Powered By Blogger

Rechercher sur ce blogue

mercredi 18 novembre 2020

Apple vous espionne-t-il vraiment ?

 

 

 

Apple vous espionne-t-il vraiment ?

@  — 

Cela n’aura échappé à personne, Apple a enfin sorti la nouvelle version de son système d’exploitation : Big Sur connu aussi sous le nom de macOS 11.

Évidemment, n’écoutant que mon courage, j’ai fait la mise à jour pour voir et bon, ce n’est pas encore ouf, car certaines applications que j’utilise n’ont pas encore été mises à jour par leur développeur pour Big Sur, donc j’ai des petits ralentissements et des petits bugs d’affichage, mais rien de grave.

Toutefois, d’après certains utilisateurs qui comme moi, ont fait la mise à jour, certaines applications sont devenues non fonctionnelles. On pourrait penser à un bug dans macOS Big Sur mais non. Il s’agissait plutôt d’un dysfonctionnement du côté des serveurs OCSP d’Apple.

OCSP ça veut dire Online Certificate Status Protocol, ou en français « Protocole sur le statut des certificats en ligne« . Bref, ça permet de vérifier si l’application que vous lancez sur votre Mac possède un certificat valide fourni par Apple. Si vous êtes déconnecté d’Internet ou si le serveur d’Apple est HS, la validation du certificat sera contournée et l’application pourra quand même se lancer.

Seulement lors de l’arrivée de Big Sur, les serveurs OCSP d’Apple étaient bien accessibles, mais extrêmement lents. Donc le lancement des applications ne pouvait pas se faire dans un délai raisonnable.


Bon, ça, c’était le premier problème. Évidemment, suite à ça, pas mal de monde s’est penché sur la question et d’autres inquiétudes ont commencé à émerger.

Tout d’abord l’accès à OCSP n’est pas chiffré. C’est du pur HTTP, donc cela veut dire que tout ce qui transite entre votre machine et les serveurs d’Apple peut être lu en clair par tous les intermédiaires (un cybercriminel sur votre Wifi, votre FAI, ou la NSA…). Cela dit, la réponse envoyée par Apple suite à cette requête est signée par le serveur, ce qui confirme son authenticité.

Durant ce bad buzz Apple, certains experts ont expliqué que Apple captait un hash permettant d’identifier l’application que vous lancez sur votre ordinateur, et cela à chaque fois que vous la lancez. Et qu’en plus, il y aurait des informations temporelles (dates, heure, FAI, ville, type d’ordinateur que vous possédez…etc.). Donc que cela représenterait un risque pour notre vie privée. Flippant en effet.

Toutefois, tout le monde n’est pas du même avis et après plus de tests, il semblerait que les requêtes OCSP contiennent uniquement des informations sur le certificat de l’application lancée. Il faut savoir que les certificats utilisés par les développeurs ne sont pas uniques. Un dev peut parfaitement signer plusieurs applications avec le même certificat fourni par Apple. Par exemple, le certificat de Thunderbird est le même que celui de Firefox.

D’après Jacopo Jannone, il s’agit d’un malentendu. Selon lui macOS peut effectivement envoyer tout un tas d’informations ainsi que le hash d’un exécutable dans le cas précis où la fonctionnalité de macOS Gatekeeper vérifie si un ticket de notarisation existe sur les serveurs d’Apple lors du tout premier lancement de l’application et uniquement si ce ticket de notarisation n’est pas joint à l’application. Plus d’infos sur le fonctionnement de Gatekeeper.


Mais cela n’a rien à voir avec OCSP. Si vous bloquez OCSP avec firewall ou en éditant votre fichier /etc./hosts, vos applications fonctionneront toujours parfaitement, mais vous baisserez le niveau de sécurité de votre OS.

