Mise à jour de la base de données, veuillez patienter...

Une société de sécurité informatique basée en Suisse a été piratée. Plusieurs dizaines de milliers de documents sont disponibles sur le darknet.

D'après les premières informations, dimanche dernier, les pirates informatiques à l'origine de cette attaque ont mis en ligne sur le darknet près de 65 000 documents confidentiels, couvrant une large période : de 2000 à 2022. Cette société basée en Suisse, dont le nom n'est pas encore connu, aurait parmi ses clients différentes institutions publiques dont Chancellerie d’État de Genève, mais également les Hôpitaux universitaires de Genève, l'aéroport de Genève, des cabinets d'avocats ainsi que différentes banques privées. À cela s'ajoutent des multinationales.

Mis aux enchères sur le darknet dans un premier temps puis mis en ligne publiquement par la suite, les attaquants à l'origine de cette attaque auraient utilisé le ransomware LockBit 3.0, associé à la Russie. Dernièrement, c'est La Poste Mobile qui a fait les frais de ce ransomware également.

Le plus inquiétant, c'est le contenu de ces documents confidentiels. On parle de pièces d'identités, de contrats, d'extraits de casiers judiciaires, d'attestations de poursuites, ou encore des données bancaires de clients ainsi que des listes d'adresses e-mails et numéros de téléphone. Selon les activités de cette entreprise, il n'est pas à exclure qu'il y ait des documents relatifs à l'infrastructure de ses clients, ce qui pourrait être lourd de conséquences.

Dès que de nouvelles informations seront disponibles, cet article sera mis à jour.

Source

The post Suisse : une société de sécurité informatique piratée par LockBit 3.0 first appeared on IT-Connect.

I. Présentation

Dans ce huitième article de la série sur Wireshark, nous allons découvrir l’aide à l’analyse d’une capture réseau avec Wireshark en utilisant la boîte à outils Information Expert. L’outil information expert de Wireshark peut vous aider à faire un début d’analyse de votre capture réseau en relevant des erreurs ou bien de simples informations.

Les informations remontant dans information expert varient suivant les protocoles capturés, nous aurons beaucoup plus d’informations sur des protocoles comme IP, TCP, DNS par exemple que des protocoles peu utilisés.

Avant de continuer, voici la liste des précédents articles de cette série sur Wireshark :

• Tutoriel - Installation pas-à-pas de Wireshark
• Tutoriel - Découverte de l'interface Wireshark
• Tutoriel - Astuces pour personnaliser l'interface de Wireshark !
• Tutoriel - Wireshark et les filtres de capture
• Tutoriel - Wireshark et les filtres d'affichage
• Tutoriel - Wireshark et la résolution de noms
• Tutoriel - Wireshark et les commentaires
• Téléchargement - Wireshark

II. À la découverte de la fonction Information Expert de Wireshark

A. L'interface d'Information Expert

Pour commencer, nous allons accéder à la fonctionnalité et découvrir son interface, au sein même de Wireshark. Pour ouvrir Information Expert, il faut aller sur le menu "Analyser" et ensuite "Information Expert".

Une boîte de dialogue s’ouvre, comme ceci :

Note : l’ouverture de la boîte de dialogue peut prendre du temps si votre fichier de capture est assez volumineux, car Wireshark va analyser votre trace réseau.

Maintenant que la boîte de dialogue est ouverte, nous allons détailler les colonnes de celle-ci.

• Severity : comme son nom l’indique, Wireshark va afficher une sévérité avec un code couleur que nous allons détailler au prochain chapitre de cet article.
• Summary : la colonne summary va indiquer le type d’erreur ou d’information rencontrée comme une retransmission TCP, un Reset TCP, ou une requête http…
• Group : classer les éléments par groupe, on peut retrouver le groupe protocole, séquence (pour TCP par exemple), etc.
• Protocole : va indiquer le protocole lié au message comme DNS, TLS, TCP, IPv4
• Compteur : va compter le nombre d’occurrences par type d’erreur ou d’information, dans cette capture.

B. Les niveaux de gravité

Wireshark va classer l’analyse de la trace réseau par niveau de gravité avec un code couleur associée, voici ce que nous allons potentiellement retrouver comme différents niveaux de gravité.

• Chat : la sévérité chat donne juste des informations sur la trace réseau comme les requêtes http, cela correspond à des discussions (communications) avec d'autres serveurs.

• Note : ce sont des remarques, rien d’anormal pour Wireshark, on y retrouve par exemple les TCP keep-alive.

• Warning : c’est un avertissement, pour Wireshark, on retrouve ici les reset TCP, retransmissions DNS, des problèmes de déchiffrement TLS.

