Powered By Blogger

Rechercher sur ce blogue

lundi 25 octobre 2021

Le FBI s’attaque à la bête noire des secrets industriels Apple

 

 

Le FBI s’attaque à la bête noire des secrets industriels Apple

Les hackers de l’institution sont considérés comme parmi les plus efficaces de la planète.


Par iPhon.fr


En avril dernier, un groupe de pirates ciblait un sous-traitant d’Apple avec pour conséquence la révélation du design des nouveaux MacBook Pro sortis lundi dernier. Ce sont en effet grâce aux schémas mis en ligne lors de l’incident que l’absence de Touch Bar avait été évoquée avant son officialisation, tout comme le retour de la recharge MagSafe, du port pour carte SD et de la sortie HDMI.

Aux manettes de ce vol de données, REvil, qui profite de ses exactions pour demander une rançon à ses victimes. Ce qui n’est pas sans conséquence : plusieurs corps armés des États-Unis ont décidé de répliquer. Parmi eux, on retrouve notamment Cyber Command, chargé de la sécurité de l’information pour le Pentagone. À cette opération se sont aussi joints le FBI et les services secrets.

Des victimes ?

Objectif pour cette coalition : faire tomber le site web de REvil, en accédant directement à ses serveurs. Une initiative qui n’a pas manqué de fonctionner, portant alors un coup d’arrêt significatif aux activités de ces acteurs malveillants. Comme le rapporte l’agence de presse Reuters, il s’agit là d’une réponse notamment motivée par les récents déboires de Kaseya. Le développeur de logiciels pour entreprises avait été visé sérieusement pas les black hats en juillet dernier, compromettant alors nombre de ses dossiers.

Impossible de savoir si les autorités en ont profité pour interpeller des criminels, mais un membre de REvil a annoncé avoir été ciblé personnellement tandis qu’un autre a tout bonnement disparu. Rappelons que dans ce genre de cas, il n’est en fait pas rare de voir la justice les obliger à choisir entre peines de prison et retournement de veste. La seconde option étant généralement opérée dans le plus grand secret pour permettre aux pirates de rejoindre le département de la Défense et de lutter contre leurs anciens partenaires.

Bien se protéger en entreprise

On ne le répètera jamais assez : disposer d’une barrière efficace contre les virus, chevaux de Troie et autres ransomwares est indispensable à l’heure où les failles zero-day sont devenues un modèle de revenu à part entière. Sur Mac, les solutions de protection qui détectent les logiciels malveillants sont nombreuses et se différencient principalement par leur prix et les fonctionnalités proposées.

 

REF.:

Le Relais privé iCloud continue d’exposer l’adresse IP

 

 

Le Relais privé iCloud continue d’exposer l’adresse IP

Cette fonctionnalité n’est pour le moment disponible que pour certains utilisateurs payants.

Par

iPhon.fr

Le mois dernier, une nouvelle fonctionnalité d’iOS 15 dédiée à la confidentialité, le Relais privé iCloud, faisait parler d’elle. Et pour cause : censée cacher l’adresse IP de l’utilisateur, cette option la révélait en fait à de potentiels pirates. Or, alors qu’on aurait pu estimer Apple capable de résoudre cet incident à temps, un chercheur en cybersécurité du nom de Sergey Mostsevenko vient de découvrir que ce n’est pas le cas.

Mieux : selon l’analyste, le moyen qu’il a pu trouver pour lire les coordonnées des abonnés à ce service payant est en réalité différent de celui mis au jour en août. Le système d’exploitation propriétaire macOS Big Sur ne semble toutefois pas concerné, avec une vulnérabilité qui ne toucherait que les mobiles tels que les iPhone 13.

Quel danger pour les victimes éventuelles ?

Si votre adresse IP venait effectivement à fuiter de cette manière, un hacker pourrait alors en profiter pour vous géolocaliser avec une certaine précision. Qui plus est, il lui serait possible d’identifier votre fournisseur d’accès à internet (comme Bouygues Télécom ou Orange). Votre nom, vos fichiers ou encore vos identifiants, en revanche, ne devraient pas être exposés.

Le Relais privé iCloud est une fonctionnalité payante qui n’est accessible qu’en souscrivant à un forfait iCloud+. Cet abonnement est disponible avec trois capacités de stockage au choix :

  • 50 Go
  • 200 Go
  • 2 To

En plus du Relais privé iCloud, l’offre donne accès à un nom de domaine personnalisé pour son adresse e-mail et la prise en charge de vidéo sécurisée HomeKit pour cinq caméras. Il est aussi possible de partager le  service avec plusieurs membres de sa famille, comme pour Apple Music.

Alternative

Dans un récent billet de blog, Mostsevenko explique comment se prémunir de cette faille du Réseau privé iCloud. La première solution consiste, tout logiquement, à passer par un autre VPN (notre comparatif). Ceci déviera votre adresse IP vers d’autres serveurs, rendant son identification plus difficile et bien moins accessible au premier venu.

Désactiver JavaScript (JS) depuis les paramètres de Safari permettra aussi de bloquer l’interface WebRTC incriminée dans cette brèche, mais ceci risque de rendre la navigation plus compliquée tant les sites web en JS sont nombreux.

Il n’y a donc plus qu’à attendre un correctif de la part d’Apple, prévenue du problème.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

 

 

Relais privé : Apple ne vous aidera pas à contourner les géoblocages

Apple donne quelques détails sur le fonctionnement de Private Relay, son concurrent des VPN. Il indique également que cette fonctionnalité ne pourra pas être utilisée pour contourner les restrictions géographiques sur certains services en ligne.


Publié le 
 

 

Chaque année, Apple présente de nouvelles fonctionnalités pour aider ses utilisateurs à protéger leurs vies privées. Par exemple, lors de la WWDC 2020, la firme a annoncé l’ATT, la fonctionnalité d’iOS qui peut empêcher les développeurs d’applications de vous pister. Et lors de sa conférence de 2021, la firme a annoncé iCloud+.

iCloud+ est une nouvelle offre pour les clients du stockage payant d’iCloud qui inclut une série de fonctionnalités de protection de la vie privée. Et parmi ces fonctionnalités, il y a Private Relay ou relais privé.

