Un ransomware a été distribué via des régies publicitaires, Réactions à la publication du 18/03/2016

[Lionel]

Trendmicro a découvert une nouvelle attaque perpétrée aux Etats-Unis et ayant potentiellement touché des dizaines de milliers d'utilisateurs.
L'attaque s'est passée en deux temps. Elle a commencé par viser des régies publicitaires qui sont devenues des vecteurs d'infection en envoyant du code malveillant à des PC. Ce code, exploitant plusieurs failles de Flash, a permis d'installer sur ces machines un de ces sinon fameux mais tout du moins de plus en plus généralisé ransomwares.
Pour rappel, ces logiciels vont chiffrer l'intégralité des données d'une machine et exiger une rançon pour récupérer le mot de passe permettant d'y accéder.

A part désactiver Flash, il est difficile de se protéger de ce genre d'attaque, d'autant plus que la simple visite d'un site vecteur suffit à lancer l'installation du code malveillant.

Lien vers le billet original

[rimshot]

En meme temps qui a flash sur son ordi de nos jours???

[divoli]

En meme temps qui a flash sur son ordi de nos jours???

Sans doute énormément de monde, étant donné qu'énormément de sites continuent à l'utiliser.

[quietude]

de fait, les bloqueurs de pub ont un avantage.

[No6]

En meme temps qui a flash sur son ordi de nos jours???

attention, il y a des Flash Fan Boys sur le forum

[lolo-69]

En meme temps qui a flash sur son ordi de nos jours???

attention, il y a des Flash Fan Boys sur le forum

Bonjour.
Un peu de nuance, S.V.P.
Je suis le premier à penser que ce truc est "un mal nécessaire" et que s'il pouvait être définitivement remplacé, ce serait une bénédiction. Malheureusement, s'en priver, c' est aussi se priver d'une part du contenu internet.
Je l'utilise donc, avec certaines précautions (bloqueurs de Flash avec activation "à la demande" en fonction des sites visités).
Si ça me fait entrer dans la "case" (comme on aime bien mettre dans des cases, ranger, classifier) des Flash fan boys, ma foi, j'assume...

Ce message a été modifié par lolo-69 - 18 Mar 2016, 05:24.

[djdoxy]

Dans le registre de la diffusion des logiciels malveillants, sur PC l'antivirus AVIRA veut m'empecher d'acceder aux forums de macbidouille, aumotif que ce site en diffuse:

Voilà le message que je suis sur forum.macbidouille.com

Avira Avira vous empêche d'ouvrir un site Internet potentiellement nuisible.
Avertissement ! Ce site peut endommager votre système. Il a été bloqué pour votre sécurité.
Ce site Internet a été identifié comme site diffusant des logiciels malveillants. Les logiciels malveillants contaminent votre ordinateur et peuvent comporter des virus, vers, logiciels espions et chevaux de Troie.
Quitter ! Autres options

En revanche, rien sur www.macbidouille.com

[Mayeric]

@Nikon,
Ça devient quand même rare, non ? Ça fait deux ans et plus que je n'ai plus flash d'installé et je peux visiter tout mes sites, utiliser internet normalement. Les rares fois ou ma copines veut jouer à un jeu flash ou regarder une vidéo sur un site moisi, ben elle s'en passe, sur mes macs tout du moins. Quels genre de site nécessite d'avoir flash ? J'ai l'impression que ce n'est plus vrai du tout la domination de flash, sauf pour les jeux mais bon là. Vraiment ca m'intéresse et c'est sans prétention aucune, car pour moi un site qui me jette à cause de flash et qui ne propose pas d'html5, c'est mort, blackliste et à jamais.

[ABACA]

En meme temps qui a flash sur son ordi de nos jours???

j'en ai aussi un dans mon iPhone, dois-je le supprimer? mais dans ce cas certaines photos seront sombres.

Ce message a été modifié par ABACA - 18 Mar 2016, 08:58.