• Error : ce sont les erreurs critiques que remonte Wireshark, on y trouve souvent des problèmes de paquet mal formé avec l'intitulé "Malformed Packet".

• Comments : si des commentaires ont été ajoutés dans la trace réseau, comme nous l'avions vu dans l'article précédent.

C. Voir les numéros de paquets associés

Pour voir les numéros de paquets associés à une erreur ou une information, il faut cliquer sur le signe ">" juste devant la sévérité pour obtenir des informations supplémentaires sur l'ensemble des paquets associés à ce type d'événements.

Vous allez voir la liste des paquets contenant cette information, vous pouvez cliquer sur le paquet qui vous intéresse pour arriver directement dessus dans votre capture réseau.

D. Modification de l’affichage

Il est possible de modifier l’affichage de l’Information Expert, ce qui permet de filtrer pour garder uniquement les événements avec un niveau de sévérité spécifique. Pour ce faire, il suffit de cliquer sur affichage en bas à droite de la fenêtre, et de sélectionner le type de sévérité à afficher (par défaut Wireshark affiche l’ensemble des sévérités de votre trace réseau).

Dans cet exemple, je vais retirer la sévérité "Note" de l’affichage (dès que vous cliquez sur la sévérité que vous ne souhaitez plus afficher, Wireshark modifie l’affichage directement). Pour afficher de nouveau un type d'événement selon sa sévérité, il suffit juste de cliquer dessus à nouveau dans la liste.

Vous pouvez aussi retirer l’affichage "Group by summary", mais je trouve cela moins lisible. Pour ce faire il suffit de cliquer ici :

Comme vous pouvez le voir, nous n’avons plus de détails sur le type d’erreur, pour retrouver ce niveau de détail il faut cliquer sur le signe ">" à chaque fois.

E. Effectuer une recherche

Nous pouvons effectuer une recherche directement dans Information Expert, en utilisant la barre de recherche en bas. Exemple avec le terme de recherche "dns" :

Wireshark met à jour automatiquement l’affichage à chaque lettre ajouté dans la recherche.

F. Voir les niveaux de gravité seulement pour un filtre d’affichage

Nous pouvons afficher les informations ou erreurs sur un filtre d’affichage, afin de pouvoir utiliser cette fonctionnalité, il faut faire un filtre d’affichage.

Il suffit de cocher la case : limiter au filtre d’affichage comme la capture d’écran ci-dessus. Quand il n’y a aucun filtre d’affichage d’activé, la case est grisée.

G. Où se trouve l’analyse Wireshark dans un paquet ?

L’analyse de Wireshark, se trouve dans le panneau de l'interface qui affiche le détail du paquet, dans l’arborescence du paquet. Pour nous aider à trouver rapidement l’information, celui-ci sera colorié de la couleur de la sévérité. Dans cet exemple, on voit que nous avons la sévérité de type "warning" :

Pour afficher les détails de l’erreur, vous pouvez cliquer sur le signe ">".

En déroulant le protocole où il y a une erreur, vous pouvez remarquer l’information suivante "[Expert Info]" avec l’ensemble des informations de l’erreur. Ici, nous sommes sur une retransmission de requête DNS, et Wireshark rajoute l’ensemble des informations que nous trouvons dans l’Information Expert, comme le groupe et la sévérité.

H. Ajouter la colonne "Severity level"

Wireshark permet d’ajouter une colonne "Severity level" correspondant au niveau de sévérité. Pour l'ajouter, il suffit d’aller dans le détail du paquet et sur "[Severity Level : XXX]" de faire un clic droit "Appliquer en colonne".

N.B : XXX correspond à une valeur de sévérité, on peut prendre n’importe quelle valeur pour ajouter une colonne.

Vous pouvez aussi afficher seulement les paquets avec un niveau de sévérité spécifique, si vous le souhaitez. Si vous ne savez plus comment trouver un filtre d’affichage, vous pouvez revoir l’article à ce sujet (voir le lien en introduction).

Voici le filtre d’affichage :

_ws.expert.severity == "Warning"

Ici on affiche seulement les paquets avec la sévérité "warning" :

III. Conclusion

Nous venons de voir l’outil Information Expert de Wireshark, qui va nous apporter une aide précieuse pour lire notre capture réseau. Attention, cela reste une interprétation de Wireshark et il peut aussi faire des erreurs, une analyse approfondie vous permettra de valider et comprendre les erreurs remontées par Wireshark.

Le prochain article sera sur la Géolocalisation des adresses IP avec Wireshark, qui est très utile sur une analyse de sécurité.