 

Cette fonctionnalité, qui est toujours en beta, fonctionne plus ou moins comme un VPN (mais n’en est pas un), puisqu’elle vous permettra de sécuriser vos connexions et de cacher votre adresse IP. Pour le moment, on ne sait pas quand cette nouveauté sera disponible sur iOS 15. Mais en attendant, Apple publie un document qui nous donne quelques détails sur le fonctionnement de Private Relay.

Dans ce document, la firme réexplique l’utilité de cette protection. « Normalement, lorsqu’un utilisateur navigue sur le Web, les informations de base relatives à son trafic Web, telles que son adresse IP et ses enregistrements DNS, peuvent être consultées par les fournisseurs de réseau et les sites Web qu’ils visitent », lit-on. « Ces informations peuvent être utilisées pour déterminer l’identité de l’utilisateur et créer un profil de son emplacement et de son historique de navigation au fil du temps. Un utilisateur peut alors être ciblé par des publicités et des campagnes marketing indésirables, ou voir ses données combinées avec des données supplémentaires et vendues à d’autres sociétés. »

Et c’est contre cette collecte de données que les utilisateurs d’iCloud+ seront protégés. Private Relay chiffre les connexions qui ne sont pas encore chiffrées, et fait passer le trafic par deux relais. L’objectif est qu’aucune entité ne puisse combiner des données sur l’utilisateur lorsque celui-ci se connecte à internet.

Une protection, avec quelques limites par rapport aux VPN

Dans son document, Apple évoque aussi les limitations de son relais privé. La firme précise que la fonctionnalité protège l’identité des utilisateurs, tout en maintenant des informations de géolocalisation suffisamment précises pour prendre en charge les expériences personnalisées sur le web. Et par ailleurs, contrairement à certains VPN, cette fonctionnalité ne vous permettra pas de contourner les restrictions géographiques sur certains services.

Autre limitation : la protection de Private Relay ne s’applique pas aux services cellulaires le service de messagerie multimédia (MMS), les services de téléphonie (XCAP), etc.

De plus, Apple ne veut pas interférer avec les réseaux d’entreprises. « La plupart des paramètres réseau gérés utilisés par les entreprises ont priorité sur Private Relay. Si un appareil est équipé d’un VPN, que ce soit pour des raisons professionnelles ou personnelles, le trafic qui passe par le VPN n’utilisera pas Private Relay. De même, une configuration de proxy, telle qu’un proxy global, sera utilisée à la place de Private Relay », indique la firme de Cupertino.

 https://www.iphon.fr/post/private-relay-apple-ne-vous-aidera-pas-a-contourner-les-geoblocages

REF.:

Comment déverrouiller un téléphone si on a oublié le code

 

 

Comment déverrouiller un téléphone si on a oublié le code

 

Vous avez oublié le code ou le schéma de déverrouillage de votre mobile et il est complètement bloqué ? Selon la version d'Android, vous pouvez le débloquer ou vous devrez le réinitialiser à l'état d'usine pour en retrouver l'usage.

Indépendamment du code PIN associé à la carte SIM, Android propose plusieurs solutions de verrouillage pour protéger l'accès à un appareil mobile, et plus particulièrement aux données personnelles qu'il contient. Des solutions qui se mettent en place généralement lors de configuration initiale, mais qu'il est aussi tout à fait possible d'activer ou de modifier après. Sur les modèles récents, vous pouvez généralement utiliser une solution biométrique (lecture d'empreinte digitale ou reconnaissance faciale avec la caméra selfie). Mais sur tous les modèles, anciens comme nouveaux, vous pouvez définir un code numérique (code PIN) ou un schéma de verrouillage (un tracé pour relier des points sur l'écran).  

Malheureusement, si vous oubliez ce code ou ce schéma de déverrouillage, et si vous n'avez défini aucune alternative biométrique, vous mobile se bloque et vous n'avez plus accès à rien ! Logique puisqu'il s'agit d'une mesure de sécurité destinée à interdire l'utilisation de votre téléphone ou de votre tablette par un inconnu, en cas de vol notamment. Rassurez-vous, il existe des solutions pour débloquer votre appareil. Mais la méthode et, surtout, le résultat varient selon la version d'Android. 

En effet, Google a renforcé la sécurité d'Android à chaque nouvelle version en complexifiant et même en supprimant totalement les options permettant de contourner un code ou un schéma de déverrouillage oublié. Ainsi, si vous avez un vieux mobile, vous pourrez facilement le débloquer sans rien perdre. Mais si vous utilisez un modèle récent, vous n'aurez pas d'autre solution que de le réinitialiser en effaçant tout son contenu…    

Comment déverrouiller un téléphone bloqué sous Android 4.4 ou inférieur ?

Si vous avez un vieil appareil fonctionnant sous une ancienne version d'Android (4.4 ou antérieure), vous pouvez facilement le débloquer quand vous avez oublié le code ou le schéma de déverrouillage.


  • Sur l"écran de déverrouillage, saisissez cinq fois de suite un code ou un schéma (n'importe lequel !). Une alerte s'affiche signalant que vous avez tenté de déverrouiller l'appareil avec un mauvais code ou un schéma incorrect. L'écran est alors bloqué pendant trente secondes.
  • Passé ce délai, une nouvelle option s'affiche. Appuyez sur Code oublié ? ou Schéma oublié ? selon le cas. Un écran de connexion à votre compte Google associé à l'appareil apparaît. Saisissez l'adresse e-mail du compte et le mot de passe. Votre smartphone est en principe déverrouillé.
  • Retournez ensuite dans les paramètres de votre mobile pour y configurer un nouveau code ou un nouveau schéma de verrouillage. Et essayez de ne pas l'oublier cette fois !

Comment déverrouiller un téléphone bloqué sous Android 5.0 ou supérieur ?

Depuis Android 5.0, Google a drastiquement renforcé la sécurité en supprimant notamment la possibilité de réinitialiser un code ou un schéma de déverrouillage oublié. Si vous avez bloqué votre smartphone, vous n'avez pas d'autre solution que de le réinitialiser complètement pour le remettre à l'état d'usine, avec tous les paramètres par défaut, comme au premier jour. La manipulation peut être réalisée de deux manières : la première en utilisant le service Localiser mon appareil qui permet d'effacer un mobile à distance, la seconde, en accédant au menu de réinitialisation caché d'Android accessible à l'aide d'une petite manipulation.

