Rechercher sur ce blogue

Aucun message portant le libellé antivirus. Afficher tous les messages
Aucun message portant le libellé antivirus. Afficher tous les messages

jeudi 29 juillet 2021

John McAfee, le créateur du célèbre antivirus, retrouvé mort en prison

 

 

John McAfee, le créateur du célèbre antivirus, retrouvé mort en prison

John McAfee, le pionnier de la sécurité informatique et créateur du célèbre antivirus éponyme, est décédé. Accusé d’évasion fiscale, il a été retrouvé mort dans sa cellule de prison en Espagne le jour même de l’annonce de son extradition vers les États-Unis.

La dernière page de l’histoire de John McAfee vient d’être tournée. Le créateur de l’un des plus populaires logiciels antivirus de tous les temps a été retrouvé mort dans sa cellule de prison en Espagne. La piste du suicide est privilégiée. Son décès a été annoncé peu de temps après la décision d’un tribunal espagnol d’autoriser son extradition vers les États-Unis.


John McAfee a fondé McAfee Associates en 1987 et il a dirigé l’entreprise jusqu’en 1994 avant de démissionner. Il a été accusé d’évasion fiscale en 2020. Il encourait ainsi une peine de plusieurs décennies aux États-Unis. À presque 76 ans, John McAfee ne serait donc jamais ressorti de prison.

John McAfee était suspect numéro un d’un meurtre et gourou des cryptomonnaies

Tout a commencé en 2012 lorsque le pionnier informatique était recherché par la police de Belize pour le meurtre du ressortissant américain Gregory Viant Faull. Ce dernier se serait plaint des chiens de John McAfee. Ensuite, le créateur du logiciel antivirus avait lancé un blog hébergé en Russie pour raconter la folle histoire de sa cavale. Après 24 jours de recherche, il a finalement été retrouvé et arrêté par les autorités locales au Guatemala. Il est expulsé du pays et rapatrié vers les États-Unis.

En 2019, John McAfee annonce qu’il ne paye plus ses impôts depuis huit ans et quitte les États-Unis. Il est finalement arrêté l’année suivante à l’aéroport international de Barcelone. Il était depuis placé en détention provisoire dans la région de la Catalogne en attendant son extradition vers les États-Unis.

En plus de son évasion fiscale, le milliardaire était aussi devenu un gourou des cryptomonnaies. Il partageait des opérations liées aux cryptomonnaies sur son compte Twitter affirmant à sa communauté qu’il gagnait 2000 dollars par jour. Il dissimulait évidemment ses motivations personnelles. Selon les nombreuses accusations auxquelles il a fait face au cours de sa vie, il aurait dirigé une secte, fabriqué de la drogue et soudoyé des fonctionnaires locaux pour échapper à la prison.

Source. : ComicBook

mardi 9 juin 2020

Intel et Microsoft développent une IA pour voir et détecter les virus en images



Intel et Microsoft développent une IA pour voir et détecter les virus en images

Intel et Microsoft se sont associés pour développer un nouveau type d’antivirus. Basé sur une intelligence artificielle, il assimile les virus à des motifs dans une image en 2D. Les premiers tests du réseau de neurones montrent d’excellents résultats avec un taux de détection de 99,07 %.

Les antivirus modernes ne se contentent pas de détecter les virus et les logiciels malveillants connus. Les méthodes d’analyse comportementale et heuristiques couplées aux bases de signature antivirales permettent d’en repérer de nouvelles formes sans pour autant les avoir rencontrées au préalable. L’obfuscation, le chiffrement et d’autres techniques de camouflage rendent néanmoins les virus de plus en plus difficiles à détecter. Dans la course qui oppose les antivirus aux logiciels malveillants, Intel et Microsoft se sont associés pour développer une nouvelle approche de détection et de classification des logiciels malveillants.


Baptisé STAMINA (STAtic Malware as Image Network Analysis), le projet se base sur une nouvelle technique d’analyse combinant l’apprentissage machine et une technique de représentation de données sous forme d’images. À partir des octets du fichier à analyser, l’algorithme génère un flux de pixels qu’il découpe ensuite en lignes pour former une image carrée, dont les dimensions dépendent de la taille du fichier d’origine. Pour éviter de devoir traiter une image de trop grande taille, elle peut être redimensionnée, une opération qui n’a aucune répercussion sur la détection selon Intel et Microsoft. L’image est ensuite transmise à un réseau de neurones profond pour déterminer s’il y a eu une infection ou pas, mais aussi pour classer les virus par famille.