Donc, voilà pour les conclusions de cette affaire… À savoir que pour le moment, il n’a pas été prouvé qu’Apple envoyait des informations concernant les applications à chaque fois que vous les lancez. Que ce cas arrive uniquement dans le cadre d’une vérification bien précise via Gatekeeper lors d’un premier lancement d’un logiciel non vérifié. Et qu’effectivement, Apple envoie des informations en clair sur les certificats de développement des applications que vous utilisez.

Pour le moment, il y a donc 2 sons de cloche sur cette histoire de hashs envoyés à Apple. J’ai plus tendance à croire l’analyse de Jacopo Jannone (et d’ailleurs Kyle Rankin semble aussi revenir sur son analyse), mais comme à chaque fois avec ce genre d’affaires, laissons passer un peu de temps.

On verra bien.

REF.:

Posted by at 0 comments
Labels: ,

La STM victime de pirates bien organisés

 

La STM victime de pirates bien organisés

 

et
MISE À JOUR

 

L’organisation qui a attaqué la Société de transport de Montréal (STM) et qui paralyse son réseau informatique depuis une semaine est un puissant groupe de pirates qui a commencé à sévir aux États-Unis plus tôt cette année. 

• À lire aussi: La panne informatique à la STM toujours pas rétablie

• À lire aussi: Un virus informatique paralyse le site internet de la STM

Selon nos informations, c’est le groupe RansomExx qui a attaqué la STM. L’organisation a la réputation de planifier minutieusement ses attaques.

«Ils visent les grandes organisations et prennent le temps de comprendre ce qu’ils sont en train d’infecter pour avoir une bonne idée de la rançon qu’ils peuvent demander», a expliqué Alexis Dorais-Joncas, chef d’équipe en renseignement de sécurité chez la firme d’antivirus ESET.

À la mi-mai, RansomExx s’en est pris au Texas Department of Transportation, l’équivalent du ministère des Transports au Québec. Une semaine plus tôt, le groupe de pirates avait déjà attaqué le système judiciaire du Texas.

À la fin juillet, ces pirates, qui travaillaient autrefois sous le nom de Defray777, ont attaqué la multinationale Konica Minolta et, quelques semaines plus tard, ils s’en sont pris à la firme d’équipement d’optique IPG Photonics.

Pas de demande de rançon à la STM

Lundi, la STM a affirmé que les pirates ne lui ont pas envoyé de demande de rançon.

«Non, nous n’avons pas reçu de demande de rançon. De toute façon, nous avons comme politique de ne pas donner suite à de telles demandes», a mentionné la porte-parole Amélie Régis.

Les équipes informatiques de la STM sont en train de rétablir les différents systèmes à partir de récentes sauvegardes, une opération fastidieuse, selon le transporteur.

Les utilisateurs du transport en commun montréalais n'ont pas trop souffert: depuis l’attaque survenue lundi dernier, les autobus et le métro n’ont pas arrêté de circuler, et il est toujours possible d’acheter tous les titres de transport dans les stations de métro et sur la plateforme OPUS en ligne.

Toutefois, le titre mensuel STM de novembre ne peut pas être acheté dans les pharmacies et les dépanneurs pour le moment, et le site internet demeure inaccessible.

Fournisseurs et employés en attente

Des entreprises qui font affaire avec la STM ainsi que des employés subissent toutefois les contrecoups de l’attaque.

Des fournisseurs de la STM ont été informés, vendredi, que le paiement des factures ne pouvait pas être effectué en ce moment. «On est en 2020, ce n'est pas normal que la STM soit capable d'opérer ses services de bus et métro, mais ne possède pas de plan B pour payer ses fournisseurs», a soutenu l'un d’entre eux, sous le couvert de l'anonymat.

La STM n'a pas pu indiquer le nombre de fournisseurs touchés par l’attaque, mais précise que des équipes travaillent déjà à payer ceux-ci.

La panne causée par l’attaque privera aussi près de 2500 employés de la STM d’une partie de leur paye. Dans un communiqué interne publié vendredi, le transporteur a indiqué que la panne l’empêchait de verser les primes et heures supplémentaires à ses chauffeurs d’autobus, opérateurs de métro et agents de station.

