Le virus du télétravail

Le virus du télétravail

Dans le décret n° 2020-260 du 16 mars 2020 portant réglementation des déplacements dans le cadre de la lutte contre la propagation du virus covid-19, il est écrit :

« Afin de prévenir la propagation du virus covid-19, est interdit jusqu’au 31 mars 2020 le déplacement de toute personne hors de son domicile à l’exception des déplacements pour les motifs suivants, dans le respect des mesures générales de prévention de la propagation du virus et en évitant tout regroupement de personnes :

1° Trajets entre le domicile et le ou les lieux d’exercice de l’activité professionnelle et déplacements professionnels insusceptibles d’être différés ; »

Dans le cas contraire d’un déplacement pouvant être différé, et ce dans l’optique de protéger la santé de toutes et tous, le télétravail est très fortement recommandé, d’autant plus quand il peut rapidement être mis en oeuvre sur le plan technique.

A travers quelques résultats de recherche issus du moteur de recherche Shodan, nous allons constater qu’en plus des préconisations sanitaires simples diffusées à la population, la mise en œuvre de gestes barrières informatiques ne représente pas un luxe.

En ces temps de crise et de vulnérabilité(s) humaine(s) et organisationnelle(s), nous avons d’autant plus besoin d’assurer la bonne marche de nos équipements informatiques.

Shodan et le balayage de ports

Le balayage de ports est une technique servant à rechercher les ports ouverts sur un serveur de réseau.

Cette technique est utilisée par les administrateurs des systèmes informatiques pour contrôler la sécurité des serveurs de leurs réseaux. La même technique est aussi utilisée par les pirates informatiques pour tenter de trouver des failles dans des systèmes informatiques. Un balayage de ports effectué sur un système tiers est généralement considéré comme une tentative d’intrusion, car un balayage de ports sert souvent à préparer une intrusion.

On peut détecter le système d’exploitation et sa version par la prise d’empreinte de la pile TCP/IP. Certains logiciels permettent également de détecter le nom du logiciel écoutant sur un port, voire sa version.

A grande échelle, Shodan réalise cette opération de balayage de ports sur tout Internet, et indexe les résultats de recherche, mis à disposition des utilisateurs. Shodan interpole également les versions de logiciels trouvées avec les bases de vulnérabilités logicielles usuelles et mondialement utilisées en sécurité informatique. Utilisé de manière orientée, Shodan est un moteur de recherche de serveurs et d’équipements informatiques vulnérables.

BlueKeep

BlueKeep (CVE-2019-0708) est une vulnérabilité de sécurité découverte dans l’implémentation du protocole Remote Desktop de Microsoft. Elle permet d’exécuter du code à distance. Son score CVSS (évaluation standardisée de la criticité des vulnérabilités selon des critères objectifs et mesurables) est maximal : 10.

Par exemple, la vidéo suivante montre ainsi comment, via une attaque en déni de service exploitant BlueKeep, il est possible d’engendrer facilement le crash d’un poste Windows 7 :

Shodan et BlueKeep

Actuellement en France, au moins 4395 postes sont toujours à priori vulnérables à BlueKeep :

Pour pouvoir procéder à des recherches dans Shodan, il est nécessaire de créer un compte utilisateur. Cependant, via le modèle de lien suivant, il est possible d’avoir tout de même accès aux données du moteur de recherche :

https://www.shodan.io/host/aaa.bbb.ccc.ddd

(aaa.bbb.ccc.ddd étant l’adresse IP d’une machine qui a été scannée par Shodan et pour laquelle les résultats de recherche ont été indexés)

Pour une machine supposément vulnérable à BlueKeep (un scan de port ne dit pas tout !), l’élément suivant va s’afficher dans la fenêtre de présentation de résultat :

Lorsque cela est possible techniquement, Shodan présente également une capture d’écran associée au port scanné :

Vraisemblablement, sur cette machine, un utilisateur s’est connecté à distance depuis une machine Dell non personnalisée (voir aussi ici ).

Recherche d’informations sur la machine vulnérable

Via une recherche inversée sur l’adresse IP trouvée par Shodan, on arrive à retrouver le nom de la société qui utilise la machine concernée :

Sur societe.com, on retrouve l’entreprise en question, ainsi que la même adresse que celle mentionnée dans le résultat de viewdns.com :

Entre les mains de personnes malveillantes, on imagine aisément les dégâts qui peuvent être provoqués par la possession de telles informations, et d’autant plus en ce moment.

Geste barrière préconisé

METTEZ A JOUR VOTRE MACHINE !

Combattonslecoronavirus.fr, vraiment ?

Combattonslecoronavirus.fr, vraiment ?

Article écrit par H

L’ avènement du coronavirus a donné lieu à un nombre croissant d’arnaques en ligne et de cyber malveillance. Dans sa page d’actualité consacrée au coronavirus, le site cybermalveillance.gouv.fr écrit :

« Vérifier la fiabilité et la réputation des sites que vous visitez, que ce soit pour vous informer ou réaliser un achat. Avant de fournir des informations personnelles ou bancaires, assurez-vous du sérieux du site sur lequel vous comptez vous inscrire ou commander en consultant les avis et en recherchant sur votre moteur de recherche d’éventuelles malversations connues.

Au moindre doute, abstenez-vous !

