Archives de catégorie : Sécurité

Quand les hackers vous mettent à contribution…

Nous vous mettons en garde régulièrement contre les Ransomewares et autres virus propagés par email, les pirates informatiques mettant au point chaque jour de nouvelles méthodes d’attaques.

Leur dernière idée en date est pour le moins osée :

Le ransomeware Popcorn Time, à l’instar de ses camarades, infecte votre ordinateur, chiffre vos fichers et vous demande ensuite de payer une rançon (environ 750 dollars) pour récupérer le code qui vous permettra d’accéder à nouveau à vos données, du moins c’est ce que l’on vous promet…

Vous ne souhaitez pas payer ? Donnez-leur un petit coup de main !

En effet, PopcornTime vous propose le plus simplement du monde de « partager » ce virus avec vos contacts afin d’économiser la rançon.

Il vous suffit de recommander un lien infecté à l’un de vos « amis »:
si deux de vos contacts sont infectés, vous pourrez récupérer vos données…

Un lien transmis par une personne de confiance, quoi de mieux pour contourner les doutes des plus suspicieux ?

Restez d’autant plus vigilants.

Sans basculer dans la paranoia, restez d’autant plus vigilants, assurez-vous de ne pas cliquer aveuglément sur tout lien transmis par une « connaissance » et restez toujours prudents quant au traitement de vos emails.

 

 

 

Le ransomware Locky évolue

Une nouvelle variante de virus Locky (cryptolocker) est apparue ces derniers jours. Cette nouvelle version s’exécute via du code JavaScript caché dans une image SVG. Le format SVG (Scalable Vector Graphics) est un format de données conçu pour décrire des ensembles de graphiques vectoriels, et est basé sur du XML (donc du texte).

Il est donc possible d’inclure du script JavaScript dans une image. Script qui peut, dans certains cas, s’exécuter.
Sur certains navigateurs (exemple chrome) / client de messagerie, l’affichage de l’image suffit à lancer le téléchargement, puis l’exécution du virus sur la machine.

Il y a quelques jours, un test grandeur nature a eu lieu sur les réseaux sociaux.

L’étape d’après sera probablement la messagerie et les robots de masse messagerie comme pour les cryptolockers actuels.

IcoCerberus.Mel, la solution antivirus/antispam d’Icodia, intègre la détection d’éventuels virus via SVG en pièce jointe ou dans un zip.

Attaques de virus via email : évolution importante des virus Locky /cryptolockers, rappel de nos conseils de prudence.

Comme nous l’avons déjà évoqué dans de précédents bulletins, de très nombreuses et très importantes vagues d’attaques d’envois de virus par email sévissent actuellement sur le net.

Le désormais célèbre virus Locky (et ses variantes) a subi une modification importante :
le type de fichier contenu dans les archives zip a changé de nature :
il s’agissait uniquement de fichiers en format JS, mais l’on trouve également des fichiers au format .WSF.

L’une des particularités de ce type de virus est qu’il peut prendre l’apparence de n’importe quel type de fichier.
Par exemple il peut utiliser les icônes d’autres programmes, comme Microsoft Word, Adobe PDF, etc.

Le destinataire ne réalise donc pas sur le moment qu’il ouvre un script d’installation de virus.

Les ingénieurs d’Icodia travaillent sans relâche pour identifier et stopper ces virus au fur et à mesure que les hackers font évoluer les formes d’envoi ; cependant, nous souhaitions attirer votre attention sur cette problématique, et vous inviter à être vigilants :

Nos conseils pour éviter tout risque :

– Activez l’affichage des extensions de fichier sous Windows :

Afin de pouvoir vous assurer qu’un fichier Word que vous vous apprêtez à ouvrir en est bien un, il est utile d’afficher l’extension de vos fichiers.

1. Ouvrez votre explorateur de fichiers. Par défaut, vous constaterez que l’extension du fichier n’est pas affichée.
1

2. Allez dans Outils > Options des dossiers.
2

3. La fenêtre d’options des dossiers s’ouvre, ouvrez l’onglet Affichage et décochez l’option « Masquez les extensions des fichiers dont le type est connu.
Validez en cliquant sur « Appliquer »
3

4. Les extensions de vos fichiers s’affichent désormais, il vous est plus facile de vous assurer rapidement qu’un fichier porte l’extension adaptée à son format.
4

N’oubliez pas que l’extension .exe represente un fichier exécutable, soyez prudents.