Avec le service de localisation

  • La manipulation ne peut évidemment pas se faire avec votre appareil bloqué ! Prenez un ordinateur, une tablette ou un autre téléphone, lancez un navigateur Web, puis allez sur le service Localiser mon appareil et connectez-vous à même compte Google-que celui utilisé sur votre appareil bloqué.

  • Votre mobile bloqué est automatiquement localisé. Cliquez alors sur Erase Device (Effacer l'appareil) et confirmer la suppression des données de l'appareil en cliquant sur le bouton Erase Device.

  • Pour lancer le processus de réinitialisation de l'appareil dans ses paramètres d'usine, vous devez confirmer une dernière fois votre choix en saisissant le mot de passe de votre compte Google.

  • Appuyez ensuite sur Effacer dans la boîte de dialogue qui s'affiche pour valider la suppression définitive des données de votre appareil.

  • Pour l'utiliser à nouveau, vous devez reconfigurer votre appareil comme s'il était neuf, tout juste sorti de sa boîte.

Avec le menu de restauration

Votre mobile étant verrouillé par un code ou un schéma dont vous ne vous souvenez pas, vous ne pouvez pas évidemment le réinitialiser de façon normale, depuis les paramètres d'Android. Mais vous pouvez passer par un menu caché de restauration, accessible au démarrage via les boutons physiques de marche-arrêt (Power) et de volume.

  • Assurez-vous que la batterie de votre mobile est bien chargée puis éteignez votre mobile.
  • Appuyez ensuite simultanément sur le bouton de mise en marche (Power) et sur le bouton Volume + ou volume - (cela dépend de votre modèle). Le menu de démarrage d'Android – le bootloader, dans le jargon – s'affiche. Son apparence et les intitulés des options peuvent varier selon le constructeur de l'appareil, mais vous devriez facilement vous y retrouver, même si tout est en anglais.
  • Pour naviguer dans les menus, utilisez les boutons Volume + et Volume -. Allez ainsi sur l'option Recovery Mode qui passe en surbrillance. Pour valider votre sélection, appuyez sur le bouton Power.

  • Une fois dans le mode Recovery, allez jusqu'à l'option Wipe data/Factory Reset avec les boutons Volume + et Volume - validez avec le bouton Power.

  • Un message Wipe all user data s'affiche (généralement en rougen, car il est important). Choisissez Yes ou Factory Data Reset avec les boutons Volume + et Volume - validez avec le bouton Power.. En bas de l'écran, un message Data Wipe Complete s'affiche confirmant la réinitialisation du mobile.

  • Sélectionnez ensuite le menu Reboot system now à l'aide des boutons de volume, et validez avec le bouton Power. Votre mobile redémarre vierge de toute donnée, tel qu'il était à sa sortie d'usine. Il ne vous reste plus qu'à le reconfigurer entièrement, comme au premier jour. Vous pouvez toutefois gagner du temps en utilisant votre compte Google pour récupérer automatiquement des applications et de nombreuses données personnelles (contacts, agenda, etc.).

Comment déverrouiller un téléphone Samsung bloqué ?

Si vous utilisez un modèle Samsung et si vous avez configuré un compte Samsung, vous pouvez débloquer votre appareil avec le service en ligne Traçage du mobile, qui permet de gérer votre mobile à distance en cas de perte ou de vol mais aussi de le déverrouiller si vous avez oublié votre code. Attention toutefois, à partir d'Android 9, l'option Déverrouillage à distance doit avoir été activée au préalable dans les paramètres de l'appareil.

  • L'opération ne peut évidemment pas s'effectuer avec votre appareil bloqué ! Prenez un ordinateur, une tablette ou un autre téléphone, lancez un navigateur Web, puis allez sur le service Traçage du mobile de smartphone Samsung et connectez-vous à votre compte Samsung.

  • Une fois connecté, cliquez sur le bouton Déverrouiller mon appareil. Validez le déverrouillage de votre appareil en saisissant le mot de passe de votre compte Samsung pour confirmer que vous êtes bien le propriétaire de l'appareil. Cliquez ensuite sur le bouton Déverrouiller.
  • Votre mobile est débloqué et le code ou le schéma de verrouillage a été désactivé. Vous devrez donc retourner dans les réglages de votre smartphone pour configurer à nouveau le verrouillage à l'aide d'un code, d'un schéma, ou en utilisant le capteur d'empreinte ou la reconnaissance faciale, selon ce que propose votre appareil.

REF.:

Facebook devrait changer de nom très bientôt

 

 

Facebook devrait changer de nom très bientôt

Pour coller aux ambitions de métaverse de Mark Zuckerberg, le groupe Facebook (et pas le réseau social) devrait changer de nom dès la semaine prochaine.


Publié le

Par

Manon Carpentier


Facebook, c’est le réseau social qu’on connaît bien depuis 2004. Mais aujourd’hui, c’est également Instagram, Messenger, WhatsApp ou encore Oculus. Désormais, Facebook est un énorme groupe tech. On est donc bien loin du réseau social d’il y a une quinzaine d’années. Il serait donc temps de marquer ce changement.

En début de semaine, Facebook annonçait vouloir recruter 10,000 personnes dans les cinq années à venir pour préparer son métaverse, un univers fictif accessible en réalité virtuelle. Facebook essaie donc doucement, mais sûrement de se détacher de son image de réseau social. Et cela passe par un nouveau nom.

Un nouveau nom pour un nouveau positionnement

Ainsi, Mark Zuckerberg aimerait pousser les utilisateurs à voir l’entité “Facebook” d’un autre œil. L’entreprise basée à Menlo Park veut viser bien plus large que le marché des réseaux sociaux Dans cette optique, le directeur de Facebook a envie de frapper un grand coup en changeant le nom de son entreprise.

Cela permettrait de séparer le réseau social de l’entreprise mère et de préparer le terrain pour le métaverse. Mais pas seulement. Ce nouveau nom pourrait également permettre à Facebook de se détacher plus facilement des différentes accusations qu’il subit depuis la rentrée, dont celles de la lanceuse d’alerte Frances Haugen.