Ces sommes seront versées lorsque la situation sera rétablie, a indiqué la STM.

Posted by at 0 comments
Labels: ,

Piratages: Équipements électriques Guillevin International ,la STM ,Wendake ,Ministère de la Justice du Québec ,Revenu Canada ,Inonotech-Execaire ,Dans la Rue ,le CIUSSS ,Groupe de santé Medisys ,Technologies Xpertdoc inc, CPA Canada ,Bazinet-Taylor,Ville de Châteauguay

 

 Piratages: Équipements électriques Guillevin International ,la STM  ,Wendake ,Ministère de la Justice du Québec ,Revenu Canada ,Inonotech-Execaire ,Dans la Rue ,le CIUSSS ,Groupe de santé Medisys ,Technologies Xpertdoc inc, CPA Canada ,Bazinet-Taylor,Ville de Châteauguay

Leurs données commerciales publiées en ligne:

 

Le distributeur montréalais d’équipements électriques Guillevin International a vu des centaines de ses documents commerciaux se retrouver en ligne après une attaque au rançongiciel, le 12 septembre.

• À lire aussi: Fraudés de 120 000 $ après une cyberattaque

• À lire aussi: Les cyberguerriers lancent des avertissements sur le travail à domicile

• À lire aussi: Une vraie épidémie

« C’est ce qui arrive quand tu ne payes pas », nous dit Luc Rodier, PDG de l’entreprise.

Les pirates avaient laissé des instructions pour les contacter et connaître la rançon demandée, mais Guillevin n’a même pas communiqué avec eux. 

« C’est hors de question pour nous de supporter une organisation criminelle », insiste le patron.

L’attaque portait la signature de la plateforme Maze. Depuis l’automne 2019, ses mystérieux utilisateurs ont transformé le rançongiciel en une véritable industrie. Leur recette : publier les données volées aux victimes qui refusent de les payer.

En tout, Maze a ciblé 328 organisations, selon le décompte de Damien Bancal, chef de la cyberintelligence chez 8Brains.

Le gang a annoncé fin octobre qu’il cesse ses opérations, mais d’autres sont apparus, qui imitent sa stratégie.

  • Écoutez la chronique de Félix Séguin au micro de Richard Martineau sur QUB radio:

Retour aux commandes papier

Guillevin a passé 12 jours à remonter son réseau, en fonctionnant pratiquement sans ordinateurs, raconte Luc Rodier. Son personnel a dû commander des calepins de commande en papier, comme dans les années 1980.

« On a assumé et agi comme s’il y avait de l’information sensible qui avait été publiée », dit-il. En ligne, notre Bureau d’enquête a trouvé surtout des données commerciales. Rien d’anodin, assure le PDG. 

« Il y a de l’information sensible sur nos produits, certaines ententes commerciales... »

Luc Rodier s’est senti bien seul. 

« Ce sont de grands groupes criminels mondiaux, dit-il. Les corps policiers ne savent pas quoi faire avec ça. »

À défaut de meilleure solution, il mise sur la transparence. 

« C’est un fléau. Plus les gens vont être au courant que ça existe, mieux on se porte comme société. »

Longue liste de victimes  

Des dizaines d’organisations publiques et privées ont été victimes de rançongiciels au cours de la dernière année.

STM

En octobre, la Société de transport de Montréal a mis près de deux semaines à se remettre d’une attaque perpétrée à l’aide d’un programme basé sur le rançongiciel RansomExx.

Wendake

La Nation huronne-wendate a subi une cyberattaque du gang Conti, qui a mis en ligne des dossiers d’élèves d’un centre de formation.


Ministère de la Justice du Québec

Des pirates ont réussi à voler des courriels au ministère et à envoyer des maliciels à des citoyens l’ayant contacté, à l’aide du cheval de Troie Emotet.


Revenu Canada

Des fraudeurs ont attaqué les dossiers en ligne de contribuables et obtenu les mots de passe de 9041 utilisateurs en août.


Inonotech-Execaire

La firme d’entretien d’aéronefs---- a été attaquée fin mars par le gang Maze, qui a publié les données volées en ligne.


Dans la Rue

Des pirates ont utilisé le maliciel d’origine russe Zeppelin pour attaquer l’organisme d’aide aux sans-abri, qui a payé une rançon.


CIUSSS Centre-Ouest-de-l’Île-de-Montréal 

Fin octobre, le CIUSSS a coupé ses accès à internet après une attaque, qui coïncidait avec une vague de cyberpiratages d’hôpitaux américains au rançongiciel Ryuk, d’origine russe.


Groupe de santé Medisys

Cette filiale de Telus a payé une rançon pour récupérer des données personnelles sur 60 000 clients, dont des policiers.


Technologies Xpertdoc inc.

La firme informatique a payé une rançon après une cyberattaque le 1er septembre pour faire détruire des données sur des policiers.


CPA Canada

Des informations sur 134 079 personnes issues de la base de données de l’association professionnelle des comptables se sont retrouvées sur des sites de pirates russes.


Bazinet-Taylor

En juillet, le distributeur d’équipements pour restaurants a lui aussi subi l’attaque de Maze, qui a publié ses documents bancaires. 


Ville de Châteauguay

En mars, des pirates ont utilisé le rançon-giciel Ryuk pour paralyser son réseau.

 

REF.:

Posted by at 0 comments
Labels:

Des cybercriminels se sont servis des données volées à une entreprise de machinerie de Sherbrooke

 

 

 

Des cybercriminels se sont servis des données volées à une entreprise de machinerie de Sherbrooke pour mener une attaque au rançongiciel et lui dérober 91 250$ US.

• À lire aussi: Leurs données commerciales publiées en ligne

• À lire aussi: Une vraie épidémie

Le matin du 23 octobre, le gérant des Équipements Marquis, Christian Corriveau, a eu la mauvaise surprise de trouver son réseau hors service. Rien de plus louche: nouveaux comptes d’utilisateurs apparus, mots de passe changés... Manifestement l’œuvre de pirates.

Marquis équipements et hydraulique

«À l’imprimante, j’ai vu qu’il y avait un paquet de feuilles», relate-t-il. Les hackers avaient fait sortir les instructions pour les contacter. L’attaque est l’œuvre du dernier-né des rançongiciels: Egregor. 

«Il y a eu un sentiment de panique partout, rapporte le président de l’entreprise, Jean-Guy Marquis. On a changé le serveur, changé les ordinateurs... Pendant ce temps-là, le commerce, il faut qu’il roule!»

Pas question de payer la rançon à ces criminels. 

«Le rançongiciel, c’est une mafia qui s’est montée», dénonce-t-il.

De toute façon, l'entreprise avait de bonnes sauvegardes et aucune information n’a été perdue. Elle était tout de même loin d’être au bout de ses peines.     

  • Écoutez le président de l'entreprise, Jean-Guy Marquis, ainsi que Damien Bancal, expert en cybersécurité, sur QUB radio:    

Détournement de fonds

Quatre jours plus tard, Équipements Marquis avait un virement électronique de 91 250$ US à faire, soit près de 120 000$ CA.

Pendant la transaction, la secrétaire a reçu un appel qui semblait provenir de la Banque Royale, relate le patron. «Le gars lui a dit, en anglais: “Attends un peu, on a un problème.”»

C’est à ce moment-là que l’ordinateur a gelé et que l’entreprise a compris qu’elle venait de se faire avoir. «On a averti la banque tout de suite», assure Jean-Guy Marquis, qui a aussi fait déconnecter tout le réseau.

De toute évidence, l’appel ne provenait pas de la banque, mais d’un criminel qui a utilisé une application pour afficher un numéro différent du sien.

