Le blog-note de JM

Aller à... À retenir | Catégories | S'abonner | Archives | Liens | Bannières

lundi 28 septembre 2009

23% des PC familiaux avec antivirus à jour sont quand même infectés !

run'n run Et 72% des réseaux d'entreprises de plusieurs centaines ou milliers de PC avec antivirus à jour (et fonctionnel !) quand même infectés ! C'est le résultat d'une étude assez ancienne menée en 2007 par l'éditeur de solutions - ou plutôt d'outils - de sécurité informatique Panda Security. Beaucoup plus récemment, une autre étude, émanant cette fois de Trend Micro, montre que les machines infectées restent compromises en moyenne… 300 jours !!! Et que 80% des machines compromises le sont au moins un mois. Bien sûr tous ces chiffres sous-estiment la réalité ! Vous savez bien ce qu'on dit des antivirus sur ce blog :

Analysons donc ces chiffres avec les autres informations que nous avons sur le phénomène des logiciels malveillants. Remarque : si vous ne savez toujours pas à quoi ça sert de les diffuser à si grande échelle, lisez d'abord le billet Pourquoi pirater le PC de Monsieur Tout Le Monde ?

Lire la suite

dimanche 26 avril 2009

Botnets, le record tombe : 2 millions de machines pour un seul…

world record Certes le chiffre est un peu exagéré dans le titre : le décompte exact est de 1 953 448 machines pour un seul botnet. Pour ceux qui ne savent pas encore, un botnet est un réseau de machines piratées, contrôlé par une seule personne ou un seul groupe de personnes[1]. Jusqu'à l'année dernière on parlait de plusieurs dizaines de milliers de machines par botnet, tout au plus 200 ou 300 mille[2], c'était déjà beaucoup. Le chiffre fraîchement révélé par Finjan, une société fournissant des solutions professionnelles d'accès sécurisé à Internet, explose le record ! Essayons d'en savoir plus…

Notes

[1] ce mot vient de la contraction de robot et network - réseau en anglais

[2] voir l'article Inventaire des principaux botnets sur le Cert-IST

Lire la suite

jeudi 18 décembre 2008

Les logiciels antivirus sont réellement inefficaces !

cancel! On vous l'avait bien dit sur ce blog il y a maintenant environ 2 ans. Certes le titre était un peu provocateur et certains auront probablement pensé - à tord - que ce qui était expliqué n'était que de la théorie ou du blabla pour faire peur. Une experte en logiciels malveillants nous racontait en effet que les solutions antivirus actuelles sont inutiles car faciles à contourner. Mais voilà que le très respectable secunia.com publie en octobre dernier une étude d'efficacité des suites de sécurité Internet visant à déterminer leur capacité à détecter des attaques inconnues. À environ 2300 nouveaux logiciels malveillants par jour[1], il vaudrait mieux qu'elles en soient capables. Cependant les résultats sont, comme on aurait dû s'y attendre, déplorables : le « meilleur » en laisse passer presque 80% et le second… environ 98% ! Conclusion ? Allez, quelques pistes pour vous faire votre propre opinion…

Lire la suite

jeudi 22 novembre 2007

Pages web malveillantes : Firefox bas Internet Explorer par KO...

Firefox über alles ! ...dès le premier round ! C'est le résultat de l'étude récente Know Your Enemy: Malicious Web Servers[1] réalisée par le projet Honeynet. L'objectif principal de cette étude était d'évaluer le risque de récupérer des logiciels malveillants simplement en visitant des sites web et bien sûr sans s'en rendre compte. Cette technique apparue assez récemment commence à se répandre comme une traînée de poudre : quelques 10 000 sites corrompus en quelques jours d'après un article paru sur 01net le 19 juin dernier. Sans précautions, visiter une page web peut déclencher discrètement l'installation d'un logiciel malveillant que votre antivirus ne connaît pas forcément...

Notes

[1] « Connaître son ennemi : les serveurs web malveillants »

Lire la suite

mardi 24 juillet 2007

6 mois de capture de logiciels malveillants

capture Voilà 6 mois que ma machine sous Linux, se faisant passer pour mal sécurisée grâce à Nepenthes[1], récupère tous les mauvais logiciels que d'autres machines sur Internet s'empressent de lui refiler. La tendance des 3 derniers mois semble à l'amélioration mais on a toujours après 519 heures d'écoute réparties sur 192 jours :

  • un logiciel malveillant proposé toutes les 17 secondes[2] (!)
  • environ 10 nouveaux logiciels malveillants par jour dont peu sont détectés comme tels
  • que des logiciels pour Windows®, certains au goût du jour car compilés avec .Net !