Effectivement, en quelques semaines, cette ancienne employée de Facebook a mis à mal l’entreprise américaine en révélant ses pires côtés : modération à deux vitesses, toxicité d’Instagram pour les adolescentes, désinformation poussée sur Facebook… Entre ces attaques et des pannes énormes subies il y a quelques semaines par le réseau social, l’image de la société en a pris un coup.

Ainsi, un nouveau nom pourrait signifier, pour Facebook, un nouveau positionnement, loin de ces dénonciations troublantes. Si rien n’a été confirmé à ce stade, ce changement de nom pourrait être annoncé officiellement dès la semaine prochaine. Il semblerait, en effet, que Mark Zuckerberg profite de l’annuelle conférence du groupe, qui aura lieu le 28 octobre 2021, pour en parler.

Comme le souligne le média The Verge, Facebook ne serait pas la première entreprise tech à changer de nom en cours de route. Par exemple, Snapchat s’est renommé Snap Inc. en 2016… Il n’y a plus qu’à attendre de voir si Facebook changera bel et bien de nom dans les jours à venir. Et si c’est le cas, nous sommes curieux de le découvrir.


Manon Carpentier

Surveillance du Dark Web : le bon, la brute et le truand

 

 Surveillance du Dark Web : le bon, la brute et le truand

 Par : Équipe de recherche sur les photons

 11 septembre 2019 | 20 minutes de lecture

 Présentation de la surveillance du Dark Web 

 L'accès aux sources du dark web et du deep web peut être extrêmement puissant, si vous vous concentrez sur des cas d'utilisation pertinents. Les stratégies les plus efficaces que nous observons ont des exigences claires, telles que la détection des fraudes, la surveillance des menaces et la recherche des informations d'identification exposées.

 Cependant, la surveillance de ces sources est difficile et peu de solutions ont une couverture sophistiquée. Le « Web profond et sombre » couvre une vaste gamme de sources potentielles ; marchés, forums fermés, applications de messagerie et sites de collage. Peu d'entreprises couvrent toutes ces sources ; moins encore ont des capacités pour aller au-delà du simple grattage de sites.

 Malheureusement, il y a beaucoup d'oreille, d'incertitude et de doute (FUD) concernant le dark web. Les analogies avec les icebergs sont courantes depuis plusieurs années, démontrant ostensiblement que le Web profond et sombre est nettement plus grand que le Web ouvert. En vérité, le dark web ne contribue qu'à une petite partie de la cybercriminalité. Nous devons envisager des sources supplémentaires pour avoir une idée plus précise du paysage des menaces. 

Qu'est-ce que le Dark Web ?

 Le dark web est une zone d'Internet qui n'est accessible qu'avec un logiciel de navigation spécifique, tel que Tor ou I2P. Il s'agit d'un réseau d'anonymat où l'identité et l'emplacement des utilisateurs sont protégés par une technologie de cryptage qui achemine les données des utilisateurs via de nombreux serveurs à travers le monde, ce qui rend extrêmement difficile le suivi des utilisateurs. L'anonymat du dark web en fait une technologie attrayante à des fins illégales.

 Malheureusement, il est difficile d'obtenir une visibilité sur les emplacements criminels : cela nécessite des connaissances spécialisées, un accès à des sources fermées et une technologie capable de surveiller ces sources pour détecter les utilisations abusives de vos données. Cependant, dissipons d'abord certaines idées fausses sur le dark web.

 Hypothèse 1 : 

Le dark web est synonyme d'Internet criminel. Alors que le dark web abrite de nombreux crimes, il héberge également de nombreuses entreprises légitimes comme le New York Times et Facebook qui proposent des services basés sur Tor, ainsi que du contenu généralement bénin. Le dark web n'est pas synonyme de cybercriminalité.

 Hypothèse 2 :

 Le dark web est la même chose que le deep web. Pour clarifier, le Web profond est défini au sens large comme tout ce qui n'est pas indexé par les moteurs de recherche traditionnels. Sans surprise, le Web profond abrite également la criminalité, mais le Web clair l'est aussi.

 Le dark web ne monopolise pas la cybercriminalité.

Qu'est-ce que le dark web,car la Différences entre le web de surface, profond et sombre, Tout simplement parce qu'il n'est pas accessible par un moteur de recherche traditionnel, cela ne veut pas dire que le deep web est forcément intéressant. La plupart des données sur le Web profond sont banales ou « normales » ; par exemple, les comptes de messagerie ou Facebook peuvent relever de cette définition car ils nécessitent une inscription pour voir le contenu. Bien que certains sites Web profonds et sombres soient des sources précieuses, vous devez savoir ce que vous recherchez, sinon il est facile de perdre du temps et des ressources. La lutte contre les marchés du Web sombre En juillet 2017, les forces de l'ordre américaines et néerlandaises ont lancé l'opération Bayonet, où elles ont saisi et désactivé deux des plus importants marchés du dark web, AlphaBay et Hansa. 

Le procureur général des États-Unis, Jeff Sessions, a décrit l'opération comme suit : « L'une des enquêtes criminelles les plus importantes de l'année… grâce à cette opération, le peuple américain est plus en sécurité – plus à l'abri de la menace de fraude d'identité et de logiciels malveillants, et plus à l'abri des drogues mortelles. Avant l'opération Bayonet, les activités cybercriminelles anglophones se déroulaient principalement sur des marchés en ligne du dark web tels qu'Alpha Bay et Hansa, où des centaines de milliers de vendeurs et d'acheteurs effectuaient un commerce illégal estimé à plus d'un milliard de dollars.

 L'action des forces de l'ordre ne s'est pas arrêtée là - le 7 mai 2019, une opération coordonnée au niveau international a conduit au retrait de deux autres marchés du dark web, Wall Street Marketplace et Valhalla Marketplace (Silkkitie). Au cours de la même opération, les forces de l'ordre ont simultanément désactivé une source d'actualités et une page de révision populaires sur le dark web, DeepDotWeb. DeepDotWeb ne vendait pas de contrebande ; au lieu de cela, les administrateurs ont profité de la promotion de sites criminels et de marchés via des liens d'affiliation.