Avec la crise du CORONAVIRUS – COVID19 on voit fleurir de faux sites de ventes de masque chirurgical (FFP2), de gel hydroalcoolique, de téléconsultation médiale, de médicaments miracles ou de vaccins expérimentaux qui n’existent évidemment pas et qui n’ont d’autres objectifs que de vous escroquer. Les cybercriminels pourraient même vous livrer des produits périmés ou contrefaits qui mettraient en danger votre santé ou celle de vos proches. »

Par le biais d’un cas pratique, nous vous proposons de décrire un cheminement de recherches permettant de « vérifier la fiabilité et la réputation » d’une plateforme de vente en ligne. L’objectif d’un tel guide est de se doter d’un faisceau d’informations permettant de ne pas se faire escroquer, en supplément de tout ce qui peut être fourni par les réseaux sociaux et les forums de consommateurs.

Repérage

Sur un navigateur sans le moindre bloqueur de publicité activé, quel est le premier résultat proposé si l’on se met en quête de gel hydroalcoolique ?

Observer le site

La première étape consiste à bien observer le site internet pour voir son rendu général: est-ce un site bien fait? Y-a-t-il des éléments choquants?

Ici une faute d’orthographe qui ne fait vraiment pas sérieux…..On peut donc se demander s’il n’ y a pas anguille sous roche….

Généralités sur les noms de domaine

Pour commencer, il est nécessaire de rappeler les bases sur les noms de domaine. Pour trouver un site internet, tout comme trouver la maison de quelqu’un, il faut une adresse. Dans notre cas une adresse internet qui est composée de trois parties: le préfixe « www » (world wide web), un nom de domaine, lui-même composé d’une chaîne de caractères, et une extension (TLD – Top Level Domain). Dans l’exemple ci-dessous, l’extension utilisée est relative à la France : le .fr. La gestion des noms de domaine sous l’extension .fr est effectuée par l’AFNIC, l’office d’enregistrement désigné par l’État pour la gestion des extensions française: .fr, .re (Ile de la Réunion), .pm (Saint-Pierre et Miquelon), .tf (Terres australes et antarctiques françaises), .wf (Wallis et Futuna), .yt (Mayotte).

L’ensemble des démarches liées a un site internet (création, renouvellement, transfert, changement de titulaire ou suppression des noms de domaine) sont prises en charge par un prestataire de services (fournisseur d’accès à Internet, hébergeur, agence web, etc.) qui joue le rôle d’intermédiaire entre l’individu qui met en place un site internet et l’AFNIC.

Ces bureaux d’enregistrement permettent d’enregistrer un nom de domaine de manière anonymisée ou en mentionnant parfois une ou plusieurs des informations suivantes :

  • Nom
  • Prénom
  • Adresse email
  • Téléphone
  • Adresse Postale

Lorsqu’on déclare un nom de domaine, on vérifie d’abord si ce dernier n’a pas déjà été enregistré par une autre personne. De facto, via des moteurs de recherche spécifiques, on a alors accès aux informations sus-citées.

Des moteurs de recherche particuliers

La galaxie des moteurs de recherche de noms de domaine est touffue et hétérogène. Tous ne fournissent pas les mêmes informations, lesquelles sont souvent présentées de manières multiples. Via le méta-moteur suivant, il est possible d’avoir accès à 27 moteurs de recherche différents :

https://intelx.io/tools?tab=domain

(Attention : un onglet par moteur de recherche sera ouvert sur votre navigateur)

Extraction de la donnée intéressante

Sur Domain Dossier, il est fait mention d’une adresse email qui a été utilisée pour déclarer le nom de domaine ma-petite-pharmacie.fr :

Exploitation de l’adresse email

Pour pivoter sur l’adresse email, on peut faire une simple requête google qui donne des résultats éloquents immédiatement :

Sur Website Informer, on retrouve l’email, ma-petite-pharmacie.fr, d’autres sites web et … un nom de société !

On peut ensuite faire une recherche classique sur la société afin de trouver qui en a le controle. Via Manageo, la société en question nous renvoie sur le nom de son propriétaire :

Pivot sur le numéro de téléphone

On peut aussi chercher le numéro de téléphone qui apparaît sur le site internet pour voir s’il donne d’autres informations. On remarque vite qu’il est utilise par d’autres sites commerciaux en ligne….

Il s’agit en fait d’un numéro IP Callr destiné à faire croire que c’est un numéro terrestre marseillais

Recoupements

Le site de l’Association de Défense des Consommateurs de France a manifestement déjà procédé à quelques recherches :

Twitter n’est pas en reste non plus, et a permis de fournir un titre à cet article :

A ce stade des investigations, le faisceau d’informations récoltées est amplement suffisant pour se faire un avis quant à ma-petite-pharmacie.fr.

Pour conclure

Ce n’est pas parce qu’un site de vente en ligne apparait en tout premier dans les résultats de Google qu’il est forcément fiable.

Vous ne serez jamais le tout premier visiteur d’un nouveau site de vente en ligne, c’est mathématique. Si vous avez des doutes sur lui, il y a de fortes chances que quelqu’un en ait eu avant vous, et les ait exprimés sur les réseaux sociaux ou sur les sites d’entraide entre consommateurs.

En cas de doutes, il est simple et rapide de se faire une idée sur un site internet et de diminuer les chances d’arnaques. La peur est un des leviers de base de la manipulation. Elle ne fait pas de vous quelqu’un de faible, mais de juste humain.

Plus rapide que l’ éclair

On vous conseille aussi ce thread de @fs0c131y toujours bon pour débusquer ce type d’arnaque en ligne et qui a été mis en ligne plus vite que notre post 🙂