Un cheval de Troie diffusé sur PC via Facebook et LinkedIn, Réactions à la publication du 28/11/2016

[Lionel]

Des chercheurs en sécurité ont découvert un ransomware, une variante de Locky qui utilise des failles de Facebook et LinkedIn pour s'installer sur les PC.
Des problèmes sur le code de ces deux sites font qu'il est possible à des images de se télécharger sans accord de l'utilisateur sur leur disque dur.
Le ransomware se cache dans un de ces fichiers, en apparence une image, et s'installera si l'utilisateur a le tort de l'ouvrir.

On connaît la suite, chiffrement intégral des données et demande de rançon pour récupérer le code qui sera autrement détruit.

Facebook a réagi à cette information et rejette la faute sur Chrome et certaines de ses extensions.

On constate surtout que les pirates font maintenant des recherches systématiques sur toutes les failles possibles et exploitables pour diffuser leur "gagne-pain".

Lien vers le billet original

[mimac]

Je suis tres deçu par linkedin car ce site cumule les problemes de securite.
Lors de l'utilisation de la derniere faille sur ce site, les hackers ont recupere les mots de passe utilisateurs pour les reutiliser sur d'autres sites. C'est ce que j'ai vu tres rapidement dans mon cas.

Comment les administrateurs du site linkedin, ont ils pu laisser les mots de passe en clair ou sans encodage avec "grain de sel" ? ... mystère pour un site de cette ampleur.
Donc je suis peu étonné que cela se reproduise...

Ce message a été modifié par mimac - 28 Nov 2016, 08:31.

[Fafnir]

Des chercheurs en sécurité ont découvert un ransomware, une variante de Locky qui utilise des failles de Facebook et LinkedIn pour s'installer sur les PC.
Des problèmes sur le code de ces deux sites fait qu'il est possible à des images de se télécharger sans accord de l'utilisateur sur leur disque dur.
...

Ici ne faut il pas préciser si MacOS ou iOS est dans ce sac ou non? je dis iOS puisque qu'il est vulnérable à la corruption par image.

[Lionel]

J'ai bien dit PC

[kikeo]

Je suis tres deçu par linkedin car ce site cumule les problemes de securite.
Lors de l'utilisation de la derniere faille sur ce site, les hackers ont recupere les mots de passe utilisateurs pour les reutiliser sur d'autres sites. C'est ce que j'ai vu tres rapidement dans mon cas.

Comment les administrateurs du site linkedin, ont ils pu laisser les mots de passe en clair ou sans encodage avec "grain de sel" ? ... mystère pour un site de cette ampleur.
Donc je suis peu étonné que cela se reproduise...

Tu es déçu par Linkedin, mais tu n'es pas capable d'utiliser des mots de passe différents sur chaque site ?

[jakin1950]

je suis maintenant sur PC aussi souvent que Mac OS

J'ai trouvé une manip du registre qui permet d'avoir les memes protections avec Windows defender que la version pro

Je ne télécharge avec le PC que sur les sites de l'éditeur

Pour les mails et internet , j'utilise le mac ou une image ubuntu sur le PC

Je vais supprimer mon compte Facebook que je n'utilise pas, linkedin également

Merci de m'avoir informé du problème

[romuald]

La source initiale pour info : http://blog.checkpoint.com/2016/11/24/imag...malware-images/

[Haargoth]

j'ai bien dit PC

Pas que je veuille faire mon chieur (quoi que...) mais les Mac ne sont-ils pas des PC ? Depuis leur passage au X86, il n'y a aucune différence hardware entre un ordi tournant sous Mac et Windows.
De plus ils sont bien des ordinateurs personnels, donc PC est très approprié pour parler du Mac.
Et par rapport à la news, qu'en est-il des Linux ? Ce sont également des PC.

Je comprends bien que tu fais référence au terme "compatible PC", mais là encore les Mac sont éligibles.

Ce message a été modifié par Haargoth - 28 Nov 2016, 09:00.

[lolo-69]

il n'y a aucune différence hardware entre un ordi tournant sous Mac et Windows.

Bonjour.

[Mode chieur ON]
Allez dire ça à ceux qui désirent des Mac puissants, évolutifs et bien équipés...😈
[Mode chieur OFF]

[mimac]

Je suis tres deçu par linkedin car ce site cumule les problemes de securite.
Lors de l'utilisation de la derniere faille sur ce site, les hackers ont recupere les mots de passe utilisateurs pour les reutiliser sur d'autres sites. C'est ce que j'ai vu tres rapidement dans mon cas.

Comment les administrateurs du site linkedin, ont ils pu laisser les mots de passe en clair ou sans encodage avec "grain de sel" ? ... mystère pour un site de cette ampleur.
Donc je suis peu étonné que cela se reproduise...

Tu es déçu par Linkedin, mais tu n'es pas capable d'utiliser des mots de passe différents sur chaque site ?

OUI je suis capable d'utiliser des mots de passe différents. J'ai indiqué que j'avais vu le problème pas que j'avais été hacké.
Mes mots de passe sont différents sauf pour linkedin et un "pot de miel". C'est ainsi que j'ai pu voir que mon mot de passe Linkedin était utilisé.
Explication du "pot de miel". Mise en place d'un compte gmail bidon et inscription sous linkedin avec ce compte + alerte gmail (sms) si utilisation du compte à partir d'un autre ordinateur.
Je fais aussi cela pour d'autres sites.

Toutefois, même si j'avais utilise le même mot de passe, il est anormal que linkedin stocke le mot de passe ou le mot de passe avec un codage simple.

Ramener les problèmes sur la competence de l'utilisateur est un non sens même pour les incapables

Ce message a été modifié par mimac - 28 Nov 2016, 09:59.

[ekami]

Bel exploit en tous cas.
Reste à savoir à quel niveau se situent les failles exploitées puisque Google affirme que ce n'est pas à cause de Chrome.

[PierreH]

Facebook a réagi à cette information et rejette la faute sur Chrome et certaines de ses extensions.

Chrome sert peut être juste de défouloir à FB sur ce coup, mais ce serait pas la première fois que ce logiciel fout le bordel... Perso c'est non, et je le fais désinstaller de toutes les machines dont le proprio se plaint d'instabilité...

[SartMatt]

Toutefois, même si j'avais utilise le même mot de passe, il est anormal que linkedin stocke le mot de passe ou le mot de passe avec un codage simple.

C'est stocké en SHA-1, qui n'est pas si simple que ça et resiste bien au bruteforce. À condition que le mot de passe soit suffisamment fort, et pas un mot de passe tiré du dictionnaire ou déjà présent dans de nombreuses autres bases de données piratées (à l'époque de la publication des données de Linked In, Troy Hunt avait indiqué que le cassage des mots de passe avait été particulièrement rapide compte tenu de l'algorithme utilisé, ce qui laisse penser que la plupart des hash étaient déjà cassés avant et qu'il s'agissait donc de mots de passe réutilisés).

Il est vrai qu'il aurait été préférable d'utiliser un sel et un algorithme plus moderne, mais rien n'indique que LinkedIn n'a pas changé ça depuis (le vol remonte à 2012). Il n'est pas rare que l'algorithme de hashage évolue au fil du temps (par contre un nouvel algorithme ne peut être appliqué qu'au compte actif, il faut que l'utilisateur se connecte au moins une fois pour pouvoir rehasher son mot de passe).

[Lionel]

Pas que je veuille faire mon chieur (quoi que...) mais les Mac ne sont-ils pas des PC ?

Oui, tu fais ton chieur
OK, les Mac sont aussi des PC au sens propre du terme, mais dans la sémantique courante, surtout ici, les Mac sont des Mac et les PC des PC.

[malloc]

Une petite question pour les experts en sécurité Windows.

Sur ma machine Win7, j'ai eu pas plus tard qu'hier une alerte Avira qui a détecté un Trojan... dans le répertoire cache de firefox.
Sans action de ma part (téléchargement ou autre), le trojan se cachait dans 3 fichiers (dont un nommé vlc-install.exe ).

Je suis épaté: je n'avais que facebook.com et lemonde.fr ouvert. Cela veut dire que l'attaque ne passait que par le téléchargement de ressources de la page web (j'imagine par les pubs pour injecter ledit malware?)... Le tout sans flash activé!

Est-ce un vecteur d'attaque classique?
Je ne vois pas bien l'intérêt dans la mesure où il est impossible d'exécuter ces fichiers sans aller les chercher au fond du répertoire de cache...

[Pascal 77]

Comment les administrateurs du site linkedin, ont ils pu laisser les mots de passe en clair ou sans encodage avec "grain de sel" ? ... mystère pour un site de cette ampleur.
Donc je suis peu étonné que cela se reproduise...

Tu sais, Linkedin, sous ses dehors "pro", c'est en fait un peu "Le Chasseur Français" du net, le site ou on se cherche des partenaires pour parties de jambes en l'air, donc, rien d'étonnant à ce qu'il soit la cible des hackers !

[FolasEnShort]

je suis maintenant sur PC aussi souvent que Mac OS

J'ai trouvé une manip du registre qui permet d'avoir les memes protections avec Windows defender que la version pro

Je ne télécharge avec le PC que sur les sites de l'éditeur

Pour les mails et internet , j'utilise le mac ou une image ubuntu sur le PC

Je vais supprimer mon compte Facebook que je n'utilise pas, linkedin également

Merci de m'avoir informé du problème

Ce serait sympa de la révéler, ta manip.

[marc_os]

j'ai bien dit PC

Pas que je veuille faire mon chieur (quoi que...) mais les Mac ne sont-ils pas des PC ? Depuis leur passage au X86, il n'y a aucune différence hardware entre un ordi tournant sous Mac et Windows.
De plus ils sont bien des ordinateurs personnels, donc PC est très approprié pour parler du Mac.
Et par rapport à la news, qu'en est-il des Linux ? Ce sont également des PC.

Je comprends bien que tu fais référence au terme "compatible PC", mais là encore les Mac sont éligibles.

Ce qu'il fallait entendre, c'est Windows !!!!

[brenda]

Une petite question pour les experts en sécurité Windows.

c'est HS, mais
J'ai une autre question, pour ces mêmes experts :
mon fils c'est acheté cet été un portable PC d'occasion en boutique. PC révisé, contrôlé, testé et garanti, avec Windows 7 pré-installé.
Nous n'avons jamais réussi a activer le Windows 7 avec le code présent sur le PC
En boutique, le technicien c'est connecté à un réseau créé à partir de son tél portable pour activer le compte. et ça a fonctionné du premier coup
Depuis cette activation, il n'y a eu aucune mise à jour de Windows 7, alors que sur le PC de ma femme il y en a régulièrement.
N'y aurait il pas un pb sur le Windows 7 installé ??
Fin du HS

Concernant les mots de passe, c'est compliqué à gérer, à chaque fois qu'on s'enregistre quelque part il faut un identifiant, souvent un mail, et un mdp. Je suis désolé, mais à partir d'un moment je mets les mêmes couples, sinon c'est infernal pour se souvenir de tous ces éléments : site / identifiant / mdp. Surtout pour certains sites sur lesquels on se rend que de manière irrégulière.
J'utilise Firefox, qui en principe, conserve les liens site / identifiant / mdp, mais régulièrement il en perd, donc retour à la case départ, et recherche du cahier sur lequel sont notés ces éléments (la seule solution que j'ai trouvée pour conserver plusieurs années ces infos.)

@+

[lolo-69]

J'ai une autre question, pour ces mêmes experts :
mon fils c'est acheté cet été un portable PC d'occasion en boutique. PC révisé, contrôlé, testé et garanti, avec Windows 7 pré-installé.
Nous n'avons jamais réussi a activer le Windows 7 avec le code présent sur le PC

Pas expert (loin de là!), mais:

-je rechercherais le problème sur le fait que l'identifiant matériel de l'ordi (et la licence Merdosoft) sont peut-être resté affectés à l'utilisateur précédent?...
-Peut-être du matériel a été changé dans cet ordi (Disque dur...).

Ce message a été modifié par lolo-69 - 28 Nov 2016, 13:15.

[pipolo]

Depuis cette activation, il n'y a eu aucune mise à jour de Windows 7, alors que sur le PC de ma femme il y en a régulièrement.
N'y aurait il pas un pb sur le Windows 7 installé ??
Fin du HS

Windows update est devenu particulièrement buggé sur Windows 7, pratiquement tous les PC Win7 que je croise sont touchés. Lamentable que le technicien n'ait pas effectué ces màj avant de livrer la machine.

Concernant les mots de passe, c'est compliqué à gérer [...]

1password, dashlane ou autres gestionnaires de mot de passe ?
Ou le trousseau sous macOS, en combinaison avec safari et le trousseau iCloud.

[SartMatt]

-je rechercherais le problème sur le fait que l'identifiant matériel de l'ordi (et la licence Merdosoft) soit peut-être resté affecté à l'utilisateur précédent?...
-Peut-être du matériel a été changé dans cet ordi (Disque dur...).

L'identifiant matériel est par définition attaché à l'ordinateur, pas à l'utilisateur.

Et de toute façon, ce n'est qu'à partir de Windows 8 qu'une licence de Windows peut être liée à un utilisateur (via un compte en ligne Microsoft), et même comme ça, une licence reste avant tout attachée à l'ordinateur sur lequel elle a été activée.

Et un changement de disque dur ne devrait normalement pas faire perdre la possibilité d'activer la licence (et par expérience, ça ne m'est jamais arrivé pour un changement de disque).


Je parierais plutôt sur un problème de certificat OEM suite à la réinstallation du système. Sur Windows Vista et Windows 7, Microsoft avait un système pour faciliter l'activation en usine sur les ordinateurs de constructeurs. Au lieu d'avoir une clé par licence, à activer unitairement pour chaque licence, il y avait une clé unique pour chaque constructeur (ou en tout cas, un nombre limité de clés par constructeur), et l'activation se faisait en vérifiant des certificats installés au niveau du système et dans le BIOS de la machine.

Avec ce système, en cas de réinstallation manuelle de Windows à partir d'un disque d'installation classique plutôt qu'avec la procédure de restauration fournie par le constructeur de l'ordinateur on se retrouve avec un Windows sans certificat, et la clé OEM n'est du coup pas acceptée.

[Guest_Yoskiz_*]

Hello,

Vous êtes nombreux à utilise Little Snitch pour vous prémunir des malwares, rançonware... ?

[Lionel]

Hello,

Vous êtes nombreux à utilise Little Snitch pour vous prémunir des malwares, rançonware... ?

Je ne vois pas en quoi il bloquerait l'utilisation d'un ransomware. Peut-être juste la demande de rançon.

[mirmidon]

J'ai bien dit PC

Le Mac est un PC (Personal Computer)

Il faut donc préciser : Mac OS, Windows, ou autre…

[mimac]

Hello,

Vous êtes nombreux à utilise Little Snitch pour vous prémunir des malwares, rançonware... ?

Je ne vois pas en quoi il bloquerait l'utilisation d'un ransomware. Peut-être juste la demande de rançon.

+1 cela ne protégera pas d'un ransomware mais cela peu permettre de voir vers quel IP le message, sur l'attaque réussi, part.
Il serait peut être alors possible de récupérer les trames émises et voir si on peut trouver des informations.
Si ce message part avant l'encryptage alors blocage possible aussi.

[jakin1950]

pour ce qui est de la licence de Windows 7
si la licence est activée , vérifier avec winfokeys les coordonnées et les enregistrer au chaud

ensuite chercher sur google windows 7 update et vous trouverez

J'ai perdu ma licence Windows 7 passée en 10 au changement de carte mère
Il faut discuter avec le SAV de Microsoft pour obtenir un numéro de licence numérique

Ce message a été modifié par jakin1950 - 28 Nov 2016, 15:13.

[ekami]

Hello,
Vous êtes nombreux à utilise Little Snitch pour vous prémunir des malwares, rançonware... ?

Ce n'est pas son rôle de prémunir contre quoi que ce soit, mais il fait bien le boulot en ce qui concerne toute tentative de connexion sortante depuis un process ou une application.
Exemple récent: une adresse IP qui voulait se connecter via FTP.
Je ne sais pas si c'était une attaque réussie depuis l'extérieur vers le process FTPD de macOS ou si ce process avait été hacké "de l'intérieur", mais après vérification l'adresse IP était chinoise et j'ai pu bloquer ça tout se duite.
Je pense que nos adresses IP et donc nos "box" internet subissent des attaques régulièrement, donc Little Snitch a toute sa place sur mon Mac.

Ce message a été modifié par ekami - 28 Nov 2016, 16:16.

[mimac]

A essayer peut être: little flocker

[Guest_Yoskiz_*]

Hello,
Vous êtes nombreux à utilise Little Snitch pour vous prémunir des malwares, rançonware... ?

Ce n'est pas son rôle de prémunir contre quoi que ce soit, mais il fait bien le boulot en ce qui concerne toute tentative de connexion sortante depuis un process ou une application.
Exemple récent: une adresse IP qui voulait se connecter via FTP.
Je ne sais pas si c'était une attaque réussie depuis l'extérieur vers le process FTPD de macOS ou si ce process avait été hacké "de l'intérieur", mais après vérification l'adresse IP était chinoise et j'ai pu bloquer ça tout se duite.
Je pense que nos adresses IP et donc nos "box" internet subissent des attaques régulièrement, donc Little Snitch a toute sa place sur mon Mac.

Justement c'est cela qui m'intéresse avec Little Snitch : identifier et intercepter les connexions douteuses et dissuader l'installation de malwarre et autres plaisanterie du genre.

Je me souviens que FlashBack ne s'installait pas sur les machines ayant Little Snitch.

Comment faites-vous pour comprendre les demandes de connexions ?

Ce message a été modifié par Yoskiz - 28 Nov 2016, 17:13.