Sa récente saisie a montré la volonté des forces de l'ordre de cibler davantage le réseau de commerce illégal au-delà des marchés, y compris les promoteurs et les blanchisseurs. Marchés du dark web Hansa et AlphaBay

 Notification du retrait des marchés Hans et AlpaBay

Dans notre rapport de recherche sur le dark web, Seize and Desist: The State of Cybercrime in the Post-AlphaBay and Hansa Age, nous avons exploré l'impact de ces saisies sur le marché du dark web. 

Alors qu'une grande partie de la cybercriminalité (en particulier russophone) n'a pas été perturbée, un abus de confiance s'est produit dans le commerce criminel du dark web. Cet abus de confiance a causé des criminels à envisagez de nouvelles façons de générer la confiance dans l'underground. Alors que les marchés du dark web, tels que Tochka et Empire, existent toujours, aucun marché n'a encore atteint l'importance de Silk Road, AlphaBay ou Hansa. De nouveaux marchés criminels continuent d'apparaître, mais ils ont du mal à se développer ou décident de faire preuve de légèreté face aux craintes croissantes de perturbations et de suppressions des forces de l'ordre.

 Pour se développer, ces marchés criminels ont besoin d'une solide réputation, d'un financement à l'échelle, de la sécurité pour conserver les utilisateurs actuels et de la confiance pour gagner en popularité. Il y a quand même des candidats intéressants. Market.ms Marketplace, dirigé par l'ancien administrateur du prestigieux forum de piratage Exploit[.]in, qui dirige désormais par coïncidence le nouveau forum XSS (anciennement Damagelab), est un nouveau venu sur le marché du dark web.

 Centré uniquement sur la cybercriminalité ; MarketMS est presq

 Les cybercriminels ne s'appuieront pas sur un seul site et seront présents sur plusieurs de ces sources, garantissant que leur nom est bien connu de tous les acheteurs potentiels.

 Cependant, la présence de services d'entiercement sur les marchés crée une incitation compréhensible à négocier sur ces plateformes particulières. En conséquence, il est important de noter que ces nouveaux marchés du dark web existent aux côtés de Telegram et Jabber, qui coexistent pour obtenir des preuves, négocier des accords et convenir d'un prix final. 

Cybercriminalité continue et innovation criminelle

 Malgré les mesures d'application de la loi ciblant les marchés du dark web, la cyberactivité se poursuit à un rythme soutenu.

 Par exemple, les chariots de vente automatisés (AVC) sont des pages criminelles qui échangent des cartes de crédit, des informations d'identification et des accès - leur commerce n'a pratiquement pas été affecté par les récentes saisies (à l'exception de la saisie de xDedic en janvier 2019). Joker's Stash, un AVC de premier plan utilisé pour acheter des cartes de crédit volées, continue de fonctionner tout en expérimentant de nouvelles technologies comme la blockchain DNS.

 Un autre marché AVC, Enigma, gagne rapidement en notoriété parmi les cybercriminels car il a doublé ses listes depuis février 2019. Le fondateur, un acteur de bourrage d'informations d'identification sous l'alias Stackz420, a récemment fait la promotion de son AVC sur les forums criminels et les marchés et il a gagné traction. L'AVC offrait initialement 11 000 informations d'identification piratées et en répertorie maintenant environ 20 000 et ne montre aucun signe de ralentissement. Avec un nombre accru d'annonces et un administrateur notoire, cet AVC est prêt à croître en taille et en importance.

 En savoir plus sur MarketMS prenant le trône après la disparition d'AlphaBay et de Hansa, Comment les cybercriminels utilisent le DNS blockchain pour sécuriser les sites du marché, et la couverture d'Enigma : le nouvel AVC sur le bloc. 

Bâtir la confiance dans le métro : freins et contrepoids 

 L'application de la loi n'est pas la seule force qui cherche à perturber la communauté criminelle; leurs pairs peuvent être tout aussi antagonistes. Olympus Marketplace, un marché émergent du dark web, a cessé ses activités car les administrateurs auraient mené une escroquerie de sortie – en volant les fonds des utilisateurs dans le processus. Lorsque AlphaBay et Hansa ont été saisis, Olympus était un marché anglophone réputé qui était attendu par beaucoup pour combler le vide, mais être le marché principal a un prix élevé. Le temps, l'argent et la peur d'être pris sont trop importants pour les fournisseurs et les administrateurs qui choisissent continuellement la sécurité plutôt que la cupidité. 

 Dream Market, un des principaux concurrents d'AlphaBay et de Hansa, a également cessé ses activités après des attaques DDoS répétées. Les attaquants ont pris le contrôle des comptes en raison de la réutilisation courante des mots de passe parmi les utilisateurs du marché. Il est largement admis que ces attaques de compte ont été menées par Bien que la police n'ait pas pris le contrôle total du site, la violation des comptes des utilisateurs était suffisante pour amener les administrateurs à abandonner complètement les opérations. Cette récente chute des marchés réputés a exacerbé la fraude entre criminels sur le dark web. 

Les cybercriminels créent des kits de phishing de véritables marchés du Web sombre pour voler d'autres utilisateurs du Web sombre qui cherchent à échanger et à tirer profit du commerce illicite. Étant donné que les liens Tor ont tendance à être plus longs et plus complexes que les liens Web clairs, les cybercriminels utilisent des squats de faute de frappe - en remplaçant "m" par "rn" ou en réorganisant des chaînes de caractères complexes dans le lien - pour hameçonner et escroquer d'autres utilisateurs du dark web qui parcourent les marchés. Ces fraudeurs spécifiques qui ciblent d'autres cybercriminels sont étiquetés dans le cybermonde comme des « rippers ». (Est-ce que l'état profond,est profondément impliqué ?)

Par exemple, des services ont vu le jour au sein des communautés russophones pour protéger leurs sites contre ces rippers comme Ripper[.]cc – une base de données complète de tous les rippers connus ciblant les marketplaces. Il est important de se rappeler que les cybercriminels n'agissent pas seuls et ont besoin de services pour assurer la sécurité et la sûreté de leur écosystème.

