L’homme qui a freiné la propagation du logiciel malveillant qui a infecté 150 pays a 22 ans


 

Il semble que le logiciel de rançon qui a affecté plusieurs pays dont des hôpitaux, des entreprises et des groupes a freiné sans propagation grâce à un jeune de 22 ans en Angleterre. Le plus insolite, c’est qu’en regardant de quoi il s’agissait, il a fait un geste, pour voir ce qui se passerait. Cependant, il se peut que le nombre d’ordinateurs infectés augmentent lundi.
Nuage

L’homme qui a freiné la propagation du logiciel malveillant qui a infecté 150 pays a 22 ans

 

Abstract image of a virus | Yuri Samoilov via Flickr CC License by

Abstract image of a virus | Yuri Samoilov via Flickr CC License by

Repéré par Mélissa Bounoua

Il se fait désigner uniquement par son pseudo MalwareTech –le nom de son blog et de son compte Twitter @MalwareTechblog. Ce chercheur cybersécurité du sud-ouest de l’Angleterre n’a que 22 ans, c’est pourtant lui qui a arrêté la propagation du logiciel malveillant de type «rançongiciel» –l’ordinateur infecté affiche un message demandant à l’utilisateur une rançon en monnaie virtuelle pour le débloquer.

 Il a 200.000 ordinateurs dans plus de 150 pays. Nommé WanaCrypt0r 2.0, il exploite une faiblesse de Windows et a déjà paralysé le réseau de téléphonie espagnol Telefonica, le service de livraisons FedEx aux États-Unis et une partie des hôpitaux aux Royaume-Uni qui n’ont plus eu accès aux dossiers des patients. Le ministère de l’Intérieur russe déclare avoir 1.000 ordinateurs infectés.

MalwareTech a accidentellement trouvé, avec l’aide d’un ami, Darien Huss, le moyen d’actionner un mécanisme d’autoblocage, en trouvant l’adresse d’un site internet dans le code du logiciel. Le logiciel malveillant tentait de se connecter à ce site pour diffuser. En se rendant compte que le nom de domaine était à vendre, MalwareTech l’a simplement acheté, ce qui a déclenché le mécanisme d’urgence prévu par les créateurs du logiciel pour stopper la propagation.

Voir l’image sur Twitter

Voir l'image sur Twitter

 

Malwaretech travaille pour Kryptos logic, une entreprise basée à Los Angeles spécialisée en renseignements et détaille au Guardian:

«Je déjeunais avec un ami,  je suis rentré à 15h et j’ai vu plusieurs articles sur la NHS [le système de santé anglais] et à propos d’autres institutions touchées», raconte-t-il au Guardian. «J’ai regardé un peu de quoi il retournait,  j’ai vu un modèle de virus derrière et j’ai compris qu’il se connectait à un domaine spécifique, qui n’était pas utilisé. Donc je l’ai acheté, ne sachant pas ce que cela ferait à ce moment-là.»

Il ne se doutait pas en effet qu’il venait de trouver le moyen d’arrêter la progression. Cela lui a coûté 10,69 dollars (9,77 euros).

«Mon but était simplement de surveiller la propagation et voir si on pourrait faire quelque chose plus tard. Mais on a vraiment arrêté la diffusion en achetant le domaine», continue-t-il. «Mais les heures qui ont suivi ont été intenses en émotions. Au départ, quelqu’un a évoqué l’idée que nous avions causé l’infection en achetant le domaine, donc on a un peu flippé jusqu’à ce qu’on réalise que c’était l’inverse et qu’on l’avait bien stoppé.»

Il explique qu’il a trouvé son premier emploi à la sortie du lycée sans véritables qualifications. Il n’est pas allé à l’université, a commencé à écrire des logiciels et un blog sur les nouvelles technologies.

«Ça a toujours été un hobby pour moi, je suis autodidacte. J’ai fini par avoir un job en créant un traqueur d’attaques de bots, la compagnie pour laquelle je travaille l’a remarqué, m’a contacté et m’a demandé si je cherchais un emploi. Cela fait un an et deux mois que j’y travaille.»

MalwareTech était en vacances au moment de l’attaque, raconte-t-il sur son blog, il a finalement bien fait d’écourter sa semaine pour se pencher sur ce logiciel malveillant ce vendredi 12 mai. Si les ordinateurs déjà infectés le sont toujours, cela a évité que le virus se propage à une centaine de milliers d’autres machines, d’après lui.