The post La fonctionnalité Information Expert de Wireshark first appeared on IT-Connect.

Il est très fréquent que des applications malveillantes circulent sur le Google Play Store. Une nouvelle salve d'applications Android remplies de logiciels publicitaires et malveillants a été découverte avec 10 millions de téléchargements au total.

D'après l'équipe de Dr.Web, à l'origine du rapport qui mentionne ces applications, ces dernières se présentent comme des outils de retouche d'image, des claviers virtuels, des solutions pour optimiser le système ou encore pour gérer le fond d'écran. Cependant, ces applications ne s'arrêtent pas à leur fonctionnalité première puisqu'elles en profitent pour diffuser des publicités intrusives sur l'appareil, mais ce n'est pas tout ! En effets, ces applications sont capables de voler vos comptes sur les réseaux sociaux et de vous abonner à des services premium à partir de votre numéro de téléphone.

Suite à l'installation, ces applications demandent à pouvoir s'exécuter en tâche de fond sans être impacté par l'économiseur de batterie, et elles demandent aussi l'autorisation de superposer des fenêtres sur n'importe quelle application afin de pouvoir capturer les informations que vous saisissez, par exemple.

Par exemple, l'application "Neon Theme Keyboard" compte environ 1 million de téléchargements malgré une note très mauvaise de 1,8 sur 5. D'autres applications ont tout de même 100 000 ou 50 000 téléchargements. Autre exemple, avec les applications "YouToon – AI Cartoon Effect" et "Pista – Cartoon Photo Effect" téléchargées 1,5 million de fois et qui ont pour objectif de voler votre compte Facebook !

Voici la liste des applications malveillantes, même si à ce jour Google a supprimé la majorité d'entre-elles du Google Play Store. Si vous utilisez l'une de ces applications, vous devez la désinstaller immédiatement et exécuter une analyse antivirus sur votre smartphone.

• Photo Editor: Beauty Filter (gb.artfilter.tenvarnist)
• Photo Editor: Retouch & Cutout (de.nineergysh.quickarttwo)
• Photo Editor: Art Filters (gb.painnt.moonlightingnine)
• Photo Editor - Design Maker (gb.twentynine.redaktoridea)
• Photo Editor & Background Eraser (de.photoground.twentysixshot)
• Photo & Exif Editor (de.xnano.photoexifeditornine)
• Photo Editor - Filters Effects (de.hitopgop.sixtyeightgx)
• Photo Filters & Effects (de.sixtyonecollice.cameraroll)
• Photo Editor : Blur Image (de.instgang.fiftyggfife)
• Photo Editor : Cut, Paste (de.fiftyninecamera.rollredactor)
• Emoji Keyboard: Stickers & GIF (gb.crazykey.sevenboard)
• Neon Theme Keyboard (com.neonthemekeyboard.app)
• Neon Theme - Android Keyboard (com.androidneonkeyboard.app)
• Cashe Cleaner (com.cachecleanereasytool.app)
• Fancy Charging (com.fancyanimatedbattery.app)
• FastCleaner: Cashe Cleaner (com.fastcleanercashecleaner.app)
• Call Skins - Caller Themes (com.rockskinthemes.app)
• Funny Caller (com.funnycallercustomtheme.app)
• CallMe Phone Themes (com.callercallwallpaper.app)
• InCall: Contact Background (com.mycallcustomcallscrean.app)
• MyCall - Call Personalization (com.mycallcallpersonalization.app)
• Caller Theme (com.caller.theme.slow)
• Caller Theme (com.callertheme.firstref)
• Funny Wallpapers - Live Screen (com.funnywallpapaerslive.app)
• 4K Wallpapers Auto Changer (de.andromo.ssfiftylivesixcc)
• NewScrean: 4D Wallpapers (com.newscrean4dwallpapers.app)
• Stock Wallpapers & Backgrounds (de.stockeighty.onewallpapers)
• Notes - reminders and lists (com.notesreminderslists.app)

Source

The post Android : 10 millions de téléchargements pour ces applications malveillantes first appeared on IT-Connect.

A la mi-juillet, près de de 1 000 noms de domaines en .fr ont été enregistrés. Leur particularité : ce sont des noms de domaine très proches de ceux que l'on connaît tous ! Ainsi, facebook.fr devient facebbook.fr et 20minutes.fr devient 20linutes.fr. Ces noms de domaine seront très probablement exploités dans le cadre de campagnes de phishing dans les semaines et mois à venir.