«Ça sous-entend que la machine était surveillée par des pirates», dit Damien Bancal, chef de la cyberintelligence chez 8Brains. Toujours connectés, ils attendaient l’occasion de s’en mettre plein les poches depuis cinq jours.

Jean-Guy Marquis a pris des avocats pour tenter de se faire rembourser. La Banque Royale soutient toutefois qu’elle n’est pas responsable de sa perte, dit-il.

En attendant, l’argent est bloqué dans un compte de la Chase Manhattan Bank à New York.   

  • Écoutez la chronique de Félix Séguin au micro de Richard Martineau, sur QUB radio:   

Un gang en expansion

Notre Bureau d’enquête a pu consulter en ligne les renseignements que les cyberpirates ont volés aux Équipements Marquis. Ils contiennent notamment des données permettant de se connecter au compte de l’entreprise qu’ils ont ciblé.

Les malfaiteurs ont utilisé Egregor, un tout nouveau rançongiciel mentionné pour la première fois en septembre dernier sur les sites spécialisés. Les cybercriminels peuvent le louer pour monter leurs propres attaques.

« Leurs chiffres explosent, c’est assez fou », dit Damien Bancal, qui a aidé notre Bureau d’enquête à repérer les données volées aux Équipements Marquis sur le web caché (dark web). Selon sa compilation, Egregor a déjà fait 111 victimes dans le monde depuis septembre.

 

REF.:

Posted by at 0 comments
Labels: , ,

Une cyberattaque paralyse une usine de Terrebonne et un Le transporteur routier est durement frappé

  Une cyberattaque paralyse une usine de Terrebonne et un  Le transporteur routier est durement frappé

Une cyberattaque paralyse une usine de Terrebonne

La compagnie fait partie des clients d’une firme informatique piratée

 

Des cybercriminels ont réussi à dérégler les machines d’une usine de pièces de béton de Terrebonne et à lui faire perdre 250 000$.

• À lire aussi: Fraudés de 120 000$ après une cyberattaque

• À lire aussi: Leurs données commerciales publiées en ligne

Chez Rinox inc., les ordinateurs que les pirates ont cryptés contrôlaient notamment des caméras de production et des malaxeurs.

«Nos machines sont toutes automatisées, dit Bobby Correia, vice-président de la compagnie de Terrebonne. Elles se dérèglent, mais avant que quelqu’un s’en aperçoive, ç’a pris un certain temps.»

Pendant l’arrêt de production, du ciment a séché dans certains équipements. «Il a fallu tout briser ça à bras, ça a pris toute une journée avec une équipe de 12», raconte-t-il.

Fournisseur attaqué

Les malfaiteurs ont profité de vulnérabilités chez le fournisseur de services informatiques de Rinox, HelpOX inc. Cette entreprise de Mascouche offre notamment des services d’hébergement de réseaux et de soutien technique aux PME.

Le groupe qui l’a attaquée, Sodinokibi, aurait utilisé le logiciel ConnectWise. Les techniciens de HelpOX se servaient de ce programme pour se brancher à distance aux ordinateurs des clients.

Le président de HelpOX, Éric Bigras, confirme qu’un rançongiciel a ciblé sa firme en juillet, sans donner de détails.

«Heureusement, nos opérations ont été restaurées en 30 minutes après avoir découvert l’incident, affirme-t-il. Notre enquête nous a confirmé qu’aucune donnée d’entreprises ou personnelle n'ont été exfiltrée ou accédée [sic].»

Laissés dans le noir

HelpOX a cependant tardé à informer ses clients, selon Bobby Correia.

«Le jour de l’attaque, on appelait chez HelpOX constamment et ils ne répondaient pas.» En après-midi, la compagnie disait seulement éprouver un «problème technique», raconte-t-il.

Rinox a donc embauché un autre consultant en informatique, qui a lui-même contacté les pirates à l’aide d’instructions laissées sur les ordinateurs de l’entreprise.

