Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé spyware. Afficher tous les messages
Aucun message portant le libellé spyware. Afficher tous les messages

mardi 13 février 2024

Chrome le "plus grand spyware du monde"...

 Chrome le "plus grand spyware du monde"... 


À quoi sert cette curieuse icône en forme d'œil dans la barre d'adresse de Chrome ?



Par: Fabrice Brochain

10/02/24 13:54

Depuis quelques semaines, une étrange icône en forme d'œil apparaît dans la barre d'adresse de Chrome, le navigateur de Google. Et bien que discrète, elle vous donne une information très importante sur votre navigation.


Vous ne l'avez peut-être pas encore remarquée, même si vous êtes un utilisateur régulier de Chrome. Pourtant, depuis quelques semaines, une nouvelle icône est discrètement apparue dans l'interface du navigateur Internet de Google. Plus précisément, dans la barre d'adresse, à droite, près de l'étoile de favori. Une icône en forme d'œil, Opéra et bien d'autres fureteurs ont ça,qui ne s'affiche pas tout le temps, pas sur toutes les pages Web, et pas chez tout le monde, mais qui va progressivement se généraliser. Une icône mystérieuse, qui pourrait même paraître inquiétante pour certains. 




Son rôle ? Il suffit de laisser le curseur dessus sans cliquer pour commencer à l'entrevoir. La petite bulle qui s'affiche alors indique Protection contre le suivi. Autrement dit, contre le pistage sur Internet.


En effet, comme vous le savez sans doute, la plupart des sites Web que vous visitez laissent des cookies sur votre ordinateurs ou votre appareil mobile. Ce sont de petits fichiers contenant du texte avec des informations permettant de vous identifier pour vous reconnaître lors de votre prochaine visite. Mais à côté de ces cookies "légitimes", également appelés cookies propriétaires, il y a des cookies tiers, qui sont créés par d'autres sites – des sites "tiers" donc – qui contiennent également des informations vous concernent. Souvent créés par des régies publicitaires, ils servent à analyser votre comportement lors de votre navigation et donc à vous suivre sur Internet pour connaître vos goûts et vos habitudes. 


Or, pour en finir avec ce pistage permanent de site en site, Google a décidé il y a quelques temps d'en finir ces fameux cookies tiers, tout en incitant les sites et les régies à utiliser d'autres méthodes de ciblage publicitaires, plus respectueuses de la confidentialité des internautes. Et pour accélérer ce changement important, Chrome va progressivement bloquer ces cookies suiveurs. 


Et c'est là qu'intervient l'œil dans la barre d'adresse. Il est là pour vous indiquer les cookies tiers sont bloqués ou pas sur le site que vous visitez. En pratique, si l'icône en forme d'œil est barrée, cela signifie que Chrome bloque les cookies tiers sur la page affichée. En d'autres termes, vous n'êtes pas suivi sur ce site par des cookies provenant d'un autre site. En revanche, si l'icône en forme d'œil n'est pas barrée, Chrome ne bloque pas les cookies tiers sur la page affichée et vous pouvez donc être pisté par des cookies provenant d'autres sites. 


Ce changement de politique de Google est progressif. Depuis le début 2024, le blocage des cookies tiers est activé pour un petit nombre d'utilisateurs de Chrome (1%, ce qui représente tout de même des millions d'utilisateurs dans le monde). Il s'agit surtout de tester l'efficacité de la fonction. Elle devrait être généralisée pour tous au cours du second semestre 2024. Selon Google, cette phase de test à grande échelle "aidera les développeurs à mener des expériences en conditions réelles pour évaluer l'état de préparation et l'efficacité de leurs produits sans cookies tiers".



La désactivation des cookies tiers est d'ores et déjà intégrée dans la dernière version de Chrome, mais pas activée pour tout le monde. Si vous souhaitez tenter l'expérience et la mettre en œuvre, c'est possible. Ouvrez Chrome puis saisissez chrome://flags dans le champ d'adresse et validez. Recherchez l'option Test Third Party Cookie Phaseout et cliquez sur le bouton associé pour le passer  en position Enabled. Après un redémarrage de Chrome, la nouvelle icône en forme d'œil apparaîtra dans le champ d'adresse.Et puisqu'il est possible que l'affichage des pages soit perturbé par le blocage des cookies tiers, vous pouvez heureusement désactiver la fonction. Cliquez sur l'œil et puis désactivez l'interrupteur Cookies tiers. 



Notons pour finir qu'il est assez amusant de voir Google prôner la fin des cookies de suivi, quand on sait que la majorité de ses revenus proviennent de la publicité. En outre, cookies tiers ou pas, Google continuera de vous suivre continuera de vous suivre à la trace et de collecter les données qui l'intéresse, avec votre accord bien entendu : ce n'est pas par hasard que certains qualifient Chrome de "plus grand spyware du monde"... 


REF.: commentcamarche.net

mardi 6 décembre 2022

Incognito: Tester votre navigateur pour éliminer ses traces

 Incognito: Tester votre navigateur pour éliminer ses traces:

 Découvrez comment les trackers voient votre navigateur

 Incognito: Tester votre navigateur pour éliminer ses traces

 

Testez votre navigateur pour voir dans quelle mesure vous êtes protégé contre le suivi et les empreintes digitales : 

 Testez votre navigateur : ici   https://coveryourtracks.eff.org/

(sécure,par la EFF: Electronic Frontier Fondation)recommandé par CryptoQuébec.

Tester avec une vraie société de suivi ?  

Comment la technologie de suivi suit-elle votre parcours sur le Web, même si vous avez pris des mesures de protection ? 

Cover Your Tracks (effacer vos traces) vous montre comment les trackers voient votre navigateur. Il vous donne un aperçu des caractéristiques les plus uniques et identifiantes de votre navigateur. Seules des données anonymes seront collectées via ce site.

 Mise a part un VPN,une manière de limiter l'information divulguée est d'activer le mode interdire le suivi,do not track,.......dans les paramètres du fureteur...Mais il faut savoir que plusieurs sites web l'ignorent tout simplement. Dans ce cas encore,Privacy Badger (un add-on, un extention de fureteur existe) pourrait s'avérer utile.

 

REF.:  https://coveryourtracks.eff.org/

dimanche 21 août 2022

Microsoft contre la société israélienne SOURGUM alias (plus connu sous Candiru)qui créa le Malware DevilsTongue:

 

Microsoft contre la société israélienne SOURGUM alias (plus connu sous Candiru)qui créa le Malware DevilsTongue:

 Protéger les clients d'un acteur offensif du secteur privé à l'aide d'exploits 0-day et du logiciel malveillant DevilsTongue(Voir:  https://docteo2.wordpress.com/2022/08/16/candiru-un-autre-fournisseur-de-logiciels-espions-mercenaires-entre-en-scene/)

 Centre de renseignements sur les menaces Microsoft (MSTIC)

 Le Microsoft Threat Intelligence Center (MSTIC) aux côtés du Microsoft Security Response Center (MSRC) a découvert un acteur offensif du secteur privé, ou PSOA, que nous appelons SOURGUM en possession d'exploits Windows 0-day désormais corrigés (CVE-2021 -31979 et CVE-2021-33771). 

 Les acteurs offensifs du secteur privé sont des entreprises privées qui fabriquent et vendent des cyberarmes dans des packages de piratage en tant que service, souvent à des agences gouvernementales du monde entier, pour pirater les ordinateurs, les téléphones, l'infrastructure réseau et d'autres appareils de leurs cibles. Avec ces packages de piratage, les agences gouvernementales choisissent généralement les cibles et exécutent elles-mêmes les opérations. Les outils, tactiques et procédures utilisés par ces entreprises ne font qu'ajouter à la complexité, à l'échelle et à la sophistication des attaques. Nous prenons ces menaces au sérieux et avons rapidement agi aux côtés de nos partenaires pour intégrer les dernières protections à nos clients. 