 En savoir plus sur les retombées du marché d'Olympus, le typosquattage du Dark Web : les cybercriminels s'escroquent les uns les autres et la réduction des risques liés aux « rippers » Un écosystème riche : les services d'assistance pénale Ripper[.]cc n'est qu'un exemple d'un vaste écosystème des services d'assistance aux cybercriminels qui existent sur le deep et le dark web. 

La vérité est que les cybercriminels n'agissent pas seuls – il leur est tout simplement impossible de le faire. Ils sont pris en charge par une gamme riche et développée de services d'assistance, notamment le blanchiment d'argent, les logiciels malveillants et l'infrastructure. L'externalisation de leur blanchiment d'argent permet aux cybercriminels de traiter et de générer des profits financiers. Les services dans ce domaine comprennent les devises électroniques, les échangeurs, les spécialistes des transferts et les mules. AlphaBay avait un mixeur (un service de blanchiment en ligne) inclus dans le site, mais de nos jours, les cybercriminels et les fraudeurs peuvent se tourner vers des services externes pour nettoyer leur argent.

 Les cybercriminels doivent également avoir accès à des logiciels malveillants. Cela inclut son développement et son déploiement, mais aussi les services de cryptage et les kits d'exploit. Alors qu'ils étaient à leur zénith en 2016, les kits d'exploit ont perdu en popularité plus récemment. Néanmoins, ils sont toujours utilisés pour diffuser certains types de logiciels malveillants – plus récemment, la diffusion du ransomware Nemty via le kit d'exploitation RIG. Enfin, des infrastructures sont nécessaires pour protéger leurs opérations. Les services typiques incluent l'hébergement à toute épreuve, les services de contre-AV et les services d'anonymat. Ces services sont extrêmement populaires car ils réduisent le risque de saisie de sites criminels et permettent aux cybercriminels de continuer à fuir les forces de l'ordre. 

L'un des principaux services sur lesquels les criminels s'appuient sont les services d'hébergement à l'épreuve des balles. L'hébergement à l'épreuve des balles est sans doute plus important qu'un navigateur Tor pour effectuer du commerce illégal en ligne. L'hébergement à l'épreuve des balles fournit une structure Internet protégée pour les personnes ou les groupes qui est généralement utilisée à des fins illicites. Cette infrastructure est hébergée sur des serveurs dans des pays où la cyber-surveillance est difficile et l'accès des forces de l'ordre occidentales est limité, ce qui permet aux utilisateurs de contourner les lois sur le contenu et les services Internet qui restreignent certains contenus et leur distribution.

 Certains plaident en faveur d'un hébergement à l'épreuve des balles pour les droits civils, car il promeut la liberté d'expression, la presse, l'anonymat et la vie privée. En réalité, ces services sont un aspect vital de la cybercriminalité car ils offrent une protection contre les forces de l'ordre. Nous voyons deux côtés criminels des opérations d'hébergement à l'épreuve des balles – les fournisseurs qui fournissent des services à l'épreuve des balles et les clients qui achètent leurs services pour héberger des pages illégales.

 Du côté des fournisseurs, nous voyons des utilisateurs mettre en place un hébergement à toute épreuve sur leurs serveurs dans des pays comme la Chine, la Russie et des pays qui faisaient partie de l'ex-Union soviétique. Le plus grand fournisseur mondial de pare-balles opère sous le pseudonyme de « Yalishanda », ce qui signifie Alexander en mandarin. Les responsables de la sécurité ont pu retrouver sa véritable identité et ses allées et venues, mais ne sont pas en mesure de l'appréhender car il est protégé par sa résidence en Russie

 Du côté de l'hébergement, nous voyons des utilisateurs acheter ou louer ces serveurs auprès de fournisseurs en amont partout dans le monde. Les hôtes utilisent couramment un hébergement à l'épreuve des balles pour héberger des services criminels tels que le phishing, les logiciels malveillants, les forums et les informations d'identification exposées.

 Par exemple, les groupes Magecart – des voleurs d'informations bancaires – utilisent des serveurs ukrainiens pour gérer leur commerce d'identifiants. hébergement pare-balles dark web VPS à l'épreuve des balles vu dans ShadowSearch 

 Bien que difficile, les forces de l'ordre cherchent toujours à cibler ces fournisseurs d'hébergement à toute épreuve.

 Dans une affaire historique, les forces de l'ordre américaines ont collaboré avec les forces de l'ordre roumaines pour arrêter un homme pour son rôle dans l'hébergement pare-balles du malware bancaire Gozi. Comme le montre cette affaire, les retraits du dark web s'étendent au-delà des gros titres des sites criminels. Les forces de l'ordre procèdent à des suppressions tactiques de sites antivirus, de fournisseurs d'hébergement à toute épreuve et d'autres services essentiels à l'écosystème criminel. 

 Alors que l'écosystème criminel évolue autour des stratégies et des tactiques des forces de l'ordre, les criminels évoluent également, car ils trouvent continuellement de nouvelles façons innovantes de tirer profit de leur expertise, y compris l'enseignement. D'anciens fraudeurs et commerçants d'informations d'identification ont mis en place leurs propres cours sur la cybercriminalité où ils enseignent à d'autres cybercriminels toutes les compétences des techniques de base des cartes, du blanchiment de devises, des programmes de retrait d'argent, de l'ingénierie sociale, de la création de botnets et de l'utilisation d'exploits.

 Ils publient gratuitement des conférences d'introduction sur les réseaux peer-to-peer du dark web comme Telegram ou Jabber qui annoncent leur classe et des marchés spécifiques du dark web et des AVC pour le trading. Les jeunes cybercriminels peuvent acheter ces conférences 75 000 roubles (1 100 USD), payables en bitcoin, ce qui leur donne accès à de nombreux autres cours, conférences et ressources, y compris des tuteurs. Il s'agit d'une évolution dangereuse pour les organisations et les consommateurs, car les acteurs amateurs disposent désormais des ressources et de la formation nécessaires pour se lancer dans une carrière de cybercriminel. 

Comment créer une capacité de surveillance du Dark Web 

Construire une capacité de surveillance efficace du dark web est extrêmement difficile. Cela nécessite une connaissance du paysage criminel, l'accès à des sources fermées et une technologie capable de surveiller ces sources. La couverture de la source peut être un problème très difficile avec la surveillance du dark web. Vous devez diagnostiquer les sites Tor et I2P qui présentent un intérêt

– et constituent une menace

 – ainsi que les discussions sur les canaux IRC et Telegram, les forums criminels et les sites de collage qui ne se limitent pas aux sites Web sombres.

