campagnes de spam par courrier électronique pour
infecter de nouvelles victimes.
Certains chercheurs en sécurité espéraient que les forces de l'ordre
avaient secrètement trouvé un moyen de bloquer ce botnet. Ce n'était pas
le cas.
Nouvelles campagnes de spam
Emotet a commencé à diffuser de nouveaux spams hier selon Raashid Bhat, chercheur en sécurité chez SpamHaus.
Selon
Bhat, les e-mails contenaient des pièces jointes malveillantes ou des
liens vers des pages contenant des téléchargements malveillants. La
campagne de spam lancée hier via Emotet vise principalement des
utilisateurs polonais et germanophones.
Les utilisateurs qui reçoivent ces courriels, téléchargent et
exécutent l’un des fichiers malveillants s’exposent au risque d’être
infectés par le programme malveillant Emotet.
Une fois infectés, les ordinateurs sont ajoutés au botnet Emotet. Le
malware Emotet sur les ordinateurs infectés est notamment utilisé pour
télécharger et installer d’autres programmes malveillants.
Emotet est connu pour fournir des modules capables d'extraire les
mots de passe d'applications locales, de se déplacer et d’infecter
d'autres ordinateurs du même réseau, et même de voler des thread d'emails complets pour les réutiliser ultérieurement dans des campagnes de spam.
En outre, les opérateurs d’Emotet sont également connus pour
proposer leur botnet en tant que Malware-as-a-Service (MaaS) : d'autres
gangs criminels peuvent louer l'accès à des ordinateurs infectés par
Emotet et diffuser leurs propres programmes malveillants aux côtés
d'Emotet.
Certains des clients les plus connus d’Emotet sont les opérateurs
des souches de ransomware Bitpaymer et Ryuk, qui ont souvent loué
l’accès à des hôtes infectés par Emotet pour infecter des réseaux
d’entreprise ou des administrations locales avec leurs ransomwares.
Le renouveau d’Emotet n’est pas une surprise totale pour les chercheurs
en sécurité. Les serveurs C&C d’Emotet sont devenus inactifs à la
fin du mois de mai, mais ils ont repris vie à la fin du mois d’août.
Ils n'ont néanmoins pas commencé à envoyer du spam tout de suite. Au
cours des dernières semaines, les serveurs C&C étaient restés
inactifs, diffusant des fichiers binaires pour les modules "déplacement
latéral" et "vol de justificatifs d'identité", a déclaré Bhat à ZDNet au
cours d'une interview.
Bhat pense que les opérateurs d’Emotet ont passé ces dernières
semaines à rétablir les communications avec des appareils précédemment
infectés qu'ils avaient abandonnés fin mai et à se répandre sur les
réseaux locaux afin de maximiser la taille de leur botnet avant de
passer à leur activité principale : l’envoi de spam.
Plusieurs chercheurs en sécurité ont prédit cette période de montée en
puissance le mois dernier, lorsque l'équipe Emotet a réactivé les
serveurs C&C.
not to
mention the distribution wing is a whole botnet of its own that needs to
be fired up, fed hacked wordpress inventory, shells deployed, etc. even tiered infrastructure for the distro wing.
Le fait que les opérations d'Emotet aient été interrompues pendant
quelques mois n'est pas vraiment une nouveauté. Les réseaux botnets
malveillants restent souvent inactifs pendant des mois pour différentes
raisons.
Certains botnets deviennent silencieux afin de procéder à la mise à
niveau de leur infrastructure, tandis que d'autres le font simplement
parce que leurs opérateurs prennent des vacances. Par exemple, le botnet
Dridex diminue régulièrement son activité chaque année entre la
mi-décembre et la mi-janvier, pour les vacances d'hiver.
À l’heure d’écrire cet article, on ne sait pas pourquoi Emotet
s'est arrêté pendant l'été. Néanmoins, le botnet est revenu à son état
précédent, continuant de fonctionner en utilisant un modèle d'infrastructure double basé sur deux botnets distincts.
