Quand les hackers vous mettent à contribution…

Nous vous mettons en garde régulièrement contre les Ransomewares et autres virus propagés par email, les pirates informatiques mettant au point chaque jour de nouvelles méthodes d’attaques.

Leur dernière idée en date est pour le moins osée :

Le ransomeware Popcorn Time, à l’instar de ses camarades, infecte votre ordinateur, chiffre vos fichers et vous demande ensuite de payer une rançon (environ 750 dollars) pour récupérer le code qui vous permettra d’accéder à nouveau à vos données, du moins c’est ce que l’on vous promet…

Vous ne souhaitez pas payer ? Donnez-leur un petit coup de main !

En effet, PopcornTime vous propose le plus simplement du monde de « partager » ce virus avec vos contacts afin d’économiser la rançon.

Il vous suffit de recommander un lien infecté à l’un de vos « amis »:
si deux de vos contacts sont infectés, vous pourrez récupérer vos données…

Un lien transmis par une personne de confiance, quoi de mieux pour contourner les doutes des plus suspicieux ?

Restez d’autant plus vigilants.

Sans basculer dans la paranoia, restez d’autant plus vigilants, assurez-vous de ne pas cliquer aveuglément sur tout lien transmis par une « connaissance » et restez toujours prudents quant au traitement de vos emails.

 

 

 

Le ransomware Locky évolue

Une nouvelle variante de virus Locky (cryptolocker) est apparue ces derniers jours. Cette nouvelle version s’exécute via du code JavaScript caché dans une image SVG. Le format SVG (Scalable Vector Graphics) est un format de données conçu pour décrire des ensembles de graphiques vectoriels, et est basé sur du XML (donc du texte).

Il est donc possible d’inclure du script JavaScript dans une image. Script qui peut, dans certains cas, s’exécuter.
Sur certains navigateurs (exemple chrome) / client de messagerie, l’affichage de l’image suffit à lancer le téléchargement, puis l’exécution du virus sur la machine.

Il y a quelques jours, un test grandeur nature a eu lieu sur les réseaux sociaux.

L’étape d’après sera probablement la messagerie et les robots de masse messagerie comme pour les cryptolockers actuels.

IcoCerberus.Mel, la solution antivirus/antispam d’Icodia, intègre la détection d’éventuels virus via SVG en pièce jointe ou dans un zip.

Panne DNS Orange

Depuis quelques heures, les abonnés d’Orange ont toutes les difficultés du monde pour se connecter au web.
En cause, un problème de serveur DNS d’Orange.

Pour rappel, Le Domain Name System (DNS) a pour fonction de traduire un nom de domaine en une adresse IP. Le rôle du serveur DNS est donc de trouver l’adresse IP associée au nom de domaine dont vous vous servez pour accéder à un site web.
Ces informations sont stockées un certain temps sur votre machine. Ce qui veut dire qu’une fois que les informations DNS ne sont plus dans le cache de votre machine ou de votre routeur, il sera impossible pour le moment de faire cette résolution DNS, et donc de se connecter (sauf si vous utilisez des serveurs DNS alternatifs).
Le fournisseur d’accès avait rencontré un problème similaire mi-octobre avec plusieurs gros sites dont Google et Wikipedia : les DNS renvoyaient alors vers la page du ministère de l’Intérieur, prévenant d’un site faisant l’apologie du terrorisme.
Évidement, cette panne n’a RIEN à voir avec ICODIA, ni avec son réseau.
Vous pouvez suivre l’évolution de la panne sur ce fil twitter :
https://twitter.com/search?f=tweets&vertical=default&q=orange%20dns&src=tyah
Ou encore sur le site http://touteslespannes.fr/statut/orange

Attentions aux SMS frauduleux

Il y a une recrudescence de SCAM par SMS en ce moment en France, envoyant des SMS, généralement la nuit (entre 3 et 5h du matin) avec le contenu suivant :

SMS adressé par le 33784505652 : « Bonjour, votre colis ref 30507 est en attente de retrait en point relais depuis le 28/10. Pour le récupérer merci d’appeler le 0685778635. »

Le numéro a appeler est une arnaque téléphonique, tentant de récupérer des informations perso, et peut également, sans prévenir, rediriger vers un numéro surtaxé, donc attention.

Il faut savoir (bon sauf si son téléphone est éteint…) qu’une loi impose un envoi de suivi par les transporteurs entre 07h00 et 22h00.

Joomla! : failles critiques de sécurité, mettez votre CMS à jour !

logo-joomlaDeux failles critiques de sécurité ont été mises au jour sur le CMS Joomla!, permettant entre autre de créer un compte utilisateur avec les droits administrateurs.

Il est donc important et urgent de faire la mise à jour corrective vers la version 3.6.4 parue le 25 octobre, qui corrige ces failles de sécurité.

