fév 08

Le 3 janvier 2014, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 150 000 euros à l’encontre de la société GOOGLE Inc., estimant que les règles de confidentialité mises en œuvre par celle-ci depuis le 1er mars 2012 ne sont pas conformes à la loi « informatique et libertés ». Elle enjoint Google de procéder à la publication d’un communiqué relatif à cette décision sur la page d’accueil de Google.fr, sous huit jours à compter de la notification de la décision.

Le 1er mars 2012, Google a décidé de fusionner en une seule politique les différentes règles de confidentialité applicables à une soixantaine de ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Du fait du nombre des services en cause, quasiment tous les internautes français sont concernés par cette décision.

Le «  G29  », groupe des CNIL européennes, a alors mené une analyse de cette politique de confidentialité, concluant que celle-ci n’était pas conforme au cadre juridique européen, et a émis plusieurs recommandations. La société Google Inc. n’ayant pas donné de suite effective à celles-ci, six autorités européennes ont engagé à son encontre des procédures répressives, chacune en ce qui la concerne.

Dans ce contexte, le 3 janvier 2014, la formation restreinte de la CNIL a prononcé à l’encontre de la société GOOGLE Inc. une sanction pécuniaire de 150 000 euros, estimant que celle-ci ne respectait pas plusieurs dispositions de la loi «  informatique et libertés  ».

Dans sa décision, la formation restreinte considère que, les données relatives aux utilisateurs des services de Google en France et traitées par cette société, sont bien des données à caractère personnel. Elle retient également que, contrairement à ce que soutient la société Google Inc., la loi française s’applique aux traitements, par celle-ci, des données personnelles des internautes résidant en France.

Sur le fond, la formation restreinte ne conteste pas la légitimité de l’objectif de simplification poursuivi par la société en fusionnant ses politiques de confidentialité.

Elle considère cependant que les conditions de mise en œuvre de cette politique unique sont contraires aux exigences de la loi :

  • La société n’informe pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles. De ce fait, ils ne peuvent comprendre, ni les finalités de la collecte, celles-ci n’étant pas déterminées comme l’exige la loi, ni l’ampleur des données collectées à travers les différents services. Par conséquent, ils ne sont pas mis en mesure d’exercer leurs droits, notamment d’accès, d’opposition ou d’effacement.
  • La société ne respecte pas les obligations qui lui incombent d’obtenir le consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux.
  • Elle ne fixe pas de durées de conservation pour l’ensemble des données qu’elle traite.
  • Elle s’autorise enfin, sans base légale, à procéder à la combinaison de l’intégralité des données qu’elle collecte sur les utilisateurs à travers l’ensemble de ses services.

Ces conclusions sont similaires à celles précédemment retenues par les autorités néerlandaise et espagnole de protection des données en novembre et décembre 2013, au regard de leur droit national respectif.

La sanction pécuniaire décidée constitue le montant le plus élevé prononcé jusqu’à présent par la formation restreinte. Elle se justifie par le nombre et la gravité des manquements constatés.

Par ailleurs, la formation restreinte a enjoint Google Inc. de procéder à la publication d’un communiqué relatif à cette décision sur le site https://www.google.fr, pendant 48 heures, sous huit jours à compter de la notification de la décision. Cette mesure de publicité s’explique par l’ampleur des données collectées ainsi que par la nécessité d’informer les personnes concernées, qui ne sont pas en mesure d’exercer leurs droits.

Source : http://www.cnil.fr/linstitution/missions/sanctionner/Google/

sept 21

C’est en 2008 qu’est apparu le premier faux antivirus pour Mac OS X et pendant très longtemps, il n’y a eu aucun autre exemplaire de ce type de programme pour Mac. Mais au cours du deuxième trimestre 2011, les spécialistes de la lutte contre les virus ont détecté plusieurs  » logiciels  » portant des noms évocateurs tels que MacDefender, MacSecurity, MacProtector, etc. et diffusés probablement par les mêmes personnes dans le but de gagner illégalement de l’argent sur le compte d’utilisateurs crédules de Mac OS X.

Vu que les utilisateurs de Mac OS X se trouvent principalement dans les pays développés où la diffusion de faux antivirus peut rapporter le plus aux individus malintentionnés, la géographie de la répartition des faux antivirus pour Mac OS X correspond à la géographie de la répartition des programmes similaires sous Windows dont nous avons parlé plus haut.Ces individus malintentionnés ont estimé qu’il était plus judicieux de se lancer sur le nouveau marché des programmes malveillants pour OS X avec de faux antivirus car de tels programmes confondent plus facilement les utilisateurs.

Pour amener l’utilisateur à installer le faux antivirus, les escrocs ont utilisé des sites qui imitent l’analyse d’un ordinateur. Grâce à des méthodes de référencement désapprouvées (référencement noir), ils ont réussi à placer ces sites dans le haut des résultats de recherche sur Google Images pour les recherches les plus souvent lancées à l’époque. Ainsi, un utilisateur qui lançait par exemple une recherche sur  » photo de la mort d’Oussama ben Laden  » se retrouvait sur une page Web où l’analyse de son ordinateur était effectuée. Ensuite, cet utilisateur recevait un message signalant la présence de nombreux problèmes de sécurité et il était invité à installer un logiciel antivirus  » gratuit « . En cas d’acceptation de l’offre, l’utilisateur devait saisir son mot de passe d’administrateur pour l’installation. Une fois installé, ce faux antivirus, à l’instar des versions existantes sous Windows, fonctionnait selon un scénario bien connu : il décelait des milliers de menaces inexistantes et proposait de  » nettoyer  » l’ordinateur. Il faut d’ailleurs signaler que le nombre de signatures dans ces faux antivirus est plusieurs fois supérieur au nombre de programmes malveillants connus à ce jour pour Mac. Afin de pouvoir réaliser la réparation, il fallait absolument acheter la  » version complète  » du faux antivirus pour un prix compris entre 50 et 100 dollars américains. Il faut savoir que dans un cas pareil, l’utilisateur qui achète le logiciel proposé avec sa carte de crédit transmet toutes les données aux individus malintentionnés qui pourront par la suite retirer pratiquement n’importe quelle somme.

Le 31 mai, soit près d’un mois après l’apparition du premier faux antivirus pour Mac détecté en 2011, Apple a diffusé une mise à jour de sécurité pour le système de protection intégré Xprotect d’OS X qui permet de supprimer automatiquement les faux antivirus. Mais à peine quelques heures plus tard, les individus malintentionnés ont diffusé une nouvelle version de leur programme qui a échappé à Xprotect pendant 24 heures. Si les individus malintentionnés ont déjoué si rapidement la protection, c’est parce que Xprotect utilise une technologie très élémentaire pour détecter les programmes malveillants : l’analyse sur la base de signatures. Il suffit donc aux individus malintentionnés de modifier quelques octets du programme pour rendre leur création indétectable. Par la suite, pour contourner encore plus efficacement la protection offerte par Xprotect, les auteurs du virus ont ajouté au mode d’infection un petit téléchargeur détecté par les logiciels de Kaspersky Lab sous le nom de Trojan-Downloader.OSX.FavDonw. En quoi cette méthode est-elle plus efficace ? Xprotect n’analyse que les fichiers qui ont été téléchargés à l’aide du navigateur. Si le faux antivirus est récupéré à l’aide d’un gestionnaire de téléchargements, il n’est absolument pas détecté. Par conséquent, les individus malintentionnés peuvent contourner sans grande difficulté la protection intégrée : il suffit de mettre à jour en permanence le téléchargeur sans modifier considérablement le fichier principal. Qui plus est, ce mode d’attaque ne requiert pas la saisie d’un mot de passe par l’utilisateur lors de l’installation du programme malveillant.

A l’instar des faux antivirus sous Windows, les faux antivirus pour Mac OS sont diffusés à l’aide des tristement célèbres partenariats. La présence de la ligne  » affid  » (abréviation de affiliate ID) dans les fichiers du téléchargeur en témoigne. Ce paramètre permet au propriétaire du partenariat d’identifier le partenaire à payer pour l’installation du faux antivirus.

Nous supposons que la prochaine étape dans le développement des programmes malveillants pour Mac OS X portera sur des outils de dissimulation de l’activité et des téléchargeurs universels pour Mac ainsi que des chevaux de Troie destinés à voler les informations bancaires comme ZeuS ou SpyEye. Le temps est venu pour les utilisateurs de Mac de penser sérieusement à la sécurité de leur système et d’installer un logiciel antivirus.

sept 20

Le deuxième trimestre 2011 aura été marqué par un nombre plus important encore d’attaques contre de grandes sociétés. Parmi les victimes, nous retrouvons des grands noms tels que Sony, Honda, Fox News, Epsilon ou Citibank. Dans la majorité des cas, ce sont les données des clients de ces sociétés qui ont été dérobées.

Les données personnelles d’un grand nombre d’utilisateurs peuvent intéresser aussi bien les cybercriminels (pour réaliser diverses attaques, dont des attaques ciblées) que certaines structures commerciales légitimes. Il semblerait également que les pirates n’ont jamais utilisé les données volées à des fins commerciales. Nous ne disposons d’aucune information faisant état de la vente de ces données au marché noir ou de leur utilisation par des individus malintentionnés. Ce comportement des pirates signifie qu’ils ne recherchaient pas en priorité l’enrichissement rapide à l’aide des données volées.

Pour beaucoup de personnes, l’événement marquant du deuxième trimestre 2011 aura été un des plus grands vols de données personnelles suite aux attaques menées contre des services appartenant à Sony : PlayStation Network et Sony Online Entertainment. Selon les estimations de Sony (http://republicans.energycommerce.house.gov/Media/file/Letters/112th/050411Hirai.pdf), les individus malintentionnés auraient mis la main sur les données de 77 millions de comptes (!) d’utilisateurs des services PSN et Qriocity. Les services de Sony ont été inaccessibles dans le monde entier pendant quelques semaines afin de permettre l’enquête et de mettre à jour les systèmes de protection, ce qui a bien évidemment provoqué l’indignation des clients de la société. Une fois que les services furent rétablis, les utilisateurs durent restaurer leurs comptes en s’identifiant à l’aide, entre autres, de certaines données personnelles qui avaient peut-être été volées lors de l’attaque. Il convient de noter qu’aucun utilisateur n’a signalé de problème lors de la restauration des comptes.

Outres les données personnelles, ces services conservent également les données des cartes de crédit utilisées comme mode de paiement par les clients. Après l’attaque menée contre les services de Sony, les forums en pleine ébullition ébruitaient des rumeurs selon lesquelles les auteurs des attaques avaient également volé les codes secrets cvv2, indispensables à la finalisation des transactions. Toutefois, Sony a déclaré que les pirates pouvaient avoir obtenu uniquement une partie des informations relatives aux cartes de crédit, sans le code cvv2, à savoir le numéro de la carte et sa durée de validité. Ici aussi, rien n’indique que ces informations ont été utilisées ou vendues à des fins malintentionnées.

A ce jour, rien ne permet de se prononcer sur les auteurs de ces attaques et sur les motifs. Tout ce qui vient d’être expliqué peut nous amener à penser que le but premier des pirates n’était pas de gagner de l’argent, mais bien de nuire à la réputation de la société. A ce propos, l’association anglaise des vendeurs de jeux et de consoles a signalé que le nombre de retours et d’échanges d’appareils Sony après les problèmes rencontrés par PSN avait sensiblement augmenté. Comme vous le savez, quelques heures peuvent suffire à détruire une réputation bâtie après de nombreuses années d’efforts.

sept 20

Un parent de DroidDream

Des programmes malveillants ont une fois de plus été détectés à la fin du mois de mai sur Android Market, la boutique officielle d’applications sous Android. A l’instar de ce qui s’était produit au trimestre précédent, il s’agissait principalement de version recompactée d’applications légitimes auxquelles des modules de type cheval de Troie avaient été ajoutés. Au total, ce sont 34 paquets malveillants qui ont été identifiés. Le cheval de Troie ajouté au fichier d’installation était une nouvelle modification de notre ancienne connaissance DroidDream (Backdoor.AndroidOS.Rooter). Afin que le cheval de Troie puisse à nouveau se retrouver sur Android Market, les individus malintentionnés ont du légèrement modifier sa fonction. Le code d’exploitation qui permet au cheval de Troie d’obtenir les privilèges d’administrateur et qui facilitait la détection du paquet malveillant ne se trouvait plus quant à lui dans le fichier d’installation, mais il était téléchargé par le cheval de Troie sur le téléphone infecté.

Porte dérobée KunFu

La deuxième menace pour Android OS qui a connu un développement actif au deuxième trimestre est une porte dérobée détecté par les logiciels de Kaspersky Lab sous le nom de Backdoor.AndroidOS.KunFu. Ce cheval de Troie fonctionne de manière traditionnelle : il se connecte à un serveur dont le nom figure dans le corps du programme. Une fois installé, le cheval de Troie utilise le code d’exploitation connu  » Rage against the cage  » pour obtenir les privilèges d’administrateur. Le cheval de Troie récolte les informations relatives à l’appareil infecté et les envoie à l’individu malintentionné. Il reçoit ensuite des instructions du serveur. Ce programme malveillant peut installer, puis exécuter à l’insu de l’utilisateur des paquets d’applications ou accéder à des pages Web. Ce cheval de Troie se diffuse principalement par diverses boutiques d’applications non officielles. Il vise principalement les utilisateurs chinois. Les serveurs de commande sont également hébergés dans ce pays.

Il convient de signaler que l’auteur de ce cheval de Troie est très intéressé par sa survie et emploie toutes les techniques possibles pour éviter la détection par les logiciels antivirus. En trois mois, ce sont plus de 29 (!) modifications de ce programme malveillant qui ont été détectées. De plus, le code d’exploitation utilisé pour obtenir de plus grands privilèges est chiffré à l’aide d’un algorithme DES. Les dernières versions du cheval de Troie ont été fortement remaniées : la bibliothèque contenant la fonctionnalité principale a été traduite du code Java au code Native. L’auteur du programme voulait visiblement compliquer de la sorte l’analyse du code.

Statistiques menaçantes

A en croire nos statistiques, la croissance du nombre de menaces pour les diverses plateformes mobiles prend de la vitesse.


Nombre de signatures ajoutées pour les nouveaux programmes
malveillants sous diverses plateformes mobiles au T1 et T2 2011

Le nombre d’enregistrements qui détectent les programmes malveillants sous J2ME (programme malveillant pour téléphone portable et smartphone d’entrée de gamme) a doublé au cours du trimestre et le nombre de détections de programmes malveillants pour Android OS a presque triplé.

Le mode actuel selon lequel la majorité des chevaux de Troie pour appareil nomade gagne de l’argent repose sur l’envoi de SMS vers des numéros payants. L’argent est soit retiré du compte de l’utilisateur, soit le propriétaire du téléphone s’abonne sans le savoir à un service payant. Dans ce deuxième cas, plus répandu en Asie, l’utilisateur reçoit un SMS en provenance du service qui confirme l’inscription. Afin que le propriétaire du téléphone ne se doute de rien, ces chevaux de Troie suppriment le message de confirmation de l’inscription dès sa réception. Ainsi, les chevaux de Troie peuvent rester très longtemps sur un appareil et offrir à leur auteur un revenu constant.

Il est inquiétant de constater que les programmes malveillants pour les appareils nomades se propagent non seulement via diverses ressources appartenant à des tiers, mais également via les boutiques d’applications officielles. Il est évident qu’Android Market doit revoir sa politique de diffusion des applications. Mais pour l’instant, les propriétaires des boutiques, qu’elles soient officielles ou non, ne se pressent pas pour changer les règles, ce qui favorise les auteurs de virus. Dans ce contexte, le nombre de personnes désireuses de gagner de l’argent de manière illégale sur le compte des utilisateurs lambda va augmenter, avec un effet sur le nombre de menaces et leur qualité. Pour l’utilisateur lambda, la conclusion est simple : si vous n’avez pas encore installé un logiciel antivirus sur votre appareil nomade, faites-le. Dans le cas contraire, il est fort probable que vous ne serez pas l’unique utilisateur de votre téléphone.

sept 19

Un autre réseau de zombies, baptisé Coreflood, a été démantelé en avril 2011. Sur décision du juge, le ministère de la Justice des Etats-Unis et le FBI ont obtenu accès à cinq serveurs de gestion, ce qui a permis de s’emparer de l’administration du réseau de zombies. Ce réseau de zombies reposait sur le programme malveillant Backdoor.Win32.Afcore et, d’après le FBI, il était composé de 2 000 000 d’ordinateurs au moment de son démantèlement.

Le démantèlement d’un réseau de zombies est une tâche complexe, non seulement du point de vue technique, mais également du point de vue juridique. Après avoir pris les commandes de Coreflood, les autorités judiciaires avaient la possibilité de supprimer d’un seul clic tous les bots sur les ordinateurs infectés. Mais ces mesures auraient pu violer les lois d’autres pays car les ordinateurs infectés par les bots ne se trouvaient pas qu’aux Etats-Unis. Par conséquent, avant de supprimer les bots, il a fallu déterminer l’emplacement des ordinateurs infectés sur la base de l’adresse IP. Ensuite, les autorités judiciaires américaines ont obtenu l’accord des organisations dont les ordinateurs étaient infectés par le bot ainsi qu’une autorisation du tribunal pour la suppression à distance du programme malveillant. Au final, le réseau de zombies Coredlood a perdu une grande partie de ses ressources. Toutefois, comme dans le cas de Rustock, tant que les véritables propriétaires du réseau de zombies ne sont pas arrêtés, il est fort probable qu’ils reprennent leurs activités clandestines et créent un nouveau réseau de zombies.

Le démantèlement de réseaux de zombies décentralisés comme Kido, Hlux et Palevo peut s’avérer encore plus complexe que la fermeture de réseaux de zombies du type Coreflood, Rustock ou Bredolab. La seule manière de fermer de tels réseaux de zombies consiste à lancer une procédure d’interception de l’administration des bots. Dans la pratique, cela implique une modification des programmes malveillants sur les ordinateurs des utilisateurs répartis dans divers pays. A l’heure actuelle, il existe un vide juridique qui empêche les autorités judiciaires et les experts en sécurité informatique d’agir de la sorte.

Il faut espérer que les autorités judiciaires continueront leurs actions pour la fermeture de réseaux de zombies et que les juristes de divers pays pourront, de leur côté, unir leurs efforts afin de créer les conditions indispensables au nettoyage des ordinateurs infectés dans le monde entier.