Antivirus : quelle est la meilleure suite de sécurité ?

L’Intelligence artificielle d’Intel et de Microsoft affiche déjà un taux de détection de 99,07 %

Pour tester leur algorithme, Microsoft et Intel ont généré un jeu d’essai composé de 2,2 millions d’exécutables portables infectés pour couvrir un très large éventail de virus connus. 60 % des échantillons ont été utilisés pour entraîner STAMINA à reconnaître les virus, 20 % pour valider le réseau neuronal, et enfin le reste pour procéder à des tests. Les premiers résultats sont convaincants avec un taux de détection de 99,07 % et un taux de faux positif de 2,58 %.

Antivirus gratuit : quel est le meilleur pour protéger son PC ?

STAMINA n’est pas pour autant prêt à remplacer à lui seul votre antivirus. S’il se révèle rapide et efficace avec des fichiers de petite taille, on ne peut pas en dire autant avec les gros. En l’état, l’intelligence artificielle pourrait donc trouver sa place en complément d’autres méthodes de détection, et se limiter aux fichiers relativement légers. Pourquoi pas dans Windows Defender, d’autant plus qu’avec des millions d’utilisateurs, l’IA pourrait continuer d’apprendre et devenir de plus en plus efficace. 

Microsoft va porter son antivirus sur iOS et Android

Source : ZDNET

vendredi 28 juin 2019

Les Etats-Unis ont installé des malwares sur le réseau électrique russe

Les Etats-Unis ont installé des malwares sur le réseau électrique russe



C’est un secret de Polichinelle, mais il faut parfois le rappeler. Le rôle du Cyber Command étasunien n’est pas seulement défensif. Un article du New York Times nous révèle que l’armée du cyberespace de Washington mène aussi des attaques visant à détruire, ou du moins à incapaciter, les infrastructures de ses adversaires. Le réseau électrique russe, notamment, est victime d’attaques répétées depuis 2012.
S’il est impossible d’évaluer l’étendue des dégâts infligés jusqu’à maintenant par l’USCYBERCOM, les experts en sécurité estiment que les malwares « planqués » dans les systèmes russes seront très utiles si la guerre larvée que se livrent actuellement la Russie et les États-Unis se transforme en conflit ouvert.
Depuis une loi votée en 2018, le Cyber Command américain a les mains libres pour entreprendre tout type d’action dans le cyberespace. Les actions qu’il mène, préventives comme offensives, sont complètement clandestines, et même le président américain n’en est pas informé.


mercredi 22 octobre 2014

Traffers,rançongiciels, iframes et autres cochonneries ?


Comment on attrape un virus informatique


aujourd'hui. En effet, la réponse à cette question est très mouvante et évolue avec le temps. Il y a quelques années encore, beaucoup de virus informatiques se diffusaient sur Internet sous forme de vers, se propageant d'une machine à une autre, mais vraisemblablement parce que de plus en plus d'ordinateurs ne sont plus connectés directement à Internet, ce n'est plus le mode de diffusion privilégié. En effet, derrière des box ADSL, même si vos ordinateurs, tablettes et autres télévisions connectées ne sont pas totalement protégés, ils ne sont pas directement et totalement accessibles depuis l'extérieur comme on pouvait l'être quand on se connectait avec un modem directement connecté à l'ordinateur.

Nous vous proposons de parcourir quelques modes de propagation qui, vous allez le voir, parfois s'entrecroisent. En effet, de la même façon qu'il est parfois difficile de classifier les logiciels malveillants, il est parfois tout aussi difficile de tracer une frontière entre ces différents modes de contamination.