>> Pour plus d’informations sur ces failles et pour télécharger la version corrective du CMS, consultez le site officiel Joomla!

 

Attaque DDoS contre DYN : Que s’est-il passé ?

Vendredi 21 octobre, la société DYN, basée aux États-Unis, a subi une attaque DDoS historique qui a ciblé ses serveurs DNS.
Plusieurs acteurs majeurs de l’Internet ont vu leurs services rendus inaccessibles pendant plusieurs heures.

Nous vous proposons de vous éclairer sur les modalités de l’attaque, sur ce qui l’a rendu possible et ce qui aurait permis de l’éviter, ou du moins de limiter les problèmes.

Les serveurs DNS

Commençons d’abord par vous expliquer ce qu’est un serveur DNS.
Le Domain Name System (DNS) a pour fonction de traduire un nom de domaine en une adresse IP.

Le rôle du serveur DNS est donc de trouver l’adresse IP associée au nom de domaine dont vous vous servez pour accéder à un site web (ou à tout autre service lié à un nom de domaine).

Par exemple :

www.icodia.com correspond à l’IP 46.31.192.17

L’IP étant l’adresse de la machine sur laquelle est hébergé le site. Cela permet d’atteindre un service web par son domaine (icodia.com), plutôt que par son adresse IP (46.31.192.17)

Schématiquement, le processus de résolution DNS fonctionne ainsi :
(cliquez sur l’image pour l’agrandir)

resolutiondns

 

Attaques DDoS

L’attaque DDoS de vendredi a touché les serveurs DNS de la société DYN.

Une attaque par déni de service (DoS) consiste à envoyer un très grand nombre de requêtes à un serveur depuis une adresse IP.
Dans ce cas, la riposte est relativement simple puisqu’il « suffira » de bloquer l’adresse IP de la machine. Toutes les communications provenant de cette adresse seront alors empêchées.

Le cas de l’attaque par déni de service distribuée (DDOS) est beaucoup plus complexe puisqu’il n’y aura pas une mais plusieurs machines attaquantes avec autant d’adresses IP différentes.

C’est ce que l’on appelle un botnet, un réseau de machines zombies peu ou mal sécurisées, infectées au préalable pour qu’une machine maîtresse puisse en prendre le contrôle. Ces machines peuvent aussi bien être des ordinateurs que des objets connectés comme ça a été le cas vendredi.
Il est beaucoup plus difficile de contrer une attaque DDoS car elle provient de très nombreuses machines dont les adresses IP peuvent évoluer au cours de l’attaque en fonction de son degré de sophistication.
De plus, la technique même d’attaque des services DNS permet d’amplifier le niveau d’attaque et le nombre de paquets attaquants.

L’attaque de vendredi a utilisé différentes faiblesses du service DNS de DYN :

– Anycast

Anycast, l’une des technologie utilisée par DYN, permet, via des serveurs DNS dispersés un peu partout dans le monde, d’effectuer la résolution DNS sur la route la plus courte entre l’utilisateur et le serveur DNS.
Grâce à cette technique, chaque serveur DNS réplique ses informations aux autres, permettant à chaque serveur d’avoir les mêmes données de zone DNS, de cache, etc.

La limite provient de la combinaison de deux techniques :
– la pollution de cache (technique qui consiste à saturer le cache d’un serveur en requêtes non légitimes)
– le spoof d’IP (technique permettant de mentir sur l’adresse IP source)

Avec l’anycast, chaque serveur attaqué réplique son cache (pollué) aux autres, amplifiant ainsi énormément l’impact de l’attaque.
C’est un risque important, lorsqu’on estime que la technique de résolution DNS anycast va faire gagner quelques dizaines de millisecondes.

Optimiser le temps d’affichage d’un site Internet, ses serveurs, etc. est bien plus efficace.

De plus, l’anycast repose sur une synchronisation rapide des routages BGP  (on route les mêmes adresses IP sur plusieurs routes BGP).
Mais en cas de DDoS important, un routeur BGP peut ne plus disposer de suffisamment de ressources pour dialoguer avec les autres routeurs.

– La résolution via le protocole UDP :

TCP/IP (le protocole utilisé pour échanger des données sur Internet) comporte beaucoup de couches différentes, et la norme la plus utilisée pour la résolution DNS est l’UDP.
Ce protocole permet d’effectuer des échanges rapides de petites données, idéal pour la résolution DNS.

Le principal problème du protocole UDP (en IPv4) est qu’il dispose de peu de sécurisation contre le spoofing.
Cela a permis un facteur d’amplification d’attaque important, permettant la pollution de cache, complexe à gérer en cas de DDoS.

Dans ce cas, une série de protocoles de sécurité auraient pu s’activer, afin de forcer la résolution DNS avec le protocole TCP.
Certes, cela prend quelques dizaines de millisecondes supplémentaires, mais cela permet de maintenir un service.
De plus, TCP permet d’activer une latence de réponse qui aurait posé problème aux robots attaquants.