Il faut également être prudent avec les extensions type .js, .wsf, .bat, .cmd, etc.
D’une manière générale, tout fichier ayant un logo qui ne correspond pas à son extension est un risque (exemple fichier .exe avec un logo PDF)

 

– Ne faites pas systématiquement confiance à votre antivirus :

Les infections par email fonctionnent dans des contitions de « race » (course, en anglais) :
c’est à dire que les hackers font en sorte d’envoyer un maximum d’emails infectés en un minimum de temps, avant que les antivirus puissent mettre leurs moteurs à jour.
Nouvelle forme du virus, nouvelle vague d’attaque extrêmement massive, dès que le virus est repertorié dans les bases virales, une nouvelle version du virus est propagée par le botnet.

– N’ouvrez pas de pièces jointes provenant d’une source inconnue :

Les virus peuvent être cachés dans des fichiers joints de différentes natures :
documents MS Word, MS Excel, fichiers Zip contenant des scripts de type .js, etc.

Soyez prudent, les virus sont nommés de sorte à provoquer la confusion chez le destinataire :
facture.doc, facture.zip, facture.pdf.js, devis.js, cv.rtf, ou tout autre nom qui pourrait vous inciter à ouvrir le document joint.

– Limitez le plus possible l’utilisation de l’alias collecteur sur vos services email :

La mise en place d’un alias collecteur vous permet de recevoir les messages envoyés sur des adresses email liées à votre nom de domaine mais qui n’existent pas.

Cet alias routera donc tous les destinataires aléatoires vers une boîte. Le botnet cible des listes d’utilisateurs existants, mais aussi beaucoup d’utilisateurs aléatoires (a1ecc5d@mondomaine.com, john@mondomaine.com, etc.).

Avec un alias collecteur, toutes ces tentatives peuvent arriver sur votre adresse email (c’est également valable pour les spams), et vous multipliez les risques de fausse manipulation.

– Utilisez des outils fiables et à jour :

Travaillez sur des outils fiables (Firefox par exemple pour le navigateur web) et surtout mettez à jour vos logiciels et vos systèmes d’exploitation.

Il existe des applications gratuites, comme par exemple Secunia Personal Inspector, qui vous informent de l’existance de mises à jour sur les logiciels que vous utilisez. Ce logiciel est disponible en français.
Vous pouvez le télécharger gratuitement à l’adresse :
http://learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector

– Créez des utilisateurs avec des droits limités sur votre ordinateur et
utilisez l’UAC (sous Windows) :

Si vous utilisez le compte administrateur de votre ordinateur, toute application est susceptible de s’exécuter, quelle qu’elle soit.

Utilisez un compte utilisateur avec des droits restreints. Cela permet de vous protéger.

Ne désactivez pas le panneau de l’UAC (User Account Control) :
L’UAC est un utilitaire (à partir de Windows 7), qui vous prévient si une application souhaite s’installer ou s’exécuter, vous demandant de confirmer d’éventuelles modifications sur votre ordinateur.
Vous êtes ainsi averti, et pouvez stopper, le cas échéant l’exécution d’un programme qui n’aurait pas lieu d’intervenir sur votre machine.

L’équipe Icodia a pris des mesures afin de vous protéger de ce risque

Nos techniciens ont créé un filtrage spécifique sur ces emails frauduleux, afin de les stopper au niveau de notre filtrage antivirus. Ces emails sont donc arrêtés et supprimés dès reception par nos serveurs.

Dans tous les cas, restez vigilants

Les techniques de piratage, les tentatives de détournement de vos informations et les « cyber-arnaques » évoluent extrêmement rapidement, les emails frauduleux circulant sur internet représententplus de 80% du traffic email.
Nous mettons tout en œuvre pour être très réactifs, mais il faut rester prudent.

Attaques de virus via email, quelques conseils pour vous protéger

Ces dernières semaines, les hébergeurs font face à de très nombreuses et très importantes vagues d’attaques d’envois de virus (ransomware) via des botnets (réseaux d’ordinateurs infectés détournés pour une utilisation malveillante).

