Actualités de la sécurité

Deux attaques par phishing : le coronavirus et le formulaire W-9

Avast Security News Team, 12 février 2020

Aussi : un malware infecte plus de 500 000 utilisateurs de Bitbucket ; un problème d’appli en Iowa, et bien plus encore

Les arnaques par phishing (hameçonnage) sont connues pour profiter des craintes, des peurs et des tendances du moment. Les dernières en date ont fait croire à des informations urgentes sur le coronavirus ou encore à des formulaires fiscaux. Selon Wired, l’arnaque du coronavirus a pour objet d'e-mail « Spécialiste de Singapour : les mesures de sécurité contre le Corona Virus. » L’e-mail frauduleux provient soi-disant d'un médecin et comporte un lien pour télécharger un PDF avec des conseils de prévention. Mais cliquer sur le lien déclenche l’infection par malware (programme malveillant). 

Autre attaque du même genre : alors que la saison des impôts bat son plein aux États-Unis, le cheval de Troie (trojan) Emotet envoie des e-mails avec des pièces jointes malveillantes, correspondant soi-disant aux formulaires fiscaux W-9 utilisés aux États-unis. Bleeping Computer a rapporté que les e-mails étaient très concis, avec juste une formule de remerciement personnalisée et le message « Voir ci-joint ». Cliquer sur la pièce jointe dirige l’utilisateur vers un modèle Microsoft Web demandant d’« Activer le contenu ». Si l’utilisateur active le contenu, le cheval de troie Emotet infecte son système, et peut alors télécharger plus de malwares et envoyer plus de spams

Luis Corrons, évangéliste de la sécurité chez Avast déclare : « La technique de prédilection pour propager des malwares à toujours reposé sur l’envoi d’e-mails, et ce depuis le siècle dernier. Nos plus anciens lecteurs se rappelleront sûrement du ver macro Melissa (1999) et du ver "I love you" (2000). Ici, la principale différence est que les malwares sont désormais plus difficiles à reconnaître : les vers Melissa et I love you s’auto-répliquaient, alors que maintenant, on a affaire à des chevaux de Troie propagés par des cybercriminels. Si vous n’êtes pas certain de l’identité ou de la fiabilité de l’expéditeur d'un e-mail, ne cliquez jamais sur un lien et n’ouvrez jamais les pièces jointes, même si le message semble légitime. »

Statistiques de la semaine

Fin 2019, le département de la Défense des États-Unis a versé 275 000 dollars US (environ 250 000 euros) à des pirates éthiques (white hat) dans le cadre de son programme bug bounty (chasse aux bugs). 

Un bot de cryptominage trouvé sur le serveur du Département de la Défense des États-Unis

Dans le cadre du programme bug bounty (chasse aux bugs) du Département de la Défense des États-Unis (DOD), un chercheur en sécurité a découvert une voie ouverte permettant d’accéder sans identifiants au système du DOD. Une enquête plus approfondie a révélé qu’un malware de cryptominage avait été imbriqué dans le serveur en 2018 (peut-être même plus tôt) et qu’il exploitait la cryptomonnaie Monero. Suite à ces découvertes, le DOD a sécurisé son serveur. Plus de détails sur ZDNet

Citation de la semaine 

« L’Iran ripostera à n’en plus finir. On peut s’attendre à un certain nombre d'attaques petites et moyennes, puis à une attaque de plus grande ampleur qui sera hautement coordonnée et qui frappera au moment opportun. » - Jeremy Samide, PDG de Stealthcare, à propos de la vengeance la plus probable de l’Iran, lors d'un entretien avec Byron Acohido, un blogueur d’Avast. 

Problèmes lors du caucus de l'Iowa suite au bug d'une application

NBC News a rapporté que les défauts techniques et de conception de l'application pour smartphone servant à collecter et à communiquer les données de près de 1 700 sites de caucus ont considérablement retardé l’annonce des résultats. Le parti démocrate de l'Iowa a évoqué une erreur de codage dans l'application, qui aurait empêché le transfert précis des données de l'application vers le serveur du parti. Les experts qui ont examiné l'application ont déclaré que son code trahissait un travail bâclé. Outre ces problèmes techniques, la ligne d'assistance téléphonique du caucus était en sous-effectif par rapport au volume inhabituellement élevé d’appels.

Des pirates iraniens usurpent l'identité d'un journaliste du New York Times

Une campagne de spear phishing (harponnage) a ciblé d’éminents Iraniens, tels que des journalistes et des militants, avec un e-mail invitant à un entretien avec Farnaz Fassihi, le célèbre journaliste du New York Times. Bleeping Computer a rapporté que cette campagne provenait du groupe de piratage parrainé par l’État iranien, Charming Kitten (aussi connu sous les noms de Phosphorous, APT35 et Ajax Security). Si le destinataire accepte l'interview, il est invité à télécharger des questions à partir d’un lien conçu pour voler ses identifiants de connexion et créer une porte dérobée (backdoor) pour le futur déploiement de malwares. L’e-mail comporte cependant une erreur flagrante : Fassihi déclare écrire pour le Wall Street Journal, son ancien employeur qu'elle a quitté en 2019.

Un malware sur Bitbucket infecte plus de 500 000 appareils

SC Magazine a rapporté que des chercheurs avaient découvert un « potpourri de malwares », distribué dans des versions crackées d'Adobe Photoshop, de Microsoft Office et d'autres logiciels commerciaux stockés sur le service d'hébergement Bitbucket. Les cybercriminels ont piraté les logiciels officiels en y intégrant des malwares polyvalents, puis les ont vendus à tarif réduit. Les experts estiment que plus de 500 000 appareils ont téléchargé les fichiers malveillants. Bitbucket a désactivé les référentiels malveillants quelques heures après avoir pris connaissance du stratagème.

Les ampoules intelligentes Philips Hue peuvent être piratées

C'est un piratage complexe, mais il marche. Tout d'abord, on infecte une ampoule intelligente (ampoule connectée) pour perturber sa luminosité et sa couleur. Ainsi, le propriétaire ne peut pas la réinitialiser ou reconnecter l'ampoule au réseau. Ensuite, le malware dans l'ampoule infecte le hub Hue, d'où il peut ensuite se propager vers le réseau Wi-Fi et les appareils connectés. Mi-janvier, Philips Hue a publié un correctif pour empêcher le hub d’être infecté, le « bridge Hue ». Mais techniquement, les ampoules présentent toujours un risque. Plus de détails sur The Verge

Les « lectures indispensables » de cette semaine sur le blog d'Avast

Quels types d'attaques peuvent déjouer l'IA et comment peut-on s’en protéger ? Sadia Afroz, chercheuse chez Avast, illustre des sabotages de l'IA en situation réelle et explique comment aller de l’avant avec le machine learning. 


Avast est le leader mondial de la cybersécurité, protégeant plusieurs centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre antivirus gratuit et primé.