– La gestion dynamique des TTL

Le TTL (« Time to Live ») est le temps pendant lequel le cache est conservé sur un serveur de cache : en cas d’attaque identifiée, il est primordial d’avoir un service qui permette, temporairement, d’augmenter le cache TTL des entrées des zones DNS.

On pourra alors bénéficier du cache des serveurs DNS des différents opérateurs d’Internet. Ainsi, la mise en cache limite le nombre de requêtes et permet d’accepter plus de connexions.

– Un service DNS classique avec Geoloc :

La norme Geoloc (RFC 1034 et 1035, qu’Icodia supporte) permet de résoudre des adresses IP en fonction de la position géographique : on donne une préférence à une adresse IP par rapport à une autre car son temps de réponse est plus faible (et généralement son positionnement géographique).

Par exemple, en utilisant un service DNS classique + un cache TTL correct, il est possible d’avoir une résolution de ns.icodia.com qui comporte une vingtaine d’adresse IP.
Chaque adresse IP correspond à un serveur DNS réparti sur le globe.

Lorsqu’un client situé aux USA se connecte, le serveur DNS ns.icodia.com lui fournit l’adresse IP ‘A’ du serveur le plus rapide (et souvent le plus proche). Il pourra ensuite se connecter sur l’adresse IP ‘A’ et faire la résolution DNS souhaitée.
Si un client situé en Europe se connecte sur la même adresse ns.icodia.com, l’analyse Geoloc lui donnera ladresse IP ‘B’, qui sera plus proche, et il pourra également faire sa requête DNS.
On détermine alors que le serveur DNS racine, qui s’occupe de fournir les adresses IP ‘A’ ou ‘B’ doit disposer d’un temps de requête minimale afin d’accélérer la vitesse de résolution.

Pour conclure…

Finalement, l’attaque contre Dyn, ciblant indirectement les gros sites du marché US tels que Twitter, Netflix ou Paypal, a utilisé plusieurs failles, aussi bien techniques (gestion de l’attaque, attente d’une intervention humaine pour commencer la mitigation (atténuation des dommages)) que conceptuels (les serveurs DNS délégataires chez le même prestataire, sur la même technologie).

Le service étant revenu à la normale, il faut espérer qu’un certain nombre de mesures seront mises en place, notamment en proposant des optimisations applicatives qui permettront de limiter une prochaine vague d’attaque ; venant d’un spécialiste du marché, c’est le minimum qu’un client peut attendre.

On peut enfin s’interroger sur la pertinence de la technique de l’anycast, dont l’objectif est de faire gagner quelques millisecondes, quand un site parallèlement à cela prend plusieurs secondes pour afficher une page, une fois la résolution DNS effectuée…

SPIP : TRIPLE FAILLE DE SECURITE, METTEZ VOTRE SITE À JOUR !

téléchargementPlusieurs failles de sécurité
sont présentes dans les versions du CMS SPIP antérieures à la 3.1.3, version parue fin septembre 2016.

Ces failles, dont l’une a été classée en niveau critique, permettent entre autres l’exécution de scripts PHP.

Il est donc important pour les utilisateurs de ce CMS de s’assurer de bien mettre à jour leur site vers la dernière version téléchargeable sur le site officiel de SPIP

 

Crisalide Numérique #4

Mardi 11 octobre, Icodia était présent à la soirée Crisalide Numérique organisée par la CCI Rennes à la salle du Ponant de Pacé.

C’est la deuxième année consécutive qu’Icodia est partenaire de l’évènement et nous sommes fiers d’y être associés de cette façon.
Nous avons eu le plaisir de découvrir les projets innovants de l’ensemble des nominés, avant une cérémonie de remise des trophées menée tambours battants.

La soirée s’est terminée par une séance de rencontre et d’échanges entre les différents acteurs du numérique bretons présents à la soirée.

Nous adressons évidemment toutes nos félicitations à tous les lauréats de la quatrième édition de Crisalide Numérique, mais aussi aux nominés car leurs travaux sont tous passionnants.

Un grand merci à l’équipe de la CCI pour avoir organisé cette belle soirée.

stand-icodia

 

Changement de statut pour l’ICANN

L’Icann (Internet Corporation for Assigned Names and Numbers, soit la société pour l’attribution des noms de domaines et des numéros internet) est une institution qui a pour mission de gérer les ressources numériques d’Internet (adresses IP, noms de domaines de premier niveau).

Cette organisation se trouvait sous la tutelle du gouvernement américain, à l’initiative de sa création.

Depuis le 1er octobre, l’Icann est devenu une entité internationale auto-régulée et à but non lucratif.
> Le site de l’ICANN

> L’article de ZDNet