Ces virus sont des virus dits « polymorphes », qui, lorsqu’ils se répliquent, modifient leur structure, ce qui rend inefficace la recherche par signature des logiciels antivirus.

Des millions d’emails infectés sont envoyés sur les adresses email des utilisateurs (Icodia n’est pas visé en particulier, cela concerne l’ensemble du web).

Ces emails encapsulent une pièce jointe au format ZIP, qui contient un ou plusieurs fichiers de type .js, qui sont des scripts d’installation de virus.

Les ingénieurs d’Icodia travaillent sans relâche pour identifier et stopper ces virus au fur et à mesure que les hackers font évoluer les formes d’envoi, cependant, nous souhaitions attirer votre attention sur cette problématique, et vous inviter à être vigilants :

Pour éviter tout risque :

Ne faites pas systématiquement confiance à votre antivirus :

Les infections par email fonctionnent dans des contitions de « race » (course, en anglais) :
c’est à dire que les hackers font en sorte d’envoyer un maximum d’emails infectés en un minimum de temps, avant que les antivirus puissent mettre leurs moteurs à jour.
Nouvelle forme du virus, nouvelle vague d’attaque extrêmement massive, dès que le virus est repertorié dans les bases virales, une nouvelle version du virus est propagée par le botnet.

N’ouvrez pas de pièces jointes provenant d’une source inconnue :

Les virus peuvent être cachés dans des fichiers joints de différentes natures :
documents word, excel, fichiers zip contenant des scripts de type .js, etc.

Soyez prudent, les virus sont nommés de sorte à provoquer la confusion chez le destinataire :
facture.doc, facture.zip, facture.pdf.js, devis.js, cv.rtf, ou tout autre nom qui pourrait vous inciter à ouvrir le document joint

Limitez le plus possible l’utilisation de l’alias collecteur sur vos services email :

La mise en place d’un alias collecteur vous permet de recevoir les messages envoyés sur des adresses email liées à votre nom de domaine mais qui n’existent pas.

Cet alias routera donc tous les destinataires aléatoires vers une boîte. Le botnet cible des listes d’utilisateurs existants, mais aussi beaucoup d’utilisateurs aléatoires (a1ecc5d@mondomaine.com, john@mondomaine.com, etc.).

Avec un alias collecteur, toutes ces tentatives peuvent arriver sur votre adresse email (c’est également valable pour les spams), et vous multipliez les risques de fausse manipulation.

Utilisez des outils fiables et à jour :

Travaillez sur des outils fiables (Firefox par exemple pour le navigateur web) et surtout mettez à jour vos logiciels et vos systèmes d’exploitation.

Il existe des applications gratuites, comme par exemple Secunia Personal Inspector, qui vous informent de l’existance de mises à jour sur les logiciels que vous utilisez. Ce logiciel est disponible en français.
Vous pouvez le télécharger gratuitement à l’adresse :
http://learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector

Créez des utilisateurs avec des droits limités sur votre ordinateur et
utilisez l’UAC (sous Windows) :

Si vous utilisez le compte administrateur de votre ordinateur, toute application est susceptible de s’exécuter, quelle qu’elle soit.

Utilisez un compte utilisateur avec des droits restreints. Cela permet de vous protéger.

Ne désactivez pas le panneau de l’UAC (User Account Control) :
L’UAC est un utilitaire (à partir de Windows 7), qui vous prévient si une application souhaite s’installer ou s’exécuter, vous demandant de confirmer d’éventuelles modifications sur votre ordinateur.
Vous êtes ainsi averti, et pouvez stopper, le cas échéant l’exécution d’un programme qui n’aurait pas lieu d’intervenir sur votre machine.

Sécurité de votre nom de domaine : attention aux tentatives de détournement – Bulletin d’alerte du 02/11/2015

Ces dernières semaines, de nombreux propriétaires de noms de domaine ont reçu des emails frauduleux qui usurpaient l’identité de leurs bureaux d’enregistrement (registrar).

Ces emails leur expliquent que leur nom de domaine va être suspendu et les invite à cliquer sur des liens pour récupérer éventuellement des règlements ou des informations confidentiellesconcernant leurs noms de domaines (identifiants, codes de transfert, etc.)

