Chaque semaine le rapport Threat Intelligence édité par Check Point et traduit en français : - Principales failles & Attaques - Vulnérabilités & Correctifs - Rapports & Menaces Commentaires ou questions : info_fr@checkpointfrance.fr Accessible également sur le site checkpointfrance.fr : https://www.checkpointfrance.fr/index.php/presse/248-bulletin-hebdomadaire-de-prevention-contre-les-menaces

1. © 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non-confidentiels
1
19 - 25 décembre 2016
PRINCIPALES FAILLES ET ATTAQUES
 Des agresseurs ont piraté des comptes Groupon au Royaume-Uni, et les ont utilisés pour acheter des
produits coûteux et les envoyer à des mules, quelques jours avant Noël. Selon Groupon, les comptes ont
été piratés à l'aide de mots de passe obtenus via des brèches dans d'autres services Internet.
 Une nouvelle campagne de phishing, comprenant des documents malveillants en pièce jointe protégés
par mot de passe pour donner aux victimes un faux sentiment de sécurité, diffuse le logiciel rançonneur
Cerber et le cheval de Troie bancaire Gozi.
Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre cette menace (Operator.Gozi; Operator.Cerber).
 Ameriprise Financial, une société américaine de services financiers, a été victime d'une fuite de données
personnelles et bancaires d'environ 350 de ses clients. La brèche est due à un appareil de stockage non
sécurisé situé au domicile d'un collaborateur de la société.
 La capitale ukrainienne Kiev a été frappée par une coupure de courant le week-end dernier. Des
chercheurs en sécurité soupçonnent que des pirates sont à l'origine de l'incident. Dans un événement
similaire survenu vers Noël 2015, des agresseurs ont réussi à frapper les infrastructures énergétiques à
l'aide d'un logiciel malveillant appelé Black Energy, qui a provoqué des pannes.
Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre cette menace (Operator.Blackenergy).
 Une nouvelle famille de logiciels rançonneurs nommée DeriaLock a été découverte. Ce logiciel
malveillant bloque l'écran de ses victimes et exige le versement de 25 euros sur un compte Skype pour le
déverrouiller. Koolova, un nouveau logiciel rançonneur « éducatif » en cours de développement a été
découvert par des chercheurs. Ce logiciel rançonneur chiffre les fichiers de ses victimes et les déchiffre
moyennant la lecture d'articles de sécurité sur les logiciels rançonneurs.
RAPPORT THREAT INTELLIGENCE

2. © 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non-confidentiels
| 2
19 - 25 décembre 2016
 Une application mobile utilisée par plus de 9 000 militaires des unités d’artillerie de l’armée ukrainienne
a été piratée par un cheval de Troie, très probablement par le groupe de cybercriminalité russe « Fancy
Bear ». L'application, qui n'a pas été diffusée sur la boutique d'application de Google, a été infectée par
le kit d'accès à distance X-Agent.
 Un outil de tricherie pour CounterStrike, un jeu populaire sur ordinateur, est en fait un logiciel
malveillant déguisé. Le fichier malveillant écrase la première piste du disque dur des victimes et
empêche les ordinateurs de démarrer.
 Lynda, la plate-forme d'apprentissage en ligne de LinkedIn, a été victime d'une fuite des données
d'apprentissage de ses utilisateurs. Suite à la brèche, pour des raisons de sécurité, Lynda a réinitialisé les
mots de passe de 55 000 utilisateurs.
VULNÉRABILITÉS ET CORRECTIFS
 VMware a publié une mise à jour de sécurité corrigeant une vulnérabilité dans vSphere Hypervisor, qui
permettrait à des pirates de prendre le contrôle des machines ciblées.
 Cisco a publié une mise à jour de sécurité corrigeant une vulnérabilité critique dans la configuration de
Docker Engine dans CloudCenter Orchestrator. La vulnérabilité permettrait de charger des conteneurs
Docker avec des privilèges arbitraires et d'obtenir des privilèges root sur le CloudCenter Orchestrator
touchés.
 Une nouvelle étude décrit des vulnérabilités dans les systèmes de divertissement en vol de Panasonic
Avionics, qui permettraient à un agresseur d'en prendre le contrôle et de manipuler les données
fournies aux passagers.
 Siemens a publié une mise à jour de microgiciel adressant les vulnérabilités découvertes dans les
équipements de contrôle industriel Desigo PX. Les équipements sont utilisés pour superviser des
systèmes d'automatisation de bâtiments. Les vulnérabilités permettraient à un agresseur de récupérer
les clés HTTPS privées utilisées dans des serveurs web.

3. © 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non-confidentiels
| 3
19 - 25 décembre 2016
RAPPORTS ET MENACES
 Des chercheurs ont analysé une nouvelle technique de spam nommée Hailstorm. La technique consiste à
envoyer un volume élevé d'emails de spam à l'aide d'un grand nombre d'adresses IP expéditrices, dans
un très court laps de temps. Ce court laps de temps est problématique pour les défenses antispam, car il
est plus court que le délai nécessaire aux mises à jour.
 Une nouvelle étude présente une nouvelle version du cheval de Troie bancaire mobile Faketoken. Ce
logiciel malveillant est capable de mener des attaques contre plus de 2 000 applications financières, et
de chiffrer des fichiers à des fins de demande de rançon. Depuis son apparition en juillet, le cheval de
Troie a touché des milliers d'utilisateurs.
Les clients de Check Point Mobile Threat Prevention sont protégés contre cette menace.
 Le réseau de publicités frauduleuses Methbot parvient à dérober entre 3 et 5 millions d'euros par jour,
dans ce qui est considéré comme étant l'activité de fraude publicitaire la plus rentable de l'histoire,
selon une nouvelle étude. Le botnet génère environ 300 millions d'impressions vidéo par jour,
siphonnant ainsi des millions d’euros auprès des annonceurs. Son infrastructure comprend plus de
570 000 adresses IP dédiées et 800 à 1 200 serveurs, et utilise des mesures sophistiquées pour échapper
à toute détection.
 Un nouveau rapport décrit le logiciel malveillant Alice pour distributeurs de billets, actif depuis au moins
le mois d'octobre 2014. Ce logiciel malveillant déverrouille le panneau de commande du distributeur, et
permet le vol de l'argent qui y est stocké. L'infection du logiciel malveillant exige une intervention
physique sur le distributeur ou l'utilisation du réseau de son opérateur.
Commentaires ou questions : info_fr@checkpoint.com