TrickBot veut la couronne
Mais même si Emotet a mis fin à ses activités pendant près de
quatre mois, les autres botnets n'ont pas fait de pause. Pendant
qu’Emotet était en panne, les opérateurs du botnet TrickBot ont pris la
place du botnet le plus actif du marché.
This chart
shows the number of Emotet Vs. TrickBot malware samples since Jan 2019.
You can clearly see the disappearance of Emotet 📉 malspam campaigns end
of May and the rise of TrickBot 📈 in July that is nowadays used to
deploy Ransomware 🔒💰on corporate networks 🏛️ pic.twitter.com/IdPoGxYMbO
Emotet
et TrickBot partagent de nombreuses similitudes. Tous deux étaient à
l’origine des chevaux de Troie bancaires qui ont été recodés pour être
utilisés en tant que « dropper » de logiciels malveillants - des
logiciels malveillants téléchargeant d’autres logiciels malveillants.
Les deux infectent les victimes, puis téléchargent d'autres modules pour
voler des informations d'identification ou se déplacer latéralement sur
un réseau. En outre, ils vendent tous deux l'accès aux machines
infectées à d'autres groupes malveillants, pour des opérations de minage
de cryptomonnaie ou des attaques de ransomware.
Avec l’essor de Trickbot, le réveil d’Emotet est une mauvaise nouvelle
pour les administrateurs système chargés de la protection des réseaux
d’entreprise et gouvernementaux, cibles favorites des deux botnets.
Les chercheurs en sécurité et les administrateurs système
cherchant des hashs de fichiers, des adresses IP de serveur, des lignes
d'objet d'e-mails de spam et d'autres indicateurs de compromission (IOC)
peuvent trouver ces données sur Twitter. Cryptolaemus, un groupe de chercheurs en sécurité surveillant le botnet Emotet, a également publié des indicateurs de compromission destinés à ceux qui souhaitent se protéger.
Source : Emotet, today's most dangerous botnet, comes back to life
banque, vol de donné, argent, cyberattaques, hackers nord-coréens,
Technologie : Les groupes de
pirates nord-coréens Lazarus, Bluenoroff et Andarial sont désormais
entrés dans le groupe très fermés des cibles prioritaires des autorités
américaines. Et les sanctions ne se sont pas faites attendre.
Le département du Trésor américain a imposé la semaine passée des
sanctions à trois groupes de pirates informatiques contrôlés par le
régime nord-coréen au motif que ces derniers auraient aidé Pyongyang à
lever des des fonds pour ses programmes d'armes et de missiles. Les
trois groupes cités par Washington ne sont pas inconnus du milieu. Il
s'agit en effet des groupes Lazarus, Bluenoroff et Andarial. Pour le
Trésor américain, ces derniers opéreraient sous le contrôle et sur ordre
du Bureau général de reconnaissance (RGB), le principal bureau de
renseignement de la Corée du Nord.
Ils auraient notamment eu
recours à des logiciels de rançon et des attaques contre des banques,
des réseaux de guichets automatiques, des sites de jeu, des casinos en
ligne et des échanges de devises cryptographiques pour voler des fonds à
des entreprises au bénéfice des programmes d'armements nord-coréens.
Les États-Unis affirment que les fonds volés ont été détournés en Corée
du nord, où ils ont été utilisés pour aider le régime de Pyongyang à
continuer de financer son programme controversé de missiles nucléaires.
Outre
les sanctions prononcées la semaine passée par l'Office of Foreign
Assets Control (OFAC) du Trésor américain, les États-Unis ont donné
instruction aux membres du secteur bancaire mondial de geler tout actif
financier associé à ces trois groupes.
