Tard ce mardi, Google a commencé à sortir Chrome 70, fournissant à contrecœur une solution pour corriger la pagaille de sa connexion controversée, tout en présentant en même temps ses machines similaires à des applications Progressive Web Apps pour Windows. Ce correctif arrive donc avec un bémol.

Chrome 69, la dernière grande sortie, intégrait un point troublant : si vous vous connectez à Gmail ou à un autre service Google, Chrome vous identifie aussi automatiquement sur le navigateur. Cela veut dire que vous partagez automatiquement vos données de navigation avec Google, que vous le vouliez ou non. Les experts en respect de la vie privée ont élevé la voix et Google a rapidement promis de résoudre le problème.

Chrome 70 est en effet fourni une solution pour ne plus être connecté. Malheureusement, l’option est faite de telle sorte que la connexion à Chrome se fait quand même par défaut. Google ne vous explique pas non plus clairement que cette fonctionnalité de déconnexion existe.

Pour passer outre cette connexion automatique, vous aurez besoin d’entrer dans le menu des Paramètres en cliquant sur les points de suspension verticaux, dans le coin en haut à droite de l’écran. Depuis ce menu, vous devrez aller dans les Paramètres Avancés tout en bas et trouver la mention « Permettre l’identification à Chrome », puis de la désactiver. Ce faisant, vous pourrez vous identifier sur des services de Google comme Gmail et Maps sans vous identifier aussi sur Chrome lui-même.

Voici à quoi ressemblent les nouveaux contrôles d’identification de Google. Remarquez le fait que le paramétrage par défaut est sur « on », comme on le voit ici.

Ce que cela signifie pour vous : Google veut vous faire croire qu’une faveur vous est faite lorsque vous êtes identifié sur Chrome après vous être identifié sur d’autres services. Et cela est vrai pour beaucoup de gens. Mais cela reste une position bien arrogante quand une alternative est créée mais n’est pas présentée clairement aux utilisateurs.

Progressive Web Apps

Google 70 supporte maintenant aussi les Progressive Web Apps, une amélioration de plateforme croisée qui n’est pas particulièrement reliée à Chrome. Comme son nom le suggère, les Progressive Web Apps sont des pages web qui ressemblent à des applications. Dans les faits, vous pouvez les installer sur Windows 10 comme des applications « normales ». Microsoft a commencé à sortir certaines PWA sur le Microsoft Store. Si vous téléchargez l’application Twitter, par exemple, il y a de fortes chances que ce soit une PWA.

Dorénavant, Google fait la même chose. Vous pouvez rencontrer certains sites web qui font la promotion de versions d’eux-mêmes en tant qu’applications prêtes à l’installation, comme Google le montre ici. Spotify est un exemple parmi d’autres :

Spotify peut vous proposer d’installer sa version de Progressive Web App.

Bien sûr, vous n’avez pas d’obligation à installer l’application, mais elle existe si cela vous intéresse. Les utilisateurs de Mac et Linux devraient recevoir le support pour les PWA avec Chrome 72.

La plupart d’entre nous pensent que nos ordinateurs sont protégés car nos appareils fonctionnent sans problèmes et donc que nous sommes bien éloignés des virus et autres types de malwares. De plus, beaucoup pensent qu’ils sont en sécurité car ils possèdent un logiciel antivirus bien qu’ils ne le mettent jamais à jour avec une version récente.

Cela devient important, seulement lorsque nous, utilisateurs, sommes touchés par une brèche de données importante. Nous dépendons tous complètement des ordinateurs pour nos activités quotidiennes à la fois pour nos besoins personnels et professionnels. La moindre interférence malware peut avoir un grave impact et donner la possibilité de créer une porte d’entrée pour qu’un malware pénètre dans le système visé. Lorsque les hackers mènent une attaque sur un système, ils essayent et arrivent à obtenir l’accès au système et aux données et amènent donc des pertes. Il est vital pour les utilisateurs de sauvegarder les données et de se servir de mots de passe complexes. Cela vous assurera de protéger vos données.

L’intensité de la fuite de données est toujours plus marquée pour les entreprises que pour les particuliers. Les pannes de réseau ou d’ordinateur créent un grand manque pour la productivité et donc affectent les revenus de l’entreprise.