 MSTIC pense que SOURGUM est un acteur offensif du secteur privé basé en Israël. Nous tenons à remercier le Citizen Lab, de la Munk School de l'Université de Toronto, pour avoir partagé l'échantillon de logiciel malveillant à l'origine de ce travail et leur collaboration au cours de l'enquête. Dans son blog, Citizen Lab affirme avec une grande confiance que SOURGUM est une société israélienne communément connue sous le nom de Candiru. Des rapports de tiers indiquent que Candiru produit "des outils de piratage [qui] sont utilisés pour pénétrer dans les ordinateurs et les serveurs". 

Comme nous l'avons partagé sur le blog Microsoft on the Issues, Microsoft et Citizen Lab ont travaillé ensemble pour désactiver le logiciel malveillant utilisé par SOURGUM qui a ciblé plus de 100 victimes à travers le monde, y compris des politiciens, des militants des droits de l'homme, des journalistes, des universitaires, des employés d'ambassade et dissidents politiques. Pour limiter ces attaques, Microsoft a créé et intégré des protections dans nos produits contre ce malware unique, que nous appelons DevilsTongue. Nous avons partagé ces protections avec la communauté de la sécurité afin que nous puissions collectivement traiter et atténuer cette menace. Nous avons également publié une mise à jour logicielle qui protégera les clients Windows contre les exploits associés que l'acteur a utilisés pour aider à diffuser ses logiciels malveillants hautement sophistiqués.

 SOURGUM victimologie

 Les rapports des médias (1, 2, 3) indiquent que les PSOA vendent souvent des exploits Windows et des logiciels malveillants dans des packages de piratage en tant que service aux agences gouvernementales. Des agences en Ouzbékistan, aux Émirats arabes unis et en Arabie saoudite figurent sur la liste des anciens clients présumés de Candiru. Ces agences choisissent alors probablement qui cibler et exécutent elles-mêmes les cyberopérations. 

 Microsoft a identifié plus de 100 victimes du logiciel malveillant de SOURGUM, et ces victimes sont aussi diversifiées géographiquement que l'on pourrait s'y attendre lorsque diverses agences gouvernementales sont censées sélectionner les cibles. Environ la moitié des victimes ont été retrouvées dans l'Autorité palestinienne, la plupart des victimes restantes se trouvant en Israël, en Iran, au Liban, au Yémen, en Espagne (Catalogne), au Royaume-Uni, en Turquie, en Arménie et à Singapour. Pour être clair, l'identification des victimes du malware dans un pays ne signifie pas nécessairement qu'une agence dans ce pays est un client de SOURGUM, car le ciblage international est courant.

 Toutes les alertes Microsoft 365 Defender et Microsoft Defender for Endpoint contenant des noms de détection pour le nom du malware DevilsTongue sont des signes de compromission par le malware de SOURGUM. Nous avons inclus une liste complète des noms de détection ci-dessous pour que les clients puissent effectuer une recherche supplémentaire dans leur environnement.

Exploits 

SOURGUM semble utiliser une chaîne d'exploits de navigateur et de Windows, y compris des 0-days, pour installer des logiciels malveillants sur les boîtes des victimes. Les exploits de navigateur semblent être diffusés via des URL à usage unique envoyées à des cibles sur des applications de messagerie telles que WhatsApp.

 Au cours de l'enquête, Microsoft a découvert deux exploits Windows 0-day pour les vulnérabilités suivies comme CVE-2021-31979 et CVE-2021-33771, qui ont toutes deux été corrigées dans les mises à jour de sécurité de juillet 2021. Ces vulnérabilités permettent une élévation des privilèges, donnant à un attaquant la possibilité d'échapper aux bacs à sable du navigateur et d'obtenir l'exécution du code du noyau. Si les clients ont pris la mise à jour de sécurité de juillet 2021, ils sont protégés contre ces exploits.

 CVE-2021-31979 corrige un débordement d'entier dans le système d'exploitation basé sur Windows NT (NTOS). Ce débordement entraîne le calcul d'une taille de tampon incorrecte, qui est ensuite utilisée pour allouer un tampon dans le pool du noyau. Un débordement de tampon se produit par la suite lors de la copie de la mémoire vers le tampon de destination plus petit que prévu. Cette vulnérabilité peut être exploitée pour corrompre un objet dans une allocation de mémoire adjacente. À l'aide des API du mode utilisateur, la disposition de la mémoire du pool de noyau peut être améliorée avec des allocations contrôlées, ce qui entraîne le placement d'un objet dans l'emplacement de mémoire adjacent. Une fois corrompu par le buffer overflow, cet objet peut être transformé en mode utilisateur pour kernel mode lecture/écriture primitive. Avec ces primitives en place, un attaquant peut alors élever ses privilèges.

 CVE-2021-33771 résout une condition de concurrence dans NTOS entraînant l'utilisation après libération d'un objet noyau. En utilisant plusieurs threads de course, l'objet noyau peut être libéré et la mémoire libérée récupérée par un objet contrôlable. Comme la vulnérabilité précédente, la mémoire du pool du noyau peut être pulvérisée avec des allocations à l'aide d'API en mode utilisateur dans l'espoir d'obtenir une allocation d'objet dans la mémoire récemment libérée. En cas de succès, l'objet contrôlable peut être utilisé pour former une primitive de lecture/écriture du mode utilisateur au mode noyau et élever les privilèges. 

Présentation des logiciels malveillants DevilsTongue

 DevilsTongue est un logiciel malveillant multithread modulaire complexe écrit en C et C++ avec plusieurs nouvelles fonctionnalités. L'analyse est toujours en cours pour certains composants et capacités, mais nous partageons notre compréhension actuelle du malware afin que les défenseurs puissent utiliser cette intelligence pour protéger les réseaux et que d'autres chercheurs puissent s'appuyer sur notre analyse. 

 Pour les fichiers sur disque, les chemins PDB et les horodatages PE sont nettoyés, les chaînes et les configurations sont chiffrées et chaque fichier a un hachage unique. La principale fonctionnalité réside dans les DLL chiffrées sur disque et uniquement déchiffrées en mémoire, ce qui rend la détection plus difficile. Les données de configuration et de tâches sont séparées du logiciel malveillant, ce qui rend l'analyse plus difficile. DevilsTongue possède à la fois des fonctionnalités en mode utilisateur et en mode noyau. Il existe plusieurs nouveaux mécanismes d'évasion de détection intégrés. Toutes ces fonctionnalités prouvent que les développeurs de SOURGUM sont très professionnels, ont une vaste expérience dans l'écriture de logiciels malveillants Windows et ont une bonne compréhension de la sécurité opérationnelle.

 Lorsque le logiciel malveillant est installé, une DLL de logiciel malveillant de « piratage » de première étape est déposée dans un sous-dossier de C:\Windows\system32\IME\ ; les dossiers et les noms des DLL de piratage se mélangent aux noms légitimes dans les répertoires \IME\. Les logiciels malveillants de deuxième étape chiffrés et les fichiers de configuration sont déposés dans des sous-dossiers de C:\Windows\system32\config\ avec une extension de fichier .dat. Un pilote tiers légitime et signé physmem.sys est déposé dans le dossier system32\drivers. Un fichier appelé WimBootConfigurations.ini est également supprimé ; ce fichier contient la commande pour suivre le piratage COM. Enfin, le logiciel malveillant ajoute la DLL de piratage à une clé de registre de classe COM, écrasant le chemin légitime de la DLL COM qui s'y trouvait, obtenant ainsi la persistance via le piratage COM.