 Il existe plusieurs technologies qui offrent cette visibilité sur le dark web. OnionScan offre cette visibilité pour aider les chercheurs et les enquêteurs à identifier et suivre tous ces sites Web sombres. Chez Digital Shadows, nous offrons un accès gratuit de 7 jours à la recherche sur ces sources(on peut en douter pour la sécurité). 

 Cependant, la visibilité ne suffit pas à elle seule. Pour surveiller efficacement le dark web, vous devez filtrer les sources non pertinentes qui ne constituent pas une menace imminente pour votre entreprise. Avec les sources restantes, en fonction de votre modèle de menace, vous devez surveiller et trouver les contrefaçons spécifiques, les mentions de vos actifs et les informations d'identification exposées.

 Cela peut nécessiter un travail humain intensif ou une technologie capable d'automatiser le processus. De plus, pour accéder à des forums criminels de plus grande valeur, les organisations peuvent avoir besoin d'une expertise supplémentaire pour comprendre les nuances des différentes langues, comment accéder à certains emplacements et lancer une enquête pour trouver vos données exposées.

 Certains sites nécessitent même un métier spécifique pour entrer, ce qui peut concerner l'IP, la liste blanche / liste noire du service de messagerie Web et d'autres exigences. Faire tout cela demande beaucoup d'efforts, d'expertise, de temps et d'argent. Si cela n'est pas fait efficacement, il peut être difficile d'en tirer de la valeur pour votre organisation. 

 Dans notre travail avec les organisations, nous constatons qu'il existe trois cas d'utilisation clés lorsque nous parlons de surveillance du dark web : 

Suivi des menaces Identification des informations d'identification exposées Détecter la fraude

 En se concentrant sur ceux-ci, cela aide à rendre la surveillance du dark web plus rapide et plus pertinente pour vous. 

Surveillance du Dark Web pour les entreprises 

 Même avec une bonne couverture, les organisations ont du mal avec leurs capacités de surveillance du dark web, car elles peuvent être bruyantes et non pertinentes. Cependant, la surveillance du dark web peut être extrêmement précieuse pour une entreprise lorsque vous savez où chercher et quoi chercher. Nous avons identifié trois cas d'utilisation - les acteurs de la menace, les informations d'identification et la fraude - qui rendent la surveillance du dark web plus basée sur les risques, efficiente et efficace. 

 Cas d'utilisation 1 : Suivi des menaces

 Le premier cas d'utilisation consiste à comprendre les acteurs de la menace qui ciblent votre entreprise, vos VIP et votre marque. Une enquête efficace sur ces sources peut apporter un éclairage sur les outils, les tactiques, les techniques, les procédures et les motivations des adversaires - que vous pouvez ensuite appliquer à votre stratégie de sécurité.

 Plus précisément, vous devez comprendre ces personnages et à quel point ces acteurs de la menace sont établis et réputés - ce qui nécessite une compréhension de leurs poignées de forum, de leur réputation, de ce qu'ils font, de la façon dont ils commercialisent, où ils opèrent et de leur MO global. La collecte et le suivi continus de ces données aident à appliquer le contexte à ces acteurs et à mieux prévoir et détecter les attaques, permettant aux organisations de préparer des stratégies de défense.

 De même, les initiés disposant de données précieuses ou d'un accès privilégié peuvent utiliser des forums et des marchés en ligne pour vendre vos données précieuses. Ces menaces internes sont difficiles à corriger rapidement et représentent un défi majeur pour toute équipe de sécurité. Une « menace » n'est pas seulement un acteur, elle peut également s'appliquer à un outil ou à un malware.

 Le suivi des développements ici peut être très précieux. Il peut s'agir d'un nouveau malware exploitant un nouveau CVE ou d'une variante de ransomware mise à jour (comme indiqué ci-dessous). suivi des menaces du dark web Alerte de variante de ransomware mise à jour dans ShadowSearch

 L'application de ce contexte d'acteurs de la menace et de la connaissance du paysage du dark web au suivi peut vous permettre de découvrir de manière proactive les acteurs de la menace ciblant votre entreprise, votre VIP et votre marque.

 Lisez notre présentation et notre contribution à Forrester’s Defend Your Data As Insiders Monetize Their Access. 

Cas d'utilisation 2 : informations d'identification

 Un autre cas d'utilisation courant de la surveillance du dark web est la protection contre les données exposées et le bourrage d'informations d'identification. Étant donné que la réutilisation des mots de passe est si courante, le bourrage d'informations d'identification est devenu une tactique populaire pour accéder aux sites et aux données sensibles. Les informations d'identification issues de violations de données sont vendues en masse sur le dark web à d'autres acteurs de la menace.

 Ces acteurs malveillants prennent les noms d'utilisateur et les mots de passe et automatisent une connexion de révision dans le but d'obtenir des actifs précieux. Notre propre outil et service, SearchLight, a détecté 14 milliards de ces informations d'identification exposées en ligne pour vous aider, ainsi que ceux de votre empreinte numérique, à être exposés à des attaques ciblées. 

 Récemment, nous avons vu plus que de simples informations d'identification exposées être compilées et vendues. Un marché fermé, Genesis Store, vend des robots qui contournent les contrôles d'empreintes digitales - fournissant aux clients des empreintes digitales, des cookies, des journaux, des mots de passe enregistrés et d'autres informations personnelles pour émuler les utilisateurs et contourner les systèmes de sécurité. Il s'agit d'une évolution intéressante, permettant aux cybercriminels de contourner les contrôles anti-fraude traditionnels. Cette tendance tel que développé à partir du marché Genesis, avec un autre service - Richlogs - récemment apparu pour concurrencer les utilisateurs. Web sombre du botnet Genesis

 Une capture d'écran du botnet Genesis En savoir plus sur le botnet Genesis.

 Cas d'utilisation 3 : 

Fraude Une application de ces informations d'identification volées consiste à commettre une fraude, qu'il s'agisse d'échanger des informations de carte de paiement, de vendre des produits contrefaits ou de phishing.