Même les entreprises, pour lesquelles les pertes de données peuvent être graves financièrement et pour la bonne marche des services, ces structures ignorent aussi souvent la possibilité d’être touchées par un virus. Le risque est beaucoup plus grand pour une entreprise que pour un particulier, les pannes et retards peuvent affecter gravement la productivité et même le chiffre d’affaires.

Mettre à jour le contrôleur de virus ou le système d’analyse antivirus avec de nouvelles mises à jour et patches de sécurité, ainsi que l’analyse du système permettent de garder le contrôle en planifiant des analyses automatiques en arrière plan sans affecter les autres fonctionnalités du système. Les utilisateurs ont plusieurs options pour choisir si le programme antivirus doit procéder à une analyse rapide, une analyse plus lente et plus poussée ou encore à une analyse qui consomme des ressources mais qui permet de tout vérifier en profondeur, le tout selon les opérations à faire au moment donné.

Lancer des analyses pour trouver de potentiels malwares peut sembler peut important, mais passer cette étape, basique en matière de sécurité, peut entrainer des dommages sévères sur le réseau et sur les appareils qui y sont connectés. Il est plus sage procéder à des analyses régulières avec un contrôleur efficace. Souscrivez à un essai gratuit pour découvrir un antivirus. Lancez une analyse sur des parties importantes du système comme les services de démarrage ou les fichiers du répertoire. Les bons programmes de protection antivirus analysent les éléments vitaux avant même que le logiciel soit installé. En plus de cela, prenez le temps de décrypter le rapport d’analyse car il vous donnera des informations sur les malwares et les vulnérabilités potentiellement à l’œuvre.

• Une performance ralentie
  •Des pop-up et autres éléments gênants
  •Des fichiers manquants
  •Des activités anormales sur le disque dur
  •Un manque d’espace de stockage
  •Des écrans bleus
  •Des messages d’erreur inattendus
  •Des redirections vers des sites inconnus

Si vous reconnaissez une des activités suspectes citées ci-dessus, il est important de supprimer le malware immédiatement. Dans cet article, nous allons vous expliquer comment supprimer les virus et autres malwares depuis un appareil infecté. Continuez à lire pour en savoir plus.

Première étape : Activer le Mode sans Echec

Il est important de déconnecter votre PC d’Internet jusqu’à ce que vous soyez paré à nettoyer votre PC. Cela évitera qu’un logiciel malveillant puisse entrer et diffuser des données confidentielles. Démarrer votre PC en mode sans échec permettra à seulement un nombre spécifique de programmes d’être chargés. Lorsqu’un malware est configuré pour se charger instantanément lorsque Windows démarre, le mode sans échec évite que le malware ne se charge et n’infecte le système. Avec Windows 10, activez le mode sans échec est un peu compliqué.

Cliquez sur le menu de démarrage puis maintenez la touche Majuscule et cliquez sur le bouton d’allumage pour redémarrer – un menu en plein écran apparait, sélectionnez Résolution de problèmes puis sélectionnez Options Avancées et puis cliquez sur Paramètres de démarrage – cliquez sur le bouton de redémarrage et un nouvel écran apparait et ensuite un menu apparait avec des options numérotées – sélectionnez l’option 4 qui correspond au mode sans échec.

Deuxième étape : Supprimer les fichiers temporaires

Après être entré dans le mode sans échec, une analyse de virus doit être initiée. Néanmoins, il est important de supprimer tous les fichiers temporaires existants. Cela va libérer de l’espace et accélérer le processus d’analyse.

Troisième étape : Télécharger un logiciel antivirus efficace

L’étape suivante est de télécharger un logiciel antivirus efficace pour analyser, détecter et supprimer le malware du système infecté. Cependant, puisque les hackers développent en continu de nouvelles méthodes d’attaque, il est important d’installer un logiciel de protection contre les virus qui peut refuser l’entrée aux malwares ou qui met en œuvre l’utilisation de l’intelligence artificielle comme la technologie de confinement qui fait fonctionner tous les fichiers inconnus dans un espace virtuel pour vérifier si le fichier est un malware, sans affecter les opérations normales du système. Il existe de nombreux logiciels antivirus disponibles (gratuits ou payants) et ils se démarquent les uns les autres dans leurs propositions de fonctionnalités de sécurité. Souvenez vous qu’installer le bon logiciel de protection antivirus est crucial et il doit être capable de fournir des fonctionnalités d’analyse automatique en plus d’analyses à la demande et d’une protection en temps réel.