Alors que la semaine va recommencer, la peur est que beaucoup d’employés allument leur ordinateur qu’ils soient infectés. Le directeur d’Europol, Rob Wainwright, s’en inquiète auprès du Guardian:

«Les chiffres augmentent. J’ai peur qu’ils continuent quand les gens vont se rendre au travail et allumer leur machine lundi matin. 200.000 personnes dans 150 pays sont infectées, selon le dernier bilan. Beaucoup d’entreprises, y compris des grands groupes.»

http://www.slate.fr

Nounours piratés : des millions de messages d’enfants et de parents dérobés


Pourquoi acheter une peluche connectée et lui parler à travers le toutou par le truchement de Smartphone ? Pourquoi pas lui parler par téléphone si le parent est au travail ou toutes autres raisons ? Je veux bien croire qu’on veut être à la mode et être connecté de partout, mais les enfants en ont-ils vraiment besoin ? C’est un risque de plus pour le piratage des objets connectés
Nuage

 

Nounours piratés : des millions de messages d’enfants et de parents dérobés

 

Nounours piratés : des millions de messages d'enfants et de parents dérobés

Les animaux en peluche de CloudPets (page d’accueil du site web de CloudPets)

Parler à son bébé via son doudou, c’est charmant… mais faute de sécurité, c’est la porte ouverte au vol de données et aux demandes de rançon informatique.

 

Thierry Noisette

Comme c’est trognon : des lapins et des ours en peluche connectés, qui permettent aux parents d’envoyer un message vocal à leur enfant qui le reçoit via son jouet, et peut répondre à papa ou maman, ou tout autre proche. Charmante idée en apparence, sauf que, dans le cas des doudous du californien CloudPets, il y avait une faille de sécurité, révèle un spécialiste en sécurité informatique, Troy Hunt.

Résultat, plus de 820 000 comptes utilisateurs étaient exposés, ainsi que 2,2 millions de messages audio enregistrés dont l’URL (l’adresse web du fichier) était facile à retrouver.

Troy Hunt explique que les gens « ne pensaient pas au fait que quand vous vous connectez à l’ours en peluche, la voix de vos enfants se trouve dans un serveur d’Amazon ».

Les jouets de CloudPets sont reliés à des applis mobiles ; l’utilisateur crée un compte chez CloudPets en donnant le nom de son enfant, une adresse e-mail et une photo. Il peut ensuite envoyer ou recevoir des messages par le truchement du joujou.

Voici la vidéo publicitaire de ces jouets :

 

CloudPets, qui a lancé ses jouets connectés (chat, chien, lapin et ours en peluche) en 2015, héberge ses données en ligne, mais cette base de données n’était pas protégée. Hunt a expliqué à CNN que c’est du même ordre qu’avoir un smartphone non verrouillé par un code. Cette base de données était indexée par Shodan, un moteur de recherche d’objets connectés à Internet – qui peut servir à détecter des dispositifs mal sécurisés, comme des caméras, ce que Rue89 a fait en 2014.

L’entreprise n’a rien dit à ses utilisateurs

Selon Hunt, quelqu’un a volé les données du service de CloudPets, puis les a effacées et a demandé à l’entreprise une rançon, en bitcoins. Au lieu de payer les malfaiteurs pour récupérer ces données, CloudPets les a restaurées avec une sauvegarde antérieure. Cependant, la compagnie n’a pas prévenu ses utilisateurs de la fuite (des témoignages rapportés par Hunt montrent même que plusieurs messages d’alerte de clients ont été ignorés pendant des jours), et les mots de passe dérobés sont toujours valides, ont constaté les chercheurs.

CNN relève que cela pourrait être un délit : la loi californienne oblige les entreprises à signaler aux utilisateurs si leurs informations ont été exposées en ligne, et CloudPets et son fabricant Spiral Toys se trouvent en Californie.

Le site Motherboard, alerté par les chercheurs en sécurité, souligne qu’en janvier la base de données en ligne de CloudPets a été effacée au moins deux fois, et que des pirates y ont accédé à plusieurs reprises.

Ce n’est pas le premier piratage de jouets connectés : fin 2015, Troy Hunt avait découvert une faille dans des gadgets Vtech, exposant les données de millions de parents et d’enfants.

Poupées interdites en Allemagne

Il y a quelques jours, l’Allemagne a interdit la vente des poupées Cayla en raison de leur facilité à être piratées, et recommandé aux parents en ayant déjà acheté de les jeter – le distributeur a assuré qu’en suivant le mode d’emploi elle ne permettait pas l’espionnage, et déclaré qu’il irait en justice contre cette décision du régulateur des télécoms.

Peu avant Noël, l’UFC Que Choisir avait alerté contre les lacunes en sécurité et en protection des données de deux jouets, la poupée Cayla et le robot i-Que. L’association de défense des consommateurs a saisi la CNIL (Commission nationale de l’informatique et des libertés) et la DGCCRF.

Motherboard note qu’en attendant que les concepteurs et fabricants d’objets dits « intelligents » de « l’Internet des objets » se décident à en améliorer la sécurité, « si vous êtes un parent qui ne voulez pas que vos messages affectueux à vos enfants soient divulgués en ligne, vous pourriez vouloir un bon vieux nounours à l’ancienne, qui ne soit pas relié à un serveur à distance non sécurisé ».

La CNIL a publié en novembre un rappel sur la sécurité des objets connectés.

http://tempsreel.nouvelobs.com