[Me_G]

Bonjour,

Je suis tombé "par hasard" sur la mise à jour 2.90 du logiciel de torrent transmission, qui était également, pendant une période (normalement finie) infectée par un ransomware elle aussi. Etant donné la popularité du logiciel sur mac et le peu de mise à jour, certains sont peut être infectés... Il semble que la mise à jour 2.92 règle le problème.

Je n'ai trouvé des infos la dessus que sur reddit (r/torrent).

[Tmps]

A tous ceux qui crient qu'utiliser Flash Player, actuellement, est un non sens, vous n'avez pas tort, sur le fond.
Par contre, essayez un peu, si c'est possible pour vous, de comprendre qu'une part importante des utilisateurs d'un ordinateur sont des personnes qui n'y connaissent rien et ne sont pas intéressées d'en savoir plus. Alors, oui, peut-être, tant pis pour elles si cela merde à cause de Flash et à force de refuser d'apprendre à maîtriser un ordinateur. Pour ma part, je blâme les éditeurs et les constructeurs de produits informatiques. Car quoi qu'on dise, il faut commencer à être sérieusement calé pour utiliser les produits informatiques actuels. Tout est développé par des "geeks" qui vivent dans un autre monde que celui de beaucoup d'utilisateurs.
Au lieu de prendre ceux qui installent encore et toujours Flash Player pour des fous, allez jeter la pierre sur Adobe, qui est incapable d'optimiser et sécurisé son appli, et sur les développeurs de site web qui continuent à utiliser cette technologie tellement décriée.

Bonjour,

Je suis tombé "par hasard" sur la mise à jour 2.90 du logiciel de torrent transmission, qui était également, pendant une période (normalement finie) infectée par un ransomware elle aussi. Etant donné la popularité du logiciel sur mac et le peu de mise à jour, certains sont peut être infectés... Il semble que la mise à jour 2.92 règle le problème.

Je n'ai trouvé des infos la dessus que sur reddit (r/torrent).

Essaie, dans un moteur de recherche, de mettre les mots clés suivants: Macbidouille Tansmission

Ce message a été modifié par Macbox - 18 Mar 2016, 10:01.

[Homer Simpson]

De l'intérêt supplémentaire de bloquer les pubs !

Flash je m'en passe très bien au boulot.
A la maison je ne peux pas à cause de ça : http://www.zouzous.fr/enfants/videos

Ce message a été modifié par Homer Simpson - 18 Mar 2016, 10:34.

[yponomeute]

A tous ceux qui crient qu'utiliser Flash Player, actuellement, est un non sens, vous n'avez pas tort, sur le fond.
Par contre, essayez un peu, si c'est possible pour vous, de comprendre qu'une part importante des utilisateurs d'un ordinateur sont des personnes qui n'y connaissent rien et ne sont pas intéressées d'en savoir plus. Alors, oui, peut-être, tant pis pour elles si cela merde à cause de Flash et à force de refuser d'apprendre à maîtriser un ordinateur. Pour ma part, je blâme les éditeurs et les constructeurs de produits informatiques. Car quoi qu'on dise, il faut commencer à être sérieusement calé pour utiliser les produits informatiques actuels. Tout est développé par des "geeks" qui vivent dans un autre monde que celui de beaucoup d'utilisateurs.
Au lieu de prendre ceux qui installent encore et toujours Flash Player pour des fous, allez jeter la pierre sur Adobe, qui est incapable d'optimiser et sécurisé son appli, et sur les développeurs de site web qui continuent à utiliser cette technologie tellement décriée.

Non !

Les seuls coupables ce sont les criminels qui distribuent les ransomware pour tenter de rançonner les utilisateurs. Tous les autres ce sont des victimes, que ce soit l'éditeur d'un soft ou l'utilisateur final.

Si un type balance des clous sur la route et qu'en roulant dessus en voiture tu crèves un pneu, c'est qui le coupable ? Le fabricant de pneus ou le type qui jette les clous ?

[Licorne31]

Bof...

Après avoir passé quelques mois à laisser cohabiter un vieux Firefox (pour Flash) et un TenFourFox récent (mais sans Flash) sur mes machines, j'ai constaté que je ne lançais que trés rarement FireFox.
Du coup, je n'ai plus que TenFourFox (sans flash), et Safari (sans Flash non plus... parfois, il est utile d'avoir deux navigateurs, un pour aller chercher comment décoincer l'autre!).

