Actualités de la sécurité

Une attaque DDoS fait tomber Wikipédia

Avast Security News Team, 13 septembre 2019

Aussi : une opération contre une BEC entraîne 281 arrestations, une nouvelle arnaque de phishing a eu la bonne idée d’utiliser un captcha, et est-ce que la nouvelle tendance des pirates de l’IoT implique la pompe à essence de votre quartier ?

Vendredi dernier, la Fondation Wikimédia a déclaré qu’une attaque malveillante avait déconnecté son populaire site d’informations Wikipedia par intermittence dans plusieurs pays. La Fondation a confirmé à Forbes qu’elle avait été touchée par une énorme attaque DDoS (déni de service distribué). Cette attaque consister à submerger un système de demandes d'accès afin qu'il fonctionne mal ou devienne inaccessible. Les attaques DDoS, généralement effectuées par des réseaux de zombies (botnets), peuvent impliquer des centaines de milliers, parfois des millions, de serveurs détournés auxquels il est ordonné d'envoyer des demandes d'accès simultanées et continues. Forbes a rapporté que Wikipédia avait été déconnecté au Royaume-Uni, en France, en Allemagne, en Italie, aux Pays-Bas, en Pologne et dans des zones du Moyen-Orient.

Craig Newmark Philanthropies, l'organisation à but non lucratif dirigée par le fondateur de Craigslist (Craig Newmark) a promis un don de 2,5 millions de dollars (environ 2,3 millions d’euros) à la Fondation Wikimédia pour l’aider à se remettre de l’attaque. La Fondation déclare que cet argent contribuera, entre autres, à renforcer ses capacités en matière de sécurité des applications, de gestion des risques ou de réponse aux incidents. « Les attaques DDoS sont faciles à réaliser et ne coûte pas cher », a commenté Luis Corrons, évangéliste de la sécurité chez Avast. « L’attaque ne demande que peu d’efforts, et un peu de rancune envers Wikipédia. » Malheureusement, s’en protéger représente un certain coût. L’offre de Craig Newmark est donc bienvenue et nous permettra à tous de continuer à profiter de Wikipédia. »

Statistiques de la semaine

Des chercheurs d’Avast ont découvert que les applications de lampe torche Android demandaient en moyenne 25 autorisations pour accéder à des données ou à des fonctionnalités sur les appareils mobiles, exposant potentiellement les utilisateurs de manière inutile.

Une opération internationale contre une BEC entraîne 281 arrestations

Dans le cadre d’un effort coordonné entre les organismes gouvernementaux des États-Unis et les forces de l’ordre, une opération de 4 mois visant à retracer les auteurs d’une arnaque de compromission de la messagerie en entreprise (BEC, pour « business email compromise ») a entraîné l’arrestation de 281 personnes de diverses nationalités. DarkReading a rapporté que cette opération, baptisée « Opération reWired » a été lancée en mai 2019 et est un projet spécial entre le ministère de la Justice, le département de la Sécurité intérieure, le département du Trésor, l’inspection des services postaux et le département d'État. Les arnaques de type BEC ciblent généralement les employés ayant accès aux finances de l'entreprise. Elles commencent par un e-mail de phishing soi-disant de la part d'une entreprise associée ou d'un collègue qui demande un virement bancaire ou une autre redirection de fonds pour des raisons apparemment légitimes, telles que le paiement d'une facture en retard ou la configuration d'un nouveau compte bancaire pour le dépôt direct de chèques de paie. Au cours de l'opération, les enquêteurs ont constaté que les auteurs de la BEC avaient également volé plus de 250 000 identités et déposé plus de 10 000 déclarations fiscales frauduleuses, ce qui aurait généré plus de 91 millions de dollars (environ 83 millions d’euros). La capture internationale a impliqué 167 suspects au Nigeria, 74 aux États-Unis, 18 en Turquie, 15 au Ghana, ainsi que des suspects en France, en Italie, au Japon, au Kenya, en Malaysie et au Royaume-Uni. Le FBI a rapporté que depuis 2013, les arnaques BEC ont coûté plus de 10 millions de dollars (environ 9 millions d’euros) aux propriétaires d’entreprises. Luis Corrons, évangéliste de la sécurité chez Avast, loue l'opération mais demande aux utilisateurs de rester vigilants. « Les attaques de type BEC sont dangereuses et mettent les entreprises du monde entier en danger. C’est remarquable que les organismes gouvernementaux des États-Unis aient réussi à coordonner cette arrestation globale. Toutefois, les BEC restent une "activité" rentable et avec les nouveaux intervenants qui risquent d’apparaître, il faut prendre ses précautions. »