Ces noms de domaine, très proches des noms de domaine officiels, sont là pour tromper l'utilisateur, car à une ou deux lettres près, ils sont identiques au nom de domaine officiel. Ainsi, quand on accède à "facebook.fr", si l'on se connecte en fait sur "facebbook.fr", cela ne va pas forcément sauter aux yeux ! Dans le cas présent, cet utilisateur identifié par l'adresse e-mail idah0625@gmail.com a enregistré près de 1 000 noms de domaine en moins de 48h. Même si ce procédé n'est pas nouveau, c'est la quantité qui est particulièrement élevée cette fois-ci.

L'ensemble de ces noms de domaine sont similaires à un site Internet, une entreprise ou un établissement français (Leboncoin, Eurosport, Fortuneo, Michelin, France Football, Mappy, Larousse, YouTube, Pole Emploi, CHU de Bordeaux, Crous de Lyon, Mondial Relay, etc...). Les exemples sont nombreux :

• allocine.fr devient aalocine.fr
• aliexpress.fr devient aliexress.fr
• airbnb.fr devient auirbnb.fr
• creditmutuel.fr devient creditmuteuel.fr
• labanquepostale.fr devient labanqueposttale.fr
• Etc....

La liste complète est disponible à cette adresse : liste des noms de domaines

La technique employée par la personne à l'origine de ces enregistrements est appelée le typosquatting : une attaque d'ingénierie sociale dont l'objectif est d'utiliser un nom de domaine très proche du nom de domaine original. Ainsi, si l'utilisateur effectue une faute de frappe, il peut se retrouver sur ce site malveillant, mais c'est également utilisé dans le cadre d'attaques de phishing. En effet, puisque l'adresse est proche de celle officielle, cela a plus de chance de fonctionner.

L'administrateur système Nicolas Pawlak (twitter : @_mikolajek_) est à l'origine de cette découverte ! Le 22 juillet 2022, il a tweeté : "Avant-hier, un tiers a déposé 967 domaines en .fr (soit 31% des domaines .fr déposés ce jour-là !) similaires aux noms de nombreuses organisations.", en fournissant le lien vers sa liste.  Compte tenu du prix de l'enregistrement d'un domaine, cela représente un investissement de plus de 6 000 euros.

Ces noms de domaine seront probablement utilisés dans le cadre d'attaques de phishing, même s'il n'y a aucune certitude à ce jour. À moins que l'objectif soit simplement de revendre ces noms de domaine pour faire du bénéfice. Quoi qu'il en soit, méfiance (comme d'habitude, en fait) !

Source

The post Phishing : attention à ces 1000 noms de domaine .fr qui viennent d’être enregistrés ! first appeared on IT-Connect.

Un pirate informatique a mis en vente un fichier comportant les données de 5,4 millions de comptes Twitter ! Il a récupéré ces informations à cause d'une faille de sécurité dans l'application Android de Twitter.

C'est par l'intermédiaire d'un forum nommé Breached Forums où se vendent des données volées que le pirate informatique a mis en ligne cette base de données de 5,4 millions de comptes Twitter. Enfin, pour être précis, ce fichier contient les informations 5 485 636 utilisateurs !

Il met en avant le fait que ce fichier contient des données sur des entreprises, des célébrités, des citoyens comme vous et moi, etc. Au niveau des informations contenues, il y a les adresses e-mails et les numéros de téléphone associés aux comptes Twitter. Il s'avère que les données contenues dans ce fichier sont vraies, car il a mis en ligne un extrait de son fichier et ces données ont pu être comparées avec celles affichées publiquement sur certains comptes. Pour mettre la main sur cette base de données, il faudra tout de même débourser une belle somme : 30 000 dollars.

Cette vulnérabilité touche uniquement la version Android de l'application Twitter. Il s'agit d'une faille de sécurité déjà corrigée depuis le 13 janvier 2022 suite à sa découverte quelques jours auparavant par un utilisateur de la plateforme HackerOne, qui a pu remporter 5 040 dollars grâce à sa découverte.

Pour constituer cette base de données, le pirate informatique a pu exploiter cette faiblesse qui permet d'obtenir le nom d'utilisateur à partir d'une adresse e-mail ou d'un numéro de téléphone, ce qui permet de faire la correspondance entre éléments et de constituer cette base de plusieurs millions de lignes. Visiblement, le pirate informatique a pu exploiter cette faille de sécurité avant qu'elle ne soit corrigée par Twitter.

Reste à savoir quels sont les utilisateurs concernés, car Twitter compte beaucoup plus que 5,4 millions d'utilisateurs ! En effet, le nombre d'utilisateurs actifs mensuels sur Twitter était estimé à 436 millions en janvier 2022.

Source

The post Fuite des données de 5,4 millions de comptes Twitter à cause d’une faille ! first appeared on IT-Connect.