La grande nouveauté c'est qu'on a la carte géographique des provenances : 80% viennent de mes voisins (France), le reste vient des 4 coins du monde mais essentiellement bien sûr des pays les plus branchés sur Internet. Autre information intéressante : certains logiciels s'attaqueraient aux réseaux locaux... Par contre les conclusions sont toujours les mêmes :

  • n'ayez pas une confiance aveugle en votre antivirus[3]
  • méfiez vous de tout ce qui vient d'Internet, pages web incluses
  • blindez votre machine
  • fuyez vers les systèmes ou logiciels les moins agressés[4]

malware IP map Carte géographique des émetteurs de logiciels malveillants (voir en grand)

Lire la suite

mardi 19 juin 2007

Cyber-attaque d'une nation : de la théorie à la pratique

cyber attack La nouvelle est tombée le 11 juin dernier sur 01net dans l'article L'Estonie dénonce les cyber-attaques terroristes russes : un pays est pour la première fois la cible d'attaques de milliers d'ordinateurs zombie[1]. Sites gouvernementaux, banques, sites marchands, etc., c'est bien l'Estonie dans son ensemble qui est visée, il s'agit bien d'une attaque terroriste telle que redoutée par les responsables de sécurité territoriale[2]. Et le numéro des urgences est resté injoignable pendant une heure suite à l'une de ces attaques, comme quoi la gêne occasionnée peut avoir des effets directs sur la population.

Notes

[1] ordinateur relié à Internet ayant été introduit par un pirate qui en prend le contrôle à distance

[2] voir le billet Pourquoi pirater le PC de Monsieur Tout Le Monde ? sur ce blog

Lire la suite

samedi 12 mai 2007

Signaler vos spams d'un simple clic

stop spam C'est la phrase d'accueil du tout nouveau site Signal Spam qui, comme expliqué dans l'article La France se dote d'un piège à spam national, a pour but de réduire - je n'ose pas écrire éradiquer - le spam. Le principe est simple : inscrivez-vous et signalez tout les messages de spam qui vous arrivent ! Il était temps car la France est championne d'Europe du spam...

Lire la suite

mardi 24 avril 2007

Livebox Orange™ : Linux vous offre sa protection, mais...

Lin4Win Pour étoffer de leur offre, les fournisseurs d'accès à Internet accompagnent maintenant leurs produits d'une box : Freebox, Livebox, Neufbox, etc. Or il se trouve que la box d'Orange™ vous protège par défaut derrière un routeur qui n'expose pas directement votre machine à Internet. Il semblerait que celle de Neuf-Cégétel en fasse autant, les FAI[1] pourraient donc bien finir par s'occuper de la sécurité sur Internet... Et devinez quoi : la Livebox Orange™ tourne sous Linux !

Notes

[1] Fournisseurs d'accès à Internet

Lire la suite

jeudi 19 avril 2007

Interview d'un jeune pirate à la tête d'un botnet

script kiddies L'article Invasion of the Computer Snatchers[1] paru en février 2006 dans le renommé Washington Post nous propose entre autres une interview d'un jeune pirate de 21 ans à la tête d'un botnet[2]. Salaire moyen : 6800$ par mois, 10000$ les bons mois, de quoi faire des émules. L'introduction donne le ton : « If you think your computer is safe, think again ».[3]

Notes

[1] « L'invasion des kidnappeurs d'ordinateurs »

[2] réseau de machines « robots » contrôlées par des pirates, voir le billet Pourquoi pirater le PC de Monsieur Tout Le Monde ? sur ce blog

[3] « Si vous croyez votre ordinateur à l'abri, réfléchissez à nouveau »

Lire la suite

lundi 16 avril 2007

Il s'est fait pirater son serveur Linux

pirated Dans le billet Maman, Je me suis fait pirater mon serveur sous Linux, Prospère nous explique comment il a découvert qu'un pirate avait joint son serveur sous Linux à un botnet[1]. Ce qui est intéressant dans l'histoire est de savoir comment il s'en est rendu compte et comment il a repéré la faille à l'origine de l'intrusion du pirate. Ce n'est pas du tout grâce à un logiciel antivirus ;-) .

Notes

[1] réseau de machines « robots » contrôlées par des pirates, voir le billet Pourquoi pirater le PC de Monsieur Tout Le Monde ? sur ce blog

Lire la suite

dimanche 11 février 2007

Un mois de collecte de logiciels malveillants

in the box! Dans le billet Pots de miel et menace sur Internet nous avons vu que le logiciel Nepenthes est un outil qui sert à capturer les logiciels malveillants qui rôdent sur Internet. Après un mois de fonctionnement à raison de 2 à 3 heures par jour en moyenne, il est intéressant de faire un premier bilan, notamment par rapport à la réponse classique contre ces malveillants : l'antivirus.

nepenthes chart report

Lire la suite

mardi 9 janvier 2007

Classification des logiciels malveillants

box Dans son récent article Introducing Stealth Malware Taxonomy[1], Joanna Rutkowska[2] nous explique que l'on peut classer les logiciels malveillants non pas par leurs actions mais par leur intéraction avec le système. Or c'est cette intéraction qui détermine la facilité ou non à détecter puis éradiquer un logiciel malveillant. Malheureusement les systèmes actuels, nous explique-t-elle, ne sont pas prévus pour détecter facilement tous les types de logiciels malveillants, certains peuvent ainsi demeurer invisibles malgré l'antivirus. Aussi nous propose-t-elle des solutions pour enrayer la pandémie dans le futur.