1,4 M$ US demandé

Selon une conversation avec les hackers que notre Bureau d’enquête a pu consulter, ils ont demandé 1,4 M$ US pour envoyer une clé virtuelle permettant de décrypter les fichiers des clients de HelpOX.

L’entreprise a mis deux jours à reconnaître que des pirates l’avaient attaquée, selon Bobby Correia. Trois jours plus tard, elle obtenait une clé de décryptage. 

Mais les données étaient abîmées et HelpOX n’avait plus aucune sauvegarde. La comptabilité et les données de production étaient perdues. «On a dû ressortir nos copies papier sur plus de trois mois, en pleine pandémie», dit Bobby Correia.

Le président de HelpOX nous avait conviés à une vidéoconférence pour répondre à nos questions, mais il l’a annulée à cause d’«un événement hors de [son] contrôle», dit-il.

Par courriel, Éric Bigras assure avoir envoyé «des mises à jour régulières» à ses clients. «Nous sommes bien désolés que cette situation s’est produite [sic]. C’était loin d’une situation idéale», reconnaît-il sans préciser s’il a payé une rançon pour récupérer des données.

Plusieurs autres clients de HelpOX ont fait les frais de l’attaque, dont le Club de golf Le Mirage inc., que Céline Dion vient de vendre à Mario Messier, Serge Savard et José Téodore.

Contacté par notre Bureau d’enquête, le directeur général au moment de l’attaque en juillet, René Noël, n’a pas voulu décrire les dommages qu’a subis la compagnie, prétextant avoir signé des accords de confidentialité.

Le réseau du producteur de patates Maison Russet inc. est lui aussi tombé en panne pendant plusieurs jours à cause de l’attaque.

Le transport routier est durement frappé  

TFI INTERNATIONAL  

Pirates: DopplePaymer

Informations sensibles retrouvées en ligne:    

  • Données concurrentielles sur les contrats de l’entreprise    
  • Documents confidentiels de clients    
  • Documents de comptabilité interne        

Une cyberattaque sur la filiale de livraison de colis Canpar Express a coûté pas moins de 8 M$ à TFI International, une compagnie de camionnage dont la famille Saputo est un important actionnaire.

C’est ce que mentionnait le dernier rapport de gestion de l’entreprise, publié le 30 septembre.

Notre Bureau d’enquête a retrouvé les 1053 documents provenant des serveurs de Canpar que les pirates ont diffusés sur le web caché (dark web) fin août.

Les fichiers contiennent une importante quantité de renseignements sur les contrats et les clients de l'entreprise.

Les cybercriminels promettaient l’été dernier de diffuser «tous les jours quelques fichiers» dérobés à l’entreprise.

Un relationniste américain sous contrat avec l’entreprise montréalaise a refusé de répondre à nos questions. «Ils ne parlent pas à la presse, dit Vance Edelson en anglais. Ils préfèrent se concentrer sur la gestion de l’entreprise.» 

Fuel Transport  

Pirates: Maze

Informations sensibles retrouvées en ligne:    

  • Rapports d’accident de chauffeurs de camion   
  • Documents de litiges avec des clients        

L’entreprise de transport routier de Montréal a subi une attaque du groupe de pirates Maze en août. Le président Robert Piccioni n’a pas souhaité donner de détails sur l’attaque.

«Pour éviter que ça arrive à d’autres, c’est bon de partager les informations, mais je suis un peu embarrassé de ce qui m’est arrivé.» 

L’information que le groupe a publiée comprend des centaines de documents et de rapports sur des accidents ayant impliqué les chauffeurs et des réclamations pour de la marchandise endommagée.

Ces documents contiennent des données personnelles de plusieurs employés de Fuel Transport.

Quand notre Bureau d’enquête a évoqué les informations volées à Fuel qui se trouvent toujours en ligne, Robert Piccioni a raccroché le téléphone. 


REF.:

Posted by at 0 comments
Labels:
S'abonner à : Messages (Atom)