Actualités de la sécurité

L’ICE sous le feu des projecteurs, un malware épique nommé SimBad, et autres nouvelles de la semaine

Avast Security News Team, 15 mars 2019

L’ICE accusée par l’ACLU d’avoir contourné la loi, découverte de plus de 200 applications Android infectées par un malware, un bot anti-banque encore plus méchant après une mise à jour, et bien plus encore.

L’ICE s’infiltre dans la vie privée des citoyens

Cette semaine, l’Union américaine pour les libertés civiles (American Civil Liberties Union - ACLU) a exprimé de sérieuses inquiétudes à la suite de la révélation récente du contrat de 6,1 millions de dollars que l’Agence américaine chargée de l’immigration et des douanes (Immigration and Customs Enforcement - ICE) a conclu avec Vigilant Solutions, une entreprise spécialisée dans la reconnaissance automatique des plaques d’immatriculation.

Ce contrat permet à l’ICE d’accéder à plus de 5 milliards d’enregistrements de localisation indiquant les coordonnées géographiques, l’heure et la date. Les systèmes de reconnaissance des plaques d’immatriculation (ALPR) stockent des données pendant des années, ce qui permet de retracer les trajets de toutes les voitures photographiées par la machine, sachant que Vigilant Solutions collecte des données dans les 50 zones les plus peuplées des États-Unis. L’ICE a également accès à une base de données contenant plus de 1,5 milliard d’enregistrements qui appartient aux gouvernements locaux.

L’ACLU affirme qu’en transmettant ces données à l’ICE, les gouvernements locaux enfreignent parfois les lois sur la protection de la vie privée, voire celles relatives aux villes sanctuaires. L’organisation exige l’arrêt immédiat de ce partage d’informations.

Le malware SimBad et l’opération Sheep

Les chercheurs en cybersécurité ont identifié cette semaine deux campagnes de malware de grande envergure qui s’attaquent aux appareils Android via des applications infectées. Comptabilisant déjà plus de 250 millions de téléchargements au total, plus de 220 applications Android malveillantes ont été découvertes.

SimBad est la première campagne et comprend plus de 210 applications qui étaient parvenues à tromper le processus de vérification de Google et étaient vendues sur le Google Play Store officiel. Le nom « SimBad » vient du fait que la plupart des applications étaient des jeux de simulation. Au total, elles ont été téléchargées plus de 150 millions de fois. La campagne SimBad emploie plusieurs stratégies pour s’en prendre aux utilisateurs : les adwares, les techniques de phishing et l’exposition via plusieurs applications. Google Play a supprimé les 210 applications.

L’opération Sheep est la seconde campagne et elle a été détectée dans seulement 12 applications, toutes vendues sur des boutiques d’applications tierces chinoises. À elles seules, elles cumulaient plus de 111 millions de téléchargements. L’unique but de l’opération Sheep était de voler les données de contact présentes sur les appareils des utilisateurs. Les applications infectées sont toujours disponibles sur certaines boutiques d’applications tierces.

« Les boutiques d’applications tierces regorgent généralement d’applications malveillantes », confirme Luis Corrons, expert de la sécurité chez Avast. « Contrairement aux boutiques officielles, elles n’effectuent pas de contrôles de sécurité exhaustifs. On y trouve très fréquemment des malwares et il faut les éviter à tout prix. Au minimum, il ne faut rien installer depuis une boutique tierce sans avoir un bon antivirus pour protéger son appareil. »

Ursnif, le cheval de Troie bancaire nouvelle génération

Tel un méchant de bande dessinée, le terrible bot anti-banque Ursnif, dont la première manifestation remonte à un vol de données intervenu en 2007, vient de refaire surface, bardé de technologies de pointe et de fonctionnalités dernier cri des plus dérangeantes. L’une de ces fonctionnalités, la « persistance de dernière minute » (« last minute persistence ») emploie une méthode particulièrement sournoise pour installer la charge utile du malware de la façon la moins susceptible d’être détectée : elle exploite les quelques instants juste avant la mise hors tension de la machine et juste après le démarrage pour exécuter ses commandes.

Une autre amélioration réside dans le mécanisme sophistiqué qu’emploie Ursnif pour entrer sur le système, en utilisant des techniques de phishing pour tromper l’utilisateur de la manière la moins suspecte possible, puis en se servant d’un autre bot anti-banque comme d’une « coquille » pour se cacher jusqu’à ce que la voie soit libre. Si le malware « sent » qu’il est dans une sandbox ou tout autre environnement où il peut être étudié, il ne se déploie pas. De plus, ce bot très avancé est capable de voler bien plus que des informations bancaires : il peut aussi accéder à certains logiciels d’e-mail et navigateurs, ou encore glisser ses doigts virtuels dans les portefeuilles de cryptomonnaie. À l’heure actuelle, les attaques n’ont eu lieu qu’au Japon.

« Les techniques de dissimulation utilisées pour contourner les solutions de sécurité sont très créatives et sûrement très efficaces contre les systèmes qui ne disposent pas de couches de sécurité avancées telles qu’un bouclier comportemental », souligne Luis Corrons. « Cependant, cette attaque montre aussi que c’est l’utilisateur qui constitue le maillon faible de la chaîne. Au final, pour se retrouver avec cet affreux malware sur votre ordinateur, il faut d’abord ouvrir un e-mail malveillant ainsi que le document Word en pièce jointe, puis activer les macros afin de lancer la charge utile du malware. La leçon à retenir : méfiez-vous des pièces jointes et ne cliquez jamais sur des liens figurant dans un e-mail dont vous ne connaissez pas l’expéditeur. Et même si vous avez fait l’erreur d’ouvrir le document, il suffit de ne pas activer les macros qui s’y trouvent pour être protégé. »

Box peut créer des liens dangereux…

En testant la sécurité de Box, un service de partage de fichiers populaire, des chercheurs ont découvert que les fichiers que certains utilisateurs partagent via un lien pouvaient être trouvés en ligne, voire déduits. Box est un service utilisé partout dans le monde qui permet aux utilisateurs de partager des fichiers trop volumineux pour être envoyés par e-mail, ou de mettre en place un référentiel de documents commun, comme Google Drive. Le talon d’Achille de ce système se situe au niveau du lien que les utilisateurs s’envoient par e-mail. Un même lien peut être partagé avec plusieurs utilisateurs et se retrouver dans d’autres documents, devenant ainsi trouvable en ligne par ceux qui le cherchent délibérément. D’un autre côté, c’est grâce à sa facilité d’utilisation que Box a séduit des millions d’utilisateurs. Il est conseillé aux entreprises de soigneusement contrôler les données transitant via des protocoles de partage de fichiers.

Le RaaS réserve quelques surprises

À peine quelques jours après vous avoir signalé Jokeroo, un nouvel exemple de Ransomware-as-a-Service « réservé aux membres », le nouveau « RaaS de la semaine » fait son entrée en scène. Celui-ci s’appelle Yatron et, bien qu’il suive le modèle d’« inscription premium » de Jokeroo, qui consiste à débourser un prix initial élevé pour le malware plutôt d’avoir à reverser un pourcentage, il dispose également de ses propres pouvoirs de « super méchant ».

Pour commencer, il contient du code capable d’exploiter les vulnérabilités EternalBlue et DoublePulsar sur les ordinateurs Windows qui n’ont pas reçu les correctifs appropriés. Il lance aussi un décompte de 72 heures, en menaçant d’effacer tous les fichiers si la rançon n’est pas payée avant que le compteur n’atteigne zéro. Prenant toujours exemple sur Jokeroo, Yatron fait sa promotion sur Twitter pour attirer les clients.


Avast est le leader mondial de la cybersécurité, protégeant des centaines de millions d’utilisateurs dans le monde entier. Protégez tous vos appareils avec notre antivirus gratuit primé. Protégez votre confidentialité et chiffrez votre connexion en ligne avec le VPN SecureLine.

Apprenez-en davantage sur les produits qui protègent votre vie numérique sur avast.com. Obtenez toutes les dernières nouvelles sur les cybermenaces d’aujourd’hui et comment les vaincre sur blog.avast.com.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur Facebook et Twitter.