Citation de la semaine

« La sécurité de l'IA repose toujours sur la sécurité par l'obscurité, c'est-à-dire que le seul moyen de la protéger est de la cacher à son adversaire. Un adversaire peut tromper un programme d’IA à partir du moment où il trouve son algorithme. » – Rajarshi Gupta, chef de l’IA chez Avast, à propos de l’IA antagoniste, un sujet qui sera abordé lors de la conférence CyberSec AI Prague.

Une nouvelle arnaque de phishing utilise un captcha pour détourner une sécurité

Bleeping Computer a rapporté qu’une nouvelle arnaque de phishing (ou « hameçonnage ») avait utilisé le captcha « Je ne suis pas un robot » pour tromper les passerelles de sécurité des e-mails. Selon des chercheurs en cybersécurité, l’arnaque est envoyée dans un e-mail provenant d’un compte nommé « avis.ne.jp. ». L’e-mail indique que la victime a un message vocal et comporte un bouton « Play » (écouter). En cliquant sur ce bouton, la victime est dirigée sur la page du captcha. Après cette étape de vérification humaine, une fausse page de connexion à Microsoft s’affiche. Tous les identifiants que la victime saisit sont alors directement envoyés au malfaiteurs. Certaines passerelles de sécurité des e-mails auraient pu détecter le lien malveillant si le bouton de message vocal avait directement mené au faux site de Microsoft. Mais les escrocs ont contourné ces mécanismes de sécurité en dirigeant le lien vers la page du captcha. 

Peut-on pirater une pompe à essence ?

Oui. Et selon ZDNet, c'est un des sujets de conversations du moment sur les forums clandestins du dark Web. Dans le cadre d'une enquête approfondie sur la cybercriminalité clandestine, des experts en cybersécurité ont surveillé les marchés du dark Web dans plusieurs langues. Ils ont découvert que sur les forums clandestins en russe et en portugais, les utilisateurs partageaient des tutoriels détaillés pour pirater des pompes à essences commerciales connectées à Internet. Le piratage d’une pompe à essence permet diverses actions criminelles : réglage des paramètres internes pour faire baisser le tarif, verrouillage de la pompe pour demander une rançon à son propriétaire, ajout de la pompe à un botnet pour une attaque DDoS. Les chercheurs ont fait remarquer qu’on pouvait aussi imaginer des scénarios potentiellement dangereux pour le corps, comme le réglage de paramètres internes pour que l’essence déborde du réservoir de la voiture.

Les « lectures indispensables » de cette semaine sur le blog d'Avast 

Tout ce que nous avons connecté commercialement à Internet (ordinateurs de bureau, ordinateurs portables, navigateurs, smartphones, applications mobiles, serveurs virtuels, services cloud, etc) a été conçu avec la fonctionnalité et la commodité des utilisateurs pour priorités, au détriment de la sécurité. Maintenant, la cybersécurité nous rattrape. Le journaliste vétéran Byron Acohido expliquant comment nous en sommes arrivés au point où nous en sommes et ce qui nous attend.


Avast est le leader mondial de la cybersécurité, protégeant plusieurs centaines de millions d'utilisateurs à travers le monde. Protégez tous vos appareils avec notre antivirus gratuit primé. Protégez votre confidentialité et chiffrez votre connexion en ligne avec le VPN SecureLine.