L'installation par l'utilisateur

Ce mode de propagation permet notamment des attaques ciblées, par exemple en envoyant un lien spécifique ou une pièce jointe à une victime donnée. Il repose sur la confiance qu'a la victime dans le contenu qui lui est présenté, soit parce qu'il semble provenir d'une personne de confiance, soit parce que le sujet l'intéresse. Il peut s'agir directement d'un programme informatique qu'on est invité à installer ou qu'on souhaite soi-même installer, ou alors d'un document qui va exploiter une faille du logiciel permettant de l'afficher (PDF, document Word ou même encore une simple image qu'on ouvre dans le logiciel par défaut de son ordinateur, comme ce fut le cas avec le Kodak Image Viewer livré avec certaines versions de Windows). Dans tous les cas, c'est la victime qui clique sur le fichier pour l'ouvrir volontairement. Dans certains cas, il se peut que cette transmission soit réalisée par un ver (voir paragraphe plus bas) qui a contaminé l'ordinateur ou pris le contrôle du compte de réseau social ou de courrier électronique d'un ami. Bien évidement une personne malintentionnée peut aussi profiter d'un mot de passe défaillant ou d'un moment d'inadvertance pour installer un virus sur l'ordinateur de sa victime, soit en accédant physiquement à l'ordinateur, soit en y accédant à distance.

Les supports amovibles

Ici encore, c'est la victime qui est invitée à agir, en connectant un support amovible (souvent une clé USB, comme dans le cas du célèbre Stuxnet) sur son ordinateur. Ces clés vous arrivent de personnes en qui vous faites confiance (collègues de travail, amis, contacts professionnels) ou bien encore sont parfois trouvées dans la rue (cet été la société néerlandaise DSM semble avoir été victime d'une tentative d'attaque réalisée de cette manière). Ici, différentes techniques sont utilisées pour rendre invisible la contamination, celle-ci se réalisant automatiquement, par exemple avec les fonctions de démarrage automatique des systèmes d'exploitation.

... et les partages réseaux

Dans un environnement familial (disque dur partagé sur le réseau local pour mettre en commun documents, musique, films...) et surtout professionnel, ce type de contamination est particulièrement courant. Dans certains cas, on a vu qu'il pouvait être beaucoup plus efficace que les supports amovibles puisqu'on fait un peu plus confiance par défaut à un partage interne ou encore parce que certains environnements professionnels imposent d'exécuter au moment de leur connexion des fichiers de configuration se trouvant dans ces répertoires partagés.

Les vers

Les différents modes de contamination décrits ci-dessus sont parfois comparés aux vers, notamment lorsqu'on parle des espaces partagés, mais ils ont tous la particularité de passer par des étapes intermédiaires avant de contaminer l'ordinateur cible. En effet, on parlera plus facilement de vers pour les propagations qui se font directement d'une machine à une autre, exploitant une faille dans tel ou tel protocole réseau ouvert sur une machine. La plupart des vers exploitent une faille ou un type de protocole spécifique, même si certains ont plusieurs modes de diffusion. Ainsi, le ver Conficker, encore très présent aujourd'hui sur Internet, utilise trois modes de propagation (voir cet article de synthèse par P. Porras et al.): une vulnérabilité d'un des protocoles de communication réseau sous Windows (MS08-067), mais aussi le partage de répertoires sur les réseaux locaux ou encore le partage de supports amovibles. Dans certains cas, ces vers vont exploiter des trous laissés ouverts par d'autres virus informatiques. Enfin, les vers peuvent aussi profiter des plateformes de communication par courrier électronique ou sur les réseaux sociaux (comme le ver Koobface) pour atteindre leurs victimes.

Les plateformes d'exploits

Il s'agit ici d'exploiter des failles dans les différents composants qui servent à afficher des contenus provenant d'Internet, le plus souvent dans les navigateurs (Internet Explorer, Chrome, Firefox, etc.), mais aussi dans les clients de messagerie (Thunderbird, Outlook, etc.) qui affichent le même type de contenus riches. Et il y a plusieurs niveaux d'attaque: directement dans les fonctions du navigateurs, mais aussi dans les extensions les plus courantes qui permettent d'afficher des contenus enrichis (Flash et Java en particulier). Dans certains cas, l'interaction de l'utilisateur est recherchée, pour valider l'installation d'un module complémentaire. Ces plateformes sont hébergées sur des serveurs Web et sont particulièrement recherchées aujourd'hui par les délinquants qui veulent diffuser des logiciels malveillants, parce qu'elles permettent d'atteindre directement le poste de l'utilisateur et se montrent très efficaces avec selon les pays des taux de contamination oscillant autour de 10% des visiteurs. Elles ont des noms guerriers ou en tous cas très commerciaux (Blackhole, Sakura, Sweet orange,... voir la catégorie Plateforme d'exploits sur botnets.fr - @botnets_fr) ; elles sont ainsi un des indicateurs les plus forts de l'évolution de la cybercriminalité vers une véritable activité de services, avec des bannières publicitaires sur les forums où se discutent les marchés illégaux, de véritables services après vente allant jusqu'à rembourser des clients mécontents, et une gestion très avancée des besoins des utilisateurs. Leur démarche est très agressive, comme lorsque le créateur de Blackhole, surnommé Paunch, s'est empressé à la fin du mois d'août d'intégrer la toute dernière vulnérabilité Java ou encore cette semaine avec la sortie d'une version 2 avec toutes sortes de nouvelles fonctionnalités (dont beaucoup ont pour objet de protéger celui qui l'exploite des enquêtes judiciaires ou de la surveillance des chercheurs en sécurité informatique - voir cet article par @Kafeine ou une autre synthèse chez Sophos).