Le groupe Lazarus
Des
trois groupes nommés aujourd'hui, le nom Groupe Lazarus (aussi connu
sous le nom de Cobra Caché) est parfois utilisé pour décrire tout
l'appareil de cyberespionnage nord-coréen. Il ne s'agit toutefois que
d'un groupe parmi d'autres, bien qu'il se soit aujourd'hui imposé comme
le plus célèbre dans le milieu de la cybercriminalité. Il opère sous
l'autorité du RGB et a accès à des ressources élargies mises à sa
disposition par le service nord-coréens.
Selon Washington, le
groupe Lazarus est un subordonné du 110e Centre de recherche sous le 3e
Bureau du RGB. Ce bureau, également connu sous le nom de 3e Bureau de
surveillance technique, est chargé de superviser l'ensemble des
opérations cybernétiques de la Corée du Nord. Les opérations les plus
tristement célèbres du groupe Lazarus ont été le piratage de Sony
Pictures Entertainment en 2014, et l'épidémie de rançon WannaCry de mai
2016.
Il ne s'agit toutefois que de deux des nombreux "faits
d'arme" du groupe formé en 2007. Les représentants du Trésor ont
également déclaré que le groupe a également ciblé des sociétés
gouvernementales, militaires, financières, manufacturières, de
publication, de médias, de divertissement et de transport maritime
international, ainsi que des infrastructures essentielles, en utilisant
des tactiques telles que la cyber-espionnage, le vol de données, le
détournement de fonds et les opérations de destruction de logiciels. Les
pertes financières causées par ce groupe sont inconnues, mais leurs
vastes opérations en font le plus dangereux et le plus connu des trois.
Le groupe Bluenoroff
Mais
alors que les activités du groupe Lazare se sont largement répandues,
le deuxième groupe de fonctionnaires du Trésor nommé semble pour sa part
avoir été créé spécifiquement pour pirater les banques et les
institutions financières. "Bluenoroff a été créé par le gouvernement
nord-coréen pour gagner des revenus de manière illicite en réponse à
l'augmentation des sanctions mondiales", a ainsi fait savoir
l'état-major de l'administration du Trésor américain.
"Le groupe
Bluenoroff mène des activités cybernétiques malveillantes sous la forme
de cambriolages cybernétiques contre des institutions financières
étrangères au nom du régime nord-coréen afin de générer des revenus, en
partie pour ses programmes croissants d'armes nucléaires et de missiles
balistiques", a-t-il expliqué pour mettre en lumière la dangerosité de
ce groupe.
Depuis sa formation en 2014, le groupe (également connu
sous le nom de APT38 ou Stardust Chollima), est connu pour avoir mené
des cyber-attaques contre des banques au Bangladesh, en Inde, au
Mexique, au Pakistan, aux
Philippines, en Corée du Sud, à Taiwan, en Turquie, au Chili et au
Vietnam. Son fait de piratage le plus célèbre demeure à ce jour sa
tentative de voler 1 milliard de dollars sur le compte de la Réserve
fédérale de New York de la Banque centrale du Bangladesh. Si le hold-up a
échoué, les pirates ont toutefois réussi à subtiliser 80 millions de
dollars lors de cette attaque.
Le groupe Andariel
Le
troisième groupe nommé par Washington est actif depuis 2015 et se
spécialise, selon le Trésor américain, dans des faits de
cyberespionnage. Il s'agit du groupe Andariel, qui a souvent été vu en
train de cibler le gouvernement et la population de la Corée du Sud
"pour collecter des informations et créer du désordre" ainsi que pour
"tenter de voler des informations sur les cartes bancaires en piratant
des distributeurs automatiques de billets pour retirer des espèces ou
voler des informations sur des clients pour les vendre ensuite sur le
marché noir".
En outre, Andariel est le groupe nord-coréen
"responsable du développement et de la création de logiciels
malveillants uniques pour pirater les sites de poker et de jeux en ligne
afin de voler de l'argent", comme l'a fait savoir l'administration
américaine.
Celle-ci s'est notamment appuyée sur un rapport publié plus tôt cette année
par le groupe d'experts des Nations Unies sur le renseignement sur la
menace, concluant que les pirates nord-coréens avaient volé environ 571
millions de dollars sur au moins cinq échanges de devises
cryptographiques en Asie entre janvier 2017 et septembre 2018. Le
rapport de l'ONU fait écho à deux autres rapports publiés en octobre
2018, qui pointaient également du doigt les pirates nord-coréens pour
deux escroqueries de cryptocriminalité et cinq piratages de plateformes
commerciales. Un rapport de FireEye
d'octobre 2018 blâmait également les pirates nord-coréens pour avoir
effectué des vols de banque de plus de 100 millions de dollars. "US Treasury sanctions three North Korean hacking groups", traduit et adapté par ZDNet.fr
vol d'identité, vol de donné, banque, Hackers, equifax,
Le
piratage de Capital One révélé cette semaine n’a rien d’exceptionnel,
selon des experts. Au contraire, vos informations personnelles ont
probablement déjà été volées, que vous en soyez conscient ou non.
« Considérez
que vos données sont dans la nature, parce que selon toute
vraisemblance, elles y sont », affirme Brian Krebs, un auteur et
journaliste spécialisé en cybersécurité, en entrevue à CBC News.
M. Krebs souligne d’ailleurs que même si les récents vols
de données à Capital One et Desjardins frappent l’imaginaire, ils sont
loin d’être les plus importants de l’histoire.
Les piratages de Target en 2013 (110 millions de comptes
compromis), d’Equifax en 2017 (145 millions de comptes), de LinkedIn
en 2012 (165 millions de comptes), de Marriott en 2018 (323 millions de
comptes) et de Yahoo! en 2013 (3 milliards de comptes) ont tous touché
un nombre supérieur d’individus.
100 % de la population canadienne touchée
Prises individuellement, ces attaques ne sont
généralement pas suffisantes pour voler l’identité de quelqu’un et elles
ne causent souvent pas d’ennuis majeurs aux personnes touchées, mais
une fois additionnées, les risques augmentent.
« Chaque piratage ajoute des informations à la pile de
renseignements déjà accessibles aux personnes désirant s’en servir à des
fins malveillantes », explique M. Krebs.
Ce spécialiste réputé dans la communauté de la
cybersécurité l’affirme sans détour : 100 % de la population s’est fait
dérober des données personnelles d’une façon ou d’une autre.
Cette estimation est tout à fait réaliste, selon Daniel Tobok, PDG de la firme de cybersécurité Cytelligence.
Le piratage de Capital One, révélé cette semaine, a
touché environ une personne sur six au Canada. En y additionnant les
attaques des dernières années, les statistiques tendent à démontrer que
pratiquement tous les gens au pays se sont fait voler leurs informations
personnelles, qu’ils en soient conscients ou non.
« À ce moment-ci, les données de presque tout Canadien de plus de 18 ans ont été compromises », a affirmé M. Tobok à CBC News.
Que faire pour tenter d’éviter le pire?
Pour cette raison, Daniel Tobok recommande aux gens
d’être vigilants et de se méfier des messages texte, des courriels et
des appels téléphoniques semblant provenir d’entreprises légitimes, dont
Capital One. La banque américaine a indiqué qu’elle ne contactera pas
les personnes touchées par le vol de données par téléphone ou par
courriel.
Cet expert invite également la population à surveiller
ses comptes bancaires et ses relevés de carte de crédit afin de détecter
rapidement d’éventuelles transactions suspectes.
Si l’activité sur vos comptes vous semble illégitime, il
est recommandé de le signaler immédiatement à votre institution
bancaire, aux services policiers et au Centre antifraude du Canada (Nouvelle fenêtre).
Les attaques de logiciels malveillants mobiles sont en plein essor en 2019
Sécurité : Les chercheurs de
Check Point mettent en garde contre une augmentation de 50% des
cyberattaques ciblant les smartphones par rapport à l’année précédente.
Les attaques de logiciels malveillants contre les appareils mobiles - et
les téléphones Android en particulier - ont décollé en flèche cette
année. Les pirates se tournent de plus en plus vers les smartphones,
principalement via le vol de justificatifs d'identité, la surveillance
et la publicité malveillante.
Les chercheurs de Check Point ont examiné les cyberattaques du
premier semestre de 2019 et ont constaté que celles ciblant les
smartphones et autres appareils mobiles avaient augmenté de 50% par
rapport à l'année dernière. Les conclusions ont été résumées dans le
rapport Cyber Attack Trends: 2019 Mid-Year Report.
Suivez l'argent
Le rapport suggère que l’utilisation accrue des applications bancaires
mobiles est l’une des principales raisons de cette recrudescence. Les
cybercriminels ont suivi l'argent et diffusent de plus en plus de
logiciels malveillants sur mobile conçus pour voler des données de
paiement, des identifiants de connexion et des fonds provenant des
comptes bancaires des victimes.
"La forte augmentation des logiciels malveillants liés aux
services bancaires mobiles est en corrélation avec l'utilisation
croissante des applications bancaires mobiles", a déclaré à ZDNet Maya
Horowitz, directrice du renseignement et de la recherche sur les menaces
chez Check Point.
"La méthodologie utilisée pour distribuer les programmes
malveillants a également retenu les leçons du reste du secteur : les
constructeurs de logiciels malveillants proposent maintenant leurs
malware à l'achat dans des forums clandestins", a-t-elle ajouté.
Dans de nombreux cas, les attaques de logiciels malveillants
suivent des stratégies de diffusion similaires à celles ciblant les
utilisateurs d’ordinateurs de bureau : les applications s’exécutent
silencieusement en arrière-plan, sans que la victime n’en soit vraiment
consciente.
Certaines formes de malware Android ont même été développées avec des
techniques d'évasion avancées afin de rester non détectées sur les
appareils infectés.
Visages connus
Par exemple, le cheval de Troie bancaire Anubis ne
commence à fonctionner que lorsque les détecteurs de mouvement
détecteront que le périphérique a été déplacé - une stratégie qui permet
que le malware ne s’active dans des environnements de test de type
Sandbox.
Pendant ce temps, d'autres formes de malware ont développé une fonction pour désactiver la sécurité Google Protect d'Android pour aider à voler les données des clients des services bancaires.
Triada est le programme malveillant le plus répandu sur les téléphones
mobiles. En analysant les logiciels malveillants distribués dans le
monde entier cette année, il représente 30% des attaques connues.
Triada est considéré comme l’une des formes les plus avancées de logiciels malveillants
Android, accordant aux attaquants des privilèges de super-utilisateur
ce qui leur permet de prendre le contrôle de l’appareil. Le malware a
également été trouvé préinstallé sur plus de 20 000 smartphones bas de gamme.
Les deux autres menaces mobiles les plus courantes sont Lotoor, un outil de piratage qui exploite les vulnérabilités du système d’exploitation Android
afin d’obtenir les privilèges root sur les appareils mobiles compromis,
et Hiddad, un programme malveillant qui reconditionne des applications
légitimes pour la distribution dans des magasins tiers et pour bombarder
la victime avec des publicités.
Les chercheurs ont averti que, à mesure que les utilisateurs
utiliseraient de plus en plus leurs appareils mobiles, les attaquants
continueront de cibler de plus en plus les utilisateurs de smartphones.
Non seulement les appareils contiennent de grandes quantités de données,
mais les utilisateurs considèrent souvent la sécurité sur mobile comme
une considération secondaire, contrairement à leur ordinateur personnel
ou professionnel.
"Les utilisateurs doivent protéger leurs appareils avec une
solution globale qui bloque les logiciels malveillants et les attaques
de réseau, ainsi que les fuites de données et le vol des identifiants,
sans nuire à l'expérience de l'utilisateur", a déclaré Horowitz.