 À partir du piratage COM, la DLL de piratage de première étape de DevilsTongue est chargée dans un processus svchost.exe pour s'exécuter avec les autorisations SYSTEM. La technique de piratage COM signifie que la DLL d'origine qui se trouvait dans la clé de registre COM n'est pas chargée. Cela peut interrompre la fonctionnalité du système et déclencher une enquête qui pourrait conduire à la découverte du logiciel malveillant, mais DevilsTongue utilise une technique intéressante pour éviter cela. Dans sa fonction DllMain, il appelle LoadLibrary sur la DLL COM d'origine afin qu'elle soit correctement chargée dans le processus. DevilsTongue recherche ensuite dans la pile des appels l'adresse de retour de LoadLibraryExW (c'est-à-dire la fonction qui charge actuellement la DLL DevilsTongue), qui renvoie généralement l'adresse de base de la DLL DevilsTongue. 

 Une fois l'adresse de retour LoadLibraryExW trouvée, DevilsTongue alloue un petit tampon avec un shellcode qui place l'adresse de base de la DLL COM (imecfmup.7FFE49060000 dans la figure 1) dans le registre rax, puis passe à l'adresse de retour d'origine de LoadLibraryExW (svchost.7FF78E903BFB dans Figures 1 et 2). Dans la figure 1, la DLL COM est nommée imecfmup plutôt qu'un nom de DLL COM légitime, car certains exemples DevilsTongue ont copié la DLL COM à un autre emplacement et l'ont renommée.

 Figure 1. Shellcode de modification de l'adresse de retour DevilsTongue DevilsTongue échange ensuite l'adresse de retour LoadLibraryExW d'origine sur la pile avec l'adresse du shellcode de sorte que lorsque LoadLibraryExW le retourne, il le fasse dans le shellcode (Figures 2 et 3). Le shellcode remplace l'adresse de base DevilsTongue dans rax par l'adresse de base de la DLL COM, ce qui donne l'impression que LoadLibraryExW a renvoyé l'adresse de la DLL COM. Le processus hôte svchost.exe utilise désormais l'adresse de base de la DLL COM renvoyée comme il le ferait habituellement.

 Figure 2. Pile d'appels avant l'échange de pile, LoadLibraryExW dans kernelbase retournant à svchost.exe (0x7FF78E903BFB) 

 Figure 3. Pile d'appels après échange de pile, LoadLibraryExW dans la base du noyau retournant à l'adresse du shellcode (0x156C51E0000 de la figure 1) 

Cette technique garantit que la DLL DevilsTongue est chargée par le processus svchost.exe, ce qui donne la persistance du logiciel malveillant, mais que la DLL COM légitime est également chargée correctement, de sorte qu'il n'y a pas de changement notable dans les fonctionnalités des systèmes de la victime.

 Après cela, la DLL de piratage déchiffre et charge une DLL de logiciel malveillant de deuxième étape à partir de l'un des fichiers .dat chiffrés. Le logiciel malveillant de deuxième étape décrypte un autre fichier .dat qui contient plusieurs DLL d'assistance sur lesquelles il s'appuie pour ses fonctionnalités. 

DevilsTongue possède des fonctionnalités standard de logiciels malveillants, y compris la collecte de fichiers, le registre interroger, exécuter des commandes WMI et interroger des bases de données SQLite. Il est capable de voler les informations d'identification des victimes à la fois de LSASS et de navigateurs, tels que Chrome et Firefox. Il dispose également d'une fonctionnalité dédiée pour décrypter et exfiltrer les conversations de l'application de messagerie Signal.

 Il peut récupérer les cookies d'une variété de navigateurs Web. Ces cookies volés peuvent ensuite être utilisés par l'attaquant pour se connecter en tant que victime à des sites Web afin de permettre la collecte d'informations supplémentaires. Les cookies peuvent être collectés à partir de ces chemins (* est un caractère générique pour correspondre à tous les dossiers) :

 %LOCALAPPDATA%\Chrome\Données utilisateur\*\Cookies 

%LOCALAPPDATA%\Google\Chrome\Données utilisateur\*\Cookies 

%LOCALAPPDATA%\Microsoft\Windows\INetCookies 

 %LOCALAPPDATA%\Packages\*\AC\*\MicrosoftEdge\Cookies 

 %LOCALAPPDATA%\UCBrowser\User Data_i18n\*\Cookies.9

 %LOCALAPPDATA%\Yandex\YandexBrowser\Données utilisateur\*\Cookies 

%APPDATA%\Apple Computer\Safari\Cookies\Cookies.binarycookies

 %APPDATA%\Microsoft\Windows\Cookies 

 %APPDATA%\Mozilla\Firefox\Profiles\*\cookies.sqlite

%APPDATA%\Opera Software\Opera Stable\Cookies

 Fait intéressant, DevilsTongue semble capable d'utiliser des cookies directement depuis l'ordinateur de la victime sur des sites Web tels que Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki et Vkontakte pour collecter des informations, lire les messages de la victime et récupérer des photos. DevilsTongue peut également envoyer des messages en tant que victime sur certains de ces sites Web, indiquant à tout destinataire que la victime a envoyé ces messages. La capacité d'envoyer des messages pourrait être militarisée pour envoyer des liens malveillants à davantage de victimes. 

Parallèlement à DevilsTongue, un pilote signé tiers est déposé dans C:\Windows\system32\drivers\physmem.sys. La description du pilote est "Pilote d'accès à la mémoire physique" et il semble offrir une capacité de lecture/écriture du noyau "de par sa conception". Cela semble être abusé par DevilsTongue pour proxy certains appels d'API via le noyau pour entraver la détection, y compris la possibilité de faire apparaître certains des appels à partir d'autres processus. Les fonctions pouvant être mandatées incluent CreateProcessW, VirtualAllocEx, VirtualProtectEx, WriteProcessMemory, ReadProcessMemory, CreateFileW et RegSetKeyValueW.

 Prévention et détection

 Pour éviter les compromis dus aux exploits du navigateur, il est recommandé d'utiliser un environnement isolé, tel qu'une machine virtuelle, lors de l'ouverture de liens provenant de parties non fiables. L'utilisation d'une version moderne de Windows 10 avec des protections basées sur la virtualisation, telles que Credential Guard, empêche les capacités de vol d'informations d'identification LSASS de DevilsTongue. L'activation de la règle de réduction de la surface d'attaque "Bloquer les abus des pilotes signés vulnérables exploités" dans Microsoft Defender pour Endpoint bloque le pilote utilisé par DevilsTongue. La protection réseau bloque les domaines SOURGUM connus.

 Opportunités de détection 

 Cette section est destinée à servir de guide non exhaustif pour aider les clients et les pairs du secteur de la cybersécurité à détecter le malware DevilsTongue. Nous fournissons ces conseils dans l'espoir que SOURGUM modifiera probablement les caractéristiques que nous identifions pour la détection dans leur prochaine itération du logiciel malveillant. Compte tenu du niveau de sophistication de l'acteur, cependant, nous pensons que le résultat se produirait probablement indépendamment de nos conseils publics.

 Emplacements des fichiers

 Les DLL de piratage se trouvent dans des sous-dossiers de \system32\ime\ avec des noms commençant par "im". Cependant, ils sont mélangés avec des DLL légitimes dans ces dossiers. Pour faire la distinction entre le malveillant et le bénin, les DLL légitimes sont signées (sur Windows 10) alors que les fichiers DevilsTongue ne le sont pas.

 Exemples de chemins : 

C:\Windows\System32\IME\IMEJP\imjpueact.dll

 C:\Windows\system32\ime\IMETC\IMTCPROT.DLL

 C:\Windows\system32\ime\SHARED\imecpmeid.dll

 Les fichiers de configuration DevilsTongue, qui sont cryptés AES, se trouvent dans des sous-dossiers de C:\Windows\system32\config\ et ont une extension .dat. Les chemins exacts sont spécifiques à la victime, bien que certains noms de dossier soient communs à toutes les victimes. Comme les fichiers sont cryptés AES, tous les fichiers dont la taille mod 16 est 0 peuvent être considérés comme un fichier de configuration de logiciel malveillant possible. Les fichiers de configuration se trouvent toujours dans de nouveaux dossiers, et non dans les dossiers existants légitimes (par exemple, sous Windows 10, jamais dans \Journal, \systemprofile, \TxR, etc.).

 Exemples de chemins : 

 C:\Windows\system32\config\spp\ServiceState\Recovery\pac.dat

 C:\Windows\system32\config\cy-GB\Setup\SKB\InputMethod\TupTask.dat

 C:\Windows\system32\config\config\startwus.dat 

Noms de dossier couramment réutilisés dans les chemins des fichiers de configuration :

 spp

 SKB

curv

 liste de réseau(networklist)

 Licences

 Procédé d'entrée(InputMethod)

 Récupération(Recovery)

 Le fichier .ini reg porte le nom unique WimBootConfigurations.ini et se trouve dans un sous-dossier de system32\ime\. 

Exemples de chemins :

 C:\Windows\system32\ime\SHARED\WimBootConfigurations.ini

 C:\Windows\system32\ime\IMEJP\WimBootConfigurations.ini

 C:\Windows\system32\ime\IMETC\WimBootConfigurations.ini

 Le pilote Physmem est déposé dans system32 : C:\Windows\system32\drivers\physmem.sys

 Comportements 

 Les deux clés COM qui ont été observées étant détournées pour la persistance sont répertoriés ci-dessous avec leurs valeurs propres par défaut. Si leur DLL de valeur par défaut se trouve dans le dossier \system32\ime\, la DLL est probablement DevilsTongue.(a été vu aussi dans windows7)

    HKLM\SOFTWARE\Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 = %systemroot%\system32\wbem\wmiutils.dll (valeur par défaut propre)


    HKLM\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32 = %systemroot%\system32\wbem\wbemsvc.dll (valeur par défaut propre)

Contenu et caractéristiques du fichier


Cette règle Yara peut être utilisée pour trouver la DLL de piratage DevilsTongue :


import "pe"
rule DevilsTongue_HijackDll
{
meta:
description = "Detects SOURGUM's DevilsTongue hijack DLL"
author = "Microsoft Threat Intelligence Center (MSTIC)"
date = "2021-07-15"
strings:
$str1 = "windows.old\\windows" wide
$str2 = "NtQueryInformationThread"
$str3 = "dbgHelp.dll" wide
$str4 = "StackWalk64"
$str5 = "ConvertSidToStringSidW"
$str6 = "S-1-5-18" wide
$str7 = "SMNew.dll" // DLL original name
// Call check in stack manipulation
// B8 FF 15 00 00   mov     eax, 15FFh
// 66 39 41 FA      cmp     [rcx-6], ax
// 74 06            jz      short loc_1800042B9
// 80 79 FB E8      cmp     byte ptr [rcx-5], 0E8h ; 'è'
$code1 = {B8 FF 15 00 00 66 39 41 FA 74 06 80 79 FB E8}
// PRNG to generate number of times to sleep 1s before exiting
// 44 8B C0 mov r8d, eax
// B8 B5 81 4E 1B mov eax, 1B4E81B5h
// 41 F7 E8 imul r8d
// C1 FA 05 sar edx, 5
// 8B CA    mov ecx, edx
// C1 E9 1F shr ecx, 1Fh
// 03 D1    add edx, ecx
// 69 CA 2C 01 00 00 imul ecx, edx, 12Ch
// 44 2B C1 sub r8d, ecx
// 45 85 C0 test r8d, r8d
// 7E 19    jle  short loc_1800014D0
$code2 = {44 8B C0 B8 B5 81 4E 1B 41 F7 E8 C1 FA 05 8B CA C1 E9 1F 03 D1 69 CA 2C 01 00 00 44 2B C1 45 85 C0 7E 19}
condition:
filesize < 800KB and
uint16(0) == 0x5A4D and
(pe.characteristics & pe.DLL) and
(
4 of them or
($code1 and $code2) or
(pe.imphash() == "9a964e810949704ff7b4a393d9adda60")
)
}


Détections de l'antivirus Microsoft Defender

Microsoft Defender Antivirus détecte les logiciels malveillants DevilsTongue avec les détections suivantes :

    Trojan:Win32/DevilsTongue.A!dha
    Trojan:Win32/DevilsTongue.B!dha
    Trojan:Script/DevilsTongueIni.A!dha
    VirTool:Win32/DevilsTongueConfig.A!dha
    HackTool:Win32/DevilsTongueDriver.A!dha

Alertes Microsoft Defender pour point de terminaison

Les alertes portant les titres suivants dans le centre de sécurité peuvent indiquer une activité de malware DevilsTongue sur votre réseau :

    Détournement COM
    Vol possible d'informations sensibles sur le navigateur Web
    Cookies SSO volés

Requête Azure Sentinel

Pour localiser une éventuelle activité SOURGUM à l'aide d'Azure Sentinel, les clients peuvent trouver une requête Sentinel contenant ces indicateurs dans ce référentiel GitHub.
Indicateurs de compromis (IOC)

Aucun hachage de logiciel malveillant n'est partagé car les fichiers DevilsTongue, à l'exception du troisième pilote ci-dessous, ont tous des hachages uniques et ne constituent donc pas un indicateur utile de compromission.
Pilote physique

Notez que ce pilote peut être utilisé légitimement, mais s'il apparaît sur le chemin C:\Windows\system32\drivers\physmem.sys, il s'agit d'un indicateur de haute confiance de l'activité de DevilsTongue. Les hachages ci-dessous sont fournis pour le seul pilote observé en cours d'utilisation.

    MD5 : a0e2223868b6133c5712ba5ed20c3e8a
    SHA-1 : 17614fdee3b89272e99758983b99111cbb1b312c
    SHA-256 : c299063e3eae8ddc15839767e83b9808fd43418dc5a1af7e4f44b97ba53fbd3d

Domaines

   noc-service-streamer[.]com
    fbcdnads[.]live
    hilocake[.]info
    backxercise[.]com
    winmslaf[.]xyz
    service-deamon[.]com
    online-affiliate-mon[.]com
    codeingasmylife[.]com
    kenoratravels[.]com
    weathercheck[.]digital
    colorpallatess[.]com
    library-update[.]com
    online-source-validate[.]com
    grayhornet[.]com
    johnshopkin[.]net
    eulenformacion[.]com
    pochtarossiy[.]info

REF.:  https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/

Classé sous :

    La cyber-sécurité

vendredi 28 mai 2021

COMB: la plus grande violation de tous les temps divulguée en ligne avec 3,2 milliards d'enregistrements

 

 COMB: la plus grande violation de tous les temps divulguée en ligne avec 3,2 milliards d'enregistrements

 par Bernard Meyer 

12 février 2021 dans News 39 Fuite de données COMb

 - Mère de toutes les violations 2,4 k

 ACTIONS: Détecteur=https://cybernews.com/personal-data-leak-check/

 On l'appelle la plus grande violation de tous les temps et la mère de toutes les violations: COMB, ou la compilation de nombreuses violations, contient plus de 3,2 milliards de paires uniques d'e-mails et de mots de passe en texte clair. Bien que de nombreuses violations et fuites de données aient affecté Internet dans le passé, celui-ci est exceptionnel par sa taille. À savoir, la population totale de la planète est d'environ 7,8 milliards, et cela représente environ 40% de cela. Cependant, si l'on considère qu'environ 4,7 milliards de personnes seulement sont en ligne, COMB inclurait les données de près de 70% des internautes mondiaux (si chaque enregistrement était une personne unique).

 Pour cette raison, il est recommandé aux utilisateurs de vérifier immédiatement si leurs données ont été incluses dans la fuite. Vous pouvez maintenant accéder au vérificateur de fuites de données personnelles CyberNews. CyberNews a été la première base de données de fuite à inclure les données COMB. Depuis la sortie de COMB, près d'un million d'utilisateurs ont vérifié notre vérificateur de fuite de données personnelles pour voir si leurs données étaient incluses dans la plus grande compilation de brèches de tous les temps.

 Alors, comment la fuite de données COMB s'est-elle produite? Le mardi 2 février, COMB a été divulgué sur un forum de piratage populaire. Il contient des milliards d'informations d'identification utilisateur provenant de fuites passées de Netflix, LinkedIn, Exploit.in, Bitcoin et plus encore. Cette fuite est comparable à la compilation Breach de 2017, dans laquelle 1,4 milliard d'informations d'identification ont été divulguées. Cependant, la violation actuelle, connue sous le nom de «Compilation de nombreuses violations» (COMB), contient plus du double des paires uniques d'e-mail et de mot de passe. Les données sont actuellement archivées et placées dans un conteneur crypté et protégé par mot de passe. La base de données divulguée comprend un script nommé count_total.sh, qui a également été inclus dans la compilation des violations de 2017. Cette violation comprend également deux autres scripts: query.sh, pour interroger les e-mails, et sorter.sh pour trier les données.

 Après avoir exécuté le script count_total.sh, qui est un simple script bash pour compter le nombre total de lignes dans chacun des fichiers et les additionner, nous pouvons voir qu'il y a plus de 3,27 milliards de paires d'e-mails et de mots de passe:

 Nous ajoutons actuellement les nouveaux e-mails COMB à notre vérificateur de fuites de données personnelles. Le vérificateur de fuites de données personnelles de CyberNews possède la plus grande base de données de comptes piratés connus, aidant les utilisateurs à savoir si leurs données sont éventuellement tombées entre les mains de cybercriminels. Consultez notre vérificateur de fuites de données personnelles maintenant pour voir si votre adresse e-mail a été exposée dans cette fuite ou dans des fuites précédentes. Fuites de données et leurs effets: comment vérifier si vos données ont été divulguées? capture d'écran vidéo Cela ne semble pas être une nouvelle violation, mais plutôt la plus grande compilation de violations multiples.

 Tout comme la compilation des violations de 2017, les données de COMB sont organisées par ordre alphabétique dans une structure arborescente et contiennent les mêmes scripts pour interroger les e-mails et les mots de passe. Dans les captures d'écran jointes à la fuite, on peut voir l'organisation des données, ainsi que le type de données publiées. Ci-dessous, les données ont été brouillées par CyberNews: Pour le moment, on ne sait pas quelles bases de données précédemment divulguées sont collectées dans cette faille. Les échantillons consultés par CyberNews contenaient des e-mails et des mots de passe pour des domaines du monde entier. 

Connexions Netflix, Gmail, Hotmail incluses dans COMB Comme COMB est une base de données rapide, consultable et bien organisée des fuites majeures passées, elle contient naturellement les fuites passées.

 Cela inclut les fuites majeures de services populaires tels que Netflix, Gmail, Hotmail, Yahoo et plus encore. Sur la base de notre analyse des données violées, il y a environ 200 millions d'adresses Gmail et 450 millions d'adresses e-mail Yahoo dans la fuite de données COMB. En 2015, The Independent a signalé un «piratage Netflix» apparent où les cybercriminels ont pu se connecter aux comptes des utilisateurs de Netflix dans le monde entier. Cependant, Netflix n'a jamais admis avoir été piraté, ce qui est probablement dû au fait que les utilisateurs utilisent souvent les mêmes mots de passe pour différents comptes.

 C'est pourquoi il est important d'utiliser un mot de passe unique pour chaque compte que vous créez. CyberNews dispose d'un générateur de mots de passe fort que vous pouvez utiliser pour créer des mots de passe forts et uniques. Astuce CyberNews Pro Ne laissez pas une autre violation de données vous effrayer. Les gestionnaires de mots de passe créent non seulement des mots de passe forts et uniques, mais ils vous alertent également lorsque vos informations d'identification ont été divulguées. En savoir plus sur les gestionnaires de mots de passe De même, Gmail n'a jamais connu de violation de données. Au lieu de cela, cela est probablement lié aux personnes utilisant leur adresse e-mail Gmail sur d'autres sites Web ou services piratés. D'autre part, Microsoft a confirmé qu'entre janvier et mars 2019, les pirates ont pu accéder à un certain nombre de comptes de messagerie Outlook.com, Hotmail et MSN Mail. Mais peut-être que la plus grande violation de données de grande envergure est arrivée à Yahoo. Bien qu'elle ait été signalée en 2016, la violation s'est en fait produite à la fin de 2014.

 Dans cette violation de Yahoo, la société a confirmé que les 3 milliards de comptes de ses utilisateurs avaient été touché. Il semble que toutes les données des anciennes violations de Yahoo et Hotmail / Microsoft n'ont pas été incluses dans COMB. Néanmoins, il est possible que la liste ait été nettoyée des informations d'identification mortes, c'est pourquoi il est essentiel que les utilisateurs vérifient si leurs données ont été divulguées. Semblable à Breach Compilation Cette base de données actuellement divulguée semble s'appuyer sur la compilation des violations de 2017. Dans cette fuite, les analystes du renseignement de 4iQ ont découvert une base de données de fichiers unique contenant 1,4 milliard de paires d'e-mails et de mots de passe, le tout en texte brut.

 À l'époque, cela était considéré comme le plus grand risque de violation d'informations d'identification, presque deux fois plus important que le plus grand risque d'informations d'identification précédent d'Exploit.in qui comptait près de 800 millions d'enregistrements. La compilation des violations de 2017 contenait 252 violations précédentes, y compris celles agrégées des précédents dumps Anti Public et Exploit.in, ainsi que LinkedIn, Netflix, Minecraft, Badoo, Bitcoin et Pastebin. Cependant, lorsqu'ils ont analysé les données, ils ont constaté que «14% des paires nom d'utilisateur / mot de passe exposées n'avaient pas été précédemment décryptées par la communauté et sont désormais disponibles en texte clair».

 Lorsque 4iQ a découvert la compilation Breach, ils ont testé un petit sous-ensemble de mots de passe pour vérification, et la plupart des mots de passe testés ont fonctionné. Les analystes du renseignement déclarent avoir trouvé la décharge de 41 Go le 5 décembre 2017, les dernières données étant mises à jour le 29 novembre 2017. Ils ont également fait remarquer que la fuite n'était pas simplement une liste, mais plutôt une «base de données interactive» qui permettait des «recherches rapides (une seconde réponse) et des importations de nouvelles violations. Étant donné que les gens réutilisent les mots de passe sur leurs comptes de messagerie, de médias sociaux, de commerce électronique, de banque et de travail, les pirates peuvent automatiser le détournement de compte ou la prise de contrôle de compte. » On ne sait pas quelles ont été les répercussions de la compilation Breach.

 Impact possible L'impact sur les consommateurs et les entreprises de cette nouvelle violation peut être sans précédent.

 Étant donné que la majorité des gens réutilisent leurs mots de passe et noms d'utilisateur sur plusieurs comptes, les attaques de bourrage d'informations d'identification constituent la plus grande menace. Si les utilisateurs utilisent les mêmes mots de passe pour leur LinkedIn ou Netflix que pour leurs comptes Gmail, les attaquants peuvent basculer vers d'autres comptes plus importants. Au-delà de cela, les utilisateurs dont les données ont été incluses dans Compilation of Many Breaches peuvent être victimes d'attaques de spear-phishing ou recevoir des niveaux élevés de spams. Dans tous les cas, il est normalement recommandé aux utilisateurs de changer régulièrement leurs mots de passe et d'utiliser des mots de passe uniques pour chaque compte. Faire cela - créer et mémoriser des mots de passe uniques - peut être assez difficile, et nous recommandons aux utilisateurs de faire appel à des gestionnaires de mots de passe pour les aider à créer des mots de passe forts.

 Et, bien sûr, les utilisateurs doivent ajouter une authentification multifacteur, comme Google Authenticator, sur leurs comptes les plus sensibles. De cette façon, même si un attaquant a son nom d'utilisateur et son mot de passe, il ne pourra pas accéder à ses comptes. Nous continuerons d'analyser les données au fur et à mesure que l'histoire se déroule. 

 Mise à jour du 12 février: 

cet article a été mis à jour pour ajouter une nouvelle analyse des domaines Gmail et Yahoo contenus dans la base de données COMB, ainsi que du nombre d'utilisateurs ayant vérifié leurs données sur le vérificateur de fuites de données de CyberNews. En savoir plus sur CyberNews: Essayez les meilleurs fournisseurs de VPN, comme ProtonVPN, Surfshark ou NordVPN. Comparez ExpressVPN avec NordVPN Les logiciels malveillants sur votre ordinateur ou appareil peuvent constituer une menace sérieuse - choisissez judicieusement le logiciel antivirus 350 millions d'adresses e-mail déchiffrées laissées exposées sur un serveur non sécurisé Les fournisseurs de messagerie sécurisés peuvent protéger les informations sensibles que vous envoyez Un guide des meilleurs VPN pour Netflix en 2021 

 

REF.:

mardi 18 mai 2021

Si quelqu'un a installé un logiciel espion sur votre téléphone, peut-il réellement vous voir et / ou vous entendre?

 

 Si quelqu'un a installé un logiciel espion sur votre téléphone, peut-il réellement vous voir et / ou vous entendre?

 Un appareil sur lequel un logiciel de surveillance ou d'espionnage est installé se comportera de manière étrange que ceux sans une telle falsification. certains de ces appareils sont hautement sécurisés mais il y a toujours une porte dérobée dans cette nouvelle génération de technologie, j'ai également été victime d'attaque de virus 

Dans le passé, mes informations bancaires ont été volées par un logiciel malveillant installé sur mon appareil pour collecter mes informations importantes et je me sentais vide, parce que je n'ai aucune intimité dans ma vie.

 Le logiciel espion consommera les ressources de la batterie et de l'appareil tout en s'exécutant en arrière-plan. Ainsi, cela entraînera une plus grande consommation de la batterie et la batterie de votre appareil se déchargera plus rapidement. Une application qui met constamment à jour les données dans le cloud consommera un grand nombre de ressources en continu, ce qui augmenterait la surchauffe de l'appareil. 

 Apple n'approuve pas l'installation d'outils d'espionnage ou de surveillance.

 C'est pourquoi, si quelqu'un souhaite installer un logiciel espion sur votre téléphone, il devra d'abord jailbreaker votre appareil. Jailbreaker l'iPhone installera l'application Cydia sur l'iPhone, ce qui peut révéler le jailbreaking. Donc, si vous trouvez l'application Cydia sur votre iPhone et que vous n'avez pas jailbreaker votre appareil, cela signifie que quelqu'un d'autre a fait l'acte sans vous le dire et pas avec une bonne intention. L'enracinement d'un appareil Android est la version Android qui permet de supprimer les restrictions sur le système d'exploitation de l'appareil et d'obtenir un accès superutilisateur à ses fonctions de base. Mais comme le jailbreaking, l'enracinement d'Android comporte également de nombreux risques de sécurité associés 

- Vous seriez en mesure de recevoir des mises à jour Over-the-Air ou OTA. Donner un accès root à des applications malveillantes rendra vos informations personnelles vulnérables. Une application malveillante peut installer d'autres applications malveillantes à votre insu après l'enracinement. Les virus et les chevaux de Troie peuvent attaquer votre appareil.

 La meilleure solution efficace pour supprimer une application d'espionnage consiste à utiliser le service éthique de robotfixtech gmailcom pour déboguer tous les virus sur votre appareil. Les applications d'espionnage sont comme les autres logiciels qui reposent fortement sur la compatibilité, et il est préférable d'utiliser un programme de support éthique fiable. 

Vous pouvez minimiser les risques liés à l'installation de logiciels espions ou de logiciels malveillants sur votre appareil en utilisant le programme de protection antivirus ci-dessus. Ceux-ci détecteront et vous informeront automatiquement de toute application malveillante installée sur votre téléphone.

 

REF.: Quora.com 

mercredi 7 avril 2021

Maliciels : ils sont de plus en plus présents sur macOS

 

 

Maliciels : ils sont de plus en plus présents sur macOS

Mais ce n’est encore rien comparé à Windows.

Comme le rapporte Atlas VPN, la firme de recherche en sécurité AV-TEST Gmbh a mis en évidence l’existence de 674 273 menaces de maliciels en 2020 sur macOS. C’est bien plus que les 219 257 menaces détectées entre 2012 et 2019.

L’augmentation des virus et autres logiciels malveillants est donc exponentielle sur macOS. En nombre de maliciels existant sur macOS, l’augmentation aurait été de 1092 % de 2019 à 2020…

Si cela peut faire peur dans un premier temps, il faut bien comprendre que ce n’est encore rien face au système d’exploitation Windows, qui a connu lui 91,05 millions de menaces différentes de type malwares en 2020, 89,07 millions de plus qu’en 2019.

Cela équivaut à 249 452 menaces différentes créées chaque jour pour attaquer les utilisateurs Windows. En comparaison, seulement 1 847 nouveaux maliciels visant les utilisateurs macOS seraient créés toutes les 24h.

Il est vrai que, s’il y a 10 ans de cela, macOS ne connaissait que de rares menaces de virus et maliciels, aujourd’hui, même si un antivirus n’est pas forcément nécessaire (à condition d’avoir une utilisation prudente d’internet depuis son Mac), il n’est pas insensé de passer de temps en temps un coup de détecteur de malwares pour nettoyer sa machine et supprimer toute menace.

Il existe plusieurs solutions pour rechercher des maliciels sur son Mac. J’en conseille deux, l’une gratuite, basique, il s’agit de Malwarebytes, l’autre est payante, mais bien plus puissance, il s’agit de CleanMyMac.

Malwarebytes, disponible ici gratuitement, est un anti-maliciel pour Mac, capable d’analyser votre système et de mettre  en quarantaine ou supprimer de nombreux logiciels néfastes.

