Actualité des incidents de sécurité informatique

1. 1
Actualité des Cyberattaques
dans la presse française en
février 2015

2. 2
 Ransomware ou Rançongiciel :
– Chiffre le disque et demande une rançon (Curve-Tor-Bitcoin)
– Evolution des Cryptolockers classiques presents depuis 2013, evolution fin janvier
CTB Locker (28 janvier 2015)
– Vecteur d’infection :
• email avec fausse facture compressé dans une
archive ".zip" ou ".cab" archive file.
• L’archive contient un binaire (Dalexis dropper,
souvent ".scr" ) qui une fois ouvert, affiche un
document leurre attend 5 minutes et lache la
charge CTB Locker
• Trouve son serveur de controle et demande
une clé de chiffrement
• Chiffre le disque
– Spécificités:
• Evite les machines virtuelles
• Utilise Tor pour bypasser les defenses
classiques de reconnaissance d’addresses de
C&C connus
• Variante spécifiquement destinée à la France

3. 3
Piratage de clés de carte SIM (20 fevrier 2015)
- Révélé en février 2015 The Inercept
(suite révélations Snowden)
– Piratage par la NSA (US) et GCHQ (UK).
– Baisse de 8% du cours de l’action
Gemalto. Repris dans la presse Grand
Public (AFP, Presse, Television …) et
economique (Tribune, Echos …)
- Démenti par Gemalto le 20/02
– Premières attaques détectées et
bloquées en juin/juillet 2010. emails
internes avec fichiers infectés attachés
– 2 attaques réussies selon Gemalto en
2010 et 2011 mais qui n’ont donné
aucun accès hors du réseau bureautique
(ie. Accès aux clés de chiffrement) n’a pu
être fait
La NSA et le GCHQ sont entrés dans les réseaux de fabricants
de cartes SIM pour dérober les clefs de cryptage, afin de
mieux intercepter les communications des utilisateurs, révèle
un site d'investigation américain.

4. 4
Carbanak (16 fevrier 2015)
- Le malware utilisé Carbanak est une variante de malwares
anciens : Zbot, Carberp and Qadars
- Un gang cybercriminel a volé près d'1 milliard de dollars à de
nombreuses banques dans au moins 25 pays sur les deux dernières
années
– Espionnés pendant des mois (social engeneering) pour comprendre le fonctionnement
– Les ordinateurs des banques ont pu être infectés avec un malware au travers d'attaques spear-
phishing impliquant l'envoi de courriels ciblés contenant des pièces jointes ou des liens malveillants.
– Les fonds ont été transférés en utilisant une banque en ligne ou un système d'e-paiement vers les
comptes du gang ou bien d'autres banques aux États-Unis et en Chine. Dans d'autres cas, les
attaquants ont pris le contrôle des systèmes comptables des banques en gonflant les soldes afin de
masquer les vols, par exemple en portant à 10 000 dollars un compte qui n'en comptait que 1 000
pour réaliser un virement de 9 000. Des distributeurs automatiques de billets ont par ailleurs été
également visés
Le Monde Informatique le 16/02/15 : Un cybergang vole 1 Md$ à 100 établissements financiers

5. 5
Quelques autres evènements notables en Février
- 26/02 : Europol démantèle le botnet Ramnit infectant 3,2 millions d’ordinateurs
– Le 24 février, Europol EC3, en collaboration avec l'Agence nationale de la criminalité (NCA) a pu
démanteler le botnet géant Ramnit, ayant 3,2 millions de machines zombies sous son contrôle.
- 20/02 : Superfish – Alerte au mouchard sur les PC Lenovo !
– Le distributeur chinois Lenovo est fortement pointé du doigt suite à un scandale révélé par les
chercheurs d'Errata Security. Mercredi, le fabricant chinois a reconnu que certains PC portables
vendus entre septembre et décembre étaient équipés d'un logiciel commercial baptisé "Superfish".
- 16/02 : Babar, un malware espion créé par la DGSE française ?
– Découvert par une agence de renseignement canadienne et étudié par GData, il semblerait que ce
malware sophistiqué destiné au cyber-espionnage soit l’œuvre de la DGSE française.
- 11/02 : Cyberattaque – La ville de Besançon en difficulté avec un malware
– La ville de Besançon a été victime d’une infection informatique généralisée, d’une envergure peut
commune pour une ville. Un malware de type ransomware arrivé via un simple courriel a paralysé le
réseau informatique de la ville qui a été coupé d’Internet pendant vingt-quatre heures.
- 05/02 : Fausses mises à jour Flash Adobe
– Une nouvelle faille annoncée dans l’outil de visualisation d’animations réalisées au format flash
Adobe. Il n’en faut pas plus pour voir débarquer, en force, de fausses mises à jour.

6. 6
IBM Trusteer Apex
Une solution disruptive pour contrer efficacement les
attaques persistantes avancées
(APTs et zéro days)
Trusteer APEX casse la chaine d’exploitation en
empêchant l’infiltration du malware ou sa
communication vers ses serveurs de contrôle.
Trusteer APEX est construit sur des techniques
innovantes, dont la surveillance de l’état des applications
qui permet d’être efficace y compris sur les attaques type
0-day.
Contacts : Eric.Soyez@fr.ibm.com et Olivier.Palyart@fr.ibm.com