Notes

[1] « Introduisons une taxinomie des logiciels malveillants qui se dissimulent »

[2] chercheur en logiciels malveillants qui se dissimulent

Lire la suite

lundi 8 janvier 2007

Pourquoi pirater le PC de Monsieur Tout Le Monde ?

anybody De l'ordre de 250 000 machines par jour deviennent des zombies[1] et rejoignent des botnets[2]. Un article récent annonce que 1 PC sur 4 ferait partie d'un botnet. Pour beaucoup il s'agit de tranquilles PC familiaux qui ne demandent rien à personne. Alors pourquoi s'en prendre à eux ? Qu'ont-ils de si intéressant ? Réponse : ils peuvent rapporter des millions, aux pirates bien sûr et non leur vrai propriétaire !

Notes

[1] machines qui sont contrôlées par des pirates sur Internet à l'insu de leur propriétaire

[2] contraction de robot et network, donc des réseaux de machines devenues robots au service des pirates

Lire la suite

dimanche 7 janvier 2007

Pots de miel et menace sur Internet

fish Une méthode pour mieux connaître l'activité des pirates consiste à utiliser des pots de miel[1]. Il s'agit de machines dont l'unique but est de servir d'appât pour des logiciels malveillants ou des pirates directement. Nepenthes est une sorte de pot de miel qui simule des vulnérabilités[2] afin d'inciter des malveillants à lui envoyer leurs logiciels, typiquement des virus, pour les analyser ensuite. On peut ainsi connaître plus précisément la menace qui pèse sur nos machines tout en continuant d'utiliser un système nettement plus sécurisé.

Notes

[1] honeypot en anglais

[2] défaut d'un système ou, plus généralement, d'un logiciel, utilisé pour s'introduire illégitimement sur une machine

Lire la suite

jeudi 30 novembre 2006

Détection d'intrusion et évaluation de la menace

who are you? Dans le billet Évaluer les risques sur Internet nous avons vu qu'une tentative de connexion arrivait en moyenne toute les 11.7 secondes sur une machine simplement connectée à Internet et ne proposant aucun service[1]. La question qui reste en suspens est bien sûr la nocivité de ces machines. Le logiciel de détection d'intrusion Snort fournit des éléments de réponse.

Notes

[1] pas de serveur web, FTP, partage de fichiers, etc.

Lire la suite

vendredi 3 novembre 2006

Les logiciels anti-virus sont inefficaces

exit Ce n'est pas moi qui l'ai dit, c'est le titre de l'interview récente de Joanna Rutkowska, chercheur en logiciels malveillants qui se dissimulent[1], paru sur www.eweek.com sous Rutkowska: Anti-Virus Software Is Ineffective[2]. Donc elle n'utilise aucun anti-virus, alors comment fait-elle ?

Notes

[1] traduction de « stealth malware »

[2] « Rutkowska: les logiciels anti-virus sont inefficaces

Lire la suite

jeudi 19 octobre 2006

Et maintenant les pilotes du matériel...

PCI card On savait depuis longtemps qu'il faut absolument maintenir son système et ses applications à jour pour fermer le plus de portes aux logiciels malveillants et aux pirates. Seulement on oublie facilement qu'il y a une autre catégorie de logiciels : les pilotes du matériel qui permettent au système de l'utiliser. Leurs failles sont désormais largement exploitables !

Lire la suite

dimanche 1 octobre 2006

Évaluer les risques sur Internet

alerte ! Avec P0f, un peu de python, et surtout l'excellent Matplotlib, on peut facilement faire quelques statistiques intéressantes sur les machines qui tentent de se connecter à la sienne[1]. On sait ainsi qu'il n'y a quasiment que des Windows® assez récents (2000, XP), et qu'ils cherchent principalement à entrer sur des services Microsoft. Avec près de 35000 enregistrements sur plus d'un mois, c'est plus que représentatif !

stats

Notes

[1] voir Mais qui m'attaque ?

Lire la suite

lundi 4 septembre 2006

Mais qui m'attaque ? Épisode II

traces Cette fois-ci, c'est un serveur asiatique sous Linux[1] qui vient voir si je n'ai pas un serveur web sur ma machine. C'est quand même bizarre pour un serveur web d'aller voir si les particuliers ont un site web, d'habitude, ça se passe dans l'autre sens ! Cherchons à en savoir plus sur ce serveur...

Notes

[1] notez quand même, chers utilisateurs de Windows, qu'en 7 jours c'est la 3ème tentative de connexion d'un Linux parmi 5274, les autres étant bien sûr des Windows !

Lire la suite

mercredi 30 août 2006

La sécurité c'est pour tout le monde !

bien verrouiller Grâce à l'outil p0f évoqué dans le billet Mais qui m'attaque ?, j'ai repéré dans les logs d'hier soir un Linux parmi les 200 ou 300 Windows qui se sont pointés... Y aurait-il des pirates sous Linux ?

Lire la suite