AdBlock, pas de Flash, aucun soucis, sauf avec certains sites qui me demandent de désactiver AdBlock... et qui me prouvent alors que j'ai mieux à faire que de les visiter pour jouer au "Whack-a-Mole" avec des pop-ups à répétition.

[Ze Clubbeur]

Non !

Les seuls coupables ce sont les criminels qui distribuent les ransomware pour tenter de rançonner les utilisateurs. Tous les autres ce sont des victimes, que ce soit l'éditeur d'un soft ou l'utilisateur final.

Si un type balance des clous sur la route et qu'en roulant dessus en voiture tu crèves un pneu, c'est qui le coupable ? Le fabricant de pneus ou le type qui jette les clous ?

C'est vrai, mais ton argumentation est fausse.
Un pneu peut se crever, par définition.
Quand tu développes un logiciels et que tu le vantes comme un logiciel-de-la-mort-qui-tue-et-est-le-plus-fiable-au-monde, tu ne t'attends pas qu'il y ait plus de trous dedans que dans une passoire... C'est pourtant le cas avec flash, qui était censé être une révolution, un truc super, multiplateformes rapide, fiable... Résultat, aujourd'hui, c'est une plaie, lente, énergivore et bourré de failles toutes plus grosses les unes que les autres.
Au final, si les coupables premiers sont les criminels qui distribuent les ransomwares, il y a quand même une responsabilité dans l'éditeur de logiciel qui a décidé d'utiliser cette technologie, mais également le créateur de cette technologie qui, par son laxisme, a fermé les yeux sur des failles de sécurité.

[captaindid]

Non !

Les seuls coupables ce sont les criminels qui distribuent les ransomware pour tenter de rançonner les utilisateurs. Tous les autres ce sont des victimes, que ce soit l'éditeur d'un soft ou l'utilisateur final.

Si un type balance des clous sur la route et qu'en roulant dessus en voiture tu crèves un pneu, c'est qui le coupable ? Le fabricant de pneus ou le type qui jette les clous ?

d'après ce que tu dis, ce n'est pas grave si les éditeurs proposent des logiciels ou OS pleins de failles de sécurité : je ne suis pas d'accord
l"éditeur d'un logiciel foireux n'est pas la victime. seul le malheureux utilisateur l'est, car in fine c'est lui qui perd ses données, doit payer une rançon ...
l'éditeur peut éventuellement voir son image de marque se dégrader, mais souvent sans grandes conséquences (ex : microsoft)
quand un éditeur refuse de corriger des failles avérées, connues et utilisées par des malwares ou autres attaques, il est aussi coupable.

[yponomeute]

Non !

Les seuls coupables ce sont les criminels qui distribuent les ransomware pour tenter de rançonner les utilisateurs. Tous les autres ce sont des victimes, que ce soit l'éditeur d'un soft ou l'utilisateur final.

Si un type balance des clous sur la route et qu'en roulant dessus en voiture tu crèves un pneu, c'est qui le coupable ? Le fabricant de pneus ou le type qui jette les clous ?

d'après ce que tu dis, ce n'est pas grave si les éditeurs proposent des logiciels ou OS pleins de failles de sécurité : je ne suis pas d'accord

Que tu ne sois pas d'accord avec ta propre et fausse interprétation (volontaire ?) de mes écrits je le conçois parfaitement. C'est même la base d'une réflexion censée de s’apercevoir qu'on se trompe.

Je dis simplement que le coupable d'une infection d'un ordinateur par un ransomware c'est celui qui est à l'origine du ransomware, quels que soient les moyens utilisés pour le diffuser (faille logicielle, email etc). Il n'y a pas d'autre coupable de cet acte criminel. Qu'un éditeur n'arrive pas à sécuriser son logiciel est un autre problème, mais cela ne le rend en rien responsable d'un acte criminel perpétré par un tiers.

Je sais bien que dans notre société moderne il est d'usage que ce soit les victimes qui soient traitées comme des coupables, et que les coupables ont leur trouve toute sortes d'excuses. Mais je refuse de me plier à cette mode à la con (et je reste poli).

Ce message a été modifié par yponomeute - 18 Mar 2016, 16:41.

[divoli]

quand un éditeur refuse de corriger des failles avérées, connues et utilisées par des malwares ou autres attaques, il est aussi coupable.

Parce que dans le cas présent , c'était le cas (des failles avérées et connues) ? Je pose d'autant plus la question qu'ayant flash sur mon ordi, j'ai l'impression qu'il ne se passe pas une semaine sans qu'Adobe ne mette à jour Flash Player en corrigeant à chaque fois des dizaines de failles.

Et je le répète, les sites utilisant Flash sont encore très répandus, malheureusement (cette technologie étant une horreur en terme de ressources et de sécurité). Et il suffit que parmi tous les sites que Mme Michu consulte et auxquels elle tient, il n'y en ai ne serait-ce qu'un qui nécessite Flash, hé bien Mme Michu va l'installer (et ça je le constate régulièrement autour de moi).
Dire ou insinuer que les sites nécessitant Flash sont devenus rares, ben quand ce sera vraiment le cas ce genre de news n'aura plus lieu d'être, les malfaisants trouveront une autre porte d'entrée.

Ce message a été modifié par divoli - 18 Mar 2016, 19:10.

[Tmps]

...Si un type balance des clous sur la route et qu'en roulant dessus en voiture tu crèves un pneu, c'est qui le coupable ? Le fabricant de pneus ou le type qui jette les clous ?

Je vois ce que tu veux dire, ma ta comparaison n'est pas pertinente. Si on la replace au niveau informatique, c'est comme enfoncer un clou dans le cordon électrique de l'alimentation d'un ordinateur. C'est imparable, sauf à faire un cordon hyper blindé qui coûtera plus cher que l'ordinateur. Là, c'est évident, tu vas t'en prendra au premier gars que tu croiseras et qui a un marteau en main.

Flash, ce serait plus comme installer, pour tes enfants, des écrans vidéos dans la voiture, pour te rendre compte plus tard, qu'à partir de ces écrans, un code malveillant parviendrait à prendre le contrôle de ton moteur. Tu vas continuer à pester seulement sur le gars qui a écrit le code? J'en doute vraiment fort.

Autre exemple: on parvient à prouver qu'un modèle de cadenas soi-disant de haute sécurité peut être ouvert en 1 seconde avec un trombone. La presse en parle, cela fait le tour du monde. Ne viens pas me dire que tu ne vas trouver criminelle l'attitude d'un vendeur qui continue, en toute connaissance de cause, à vendre ce type de cadenas???

Depuis le temps qu'on sait que Flash Player est une réelle plaie informatique, on ne peut qu'en arriver à se dire que l'attitude d'Adobe tient plus de la complicité envers les programmeurs de logiciels malveillants, qu'autre chose.

Ce message a été modifié par Macbox - 18 Mar 2016, 18:53.

[FolasEnShort]

"Flash Blocker" et le tour est joué.

[yponomeute]

[...]

Relis ce fil de discussion et tous les fils de discussion qui parlent d'intrusions criminelles sur des ordinateurs. Amuses toi à compter combien de fois ce sont les criminels auteurs de ces actes qui sont mis en cause et combien de fois c'est Flash qui est mis en cause.
Et tu verras combien l'auteur de l'acte criminel est oublié, et que le troupeau s'extasie de pouvoir crier haro sur Flash.

[Sgt.Pepper]

Certains ici ont la langue bien pendue.

De quoi parlent-ils ? Du logiciel Flash (remplacé par Animate), de Flash player (lecteur), de Shockwave (plug-in mort), du plug-in Flash Player (encore en vie), du format swf (SmallWebFormat) ?

[yponomeute]

On parle pas de Flash Gordon ?

[Sgt.Pepper]

L'anti yeux rouges ?

[FolasEnShort]

On parle pas de Flash Gordon ?

Non, ni de Flash Gorgeon le pilier de bar.

[Sgt.Pepper]

Y'a aussi Flash-Ball, qui en a de grosses.

[yponomeute]

L'anti yeux rouges ?

Encore de la publicité mensongère, mes lapins blancs ont les yeux rouges sur toutes les photos.

[Tmps]

[...]

Relis ce fil de discussion et tous les fils de discussion qui parlent d'intrusions criminelles sur des ordinateurs. Amuses toi à compter combien de fois ce sont les criminels auteurs de ces actes qui sont mis en cause et combien de fois c'est Flash qui est mis en cause.
Et tu verras combien l'auteur de l'acte criminel est oublié, et que le troupeau s'extasie de pouvoir crier haro sur Flash.

Cela ne change en rien mon opinion Je ne peux dédouaner Adobe et les développeurs, qui continuent à utiliser cette technologie, de toute responsabilité sachant qu'ils sont très bien au courant que c'est une source importante de vulnérabilités régulièrement utilisées par les "criminels".

Et personnellement, je m'en fous de crier haro sur Flash ou pas. J'ai juste du mal à accepter que, pour beaucoup d'utilisateurs néophytes, il soit nécessaire d'installer un logiciel qui transforme la sécurité d'un ordinateur en passoire.

Si pour toi, cela ne pose aucun problème, ce n'est pas grave. Cela ne va pas changer ma vie

[yponomeute]

[...]

Relis ce fil de discussion et tous les fils de discussion qui parlent d'intrusions criminelles sur des ordinateurs. Amuses toi à compter combien de fois ce sont les criminels auteurs de ces actes qui sont mis en cause et combien de fois c'est Flash qui est mis en cause.
Et tu verras combien l'auteur de l'acte criminel est oublié, et que le troupeau s'extasie de pouvoir crier haro sur Flash.

Cela ne change en rien mon opinion Je ne peux dédouaner Adobe et les développeurs, qui continuent à utiliser cette technologie, de toute responsabilité sachant qu'ils sont très bien au courant que c'est une source importante de vulnérabilités régulièrement utilisées par les "criminels".

Les régies publicitaires sont au courant autant que toi que de cet état de fait. Et ceux qui mettent des publicités sur leur sites aussi. Donc la régie publicitaire et tous ceux qui utilisent un modèle économique basé sur la pub portent la même responsabilité que Adobe dans cette histoire. Et celui qui utilise son ordinateur est tout autant responsable, parce que s'il le laissait éteint il ne risquerait rien.
Je ne fais que développer ton raisonnement.

A part ça le criminel est content, ce n'est pas contre lui qu'on focalise la lutte mais contre Adobe. Cherchez l'erreur.

[scoch]

Le plugin Flash Player est installé sur un nombre astronomique de PC. Adobe publie sans cesse des mises à jour de sécurité et encourage publiquement les éditeurs de contenu publicitaire à passer à HTML5. Pour passer à HTML5, les éditeurs peuvent utiliser le nouvel Adobe Animate CC (Flash Pro rebadgé).

Les régies publicitaires sont capables de fournir du contenu au format HTML5 mais le fournissent au format Flash si possible, sans doute pour bénéficier des LSO (Local Shared Object), des cookies de Flash Player. Ou alors Flash c'est mieux en terme de compatibilité, de retour sur investissement ?

La régie de Google a déjà annoncé qu'elle ne supporterait bientôt plus le format .SWF du plugin Flash Player : 30 juin, fin de l'ajout de nouvelles pubs au format Flash et 2 janvier 2017, fin de l'affichage des pubs Flash.

Ce sera le moment de publier un post « Flash est mort ! ». Ah non… Même pas Il faudra attendre que Google n'intègre plus Flash Player à Chrome, ni Microsoft à Edge, que Firefox n'autorise pas l'installation de ce greffon. Sans ces retraits des navigateurs, Adobe est contrainte de maintenir en vie Flash Player.

S'il fallait trouver un autre coupable que le commanditaire du ransomware, ce serait d'abord les éditeurs de navigateurs qui autorisent l'installation d'un logiciel moribond.

[castor74]

Mouais. On se trompe facilement de coupable, dans cette histoire. Quand je reçois un putain de spam, je ne peste pas contre mon FAI qui m'a relayé le message, mais bien contre le connard qui n'a rien d'autre à foutre que de m'inonder de trucs que je n'ai pas demandés!!!

[macmacmac]

Hello,

[…] ces logiciels vont chiffrer l'intégralité des données d'une machine […]

Les disque secondaires dans la machine également?
Et un disque externe connecté?

Question peut-être bête, mais je ne me rends pas compte si ça va chiffrer la machine et le disque système en service uniquement ou s'étendre à tous les volumes présents?

Merci.

Macmacmac

Ce message a été modifié par macmacmac - 19 Mar 2016, 09:16.

[No6]

@ macmacmac
Les Ransonwares cryptent tout ce qu'ils trouvent, disques secondaires, externes.
Il peuvent aussi attendre gentiment que tu branche une clé usb pour la crypter elle aussi.

Le Problème d'Adobe et de son greffon, c'est surtout sa technologie. Même si de grandes parties du greffon ont été réécrites, il reste battit sur une technologie des année 80 ou les problèmes de réseaux et de sécurité n'existaient pas, et ou les logiciels pouvaient bidouiller comme ils le veule dans toutes les couches des systèmes d'exploitation, et le faisaient surtout pour des raisons de performances.

Bref ce greffon est un dinosaure, ou son clone.

Le seul moyen de le voir disparaître est de refuser tout compromis avec sont utilisation. Si les consommateurs ne consomme pas un produit, alors ce dernier est abandonné. Mais c'est un vœu pieu

Ce message a été modifié par No6 - 20 Mar 2016, 02:49.

[macmacmac]

Hello,

Merci de la réponse. C'est plus redoutable que je ne le pensais.
Et si on a une sauvegarde des machines, on peut repartir depuis? Où ça va crypter même en amont et ne pas pouvoir remettre un système?

Macmacmac

[linus]

A tous ceux qui crient qu'utiliser Flash Player, actuellement, est un non sens, vous n'avez pas tort, sur le fond.
Par contre, essayez un peu, si c'est possible pour vous, de comprendre qu'une part importante des utilisateurs d'un ordinateur sont des personnes qui n'y connaissent rien et ne sont pas intéressées d'en savoir plus.

Et puis on en revient toujours au fait que des entreprises ont dépensé des sommes souvent énormes pour développer des solutions sur Flash, lorsqu'il était en odeur de sainteté, et n'ont pas forcément les moyens financiers ou techniques pour faire un nouveau développement.
En effet, rien que refaire de petites animations simple en HTML5/Javascript, n'est facile qu'en apparence. En fait c'est long donc cher.
Pire, l'expert à la base de produits sophistiqués et bourré de code, n'est parfois plus là et on ne peut tout simplement pas donner le boulot de conversion à une boîte de service car elle n'aura ni la compétence requise pour comprendre le produit à faire migrer, ni surtout de tester la nouvelle version.
Donc ceux qui crie ici "Yaka ne jamais installer Flash" parlent à l'aise mais oublient la réalité.

[No6]

Merci de la réponse. C'est plus redoutable que je ne le pensais.
Et si on a une sauvegarde des machines, on peut repartir depuis? Où ça va crypter même en amont et ne pas pouvoir remettre un système?

Quand on a une machine infectée il faut rebooter avec un autre systeme
par exemple sur le système en CD/DVD, voir sous un linux

Mais Si le BIOS / UEFI est infecté aussi il faut démonter le disque dur et le traiter avec une autre machine.

en principe les ransonware ne vont pas jusque la

[macmacmac]

Merci de la réponse. C'est plus redoutable que je ne le pensais.
Et si on a une sauvegarde des machines, on peut repartir depuis? Où ça va crypter même en amont et ne pas pouvoir remettre un système?

Quand on a une machine infectée il faut rebooter avec un autre systeme
par exemple sur le système en CD/DVD, voir sous un linux

Mais Si le BIOS / UEFI est infecté aussi il faut démonter le disque dur et le traiter avec une autre machine.

en principe les ransonware ne vont pas jusque la

Merci!