Création de trafic


Exemple de courrier électronique redirigeant vers une plateforme d'exploit en se faisant passer pour une application Facebook (source: Sophos)
Le délinquant qui veut diffuser un logiciel malveillant va donc installer une telle plateforme d'exploit, ou plus vraisemblablement louer les services de groupes qui se sont spécialisés dans leur administration, car en effet il vaut mieux disposer d'un grand nombre de serveurs différents, savoir administrer de façon sécurisée un serveur Web, gérer les mises à jour, etc. Il va ensuite devoir attirer des visiteurs vers la plateforme, sous formes de campagne de spam ou encore en insérant un code particulier dans des pages Web: des bannières publicitaires ou encore des sites Web légitimes, comme évoqué dans cet autre article, pour la diffusion des rançongiciels. Encore ici, ce sont des services criminels qui se sont développés autour de la création de trafic et ils vont louer leurs services à ceux qui veulent créer un botnet. On les appelle parfois traffers. Techniquement, le chargement du code malveillant depuis la plateforme d'exploit est réalisé par l'inclusion d'une fenêtre invisible au sein de la page Web, par des balises de type "iframe" qui ressemblent à ce code:

Directement dans le serveur Web

Et les traffers innovent eux aussi récemment: on a ainsi découvert récemment un module qui s'ajoute dans les serveurs Web de type Apache et injecte dans tout ou partie des pages Web diffusées les balises permettant d'insérer des contenus cachés provenant des plateformes d'exploit. C'est une évolution importante par rapport aux modes de diffusion classique suite à un piratage de serveur Web qui supposent de modifier de nombreux fichiers pour obtenir le même résultat. Ainsi, on pourrait imaginer qu'un serveur mutualisé, utilisé par des centaines de webmestres, intègre automatiquement ces vecteurs d'attaque sans qu'ils ne puissent eux-mêmes voir de modifications dans le code des pages Web ou des scripts PHP ou Javascript qu'ils ont chargé sur le serveur. On pourra lire les articles sur ce module Darkleech d'Unmask parasites, Webmasterworld ou encore Day by day par @it4sec.

Et même directement dans la chaîne de fabrication

L'action récente de l'équipe de lutte contre la cybercriminalité de Microsoft contre le botnet Nitol a permis de mettre en évidence que les logiciels malveillants pourraient parfois être insérés au moment de la fabrication de certains ordinateurs, ici au travers de l'installation de version contrefaites du système d'exploitation Windows. Ce problème n'est pas totalement nouveau, car des erreurs ont parfois été mises en évidence lors du recyclage de disques durs partis en maintenance, ou encore lors du téléchargement de versions contrefaites de systèmes d'exploitation, mais c'est - il me semble - la première fois qu'une diffusion massive de logiciels malveillants est identifiée dans une chaîne de distribution de matériels informatiques.

Comment se protéger ?