 L'un des avantages de l'adoption par le marché de Genesis de cette approche pour collecter les informations d'identification est qu'il peut disposer d'un moyen plus nouveau et plus efficace d'usurper l'identité des utilisateurs en ligne à des fins frauduleuses. L'hameçonnage et d'autres techniques frauduleuses sont utilisées par les acteurs pour inciter les victimes à partager leurs données sensibles.

 Les kits d'hameçonnage ressemblent aux sites Web d'origine(facebook: https://l1x.eu/scZ9q0OXVU) et ont la capacité de bloquer certaines adresses IP de sociétés de sécurité connues pour empêcher une correction rapide. L'identification de sites, produits ou activités frauduleux favorise de meilleures pratiques de sécurité. La fraude par carte-cadeau est une autre activité courante menée par les fraudeurs en ligne.

Au cours des six derniers mois, des milliers de cartes-cadeaux ont été échangées sur des forums criminels, des marchés du Web sombre, des pages Web sombres, IRC et Telegram. carte-cadeau fraude dark web Activité de fraude par carte-cadeau sur le dark web de mars à septembre 2019

 Les approches de la fraude s'adaptent, par exemple, un marché de télégrammes tendance appelé "OL1MP" utilise un bot pour automatiser la recherche d'articles - vacances, hôtels, taxis, permis de conduire et documents. OL1MP utilise la confidentialité et le cryptage du chat par télégramme, mais est un marché automatisé permettant aux acheteurs de discuter avec un revendeur réputé sans courir le risque de se faire arnaquer. Cependant, OL1MP est un exemple unique des nombreuses plateformes de chat criminelles utilisées pour le commerce de contrebande.

 Les services de discussion cryptés comme Telegram et Discord hébergent de nombreux canaux de discussion qui encouragent les pratiques illicites. Nous avons identifié environ 5 000 mentions ou publicités sur les pages Telegram après les suppressions d'AlphaBay et de Hansa. La criminalité sur le Web sombre s'adapte à la chute d'AlphaBay et de Hansa et continue de menacer les entreprises et les personnes légitimes.

 Comment Digital Shadows assure la surveillance du Dark Web Digital Shadows fournit une technologie de surveillance du dark web avec SearchLight, afin que vous puissiez protéger vos données exposées lorsqu'elles apparaissent sur le deep et le dark web. SearchLight surveille et indexe en permanence des centaines de millions de pages Web sombres, de collages, de forums criminels, de pages Telegram, IRC et I2P et est programmé pour rechercher des risques spécifiques pour votre organisation.

 Pages Web sombres : plus de 50 millions de pages Tor et I2P indexées Notre araignée propriétaire explore les pages Tor et I2P, identifiant le nouveau contenu et les sources de valeur.

 Canaux IRC et Telegram—

 Plus de 30 millions de conversations

 Notre technologie surveille les services utilisés par les groupes et les individus pour discuter sur des thèmes allant des campagnes de menaces, de la fraude, des tactiques et techniques et des sujets techniques. 

 Forums criminels—

Plus de 23 millions de forums indexés Nous avons concentré et automatisé la collecte personnalisée sur des forums de grande valeur où nous identifions une grande variété d'activités

 - des kits d'exploit à la vente de données violées. 

Certains d'entre eux sont hébergés sur Tor ou I2P, mais beaucoup ne le sont pas. Notre équipe de sources fermées fournit la direction et le développement de personnalité pour accéder à de nouveaux forums. 

 Sites de pâte —

 Environ 60 millions de pâtes indexées Une autre source qui n'est pas strictement limitée au dark web - il existe de nombreux types de sites de collage qui existent sur le clear et le dark web.

 Des acteurs malveillants utilisent ces sites pour partager des données violées et créer des listes de cibles. 

Marchés du dark web : environ 1 million de listes de marchés indexées Collection spécifique pour les places de marché hébergées sur le dark web. Depuis la disparition d'AlphaBay et de Hansa, il y a eu une prolifération de marchés. 

Alors que leur longévité a été entamée par le succès de LEA, de nouveaux marchés continuent d'émerger, tels que MarketMS : commercialisé par des personnalités respectées de la scène russe. En plus de la technologie de pointe du secteur (ne nous croyez pas sur parole – Forrester nous a nommé un leader dans son rapport), notre équipe de sources fermées s'efforce d'obtenir de nouveaux accès, de développer des personas et de produire des rapports de renseignement sur les dernières tendances en matière de cybercriminalité. .

 Nos capacités de Shadow Search mettent également le pouvoir entre vos mains en vous permettant de rechercher dans nos données indexées pour suivre les acteurs de la menace, les campagnes et les cas de fraude.

 Vérifiez par vous-même.

 Faites un tour du Dark Web dans Test Drive maintenant. 

 outil de surveillance du dark web 

Rendre la surveillance du Dark Web capable et pertinente

 La surveillance du dark web peut être intimidante pour les organisations

 - pour voir si vos données sont exposées sur des sites criminels et pour les trouver et les corriger

 - mais ce n'est pas obligatoire.

 Une « bonne » surveillance du dark web implique d'accéder constamment à de nouvelles sources. La technologie fait le gros du travail dans la collecte en se concentrant sur les cas d'utilisation clés et sous Les experts en sécurité de rcover développent continuellement des personas, socialisent avec des criminels et accèdent à ces endroits plus délicats pour fournir une couverture de source et une visibilité appropriées dans les zones les plus sombres du paysage criminel. Cette couverture à double source vous permet de détecter rapidement les menaces internes, d'identifier les fraudes, de trouver les contrefaçons et de détecter instantanément les informations d'identification exposées qui ne sont pas facilement visibles pour vous.

  La surveillance du dark web peut avoir un réel impact commercial ; il peut vous protéger des problèmes de conformité, des implications financières et des impacts sur la réputation qui peuvent survenir si vos actifs ne sont pas correctement surveillés.

  Chez Digital Shadows, nous travaillons avec vous pour développer un plan pour nous assurer que vos données ne sont pas exploitées sur le Web ouvert, profond ou sombre et nous assurer que vous gardez une longueur d'avance sur le jeu du chat et de la souris.

Notre aperçu de la surveillance du Dark Web pour en savoir plus : 

 

REF.: