Aller au contenu

Pierre (aka Terdef)

Equipe Sécurité*
  • Compteur de contenus

    522
  • Inscription

  • Dernière visite

Réputation sur la communauté

0 Neutral

À propos de Pierre (aka Terdef)

  • Rang
    Extrem Member
  1. Assiste est en deuil - nickW nous a quittés. Les helpers, principalement, la connaissent et l'ont côtoyée, peut-être sans le savoir. http://assiste.forum.free.fr/viewtopic.php?f=154&t=31557
  2. ALERTE - Vulnérabilité Adobe Flash Player (15 juin 2016) Encore une ! Une vulnérabilité jugée critique affecte les versions 21.0.0.242 et antérieures de Flash Player sur toutes les plateformes. Pas encore de correctif. Solution provisoire de contournement. Flash must die ! http://assiste.forum.free.fr/viewtopic.php?f=173&t=30881 Cordialement
  3. Pierre (aka Terdef)

    [Résolu] Vulnérabilité critique dans Adobe Flash Player (6 avril 2016)

    Bonjour, L'alerte est close (il s'agissait d'un zero day). Le correctif comporte également les corrections d'autres vulnérabilités moins critiques évoquées dans l'avis du 08.04.16). On est donc en Flash Player 21.0.0.213 (Windows et Mac), incluant l'alerte du 06 et l'avis du 08. Comment regarder des vidéos, sur de nombreux sites, tout en ayant viré le plugin Flash : http://assiste.forum.free.fr/viewtopic.php?p=171719#p171719 Cordialement
  4. Bonjour, J'ai bien vu le fil "Adobe Flash : vivre ou laisser mourir" Voilà un élément de réponse (en 3 mots ? Flash must die !) ALERTE : Vulnérabilité critique dans Adobe Flash Player (06 avril 2016) Cette vulnérabilité est actuellement activement exploitée Systèmes affectés [*]Adobe Flash Player versions 21.0.0.306 et versions antérieures sous Windows (toutes versions - Windows 10 et toutes versions antérieures) [*]Adobe Flash Player versions 21.0.0.197 et versions antérieures sous Macintosh [*]Adobe Flash Player versions 21.0.0.197 et versions antérieures sous Linux [*]Adobe Flash Player versions 21.0.0.197 et versions antérieures sous Chrome OS Contournement : Dans l'attente de la publication du correctif, et si utilisation absolument nécessaire de Flash : comme d'habitude, installez, si ce n'est déjà fait, la dernière version d'EMET (EMET 5.5) - EMET (Microsoft EMET - Enhanced Mitigation Experience Toolkit) http://assiste.com/EMET.html Recommandation : Désactivez Flash Player (plugin dans vos navigateurs Internet) jusqu'à la mise à disposition d'un correctif par l'éditeur (annoncé par Adobe pour le 7 avril 2016, au plus tôt). Bulletin d'alerte complet : http://assiste.forum.free.fr/viewtopic.php?f=173&t=30646 Cordialement
  5. Pierre (aka Terdef)

    [Info] Épidémie Ransomware crypteur de fichiers

    Bonjour, Payer la rançon, c'est faire le jeu des terroristes du Web. Il y a quelques outils de déchiffrement gratuits. Ils sont très spécifiques et ne ciblent, chaque fois, qu'une version précise d'un unique cryptoware. Devadip me rappelle, sur mes forums, l'existence d'un "décrypteur" pour (contre) TeslaCrypt :https://github.com/googulator/teslacrack Mais il s'agit de récupérer du code Python, de coller ce code sur un serveur offrant Python, d'exécuter ce code Python sur le serveur après avoir remonté un fichier chiffré de manière à tenter de reconstruire la clé de déchiffrement, puis de lancer un autre programme Python, toujours sur le serveur, etc. ... Il faudrait, si cela est fonctionnel, ce qui n'est pas confirmé par des autorités, que des Webmasters ayant des hébergements sur des serveurs avec Python, en fasse un service gratuit en ligne. Je ne vois pas l'utilisateur " normal " utiliser cx_Freeze pour installer Python sur une machine Windows (il n'y a que les machines Windows victimes de TeslaCrypt), faire de la compilation, de l'édition des liens, etc. ... et l'utilisateur " normal " ne se balade pas dans (sur) un serveur comme s'il était chez lui. PS : pour ceux qui ne la savent pas (et, normalement, mis à part quelques développeurs, personne ne sait ce que c'est, ni même que cela existe), Python est un langage de programmation. Kaspersky et CISCO avaient un décrypteur pour les versions initiales du Cryptoware appelé TeslaCrypt mais il ne fonctionne que sur les versions initiales (y compris bêta) jusqu'à la version 2 (le cybercriminel planquait la clé de déchiffrement sur la machine de la victime dans un fichier appelé key.dat. Ils ont corrigé ce bug rapidement. On est à la version 8 de TeslaCrypt. Il y a eu, aussi, l'opération Tovar. Ce fut un consortium constitué de : Un groupe d'organismes d'application de la loi (y compris le FBI et Interpol) Des fournisseurs de logiciels de sécurité Plusieurs universités Le 2 Juin 2014, le ministère de la Justice des États-Unis a annoncé officiellement que le week-end précédent, l'opération Tovar, avait perturbé le botnet Gameover Zeus (réduire temporairement la communication entre Gameover Zeus et ses serveurs de C&C (Commande et Contrôle)) qui avait été utilisé pour distribuer le ransomware CryptoLocker et autres logiciels malveillants. Le ministère de la Justice a également émis publiquement un acte d'accusation contre le hacker russe Evgueni Bogachev pour son implication présumée dans le réseau de zombies. Botnet Gameover ZeuS Environ un mois plus tard, la société de sécurité néerlandaise Fox-IT a pu se procurer la base de données de clés privées utilisées par CryptoLocker et Fox-IT et son compatriote, le cabinet FireEye, ont introduit un service en ligne qui permet aux utilisateurs infectés de récupérer leur clé privée par le téléchargement d'un fichier d'échantillon : ils reçoivent ensuite un outil de décryptage. Il y a aussi quelques outils gratuits de Kaspersky pour déchiffrer les fichiers crypter avec les cryptowares : Rector (déchiffrement possible sans rançon) Xorast (déchiffrement possible sans rançon) Hanar (déchiffrement possible sans rançon) Rakhni (déchiffrement possible sans rançon) Je crois qu'il y en a un ou deux autres, à voir dans la liste des Micro antivirus gratuits. Entendons-nous bien : en matière de cryptowares, il n'y a rien dans la machine de la victime si ce n'est les fichiers cryptés - tout se passe dans la machine de C&C (Command and Control) qui pilote le segment de Botnet (réseau de machines zombies) loué par le cybercriminel (à un autre cybercriminel) pour propager son attaque. Il n'y a pas d'antivirus, au sens propre du terme, contre les traces d'une attaque en crytographie. Une fois les fichiers chiffrés, le cryptoware s'auto-détruit de manière à être le moins possible exposé aux antivirus. Il y a peut-être quelques fichiers et exécutables du cryptoware qui seront nécessaires à l'opération de déchiffrement et il vaut mieux ne pas les rechercher ni les détruire si la victime envisage de payer la rançon. Liste des Micro antivirus gratuits Cordialement
  6. Pierre (aka Terdef)

    [Info] Épidémie Ransomware crypteur de fichiers

    Bonjour, Pour les visiteurs qui ne savent pas très bien de quoi on parle : Le chiffrement avec demande de rançon ne relève absolument pas d'un virus dans la machine de la victime. Il n'y a rien dans la machine de la victime. Tout se passe sur une machine dite C&C (Command and Control) d'un cybercriminel et on ne peut remonter à lui puisqu'il est derrière une couche réseau appelée TOR qui le rend indétectable. L'attaque est celle d'un Ransomware (logiciels de demande de rançon), et, plus précisément, d'un Cryptoware (logiciel de chiffrement (cryptographie) avec demande de rançon) Si les fichiers font l'objet d'une sauvegarde, il faudra repartir de la sauvegarde de ces fichiers. Si les fichiers ne sont pas vitaux, ils faut les considérer comme définitivement perdus (en garder une copie pour le cas ou, un jour, un outil gratuit sera écrit. Il y a très peu de chance). Si les fichiers ne sont pas sauvegardés et qu'ils sont vitaux, il n'y a pas d'autre solution que de payer la rançon au cybercriminel et de faire le jeu des cybercriminels. Il faut alors payer dans les 2 ou 3 jours (cela est écrit dans le message affiché par le cybercriminel). Il ne faut surtout pas attendre la fin des fêtes. Passé ce délais, le cybercriminel détruit la clé de déchiffrement et il ne sera plus possible, même au cybercriminel, de déchiffrer les fichiers qui seront définitivement perdus. Attention - Arnaques ! Des centaines de sites prétendus de décontamination, qui ne sont que des nébuleuses de sites satellites poussant de mauvais anti-malwares incapables de se vendre sans la peur et le mensonge, prétendent pouvoir faire quelque chose contre TeslaCrypt. NE FAITES RIEN - N'ACHETEZ RIEN - IL N'Y A PAS DE SOLUTION (sauf à payer la rançon). Cordialement
  7. ALERTE - Vulnérabilité dans Adobe Flash Player (14 octobre 2015) Version initiale de l'Alerte 14 octobre 2015 Source Article de Trend Micro du 13 octobre 2015 1 - Risque(s) exécution de code arbitraire à distance 2 - Systèmes affectés Adobe Flash Player versions 19.0.0.185 et 19.0.0.207 3 - Résumé Une vulnérabilité a été découverte dans Adobe Flash Player. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. Cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées. C'est une vulnérabilité exploitée le jour même de sa découverte : Zero Day 4 - Contournement provisoire Désactivez le plug-in Flash Player jusqu'à la mise à disposition d'un correctif par l'éditeur. Installer et configurer l'outil de sécurité EMET 5.2 sur toutes les versions de Windows supportées par EMET. EMET 5.2 (Microsoft EMET - Enhanced Mitigation Experience Toolkit) Vérifiez sans cesse quelle est votre version actuelle de Flash et mettez à jour Quelle est ma version de Flash Player et mise à jour de Flash Player utilisez, 1 à 2 fois par jour, l'outil de vérification et mise à jour de tous les plug-ins, dans tous les navigateurs, d'un seul clic Mise à jour de tous les plugins dans tous les navigateurs 5 - Documentation Article de Trend Micro du 13 octobre 2015 http://blog.trendmicro.com/trendlabs-security-intelligence/new-adobe-flash-zero-day-used-in-pawn-storm-campaign/
  8. Bonjour, Versions pirates de Malwarebytes Premium : Amnistie gratuite Malwarebytes offre une clé légale pour Malwarebytes Anti-Malware PREMIUM (le version complète, temps réel), valide 1 an, aux utilisateurs d'une version pirate de MBAM. C'est une " amnistie ". Plus d'explications : http://assiste.forum.free.fr/viewtopic.php?f=162&t=28319&p=169119#p169119 Cordialement
  9. Pierre (aka Terdef)

    [Info] Tuto4PC : mise en demeure

    Bonjour, Pour moi, c'est quelque chose d'important qui vient de se produire en France. Le Conseil d'État, la plus haute juridiction administrative française, vient de décider de l'obligation de l'Opt-In, contre l'Opt-Out. Ceci est arrivé dans le cadre d'un litige entre une régie publicitaire (Tuto4PC.com) et une autre administration française, la CNIL (Commission Nationale de l'Informatique et des libertés). Dans cette affaire, le Conseil d'État français a été amené à se prononcer, à la demande de Tuto4PC.com Group. Le Conseil d'État confirme une première décision, en 2012, de la CNIL, et s’appuie sur un texte de loi qui nous permettrait de mettre à mal un pan entier des malveillances Internet. Le 14.04.2015, Tuto4PC.com Group annonce à ses actionnaires envisager de monter en Conseil de l'Europe. Des commentaires que j'ai pu voir, ceci est encore mal perçu dans ses conséquences car on y voit, pour beaucoup, un simple ralentissement des bundle, repack, etc. ... et on réduit cette décision à l'usage des adwares. Je pense que cela permet d'aller beaucoup plus loin. En particulier, l'obligation de consentement éclairé, l'obligation de ne pas faire de clause (contrat de licence) fourre-tout mais deux contrats séparés, etc. ... Un rappel des faits et une analyse Le Conseil d’État se prononce pour l'Opt-in contre l'Opt-out Comme il y a au moins 15 ans que je dénonce les Opt-Out, je suis assez sensible à cette décision et mon analyse est peut-être un peu optimiste. Vos avis sont les bienvenus. Cordialement
  10. Pierre (aka Terdef)

    Votre avis sur l'antivirus SmadAV ?

    Bonjour APT, Votre question est légitime mais c'est votre interprétation qui est sujette à critiques. Votre remarque est, malheureusement, celle que se font tous et chacun. La démarche, naturelle, avec le certain degré de confiance que l'on a tendance à accorder au Web, donne ceci : Je suis tombé sur le logiciel de sécurité Machin Version quarantedouze point 9. Je télécharge immédiatement Machin Version quarantedouze point 9 car je sais qu'il y a un degré d'insécurité sur le Web et je veux vérifier si mon ordinateur est propre. J'exécute Machin Version quarantedouze point 9. Machin Version quarantedouze point 9 me trouve de nombreuses malveillances, menaces, risques et problèmes. J'exécute alors mes outils habituels de sécurité qui ne trouvent rien. Donc Machin Version quarantedouze point 9 est meilleur que tous les trucs habituels. Je relance Machin Version quarantedouze point 9 et je lui demande de passer à la phase de désinfection. Là, Machin Version quarantedouze point 9 offre une période d'essai et une version gratuite, ce qui est très rare, donc rien à redire. Dans 99,999% des cas, la phase d'analyse seule est gratuite et la phase de décontamination passe par l'achat de la clé de licence. Machin Version quarantedouze point 9 vire toutes les cochonneries Je refais les analyse : plus rien ! Je deviens un fervent inconditionnel de Machin Version quarantedouze point 9 qui est donc le seul à être capable de détecter virus@carambouille.a, trojan@fictif.2015 et jtembrouille.backdoor.NSA@128bits. J'achète la version commerciale et je vais recommander Machin Version quarantedouze point 9 partout, devenant ainsi un fervent zélateur de Machin Version quarantedouze point 9. Je ne vous critique pas. C'est la démarche de tous et chacun. Elle est naturelle et part d'une nature bienveillante et louable où l'on signale aux autres ses bonnes trouvailles. Il n'y a que deux petites faille, à laquelle personne ne pense, car tout le monde pense que le Web est une zone de confiance : Et si Machin Version quarantedouze point 9 m'avait raconté des cracks ? Et si les malveillances et menaces détectées n'étaient que des trucs fictifs. Et si Machin Version quarantedouze point 9 que je ne connaissais pas il y a deux seconde, était un virus ? La preuve : vous avez exécuté Machin Version quarantedouze point 9 et vous venez maintenant nous voir, après l'avoir exécuté ! Car, le Web est un immense panier de crabes et je suis la nourriture de ces prédateurs. En une simple image animée, cela se passe, en substance, ainsi (mon Dieu, est-ce qu'un graphiste saurait améliorer cette horreur en gif animé que j'ai faite il y a 10 ou 15 ans - je ne suis pas graphiste !) On peut dire que vous avez eu de la chance avec SmaDav ! Je n'en avais jamais entendu parlé et, après quelques recherches, il entre immédiatement dans la Crapthèque car il met en œuvre de moyens de recherches de clientèle commerciale par des méthodes contestées (bundle). Un bon point : SmaDav dispose d'un forum de discussion avec la communauté, avec plus de 220.000 messages et plus de 100.000 membres (ces nombres peuvent être trafiqués mais on trouve des messages depuis 2009 et les deux domaines ont été enregistrés en 2008 et 2009 ). Un bon point : on peut noter que les domaines de SmaDav et de son forum sont bannis par des cybercriminels, comme dans le cas du vers W32.Avendog : voir http://www.symantec.com/security_response/writeup.jsp?docid=2010-042615-3423-99&tabid=2. SmaDav est, y compris et surtout la nouvelle version, 10, livré en bundle avec de nombreux logiciels. L'auteur a donc les moyens de se payer une régie publicitaire et fait montre d'un réel désir de vendre la version commerciale de son produit par tous les moyens, y compris par des moyens malhonnêtes, intrusifs, honnis par la communauté des internautes. SmaDav est donc un PUP - Potentially Unwanted Program et un Bundleware. Lire : Installer une application - Attention aux trucs indésirables livrés avec. Un PUP n'est pas un virus, c'est une exploitation du manque de vigilance des internautes. La version 10, actuelle semble propre, mais jusqu'aux versions 9, disponibles fin 2014, SmaDav était une véritable infection. Voir deux analyses multiantivirus et l'analyse rapide du produit sur : SmaDav dans la crapthèque. Cordialement
  11. Vulnérabilité dans le pilote Nvidia (02.03.2015) Aidez-vous de cette page et mettez vos pilotes à jour: Quels sont ma carte graphique et son pilote ? Mise à jour. Processeurs concernés, pilotes concernés et zones de téléchargement : Site nvidia Source(s) : Bulletin de sécurité Nvidia du 23 février 2015 1 - Risque(s) élévation de privilèges 2 - Systèmes affectés pilotes pour Windows XP, Windows Vista, Windows 7, et Windows Server 2008/2008 R2 3 - Résumé Une vulnérabilité a été corrigée dans le pilote Nvidia. Elle permet à un attaquant de provoquer une élévation de privilèges. 4 - Contournement provisoire Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). 5 - Documentation Bulletin de sécurité Nvidia du 23 février 2015 http://nvidia.custhelp.com/app/answers/detail/a_id/3634 Référence CVE CVE-2015-1170 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1170
  12. Pierre (aka Terdef)

    VirusTotal (gratuit) et quatre outils gratuits autour de VirusTotal

    Bonjour, Je remarque que VirusTotal n'accepte plus, depuis hier, les fichiers de plus de 64 MO alors qu'il était passé à 128 MO le 21.11.2014, en réponse à MetaScan qui venait de passer à 140 MO maximum. Je ne trouve aucune information nulle part à ce sujet. Est-ce que personne n'a encore fait cette remarque ? Cordialement
  13. Pierre (aka Terdef)

    [Résolu] IObit Malware Fighter2 vs Malwarebytes Anti-Malware (MBAM)

    Bonjour, Quelques mots en français à ce sujet : Malwarebytes Anti-Malware (MBAM) - Derrière le rideau Cordialement
  14. Pierre (aka Terdef)

    Appels aux helpeurs, MVPS et chercheurs

    Bonjour à tous, Une étude assez approfondie est en cours sur une branche d'Homo Sapiens appelée Homo imbecilis noreflectansis. Il serait utile que vous apportiez vos propres réflexions et études ou analyses de cette branche dont chacun a probablement étudié et disséqué plusieurs cas. Vos travaux et expériences seront publiés sous votre nom dans cette page : Homo imbecilis noreflectansis Cette nuit de la Saint Sylvestre n'est pas nécessairement propice à ces travaux de recherches pointus mais l'année prochaine, vos apports seraient les bienvenues. Bonnes fêtes de fin d'année et à l'année prochaine. Cordialement
  15. Pierre (aka Terdef)

    Peut-on installer un antivirus sur un portable Android ?

    Bonjour, Je crois qu'il y en a plus d'un. Il y en a même plus de trente ! Comparatifs antivirus Android Cordialement
×