Nous ne le répèterons jamais assez : il est important de se tenir informé et d'informer sa famille, ses amis, ses collègues sur les risques. La connaissance de ceux-ci aide à éviter les actions qui favorisent les infections virales. Des forums peuvent vous aider à vous sortir de ces situations (Malekal, CommentCaMarche,...) . Il faut se méfier à tout prix des sources alternatives de diffusion des systèmes d'exploitation ou des logiciels, qu'il s'agisse de contrefaçons ou de plateformes de téléchargement. Bien entendu, ce conseil vaut pour les logiciels commerciaux ou ceux qui sont diffusés sous des licences libres (dans ce dernier cas on recherchera par exemple des miroirs officiels ou de confiance). Tenir à jour son système d'exploitation et tous les logiciels ou modules complémentaires qu'on a installés, particulièrement ceux qui sont les plus ciblés à savoir les outils de navigation Internet ou encore les clients de discussion en ligne. On pourra compléter son navigateur d'extensions de sécurité, comme évoqué sur cette page. Quoi qu'en disent certains enfin, l'installation d'un antivirus est indispensable sur les systèmes d'exploitation grand public. Cet antivirus, gratuit ou payant, doit absolument être maintenu à jour et sera systématiquement utilisé pour vérifier la sécurité d'une clé USB de source extérieure. Enfin, désactivez les fonctions de démarrage automatique (USB ou réseau) si elles ne sont pas indispensables dans votre environnement (voir cet article pour Windows XP, 2000, 2003).

Compléments

  • Un article intéressant par Brett Stone-Gross (Dell SecureWorks) sur la façon dont se diffuse le botnet Gameover (une variante de ZeuS)
REF.: 
[Article reproduit depuis le Blog Criminalités Numériques avec l'aimable autorisation d'Eric Freyssinet]

mercredi 6 novembre 2013

Les antivirus ferment-ils les yeux sur les malwares des Etats ?

Sécurité : Dans une lettre ouverte, une coalition de défenseurs de la vie privée demande aux éditeurs d’antivirus de faire la transparence sur leurs pratiques à l’égard des programmes malveillants développés par les Etats.

Le scandale Prism a révélé la participation des géants du Web à la collecte de données par les services 
de renseignement américains. Mais d’autres acteurs technologiques pourraient-ils eux aussi collaborer avec des Etats, trompant pour cela la confiance de leurs utilisateurs ?
C’est la question que se pose, au sujet des éditeurs d’antivirus, une coalition composée de défenseurs de la vie privée, parmi lesquels le spécialiste de la cryptographie Bruce Schneier. Dansune lettre ouverte, ces derniers demandent ainsi aux fournisseurs de ces solutions de sécurité de faire la transparence sur leurs pratiques passées et présentes.
Un aveu qui rimerait avec suicide commercial
Selon les membres de cette coalition « plusieurs gouvernements prévoient d’accorder ou ont accordé par la loi aux forces de police le droit de s’introduire à distance dans des ordinateurs, tant étrangers que nationaux, ce afin de procéder à une surveillance dans le cadre d’enquête. »
Or pour cela, les forces de l’ordre devront exploiter des vulnérabilités logicielles et installer des programmes malveillants. Ces partisans de la vie privée s’interrogent donc sur le rôle que pourraient jouer les éditeurs d’antivirus dans cette surveillance.
La lettre ouverte demande ainsi aux éditeurs de préciser s'ils ont déjà détecté l'usage de tels logiciels par des gouvernements, s'ils ont déjà été sollicités afin de prévenir toute détection, et si oui quelle a été leur réponse.
Déjà un précédent : Magic Lantern  
En clair, des antivirus ont-ils déjà volontairement fermé les yeux, à la demande ou sous la pression d’Etats. Il est peu probable que des éditeurs américains, compte tenu de l’interdictionqui leur est faite, révèlent de telles pratiques dans le domaine du renseignement.
En revanche, ils pourraient le faire, s’ils le décidaient, en ce qui concerne les écoutes réalisées par les services de police. Pas sûr néanmoins, qu’en termes d’image, ils trouvent un intérêt manifeste à une telle transparence.
La question de la collaboration ou non des antivirus avec des gouvernements ne date pas de l’affaire Prism. D’ailleurs, des fournisseurs d’antivirus américains auraient déjà apporté un tel appui logistique au FBI au sujet du cheval de Troie Magic Lantern. Le nom de McAfee était ainsi cité.
Mais les Etats ont-ils nécessairement l’obligation de travailler de concert avec les antivirus pour assurer le succès de leurs opérations ? Pas forcément. Des exemples concrets comme Stuxnet et Flame, mais aussi des travaux de chercheurs en sécurité comme ceux l'ESEIA en France, démontrent qu’il est tout à fait possible d’échapper, souvent facilement, à toute détection par les antivirus et sans coup de pouce de leur part.