Comment savoir si votre appareil/téléphone Android est touché par un virus ? Êtes-vous une victime potentielle d’une attaque en ligne ? Comment protéger votre téléphone Android ?

Dans cet article, apprenez à trouver et à supprimer les virus Android et autres applications malveillantes, avec l’aide d’applications de sécurité comme l’antivirus de Comodo pour Android.

Que font les malwares ?

Les programmes malwares sont des menaces dangereuses pour votre téléphone Android. Ils opèrent sans que vous en ayez connaissance et peuvent ne pas être détectés par certains antivirus installés sur votre appareil Android.

Votre téléphone Android peut être infecté par un virus lorsque vous téléchargez sans le savoir une application gratuite disponible sur un site tiers.

Certains types de malware, comme les spywares, sont capables de suivre chacune de vos activités une fois qu’ils ont pénétré votre appareil. Ils peuvent aussi rendre votre téléphone inopérant, remplir l’écran de votre smartphone avec des publicités pop-up, et ralentir de manière générale votre téléphone Android.

Comment savoir si mon appareil/téléphone Android a un virus ?

Si votre ordinateur a un virus ou n’importe quel autre malware, vous pouvez l’identifier grâce à certains éléments révélateurs. Une fois que vous avez pris conscience de l’existence de ces signes, vous pouvez immédiatement agir contre eux. Voici des symptômes habituels qui signalent la présence d’un malware :

1. Un ralentissement inattendu de la performance
   2. Des changements indésirables de votre navigateur web
   3. Des pop-up gênants

Ralentissement inattendu de la performance

Si vous remarquez un ralentissement des performances de votre téléphone Android, cela peut être du à un malware qui s’exécute en arrière-plan. Si votre téléphone Android a un malware, vous pouvez vous retrouver face à des applications qui plantent et se gèlent. Ouvrir des applications différentes prendra aussi plus de temps. Tous ces éléments sont révélateurs de la présence d’un malware sur votre téléphone.

Des changements indésirables sur votre navigateur web

Certains malwares ont tendance à modifier les paramètres des navigateurs et particulièrement ceux de la page d’accueil. Ils veulent vous rediriger vers des sites web douteux qui contiennent souvent encore plus de malwares.

Si votre téléphone Android est infecté par un malware, vous découvrirez surement des changements dans certains ou dans tous les paramètres de votre navigateur. Les pages d’accueil de votre navigateur peuvent être réglées sur des pages que vous n’avez jamais visitées. C’est le signe d’une infection malware.

Des pop-up gênants

Si votre téléphone Android affiche des publicités pop-up qui contiennent du contenu inapproprié, sont difficiles à fermer, et ont des couleurs très voyantes, c’est clairement le signe d’une infection par un malware.

En plus des signes précédemment mentionnés, un malware peut changer le nom de vos fichiers et de vos dossiers sur votre téléphone Android. Il ouvre aussi des applications qui vont transférer vos fichiers d’un dossier à un autre. Certains malwares peuvent effacer toutes les données stockées dans votre téléphone Android.

Comment protéger votre téléphone Android contre les virus et les malwares ?

La meilleure manière de supprimer les malwares de votre téléphone Android et de prévenir toute future infection est d’installer un bon programme antivirus comme celui de Comodo sur votre appareil.

Avec un moteur de confinement intégré et une plateforme de « Refus par défaut », le logiciel antivirus de Comodo fournit une protection complète contre n’importe quelle menace malware y compris les malwares à zéro-jour. Téléchargez l’antivirus gratuit de Comodo dès aujourd’hui !

L’équipe d’accessibilité de Google promeut l’application Vocal Access comme si elle était nouvelle et elle l’est sans doute pour la plupart des gens lisant cet article. Néanmoins, cette application est d’abord apparue au printemps 2016 (il y a deux ans et demi) en tant qu’application beta. Vous ne pouviez pas la télécharger sans avoir d’abord rejoint le groupe de test d’applications beta de Google sur le Play Store. L’application n’avait pas reçu beaucoup d’attention, mais aujourd’hui elle est complètement mise à jour et disponible pour tous.

Pour activer le Vocal Access, vous devez aller dans les paramètres de votre système pour lui donner le contrôle à Accessibilité. Cela permet simplement à l’application d’appuyer sur l’écran pour vous. Après avoir démarré Vocal Access, l’application surligne chaque icône, bouton, et chaque élément de l’interface utilisateur système avec un petit nombre. La barre de statut s’allume en blanc avec une animation pour l’Assistant « d’écoute » pour vous faire savoir que l’application est prête pour une commande. Elle écoute, par ailleurs, en continu. La barre de statut transcrit ce que vous dites en temps réel, il faut donc être attentif à ce que vous dites lorsque l’application fonctionne.

Vous pouvez énoncer un nombre et le téléphone « tape » sur l’item correspondant. L’application supporte aussi les pressions longues sur les nombres pour accéder à des fonctions différentes. Le Vocal Access comprend les commandes contextuelles qui ne sont pas liées à un nombre – vous pouvez lancer des applications juste en le demandant. Par exemple, « Ouvrir Chrome » ouvrira toujours votre navigateur peut importe où vous en êtes. Une fois dans l’application, « Faire défiler vers le bas » permettra de descendre dans les pages web.

Toucher l’écran ou interagir d’une autre manière avec le téléphone éteint le Vocal Access, mais elle reste accessible grâce à un bouton flottant (optionnel) et un item de notification. Vous pouvez la lancer sans rien toucher en appelant l’Assistant avec « Ok Google » et en lui demandant le Vocal Access.

L’application permet aussi la saisie de texte – surlignez un champ de texte et commencez à parler pour que votre voix soit transformée en texte écrit.

Google présente le Vocal Access comme un service pour les personnes avec la maladie de Parkinson, des problèmes d’arthrose, de sclérose, des blessures à la moelle épinière ou autres handicaps qui rendent difficiles l’utilisation d’un smartphone. Pour autant, les personnes qui n’ont pas de handicap pourront aussi trouver l’application utile. Si vous avez les mains prises dans une réparation ou en cuisine, le Vocal Access vous aide à continuer d’utiliser votre téléphone.

La Switch dispose d’une conception hybride unique qui fonctionne à la fois de manière portable et sur un socle relié à une télé. Lorsque vous utilisez la Switch comme console à la main, vous utilisez l’écran LCD 720p de 6.2 pouces intégré pour jouer aux jeux. Selon les sondages de Nintendo menés auprès des utilisateurs, près de 30% d’entre eux utilisent exclusivement ou principalement la Switch de cette manière. La plupart utilisent les deux modes, mais moins de 20% déclarent comme mode principal l’utilisation reliée à la télé.

Cela explique sûrement pourquoi Nintendo cherche à améliorer l’écran pour la prochaine version de la Switch. Des partenaires de la chaine de production ont déclaré au Wall Street Journal que l’écran amélioré de la Switch inclut un écran plus fin, plus léger et plus efficace en termes d’énergie. Les consoles Switch actuelles ont des dalles LCD produites par JDI, et il n’est pas certain que JDI continuera à fournir les écrans pour le nouveau matériel. Il pourrait y avoir aussi d’autres changements internes. Par exemple, il serait simple d’augmenter le stockage interne pour qu’il dépasse les maigres 32Go actuels de la console.

Pour autant, il ne faudra sans doute pas compter sur un écran avec une meilleure résolution. La Switch fonctionne avec un SoC Tegra X1 ARM de Nvidia. La puce est apparue précédemment sur des tablettes et la TV Nvidia Shield Android. Elle est puissante comparée à d’autres puces ARM, mais ce n’est pas le cas des processeurs dans d’autres consoles de jeux de la génération actuelle. La X1 peut aller jusqu’à 1080p lorsque amarrée sur le socle (bien que certains jeux ne dépassent pas les 900p) car la X1 peut fonctionner à pleine puissance. Dans le mode à main, le SoC rabaisse le clokage du processeur et de la carte graphique pour économiser la batterie. Même si vous avez un écran en 1080p sur la console, cela ne vaudra pas la consommation de batterie pour afficher les jeux à cette résolution.

Entre la sortie de fin 2017 et le mois de juin de cette année, Nintendo affirme avoir vendu plus de 20 millions de consoles Switch. Rafraichir la console pourrait permettre de garder le rythme des ventes en apportant des améliorations au système. Certains fans de la Switch voudraient sûrement passer au niveau supérieur, et des stocks plus anciens pourraient se vendre à des prix réduits.

Cependant, vous n’avez pas à hésiter pour savoir s’il faut attendre avant d’acheter la Switch pour cette saison. Le rapport indique que Nintendo table sur la seconde moitié de 2019 pour ce nouveau matériel.

Selon un rapport de Motherboard, les appareils iMac Pro et MacBook Pro de 2018 réparés dans des magasins tiers seront automatiquement bloqués si le logiciel de diagnostique propriétaire Apple Service Toolkit 2 n’est pas lancé après le remplacement de pièces importantes.

De plus, dans le cas de l’iMac Pro, le logiciel de diagnostique Service Toolkit 2 doit être lancé après le remplacement de la carte mère ou du stockage flash.

Si vous réparez votre MacBook Pro 2018, vous devez vous assurer de lancer l’Apple Service Toolkit 2 après avoir changé la carte mère, l’assemblage de l’écran ou le boitier principal (le pavé tactile, le clavier et l’encastrement interne).

Les deux modèles Mac mentionnés disposent de la nouvelle puce Apple T2 responsable de la gestion des multiples composants du système, des contrôleurs de gestion du système et de l’audio au processeur du signal image et au contrôleur du SSD.

En plus, la puce T2 intègre aussi les coprocesseurs Secure Enclave des appareils, qui contrôlent la fonctionnalité de démarrage sécurisé, le stockage chiffré et le processus d’authentification Touch ID.

Les propriétaires de Macs avec puces T2 ne pourront les réparer que seulement via un service Apple officiel ou chez un fournisseur de services autorisé.

Selon un document envoyé par Apple aux fournisseurs de services autorisés, « pour les Macs avec puce T2 d’Apple, le processus de réparation n’est pas complet pour certains remplacements avant que la suite AST 2 System Configuration n’ait été lancée. Le non-accomplissement de cette étape amènera à un système inopérant et à une réparation incomplète. »

Le problème est que même si la réparation est parfaitement effectuée, l’iMac Pro et le MacBook Pro 2018 se bloqueront automatiquement et l’ordinateur sera utilisable selon après être allé chez Apple ou chez un fournisseur de services autorisé et l’avoir fait vérifié avec l’Apple Service Toolkit 2.

Dans une autre présentation interne aussi citée par Motherboard, il a été révélé que « l’Apple Service Toolkit et l’Apple Service Toolkit 2 sont disponibles seulement aux personnes travaillant dans des enseignes de services autorisées par Apple. »

Les réparations maisons et celles faites par des services indépendants seront ainsi des choses du passé sachant que l’Apple Service Toolkit 2 doit être lancé après avoir changé la configuration matérielle des Mac avec puce T2 et que le suite de diagnostique est seulement disponible pour le personnel autorisé par la firme.

Apple pourrait reconsidérer cette approche car la législation sur le droit à la réparation pourrait être actée dans plusieurs états américains, bien que des informations publiques de New York semblent attester que Cupertino fait déjà du lobbying contre cette loi.

Le lancement de mise à jour d’octobre 2018 de Windows 10 a pris des airs de fiasco, surtout lorsque Microsoft a décidé de la retirer complètement à cause de sérieux bugs découverts par les utilisateurs.

En plus d’autres problèmes de moindre importance, un autre bug critique a été repéré, un bug qui amène à la suppression totale des fichiers stockés dans les bibliothèques.

Le bug a d’abord été rapporté peu après que Microsoft ait commencé le lancement mardi, et le géant du logiciel en a été informé effectivement tardivement vendredi.

Comme une solution de rechange n’existe pas encore, Microsoft a décidé de suspendre la sortie indéfiniment, en attendant de mener une enquête et de comprendre ce qu’il se passe. Et, le plus important, savoir pourquoi ce bug existe, car personne n’est sûr de qui est affecté ni ce qui déclenche cette suppression des fichiers des utilisateurs.

La question la plus importante qui se pose à cette heure est « suis-je affecté ? ». Malheureusement, il n’y aucun moyen de savoir si votre ordinateur peut être touché par ce problème de suppression avant d’avoir installé la mise à jour d’octobre 2018.

Tous les utilisateurs touchés par le problème s’en sont rendu compte après que la mise à jour ait été déployée sur leur système, alors éviter de la faire est probablement la meilleure chose à faire pour l’instant. Néanmoins, il faut aussi noter que de nombreux utilisateurs ont créé un média d’installation ou simplement télécharger l’ISO pour une installation ultérieure, alors le nombre d’appareils infectés pourrait quand même augmenter.

Beaucoup de personnes qui ont procédé à la mise à jour s’interrogent sérieusement sur le fait de savoir si leur ordinateur est aussi affecté par le bug ou non.

Microsoft déclare de son côté que la meilleure façon de le savoir est d’aller voir dans le dossier Documents. Techniquement, si tous vos fichiers stockés ici ont disparu, c’est que le bug a aussi touché votre système. Si rien n’a changé, alors tout va bien pour vous.

Si le bug est présent sur votre système et que vos données sont perdues, Microsoft vous incite à contacter impérativement la ligne d’assistance de l’entreprise. Dona Sarkar, chef du programme Windows Insider, a déclaré que Windows disposait des outils pour aider les utilisateurs à retrouver leurs documents.

« Si vous vous retrouvez dans la situation où vos fichiers ont disparu après la mise à jour 1809, appelez notre ligne d’assistance. Nos services disposent des outils pour vous aider à tout remettre en ordre. Cette construction n’est plus disponible au téléchargement », a expliqué Dona Sarkar.

Comme je vous l’expliquais déjà hier, les logiciels de récupération de données sont simples à utiliser, et vous pouvez lancer votre propre analyse avant de contacter Microsoft. Recuva peut rechercher pour vous les fichiers manquants et les retrouver, bien qu’il faille garder à l’esprit qu’il n’y a aucune garantie de tout récupérer.

Néanmoins, la meilleure chose à faire est de ne pas toucher à vos disques locaux, ce qui veut dire de ne pas copier, supprimer, bouger ou télécharger des fichiers. Moins il y a d’activités sur vos disques, plus vous aurez de chances de retrouver vos données.

A l’heure actuelle, le bug ne semble pas s’être énormément répandu, mais manifestement il est un sérieux problème, au vu de la réaction inattendue qu’a eue Microsoft. Perdre des données après une mise à jour est un gros problème pour les utilisateurs, et sans sauvegardes, retrouver ces fichiers peut être mission impossible.

Actuellement, Microsoft mène toujours sa propre enquête sur le bug et il n’y a aucune information sur quand la sortie de la mise à jour sera relancée. Mais si vous avez déjà téléchargé la mise à jour d’octobre 2018 et que vous envisagiez de la lancer en utilisant un média d’installation, vous feriez mieux d’attendre le feu vert de Microsoft avant de le faire. Cela pourrait arriver la semaine prochaine, les correctifs étant attendus pour le Patch Tuesday.

Hidden Cobra, aussi appelé Lazarus Group et Guardians of Peace, est présumé soutenu par le gouvernement nord coréen et a précédemment lancé des attaques contre un grand nombre d’organisations du monde des médias, dans l’aérospatiale, dans la finance et dans d’autres secteurs avec des infrastructures sensibles à travers le monde.

L’année dernière, le groupe a été associé à la menace ransomware WannaCry, qui avait paralysé des hôpitaux et de grandes entreprises dans le monde entier, ainsi qu’à l’attaque contre Swift Banking en 2016 et l’attaque de 2014 qui visait Sony Pictures.

Aujourd’hui, le FBI, le département de la Sécurité Intérieure (DHS) et le département du Trésor ont publié des détails à propos d’une nouvelle cyber attaque, nommée « FASTCash », que le groupe Hidden Cobra utilise au moins depuis 2016 pour extorquer de l’argent de distributeurs en compromettant les serveurs de la banque.

FASTCash trompe les distributeurs pour qu’ils délivrent de l’argent

Les inspecteurs ont analysé 10 échantillons de malware associés aux cyber-attaques FASTCash et ont découvert que les attaquants avaient compromis à distance le paiement du « changement de serveurs d’application » dans les banques ciblées pour faciliter les transactions frauduleuses.

Le commutateur de serveurs d’application est un composant essentiel des distributeurs et des infrastructures de points de vente qui communiquent avec le système central de la banque pour valider les détails du compte en banque des utilisateurs pour une transaction donnée.

Lorsque vous utilisez votre carte bleue dans un distributeur ou sur un terminal de paiement électronique dans un magasin, le logiciel demande (sous des formats de messages ISO 8583) au commutateur de serveurs d’application de la banque de valider la transaction –de l’accepter ou de la refuser, selon le montant disponible sur votre compte en banque.

Néanmoins, les attaquants du groupe Hidden Cobra ont réussi à compromettre le changement de serveurs d’application dans différentes banques, là où ils avaient des comptes (et leurs cartes de paiement) avec une activité minimum ou un solde à zéro

Le malware installé sur le commutateur de serveurs d’application compromis intercepte alors la requête de la transaction associée avec les cartes de paiement des attaquants et répond avec une fausse, mais semblant légitime, acceptation sans valider leurs soldes disponibles avec les systèmes centraux des banques, et trompant ainsi les distributeurs pour qu’ils délivrent une grande quantité de liquidités sans même que la banque en soit informée

« Selon l’estimation d’un de nos proches partenaires, les acteurs d’Hidden Cobra ont volé des dizaines de millions de dollars » affirme le communiqué.

« Sur un incident en 2017, les acteurs d’Hidden Cobra ont activé le malware pour que du liquide soit retiré simultanément sur des distributeurs localisés dans 30 pays différents. Un autre incident en 2018, les acteurs d’Hidden Cobra ont activé le malware pour que du liquide soit retiré simultanément sur des distributeurs dans 23 pays différents. »

Les acteurs de menace d’Hidden Cobra utilisent la méthode FASTCash pour cibler des banques en Afrique et en Asie, bien que les autorités américaines continuent d’enquêter sur les incidents FASTCash pour confirmer si des banques ont été ciblées aux Etats-Unis.

Comment les attaquants ont réussi à compromettre le commutateur de serveurs d’application des banques

Bien que le vecteur d’infection initial utilisé pour compromettre les réseaux bancaires soit inconnu, les autorités américaines pensent que les acteurs de menace APT utilisaient des emails de spear-phishing (harponnage), contenant des exécutables Windows malveillants, contre les employés dans différentes banques.

Une fois ouvert, l’exécutable infectait les ordinateurs des employés de la banque en utilisant le malware basé sur Windows, permettant aux attaquants de se déplacer dans le réseau de la banque en utilisant des identifiants légitimes et de déployer le malware sur le commutateur de serveurs d’application du paiement.

Bien que la plupart des commutateurs de serveurs d’applications compromis n’exécutaient que des versions de systèmes d’exploitation IBM Advanced Interactive eXecutive (AIX) non supportés, les enquêteurs n’ont trouvé aucune preuve que les attaquants aient exploité une quelconque vulnérabilité sur le système d’exploitation AIX.

L’US-CERT recommande aux banques de créer des mandats d’authentification à deux facteurs avant qu’un quelconque utilisateur puisse avoir accès au commutateur de serveurs d’application, et d’utiliser de meilleures pratiques pour protéger leurs réseaux.

L’US-CERT a aussi fourni une copie téléchargeable des IOCS (indicateurs de compromission), pour vous aider à les bloquer et à activer les défenses réseau pour réduire l’exposition à toute cyber activité malveillante du groupe de pirates Hidden Cobra.

En mai 2018, l’US-CERT a aussi publié une alerte pour prévenir les utilisateurs de l’existence de deux malwares différents – Remote Access Trojan (RAT), cheval de Troie connu sous le nom Joanap et le ver Server Message Block (SMB) nommé Brambul, les deux étant reliés à Hidden Cobra.

L’année dernière, le DHS et le FBI ont aussi publié une alerte décrivant le malware d’Hidden Cobra Delta Charlie – un outil de déni de service que ces autorités estiment avoir été utilisé pour lancer des attaques de déni de service contre ses cibles.

Dans le passé, d’autres malwares ont été liés à Hidden Cobra : Destover, Wild Positron ou Duuzer, et Hangman avec des capacités avancées, comme des botnets DDoS, des enregistreurs de frappe, des outils d’accès à distance (RATs), et des malwares d’effacement.