Un million de comptes Google compromis, Réactions à la publication du 01/12/2016

[Lionel]

Des chercheurs en sécurité de la société Check Point ont découvert qu'un malware baptisé Gooligan s'attaque à des appareils sous Android afin de leur dérober identifiants et mots de passe aux comptes Google.
Pour être précis, ce malware récupère le token (jeton) échangé lors de la connexion et permet ensuite à ses promoteurs d'accéder à tous les services de Google, Gmail, Google Drive.
Il s'en prendrait à Android 4 et 5.

Il y aurait plus d'un million de comptes compromis et chaque jour 13000 s'ajouteraient.

Le seul moyen de se débarrasser de ce malware est de réinstaller sur les appareils touchés un système d'exploitation et seulement après de changer son mot de passe à ces services.

Une page mise en place par Check Point permet de savoir si son compte a été compromis en rentrant son identifiant.

https://gooligan.checkpoint.com




Lien vers le billet original

[Firewire]

Vive le big data !

[labon]

Ouch. Ca va faire mal.
Heureux de n'avoir quasiment plus aucune donnée chez google.
Et en passant ni chez Apple avec Icloud
Cloud privé via Owncloud.
Certainement pas parfait ni inviolable, mais inintéressant pour un Hacker qui n'aurait que mes donnés là ou chez un fournisseur, il en aura des millions.

Ce message a été modifié par labon - 1 Dec 2016, 01:03.

[zero]

Y-a-t-il un autre moyen pour vérifier ? Parce que là, c'est très suspecte comme façon de faire.

[Eagle Kiss]

Y-a-t-il un autre moyen pour vérifier ? Parce que là, c'est très suspecte comme façon de faire.

+ 1

[Nerone]

https://who.is/whois/checkpoint.com/

Registered On 1994-03-29

Registrant Contact Information:
NameDomain Admin
OrganizationCheck Point Software Technologies Ltd.
Address5 Hasolelim St.
CityTel Aviv
Postal Code6789705
CountryIL
Phone+972.36241100

https://goo.gl/maps/BJYDTquK6NF2

https://opencorporates.com/companies?utf8=%...nies&order=

https://www.crunchbase.com/organization/check-point#/entity

Ce message a été modifié par Nerone - 1 Dec 2016, 04:45.

[FardocheX]

Et d'où vient ce malware ?
Comment se fait on contaminer ?


Edit: Selon Tom's Guide, Check point aurait détecté 19 cas de contamination en France et le malware se propagerait par des images SVG, des fichiers JS ou HTA par Facebook/LinkedIn et demandant de cliquer sur un lien de téléchargement pour pouvoir les consulter. Bref, je ne sais pas exactement ce que ça veut dire, mais comme je n'installe jamais d'app douteuses pour consulter des fichiers/images venant de Facebook, je crois que je suis hors de danger.

http://www.tomsguide.fr/actualite/gooligan...roid,54409.html

Ce message a été modifié par FardocheX - 1 Dec 2016, 07:34.

[macadams]

D'où l'avantage des Nexus
Mon 5x en est à la version 7 d'Android
Les mises à jour sont fréquentes et viennent de Google directement
Comme je vois la diversité des versions autour de moi , je me dis que ca doit être dur de toutes les gérer, sans compter les adaptations diverses et variées des constructeurs et fournisseurs d'accès

[yponomeute]

Y-a-t-il un autre moyen pour vérifier ? Parce que là, c'est très suspecte comme façon de faire.

Tu ne saisis que ton adresse email, chose que l'on fait presque naturellement sur n'importe quel formulaire d'inscription sur un site web.
A moins que tu n'ai jamais reçu un seul spam dans ta vie, ton adresse email est déjà largement connue, par les gens "non recommandables".

[smy]

Y-a-t-il un autre moyen pour vérifier ? Parce que là, c'est très suspecte comme façon de faire.

Checkpoint est un des leaders mondiaux dans le domaine des Firewalls. Pas trop de crainte à mon avis chez eux…

[SartMatt]

Y-a-t-il un autre moyen pour vérifier ? Parce que là, c'est très suspecte comme façon de faire.

Tu ne saisis que ton adresse email, chose que l'on fait presque naturellement sur n'importe quel formulaire d'inscription sur un site web.
A moins que tu n'ai jamais reçu un seul spam dans ta vie, ton adresse email est déjà largement connue, par les gens "non recommandables".

Tout a fait.

Un article sur ce sujet, par Troy Hunt (Have I Been Pwned) : https://www.troyhunt.com/im-sorry-but-your-...address-is-not/

[zero]

Tu ne saisis que ton adresse email, chose que l'on fait presque naturellement sur n'importe quel formulaire d'inscription sur un site web.
A moins que tu n'ai jamais reçu un seul spam dans ta vie, ton adresse email est déjà largement connue, par les gens "non recommandables".

Ce n'est pas si anodin que ça. Lorsque tu entres ton adresse, on peut connaitre en même temps ton adresse IP. Pour les petits malin, c'est suffisant pour intercepter tout tes emails sans que tu t'en rendes compte.

Plus on file son adresse comme ça, plus on s'expose aux spams. Même si le site est de "confiance", il peut se faire pirater sa base de donner. Beaucoup de site ne s'en rendent même pas compte ou alors ne communiquent rien. Avant j'étais dans ce cas et les spams aumentaient sans cesse. Depuis que je n'utilise que des adresses temporaires, je n'ai plus aucun spam.

Ce message a été modifié par zero - 1 Dec 2016, 10:15.

[SartMatt]

Lorsque tu entres ton adresse, on peut connaitre en même temps ton adresse IP. Pour les petits malin, c'est suffisant pour intercepter tout tes emails sans que tu t'en rendes compte.

N'importe quoi

Ton IP, c'est une information qui ne vaut strictement rien. Chaque fois que tu te connectes à un serveur sans passer par un proxy, quelque soit la nature du serveur, et quelque soit le protocole de connexion utilisé (tant que c'est un protocole qui repose sur IP, ce qui est le cas dès que tu fait une connexion via internet, les protocoles non IP ne marchent qu'en réseau local), il connaît ton IP. Pas besoin que tu lui donnes ton mail pour qu'il connaisse ton IP. C'est en fait indispensable qu'il connaisse ton IP pour pouvoir communiquer avec toi (encore une fois, sauf dans le cas où tu passes par un proxy, dans ce cas le serveur communique avec le proxy, et le proxy communique avec toi).

Et connaître ton IP et ton adresse mail ne permet en aucun cas d'intercepter tes mails Si c'était le cas, absolument TOUS les sites sur lesquels on s'inscrit avec une adresse mail pourraient intercepter nos mails, tu te rends compte de la faille de sécurité monumentale que ça serait ?

Sauf bien sûr si tu as une IP fixe ET que tu as eu l'idée saugrenue d'utiliser cette IP comme mot de passe de ton compte mail. Là effectivement, connaître ton mail et ton IP permet d'aller lire tes mails

[fcoull]

Tu ne saisis que ton adresse email, chose que l'on fait presque naturellement sur n'importe quel formulaire d'inscription sur un site web.
A moins que tu n'ai jamais reçu un seul spam dans ta vie, ton adresse email est déjà largement connue, par les gens "non recommandables".

Ce n'est pas si anodin que ça. Lorsque tu entres ton adresse, on peut connaitre en même temps ton adresse IP. Pour les petits malin, c'est suffisant pour intercepter tout tes emails sans que tu t'en rendes compte.

Plus on file son adresse comme ça, plus on s'expose aux spams. Même si le site est de "confiance", il peut se faire pirater sa base de donner. Beaucoup de site ne s'en rendent même pas compte ou alors ne communiquent rien. Avant j'étais dans ce cas et les spams aumentaient sans cesse. Depuis que je n'utilise que des adresses temporaires, je n'ai plus aucun spam.

+1 sur la réponse de SmartMatt.

Plus généralement, hors webmail, il faut noter que lorsque tu envoies un mail, ton ip est automatiquement ajouté dans les sources du mail. CQFD

[Tmps]

Ouch. Ca va faire mal.
Heureux de n'avoir quasiment plus aucune donnée chez google.
Et en passant ni chez Apple avec Icloud
Cloud privé via Owncloud.
Certainement pas parfait ni inviolable, mais inintéressant pour un Hacker qui n'aurait que mes donnés là ou chez un fournisseur, il en aura des millions.

Ton Owncloud est hébergé chez toi ou chez un hebérgeur? Si c'est un hébergeur, tu es bien naïf de croire que la situation est différente.

[fcoull]

Ouch. Ca va faire mal.
Heureux de n'avoir quasiment plus aucune donnée chez google.
Et en passant ni chez Apple avec Icloud
Cloud privé via Owncloud.
Certainement pas parfait ni inviolable, mais inintéressant pour un Hacker qui n'aurait que mes donnés là ou chez un fournisseur, il en aura des millions.

Bizarrement, je serais tenté de croire que c'est plus dangereux d'heberger chez soit que d'utiliser un hebergeur comme google/apple avec les meilleurs admins reseaux sur le qui-vive...

Certes tu es une cible moins intéressante pour les gros hackers; mais tkt.. les plus bourrins d'entre eux scan des millions d'ip a la recherche de failles; et si ils en trouvent; ils te foutent des ransomware, leak tes données perso, tes photos.. bref, un vrai massacre. Et avec l’avènement de l'ipv6; ce sera pire; vu que toutes les machines ne seront plus protegées par un routeur mais en frontal.

Ce message a été modifié par fcoull - 1 Dec 2016, 12:23.

[Gavel]

D'où l'avantage des Nexus
Mon 5x en est à la version 7 d'Android
Les mises à jour sont fréquentes et viennent de Google directement

Mouais, mais si tu as un Nexus 4, tu as ces promesses de Google dans le baba...
Pas d'autre moyen de savoir si on est infecté qu'en donnant son mail?

[Xander Cage]

Y-a-t-il un autre moyen pour vérifier ? Parce que là, c'est très suspecte comme façon de faire.

L'art et la manière de récuperer des centaines de millier d'adresses valides pour pouvoir les revendre aux spammeurs ...

[FolasEnShort]

Y-a-t-il un autre moyen pour vérifier ? Parce que là, c'est très suspecte comme façon de faire.

L'art et la manière de récuperer des centaines de millier d'adresses valides pour pouvoir les revendre aux spammeurs ...

[RaelRael]

Y-a-t-il un autre moyen pour vérifier ? Parce que là, c'est très suspecte comme façon de faire.

L'art et la manière de récuperer des centaines de millier d'adresses valides pour pouvoir les revendre aux spammeurs ...

tu es dur ou naïf.

[FolasEnShort]

Ni l'un, ni l'autre. Juste je m'en tape de donner une adresse "juste comme ça pour vérifier".

[SartMatt]

Y-a-t-il un autre moyen pour vérifier ? Parce que là, c'est très suspecte comme façon de faire.

L'art et la manière de récuperer des centaines de millier d'adresses valides pour pouvoir les revendre aux spammeurs ...

Une boîte de sécurité n'a vraiment AUCUN intérêt à faire ça.

D'abord, parce que les adresse mail, ça ne vaut à peu près rien sur le marché. Des listes d'adresses mail valides, ça se vend à même pas un dixième de centime par adresse. Il est tellement facile de collecter des adresses que plus grand monde n'est prêt à payer pour.

Par exemple, la liste des 167 millions (oui oui, 167 millions) de comptes Linked In (donc bien plus que simplement des adresses mail), elle a été mise en vente initialement à 2200$, et très vite ce prix a baissé. Le "propriétaire" de la liste a indiqué en avoir vendu à peine 6 à ce prix là. Et la liste a fini par être disponible intégralement et gratuitement au bout de quelques jours à peine.

2200$ pour 167 millions d'adresses ça fait 760 adresses pour UN petit cent.

Bon, maintenant, comptons très large. Imaginons que Checkpoint arrive avec ce service à constituer une base de 100 millions d'adresses, qu'elle arriverait à vendre 100 fois plus cher que la base de Linked In. On arriverait donc à 13 millions de dollars (il est bien évident que AUCUN spammeur ne payerait réellement une telle somme pour ce genre de base, c'est une hypothèses exagérément large).

Ces 13 millions de dollars, pour Checkpoint c'est de l'argent de poche. C'est 0.8% de son chiffre d'affaire 2015, 1.5% de son bénéfice avant impôt 2015 (les données sont là : https://www.google.com/finance?q=NASDAQ%3ACHKP&fstype=ii ).

Voilà ce que Checkpoint aurait à y gagner. Peanuts.

Maintenant, regardons ce qu'elle a à y perdre.

Déjà, c'est une entreprise spécialisée dans la sécurité, donc revendre un fichier d'adresse mails constitué illégalement, ça lui fait perdre beaucoup de sa crédibilité si ça fini par se savoir. Et quoi perdre largement plus de 1% de son chiffre d'affaire, et pendant largement plus d'un an. Donc déjà en soit, perdre BEAUCOUP plus que ce qu'elle y a gagné.

Mais en plus de ça, il y a quasiment la garantie de se prendre une class action dans la gueule et de devoir indémniser les victimes. Et là, on atteint des montants par victimes qui vont largement dépasser le prix de vente d'une adresse mail au marché noir. Une class action de la part des actionnaires serait également envisageable dans un tel cas, puisque il est certain que la valeur de l'action en prendrait un coup au passage.

Bref, à moins que les dirigeants de la société soient complètements cons, Checkpoint respectera son engagement : les adresses mails collectées sur cette page web seront utilisées uniquement pour le service promis par cette page web. Et ce n'est pas de la naïveté de le penser, c'est juste du bon sens, le rapport bénéfice/risque de l'opération est beaucoup trop faible pour que Checkpoint joue à ça.

[zero]

Pas besoin que tu lui donnes ton mail pour qu'il connaisse ton IP.

Personne n'a dit ça. Encore une fois, tu inventes des choses qu'on ne dit pas. C'est lorsqu'on se connecte à un site que l'IP est connu. Les VPN servent à quoi à ton avis? Donc si on se connecte pour donner son email...

Après tu crois ce que tu veux.

[SartMatt]

Personne n'a dit ça. Encore une fois, tu inventes des choses qu'on ne dit pas. C'est lorsqu'on se connecte à un site que l'IP est connu. Les VPN servent à quoi à ton avis? Donc si on se connecte pour donner son email...

Après tu crois ce que tu veux.

Tu chipotes sur un détail* pour occulter complètement le fond de ma réponse : ton message était du grand n'importe quoi, ça ne les avance strictement à rien d'avoir ton IP et ton adresse mail. Prétendre comme tu le fait qu'avoir ces deux données est suffisant pour intercepter ton courrier, c'est du délire complet. Encore pire que d'habitude...

Absolument TOUS les sites où tu es inscrit ont ton IP et ton mail à chaque fois que tu te connectes dessus avec ton compte. C'est pas pour autant qu'ils peuvent intercepter ton courrier !

Et comme ça a été rappelé plus haut, chaque fois que tu envoies un mail directement depuis ton PC (donc avec un client mail local, genre Apple Mail ou Thunderbird), ton IP est automatiquement enregistrée dans les en-têtes du mail (et c'est le serveur SMTP qui le fait, tu n'as absolument AUCUN moyen de l'en empêcher, sauf en passant par un VPN... et encore, ça restera bien ton adresse IP qu'il recevra, la différence sera juste qu'au lieu d'être l'adresse IP que t'as attribué ton FAI ça sera celle que t'as attribué ton fournisseur de VPN, et que tu partages éventuellement avec d'autres abonnés). Crois-tu que ça serait fait systématiquement si ces deux informations à elles seules étaient suffisantes pour intercepter ton courrier ?

Voilà par exemple un extrait de l'en-tête ajoutée automatiquement par le serveur SMTP de Gmail pour un mail envoyé depuis mon PC avec Thunderbird :

Code

Received: from [192.168.1.2] (LFbn-1-8035-163.w90-112.abo.wanadoo.fr. [90.112.187.163])
             by smtp.googlemail.com with ESMTPSA id wg8sm2812530wjb.42.2016.12.01.16.59.03
             for <[email protected]>
             (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
             Thu, 01 Dec 2016 16:59:03 -0800 (PST)

Les deux IP sur la première ligne, ce sont respectivement l'IP de mon PC principal sur mon réseau local et mon IP publique attribuée par mon FAI, celle que tous les sites auxquels je me connecte connaissent, et ça leur fait une belle jambe...

La réalité, c'est que connaître ton IP est non seulement insuffisant pour intercepter tes mails (il faudrait aussi aller pirater des routeurs d'opérateurs pour leur demander de dupliquer le trafic à destination de ton IP vers une seconde destination), mais c'est en plus non nécessaire (on peut très bien faire sans)...

Tiens, voilà mon IP et un de mes compte mail : 90.112.187.163 matt<sur>100110.fr.
Je n'ai aucune crainte à mettre ça ici. Parce que je sais très bien que ça ne craint strictement rien, absolument personne ne peut intercepter mes mails en ayant juste ces deux informations.


(*et encore une fois, ta formulation était foireuse, puisque tu disais bien que c'est "Lorsque tu entres ton adresse, on peut connaitre en même temps ton adresse IP" ce qui en bon français signifie pas la même chose que "lorsqu'on se connecte au site (donc même si on n'entre pas l'adresse) on peut connaître ton adresse IP", dans ta formulation la saisie de l'adresse semble être un prérequis à la connaissance de l'IP... mais bon, je vais arrêter avec ça, sinon ça va encore faire un débat sans fin où tu vas nous dire que non, en fait tu voulais dire exactement l'opposé de ce que tu as écrit, et que ceux qui ont pas compris sont des couillons...)

[zero]

Prétendre comme tu le fait qu'avoir ces deux données est suffisant pour intercepter ton courrier, c'est du délire complet.

Tu ne l'as pas remarqué mais je n'ai pas contredit le reste, pourtant il y a à dire mais bon, en tout cas, là tu te fous le doigt dans l'oeuil complètement.
Que l'IP soit dans les entêtes, oui (mais pas forcément) et alors ? Je n'envoie pas d'email aux détenteurs du site lorsque je m'inscrits et même quand c'est demandé pour confirmation.
On est jamais 100% à l'abri. Ce n'est pas pour autant que ce n'est pas la peine de limiter la diffusion de son adrs email.

En fait tu prends les gens pour des abruitis et ça te fait un malin plaisir de les contredire sur les forums. Super passe-temps dis donc !

Ce message a été modifié par zero - 2 Dec 2016, 03:22.

[SartMatt]

Que l'IP soit dans les entêtes, oui (mais pas forcément) et alors ? Je n'envoie pas d'email aux détenteurs du site lorsque je m'inscrits et même quand c'est demandé pour confirmation.

Si comme tu le prétends avoir ton adresse mail et ton IP suffit à intercepter tes mails, la présence de l'IP dans l'en-tête du mail implique aussi que toute personne à qui tu envoie un mail peut intercepter tes mails... Ce serait une faille de sécurité monumentale. Donc si les en-têtes conservent les IP, c'est bien que mettre cette information ne présente absolument aucun risque.

Et quand on s'inscrit à un site, même si on ne leur envoie pas de mail, on est allé sur le site, donc ils ont l'IP, et on s'est inscrit, donc ils ont une adresse mail. Donc d'après ta théorie fumeuse, ils peuvent intercepter les mails Là encore, si c'était vrai, ce serait une faille de sécurité monumentale, et ça ferait bien longtemps que les inscription aux sites ne se feraient plus avec une adresse mail...

On est jamais 100% à l'abri. Ce n'est pas pour autant que ce n'est pas la peine de limiter la diffusion de son adrs email.

Bien sûr. Mais dans le cas présent, compte tenu du profil de la société (société côté en bourse, avec un CA qui dépasse le milliard de dollars), de son domaine d'activité (sécurité) et du fait qu'elle précise bien que les mails rentrés sur le site ne seront utilisés que pour ce service, refuser de leur donner par peur qu'ils viennent ensuite intercepter tes mails, ou même simplement envoyer du spam, c'est de la paranoia pure et simple.
Et c'est particulièrement con de colporter ce genre de conseils quand il s'agit d'un service qui permet de vérifier que son compte mail n'a pas été corrompu (et donc pour le coup, que les mails soient vraiment exposés à une interception ou pire...).

Pour faire une analogie, c'est comme si face à un risque avéré de cambriolage tu refusais de faire installer chez toi une porte blindée parce que tu crois que l'installateur de la porte va garder une copie de la clé. Ou si après un rapport non protégé tu refusais de faire un test de dépistage MST au motif que la piqûre pourrait s'infecter. On a vu plus avisé comme conseils.

En fait tu prends les gens pour des abruitis et ça te fait un malin plaisir de les contredire sur les forums. Super passe-temps dis donc !

Non. J'essaye juste d'éviter qu'on leur raconte des conneries grosses comme une maison.

Prétendre que connaître l'adresse mail et l'IP de quelqu'un est suffisant pour intercepter ses mails, c'est une connerie énorme, et ça ne rend service à personne de faire croire ça aux gens. C'est même tout le contraire dans le cas présent, dissuader les gens potentiellement exposés à ce malware d'aller faire le test, c'est peut-être retarder le moment où il se rendront compte qu'ils ont été infectés. Le seul conseil raisonnable qu'on puisse donner dans le cas présent, c'est bel et bien d'aller vérifier son mail sur ce site dès lors qu'on a un appareil sous Android 4 ou 5 (pour les autres c'est inutile, mais ça ne peut pas faire de mal).

On vit dans un monde de paranoia et de désinformations qui gagnerait beaucoup à revenir à un peu plus de bon sens et d'information...

[latitude]

Prétendre que connaître l'adresse mail et l'IP de quelqu'un est suffisant pour intercepter ses mails, c'est une connerie énorme,

mais non, car :

pourtant il y a à dire mais bon,

arguments imparable

[FolasEnShort]

Prétendre que connaître l'adresse mail et l'IP de quelqu'un est suffisant pour intercepter ses mails, c'est une connerie énorme,

mais non, car :

pourtant il y a à dire mais bon,

arguments imparable

Y'aurait à dire mais bon, vu qu'on nous dit pas tout et que pour tout vous dire, j'aurais beaucoup à révéler si je n'étais obligé de taire ce que je sais par soucis de sécurité.

[SartMatt]

Prétendre que connaître l'adresse mail et l'IP de quelqu'un est suffisant pour intercepter ses mails, c'est une connerie énorme,

mais non, car :

pourtant il y a à dire mais bon,

arguments imparable

C'est un descendant caché de Fermat en fait, il avait pas la place pour écrire ce qu'il y avait à dire

[yponomeute]

Je connais un gars qui connais un gars dont le voisin a un cousin dont le facteur a un neveu qui connais un gars qui habite sous une pyramide. Et bien le gars qui habite sous la pyramide avec la moitié de ton adresse IP il peut faire aboyer ton chien toute la nuit et après tu passes une mauvaise journée.
S'il a ton adresse IP complète je te dis pas ce qu'il peut faire.