CleanMyMac de MacPaw est un logiciel bien plus puissant, comprenant un anti-maliciel, mais aussi d’autres outils de nettoyage. Il n’est pas gratuit, mais vaut le coup selon mon expérience personnelle sur Mac. CleanMyMac est à mon sens un indispensable pour macOS. Je possède une licence depuis 10 ans maintenant et les premières versions du logiciel. Anti-maliciel, il me sert notamment aussi pour supprimer de nombreux fichiers inutiles, mais encore pour désinstaller proprement des applications.

 

REF.: Pierre Otin

jeudi 10 décembre 2020

5 outils pour tester la fiabilité d’un site internet

 

 

5 outils pour tester la fiabilité d’un site internet


Internet est incontestablement l’endroit parfait pour réaliser des bonnes affaires : rapidité, facilité, tarifs attractifs… La liste des avantages n’est plus à établir. Forts de ce constat, des arnaqueurs s’y sont infiltrés massivement en créant des faux sites marchands pour attraper les moins attentifs d’entre nous… Mais alors comment distinguer les sites de confiance des autres ? La réponse est toute trouvée : en utilisant un outil dédié à cet usage ! Il existe en effet des sites dédiés à l’analyse de la fiabilité d’autres sites. Voici la liste des 5 leaders du secteur :-), abusez-en !

ScamDoc.com : Tout dernier arrivé sur ce marché, ce site analyse automatiquement la fiabilité d’un site internet grâce à un algorithme d’intelligence artificielle : le top du domaine, français en plus… Il suffit de s’y rendre et de taper l’adresse d’un site dans un champ de formulaire. Après quelques secondes, un rapport de fiabilité s’affiche et permet de vous conforter ou non dans votre démarche d’achat. Il est gratuit et son usage est illimité ! En bonus : en plus d’une analyse de site internet, il dispose d’une fonctionnalité qui permet de tester une adresse mail.

Nouveauté : Scamdoc est désormais décliné en extension de navigateur pour ordinateur en version Chrome ou Firefox. Elle vous protège en temps réel en vous informant sur la fiabilité des sites que vous visitez.

ScamAdviser.com : Leader américain du secteur, ce site mériterait d’être plus connu à l’échelle internationale. Design sympa, données pertinentes, algorithme puissant, ScamAdviser est l’un des premiers à s’être lancé dans la détection des sites d’arnaques. Petit bémol : il a été racheté en 2018 par une grosse association d’e-commercants, sa crédibilité risque d’en pâlir… Mais ça reste mon petit préféré quand même

WOT (Web of trust) : WOT n’est pas réellement un site internet, il s’agit d’une extension qui s’installe sur un navigateur et qui permet de rejoindre une communauté mondiale de plusieurs centaines de milliers d’internautes. Incontournable outre-Atlantique, son efficacité en France reste malgré tout limitée. Petite anecdote : ScamAdviser et WOT sont des concurrents, ils ne s’aiment vraiment pas. Pour cette dernière raison, les notes respectives de chacun sont mauvaises quand vous les interrogez. Pas top au niveau impartialité…

Decodex.com : Decodex est un site édité par le journal Le Monde. D’un fonctionnement un peu différent des autres, il ne note pas un site sur sa fiabilité dans le cadre d’un achat, mais plutôt sur la fiabilité des informations qu’il affiche :  une sorte d’arme anti Fake News. Malgré une réelle notoriété publique, ce site semble être la cible de procès : la rançon du succès ?

Contrefacon.fr : Site appartenant à une association qui s’est spécialisée dans la détection des contrefaçons. Il arbore un design très sympathique et permet d’obtenir des informations de la même manière que le site précédent : juste en tapant un site dans la barre de recherche et en attendant qu’une analyse se fasse. Les informations sont pertinentes mais certains sites semblent réussir à se soustraire à son algorithme… dommage, surtout pas forcément adéquat dans le cadre d’une recherche de vérité ;-). Edit de Novembre 2020 : Ce site semble désormais inactif, il sera supprimé de cette liste en début d’année 2021 s’il n’est pas pas remis en ligne.

Voilà, nous avons fait le tour des meilleurs sites dédiés à l’analyse de fiabilité sur internet. Si malgré la présentation de ces outils, vous préférez réaliser votre propre analyse, n’hésitez à vous plonger dans notre guide de détection des sites frauduleux.

Fondateur du site Signal-Arnaques, j’aime partager mes connaissances sur les arnaques d’internet et donner des conseils aux consommateurs afin qu’ils se protègent.Je suis convaincu que la lutte contre les arnaques doit passer par une collaboration Communauté humaine / Intelligence artificielle.

lundi 20 janvier 2020

Debotnet : Désactiver la télémétrie, mouchards de Windows 10

Debotnet : Désactiver la télémétrie, mouchards de Windows 10





win10, how To, trucs, mouchards, spyware,




Debotnet est un outil gratuit qui permet de supprimer certains composants de Windows 10 liés à la vie privée.
Par exemple, désactiver la télémétrie, Cortana, collecte de données, etc.
Il est assez simple d’utilisation même s’il est en anglais.
Cet article est une présentation de ce logiciel.
Vous trouverez une description complète pour nettoyer Windows 10 de la télémetrie et mouchards.

Windows 10 : télémétrie et mouchards

Windows 10 possède beaucoup de fonctions de synchronisation et télémétrie.
A travers votre compte Microsoft, Windows 10 va envoyer des données aux serveurs Microsoft.
On trouve par exemple : les paramètres utilisateur, les applications utilisées, les sites visités, etc.
Plus de détails :
Enfin Debotnet permet de limiter ce pistage en supprimant et désactivant ces mouchards.
Ainsi il protège la vie privée contre la collecte de données de Windows 10.

Qu’est-ce que Debotnet

Voici une liste non complète des éléments que Debotnet peut supprimer sur Windows 10.

Puis voici les fonctionnalités possibles :
  • Moteur de script simple pour ajouter des règles de confidentialité personnalisées
  • Mode débogage. Par exemple. le mode Test vous permet de voir quelles valeurs sont mauvaises dans le registre ou les commandes exécutées
  • Scripts mis à jour sur GitHub. L’application peut télécharger les dernières versions de scripts.
  • Interface utilisateur moderne et familière, avec prise en charge des modèles
  • Version portable. Aucune installation requise.
En clair donc, Debotnet joue des scripts que le concepteur peut mettre à jour.
On peut aussi en créer et en importer pour étendre les fonctions de l’outil.
Ainsi en plus de désactiver la télémétrie et les mouchards, on peut supprimer d’autres fonctions de Windows 10.


Désactiver la télémétrie, mouchards avec Debotnet

Avant de modifier Windows et chercher à supprimer la télémétrie et mouchards, nous vous conseillons d’activer la restauration du système.
Cela permet de revenir en arrière en cas de problèmes.
Pour cela, suivez notre tutoriel : Windows 10 : réactiver la restauration du système
Voici comment désactiver la télémétrie et mouchards avec Debotnet.
 Ensuite lancez debotnet par un clic droit puis exécuter en tant qu’administrateur.

L’interface s’ouvre alors.
A gauche, vous avez les boutons pour lancer le nettoyage.
Importer de nouveaux scripts.
Puis la liste des nettoyages possibles avec à droite la description.
Il suffit alors de cocher les options puis à la fin on clic sur Run.

 Par exemple ici pour désactiver Cortana, le presse papier partagé, la synchronisation.
Enfin bien entendu pour désactiver la télémétrie de Windows 10.

 Une fois terminé, on clic sur Run.
Les fenêtres suivantes s’ouvrent alors.


Le nettoyage de Windows 10 s’effectue.
Vous pouvez ensuite redémarrer votre PC afin de prendre en compte les changements.
Bravo ! vous avez désactivé les mouchards et la télémétrie de Windows 10.