Il semblerait que de nombreux bureaux d’enregistrements soient concernés, nous n’avons pas eu de retour concernant une usurpation de l’identité d’Icodia, mais nous vous invitons à rester vigilants :

Si vous recevez ce type d’email :

– ne cliquez jamais sur les liens
– ne répondez jamais aux emails
– n’appelez jamais le numéro de téléphone indiqué

Sachez que par défaut, Icodia applique gratuitement une politique de protection de vos noms de domaines :

– Toute demande de mouvement de bureau d’enregistrement sur un nom de domaine fait l’objet d’une vérification scrupuleuse de notre part.
– Nous ne validons jamais une demande non légitime de transfert d’un nom de domaine, nous nous assurons toujours que le propriétaire d’un nom de domaine soit bien à l’origine de ce type de demande.

Pour rappel, pour vous assurer que vous êtes bien sur notre site (et non pas sur un site d’hameçonnage) lorsque vous effectuez votre règlement en ligne par exemple, l’adresse indiquée dans votre navigateur doit être de type :

https://xxxxx.icodia.com

Nouvelle mise à jour importante pour WordPress…

Logo WordPressLa précédente version avait à peine une semaine…

Une nouvelle mise à jour WordPress est parue ce jour, corrigeant  encore une fois des problèmes critiques de sécurité.

Deux des failles traitées permettent à un tiers de prendre la main sur votre site aisément.

Il est très important de procéder à cette nouvelle mise à jour

La nouvelle version corrige également des bugs du moteur.

Lire l’avertissement de sécurité publié par WordPress.org

Télécharger la nouvelle version de WordPress

Comment mettre votre site WordPress à jour ?

Infogérance WordPress Icodia

 

 

 

 

Faille critique de sécurité Ghost (CVE-2015-0235)

La société Qualys a découvert une faille de sécurité critique qui est apparue sur les systèmes d’exploitation Linux.

Elle permet de prendre le contrôle total d’un système à distance très simplement, un simple email frauduleux vers votre serveur et l’attaquant peut récupérer l’accès à votre système d’exploitation !

Continuer la lecture de Faille critique de sécurité Ghost (CVE-2015-0235)

IMPORTANT : Faille de sécurité sur Internet Explorer versions 6 à 9, protégez-vos machines !

 

1 / Quelques informations sur la faille

Le centre technique de Microsoft a publié le lundi 17 septembre un avis de sécurité au sujet d’une vulnérabilité dans Internet Explorer qui permet l’exécution de code à distance via un page web malformée.

Cette faille est actuellement exploitée par des hackers et au moins deux virus qui, à partir de certains sites internet , peuvent  exécuter des programmes sur les machines des internautes.

Internet Explorer 6, 7, 8 et 9 du navigateur sont concernés par cette vunérabilité.
Seul Internet Explorer 10 est épargné.

Microsoft a publié hier un patch de sécurité qui vous permet de protéger votre machine de cette faille.

 

2 / Que faire pour protéger votre machine ?

Il est très important que les utilisateurs d’Internet Explorer appliquent ce patch de sécurité.

Vous pouvez le trouver sur le site de Microsoft à l’adresse :

http://support.microsoft.com/kb/2757760

 

Voici la procédure à suivre pour appliquer le correctif Microsoft :

 

1 / Rendez-vous sur le site du suport Microsoft à l’adresse ;
http://support.microsoft.com/kb/2757760

2 / Sur cette page, après l’encart d’introduction qui vous apporte quelques informations quant à la faille de sécurité, se trouve l’encart « Fix it for me » (en français : « Réparez-le pour moi »)

 Cliquez sur le Bouton « Fix it for me » pour télécharger le patch correctif :

3 / Si vous avez ouvert la page avec Internet explorer, le message de sécurité suivant s’affiche :

Cliquez sur Exécuter pour lancer le patch correctif

4 / Le patch vous demande de fermer Internet Explorer :
Fermez vos fenêtres de navigateur puis relancez la procédure en cliquant sur « Réessayer » :


 

5 / Le Patch vous demande d’accepter les termes du contrat de licence :

Cochez la case « J’accepte » et cliquez sur « Suivant »

Le patch lance alors l’installation.

Une fois cette dernière terminée, l’écran suivant apparaît :

 

 

Vous pouvez alors fermer la fenêtre, le correctif est appliqué.