Autres outils pour désactiver la télémétrie

Debotnet ne vous convient pas ?
Vous cherchez des alternatives pour désactiver la télémétrie et les mouchards de Windows 10.
Suivez cette liste complète :

Liens

Les autres liens pour supprimer les applications inutiles de Windows 10.
Enfin quelques autres liens autour du pistage.

REF.:

vendredi 31 août 2018

Malware: Smartphone Android : Supprimer les Adwares et publicités intempestives

Malware: Smartphone Android : Supprimer les Adwares et publicités intempestives



malware, spyware

Les téléphones (smartphones) ou tablettes Android sont de plus en plus présentes et les adwares et autres logiciels malveillants commencent donc à débarquer.
Tout comme sur PC, il y a de l’argent à se faire et on retrouve exactement les mêmes méthodes pour infecter ces appareils.
Il existe beaucoup d’applications gratuites qui se font rémunérer par la publicité, souvent via des bandeaux publicitaires, comme pour les sites WEB.
Malheureusement, on commence aussi à voir de plus en plus d’application incorporant des fonctionnalités d’adwares, celles-ci vont ouvrir des publicités de régulièrement sur votre périphérique Android, ce qui peut vite devenir pénible. Bien entendu, cela n’est pas clairement spécifié lors de l’installation.
Si le phénomène est relativement restreint, il va vite prendre de l’ampleur, seront touchés les utilisateurs qui ont un peu tendance à installer un peu tout et n’importe quoi comme application.
Espérons que Google prendra les mesures nécessaires pour que cela ne devienne pas la jungle comme sur PC.
Cet article vous aide à supprimer les adwares et publicités sur vos smartphones ou tablettes.
android_adware_logo

Supprimer les Adwares et publicités intempestives sur Smartphone Android

Introduction

Voici deux exemples de publicités dues à des adwares Android, le bémol, c’est qu’aucune mention de l’application source n’est donnée.
De ce fait, l’utilisateur ne saura pas quelle application est la source de ces publicités et risque d’éprouver des difficultés pour faire stopper ces publicités intempestives.
adware_android_popup
ou ci-dessous une fausse alerte de virus pour faire installer une application de nettoyage.
Ce procédé est plutôt connu puisque ce PC il est présent depuis des années : Arnaque : fausse alerte de virus
Ces faux messages de sécurité ont été très vite porter sur les smartphones et tablettes Android, plus d’exemples sur la page : Fausses alertes virus Android : Publicités pourries sur tablettes/mobile Android)
adware_android

Pour se débarrasser des publicités intempestives sur Android, il suffit de trouver l’application source.
En général, ce sont des applications installées tiers, style téléchargement MP3, Smileys ou jeu.

Applications pour supprimer les publicités et adwares

Ces deux applications permettent de détecter les adwares sur votre mobile.
Elles sont gratuites et relativement simples d’application pour détecter des modules malveillants ou publicitaires cachés.
Addons Detector semble être assez efficace pour détecter des modules publicitaires cachés, bien entendu, il n’est pas efficace à 100%
Dans le cas où les précédentes applications ne vous permettent pas de vous débarrasser des publicités.
Tentez alors d’effectuer un scan avec l’antivirus ESET pour Android : Eset Mobile Security.
Cet antivirus est disponible pour 30 jours d’essai, ce qui peut vous permettre d’effectuer une analyse et espérer pouvoir vous débarrasser des malwares.
Vous pouvez récupérer ce dernier depuis le PlayStore ou depuis ce lien : Mobile Security & Antivirus

Gérer les applications installées sur Android

Le système d’exploitation Android incorpore tout ce qu’il faut pour gérer ses applications.
Le but est de faire du ménage dans les applications installées et espérer aussi supprimer des applications indésirables.
Pour gérer vos applications : Ouvrez le menu des Paramètres > Applications > Gestionnaire d’applications
adware_android_gerer_application

La liste des applications téléchargées s’ouvre.adware_android_gerer_application2
Pour désinstaller une application, sélectionnez celle-ci puis cliquez sur Désinstaller.adware_android_gerer_application4
Notez que des onglets sont disponibles dans la liste des applications, notamment l’onglet Exécution qui permet de visualiser les applications en cours d’exécution.
adware_android_gerer_application3

La difficulté étant de trouver l’application responsable de ces publicités intempestives, nous vous conseillons de :
  • de désinstaller toutes les applications inutiles : jeu, téléchargement MP3, smileys etc
  • ou de stopper leur exécution depuis l’onglet exécution.
Ceci afin de déterminer l’application responsable des publicités.

Conseils de sécurité sur l’installation d’applications Android

Voici quelques conseils de sécurité sur l’installation d’application Android.
Dans un premier temps, évitez d’installer les APK qu’on vous propose depuis des publicités : malwares assurés.
D’autant que ces applications nécessites de désactiver la protection contre la source non sûr.
Notamment, aux USA, des ransomwares et autres malwares existent et risquent par la suite de viser la France, vous trouverez quelques exemples sur la page : Index of Android Locker ou Android/Torec by Fake Flash Malvertising
On retrouve les mêmes procédés que sur PC, comme par exemple, de fausses propositions d’installation de Flash.
Bref quelque soit le motif, si on vous balance un APK, ne l’installez pas.
En ce qui concerne les logithèque comme Google PlayStore, celui-ci n’est pas forcément exempt de malwares et encore moins d’Adwares.
Avant d’installer depuis Google PlayStore, il est conseillé d’effectuer un tour d’horizon de celle-ci.
Évitez déjà les applications qui n’ont pas un grand nombre de téléchargement.
Notez aussi que dans les informations supplémentaires, vous obtenez des informations sur la source.
Il peut être conseillé d’éviter d’installer les applications Chinoises.
adware_android_installation_application2
adware_android_installation_application
Avant d’installer, prenez le temps de visualiser les accès nécessaires à l’application.
Par exemple cette application est capable de contrôler la camera/micro ou visualiser les informations sur les appels entrants, ce qui n’est pas forcément nécessaire pour une application de téléchargement.
adware_android_installation_application3
Notez que les accès peuvent aussi être visualisés depuis le gestionnaire d’applications.adware_android_gerer_application5
Enfin, les dernières versions Android peuvent vous alerter sur des comportements suspicieux, comme des applications qui peuvent accéder à vos messages.adware_android_installation_application4

Conclusion

La conclusion est la même que sur PC. Les utilisateurs qui ont tendance à installer un peu tout et n’importe quoi vont à coup sûr être embête par des applications avec un comportement anormale, question de probabilité.
Je vous conseille donc de n’installer que des applications reconnues, provenant de sociétés sûres, cela limitera les problèmes, car après il sera trop tard, si dans le cas d’un adware, le problème reste juste des publicités intempestives, dans le cas d’un malware, cela peut aller jusqu’à l’envoi de SMS surtaxé.

EDIT – Novembre 2015 : Adware Android Locker

En plus des applications embarquant des adwares dans le Google Store, il faut bien sûr refuser les APK.
Outres les virus gendarmerie, voici un exemple d’une proposition de téléchargement d’un APK reçu par une publicité depuis un site pour adulte qui balance un APK :
adware_fr_static_planet49.com
Au final, le navigateur WEB est bloqué sur fr.static.planet49.com qui oblige à remplir un sondage.
C’est donc un locker pour navigateur WEB à des fins publicitaires.fr_static_planet49.com

Liens autour des adwares et virus

Le dossier complet sur les logiciels malveillants Android : Les virus sur Android
Tous les liens du site autour de la sécurité informatiques et les logiciels malveillants :
REF.: