Six questions pour tout comprendre sur la cyberattaque mondiale NotPetya

Créé le 28. June 2017, 20:28 | Catégorie: Press

Une nouvelle attaque de ransomware a frappé les entreprises du monde entier. Les chercheurs en sécurité ont d’ores et déjà décortiqué une grande partie du malware. Voici les principaux enseignements.

Que s’est-il passé ?

Le 27 juin, une vague d’attaque de ransomware a frappé des dizaines de milliers d’ordinateurs dans plus de 65 pays. L’Ukraine et la Russie ont été les plus touchés. Certaines entreprises françaises ont également été impactées, comme Saint-Gobain ou la SNCF, ce qui a suscité l’ouverture d’une enquête du parquet de Paris. (…)

Récupère-t-on les données après avoir payé la rançon ?

Non. Le processus de déchiffrement est totalement inopérant depuis que l’hébergeur allemand Posteo a désactivé l’unique adresse email que devait utiliser les victimes pour confirmer le paiement de la rançon. Sans cette confirmation, les pirates ne peuvent pas identifier le payeur et donc envoyer la clé de chiffrement, si toutefois ils avaient jamais eu l’intention de le faire.

Pour sa part, le chercheur en sécurité Matt Suiche estime que le message de rançon n’est qu’un leurre pour alimenter la machine médiatique et que le véritable objectif de cette attaque est le sabotage. D’après son analyse, les données de la zone d’amorçage ne sont sauvegardées nulle part, mais simplement remplacées par autre chose.

Le disque serait donc de toute façon irrécupérable. « La version actuelle de Petya a été réécrite pour être un wiper, et non un ransomware », souligne l’expert. (…)

Lien vers l'article

Actualisation : Petya visait une destruction des données

Créé le 27. June 2017, 18:30 | Catégorie: Blog

Actualisé le 3 juillet 2017 à 17:00 :

Des entreprises leader dans le secteur de la sécurité considèrent maintenant que Petya (aussi connu sous le nom “Petrwrap” ou “NotPetya”) visait une destruction des données. Apparemment, Petya s’est fait passer pour un logiciel de rançon mais n’avait pas pour objectif final d’extorquer de l’argent. Les analyses des entreprises de sécurité informatique Kaspersky et Comae Technologies ont montré que le logiciel de rançon ne chiffre pas les données des systèmes affectés mais les efface. Il semble que Petya écrase les données de manière irréversible, rendant ainsi leur restauration impossible.
Depuis le début, le paiement d’une rançon ou la prise de contact avec les agresseurs par les personnes concernées par l’attaque auraient été inutiles.(Vous pouvez également vous référer aux recommandations des autorités.)

Nous avions immédiatement fermé l’adresse Posteo en rapport avec cette attaque avant que la vague ne se propage. Les agresseurs n’ont pas remplaçé l’adresse bloquée par une autre adresse.

27 juin 2017 à 18:30 :

Informations sur le logiciel de rançon (ransomware) PetrWrap/Petya: la boîte mail concernée était déjà bloquée depuis ce midi

Ce midi, nous avons appris que des arnaqueurs utilisant un logiciel de rançon (ransomware) indiquent actuellement une adresse Posteo comme contact.
Notre équipe anti-abus a tout de suite effectué une vérification puis immédiatement bloqué cette boîte mail. Nous ne tolérons aucun usage frauduleux de notre plateforme : le blocage immédiat des boîtes mail utilisées à des fins malveillantes est un procédé couramment utilisé par les fournisseurs d’accès dans ce genre de cas.

Au cours de l’après-midi, il s’est avéré que le logiciel de rançon “PetrWrap/Petya” se propageait rapidement, notamment en Ukraine.

Voici ce que nous pouvons d’ores et déjà dire sur “PetrWrap/Petya” :
- Dès midi, les arnaqueurs ne pouvaient plus accéder à la boîte mail ou envoyer des e-mails.
- Il n’est plus possible d’envoyer d’e-mails à la boîte mail concernée

Nous sommes en contact avec le bureau fédéral de la sécurité informatique (Bundesamt für Sicherheit in der Informationstechnik).

Qu’est-ce qu’un logiciel de rançon (ransomware) ?
L’expression “logiciel de rançon” (ransomware) désigne des logiciels malveillants qui s’installent sur un appareil via un clic sur des liens ou des pièces jointes contaminés. Cela survient surtout quand l’appareil est mal protégé, par exemple quand des logiciels qui y sont installés n’ont pas été actualisés depuis longtemps. Le logiciel malveillant empêche l’accès aux données et systèmes et l’utilisateur concerné est incité à payer une rançon pour retrouver l’accès à ses données. Cependant, le paiement permet rarement de retrouver l’accès aux données.

Bien cordialement,
l’équipe Posteo

Nouveau : service de migration Posteo également pour les calendriers

Créé le 13. June 2017, 17:40 | Catégorie: Info

Chères clientes, chers clients Posteo,

nous avons élargi notre service de migration Posteo : dès maintenant, vous pouvez non seulement transférer confortablement vos boîtes mail et vos carnets d’adresse vers Posteo, mais aussi vos calendriers.

Le service de migration élargi vous permet d’importer vos calendriers depuis des fournisseurs comme gmx, web.de, Gmail, Aol ou iCloud vers Posteo.

Voilà comment cela fonctionne : vous trouverez le service de migration dans les paramètres de votre boîte mail, dans « Mon compte ». Lorsque vous y démarrez un nouveau service de migration, non seulement les dossiers de messages et le carnet d’adresse de votre boîte mail précédente sont affichés, mais aussi les calendriers. Un simple clic suffit pour sélectionner confortablement les données que vous souhaitez transférer vers Posteo. Vous décidez vous-même si vous effacez vos données chez votre fournisseur précédent après la migration.

La particularité du service de migration Posteo :
il est disponilbe sans supplément de prix, vous n’avez pas besoin de connaissances techniques particulières et vous gardez le contrôle sur vos données. Nous ne recourons pas aux prestataires de services de migration pour le transfert des données. Pour cela, vos données sensibles d’e-mail, de carnets d’adresse ou de calendriers ne sont à aucun moment acheminées par le biais de prestataires externes. Nous avons nous-mêmes développés notre service de migration afin qu’il corresponde à nos hautes exigences de sécurité et de minimisation des données : vos données sont consultées par nous directement chez votre fournisseur précédent et importées dans votre boîte mail Posteo via des connexions chiffrées.

C’est également pour protéger vos donnés que nous n’enregistrons pas, entre autre, l’adresse e-mail depuis laquelle vous avez importé des données dans votre boîte mail Posteo.

Si vous avez des questions respectif à la migration de vos données de calendrier ou au service de migration en général, n’hésitez pas à contacter notre service client.

Meilleures salutations
l’équipe Posteo

Alerte de sécurité pour les utilisateurs de Mailvelope dans Firefox

Créé le 04. May 2017, 17:00 | Catégorie: Blog

Chères utilisatrices, chers utilisateurs de Mailvelope,

nous adressons cet avertissement de sécurité à tous ceux qui utilisent l’extension de chiffrement Mailvelope dans Firefox.

Nous avons fait effectuer un audit de sécurité actuel de Mailvelope. Ce dernier a permis de détecter une faille critique dans l’interaction entre le navigateur Firefox et Mailvelope. Dans certaines circonstances, l’architecture de sécurité de Firefox permet aux agresseurs d’accéder à la clé privée de l’utilisateur par le biais d’extensions compromises. Pour cette raison, nous demandons à tous les utilisateurs de Mailvelope dans Firefox de lire attentivement les recommandations de sécurité ci-dessous.

Les utilisateurs de Mailvelope chez tous les autres fournisseurs de messagerie (comme Gmail, Yahoo etc.) sont également concernés.

L’architecture de Firefox n’isole pas suffisamment les extensions les unes des autres. Cela est connu depuis des années. Or, le fait que même les clés privées d’un utilisateur de Mailvelope peuvent être compromises lors d’ une attaque ciblée n’avait pas encore été prouvé. Les ingénieurs de sécurité de Cure53 que nous avons mandatés ont pu le démontrer. Auparavant, cure53 a déjà audité Mailvelope dans Chrome : mandatés par nous, les ingénieurs ont maintenant pour la première fois examiné l’extension dans son interaction avec Firefox. Dans leur rapport d’enquête, ils concluent que Firefox ne constitue actuellement pas un environnement approprié pour Mailvelope. Ils déclarent :

« En conclusion, l’équipe de Cure53 ne peut recommander l’utilisation de Mailvelope dans Firefox en bonne conscience. »

Faille présente jusqu’en novembre 2017

Après l’audit de sécurité, nous en avons informé le développeur de Mailvelope, Thomas Oberndörfer. Il ne peut cependant pas réparer la faille puisque elle est causée par l’architecture de Firefox. Depuis quelque temps, une nouvelle architecture de Firefox est développée. Mozilla prévoit d’achever les travaux d’ici novembre 2017 avec la sortie de Firefox 57. Thomas Oberndörfer travaille également sur une version de Mailvelope adaptée à l’architecture améliorée de Firefox. Nous le remercions pour son travail de développement.

Jusqu’à ce que Mozilla ait adapté l’architecture, les recommandations de sécurité suivantes s’appliquent :

1ère option : en attendant, utilisez un autre logiciel : vous pouvez soit utiliser Mailvelope dans un autre navigateur, soit utiliser PGP avec un client de messagerie local. Dans notre rubrique d’aide, vous trouverez plusieurs articles sur ce sujet.

2ème option : sinon, un profil Firefox réservé à Mailvelope minimise le risque de façon transitoire. Dans notre rubrique d’aide, nous avons publié des instructions pas-à-pas pour créer des profils dans Firefox : instructions pour Mac instructions pour Windows. Les utilisateurs de Mailvelope ayant un autre fournisseur de messagerie peuvent également suivre ces instructions. Veillez à respecter absolument les recommandations de sécurité suivantes afin de minimiser le risque d’une attaque efficace :

  • n’installez aucune autre extension dans le nouveau profil du navigateur.
  • Utilisez le profil de Firefox pour votre communication chiffrée avec Mailvelope uniquement : n’ouvrez que la messagerie en ligne de votre fournisseur de messagerie et n’ouvrez jamais d’autres sites internet dans ce profil.
  • Choisissez également le mot de passe le plus sûr possible pour votre clé PGP.
  • Veillez à ne pas installer d’autres extensions par inadvertance (notamment par hameçonnage) qui pourraient vous attaquer.

Compte tenu des problèmes dans l’architecture de Firefox, nous vous conseillons ce qui suit :

  • réduisez au minimum l’utilisation d’extensions dans votre navigateur Firefox jusqu’à ce que Mozilla ait modifié son architecture.
  • En créant un compte d’utilisateur supplémentaire et séparé dans votre système d’exploitation pour votre communication chiffrée de bout en bout, vous vous protégez encore mieux des attaquants potentiels.

Pour des raisons de transparence, voici les recommandations du rapport d’enquête de Cure53 :

« On peut recommander deux méthodes aux utilisateurs qui se fient à Mailvelope pour le cryptage de données très sensibles. Premièrement, ils peuvent utiliser Mailvelope dans un profil de navigateur dans lequel Mailvelope est la seule et unique extension installée sans autres extensions. Deuxièmement, ils devraient recourir à d’autres logiciels, par exemple Thunderbird avec Enigmail. »

« Il est actuellement recommandé à tout utilisateur de Mailvelope sous Firefox d’exporter ses paramètres Mailvelope, de supprimer Mailvelope de Firefox et d’importer les paramètres Mailvelope dans Mailvelope installé au préalable dans Google Chrome. Sinon, Mailvelope peut être utilisé dans un profil de navigateur séparé, à condition qu’aucune autre extension soit installée pour minimiser le risque de vol de clés. »

Les ingénieurs de sécurité mandatés par Posteo ont trouvé la faille

Au quotidien, nos clients utilisent différents appareils, navigateurs et extensions dans leurs environnements locaux. La sécurité de la communication de nos clients est très importante pour nous. C’est pourquoi nous faisons régulièrement examiner des composants standard externes, à la recherche de failles. Nous travaillons, entre autres, avec les experts de sécurité informatique de Cure53 qui ont trouvé la faille dans Mailvelope sous Firefox.

Le docteur Mario Heiderich (Cure53) explique :

« Le problème se trouve actuellement dans l’architecture. Pour cela, il n’y a pas de solution facile. Mozilla le sait, mais doit aussi maîtriser le grand écart difficile entre les changements radicaux et les décisions pondérées qui semblent souvent lentes. Mais on va dans la bonne direction, ce qui est tout à fait positif pour un logiciel complexe.»

Thomas Oberndörfer (Mailvelope) dit :

« Bien entendu, Mailvelope dépend de la sécurité de la plateforme de navigateur sous-jacente. Les failles dans le système d’extensions de Firefox sont connues depuis un moment. Il est d’autant plus appréciable que Mozilla fasse maintenant des ajustements. Les audits de sécurité comme celui qu’a effectué Posteo sont pour nous un indicateur important pour savoir comment améliorer Mailvelope. »

Le rapport d’enquête sera publié après la réparation de la faille

Il est prévu que Mozilla répare seulement la faille décrite ci-dessus en novembre 2017. C’est pour cela que, par mesure de sécurité, nous ne publierons le rapport d’enquête à une date ultérieure. Le rapport décrit précisément une attaque qui pourrait fonctionner. Le rapport est déjà à disposition de Mailvelope ainsi que de l’office fédéral allemand pour la sécurité en matière de technologies de l’information (le « BSI »).

L’audit de sécurité a également démontré des résultats positifs pour Mailvelope que nous voudrions mentionner ici : on a vérifié si les fournisseurs de messagerie avec lesquels Mailvelope est utilisé pourraient accéder à la clé privée des utilisateurs de Mailvelope enregistrée dans le navigateur. Cela n’était pas le cas. Toutes les autres tentatives des ingénieurs de sécurité d’accéder aux clés privées enregistrées dans Mailvelope en tant que fournisseurs de sites internet ou en tant qu’attaquants de type « Homme du milieu » n’ont également pas abouti.

La faille montre que l’open source augmente la sécurité

Pour des raisons de sécurité, nous prenons en charge uniquement des composants open source ayant un code transparent, comme l’extension de chiffrement Mailvelope. Selon nous, un code transparent est essentiel pour la sécurité et le contrôle démocratique sur Internet : des experts indépendants peuvent à tout moment identifier des failles ou des portes dérobées grâce à une analyse du code, comme dans le cas actuel. Ainsi, on n’est plus obligé de se fier aux déclarations de sécurité d’un fournisseur ou d’un développeur. Avec les audits de sécurité que nous mandatons, nous souhaitons contribuer à augmenter la sécurité des composants open source courants et du véritable chiffrement de bout en bout.

Meilleures salutations,
l’équipe Posteo

Nouveaux certificats de sécurité

Créé le 17. January 2017, 10:46 | Catégorie: Info

Chères clientes et clients Posteo,

dans les prochains jours, nous allons actualiser nos certificats de sécurité. Les certificats de sécurité ont une durée de validité limitée et doivent être renouvelés régulièrement.
Pour cela, nous les échangerons jusqu’au 22 janvier 2017. Nous continuerons d’utiliser les certificats de Geotrust et de la Bundesdruckerei (D-Trust).

Dans la majorité des cas, vous ne remarquerez pas l’échange de certificats.
Tous les programmes comme Thunderbird ou Outlook trouveront automatiquement le nouveau certificat. Vous n’avez rien besoin de faire. Au cas où votre programme vous signale une erreur de certificat durant le
processus de transition, le redémarrage de votre programme devrait corriger l’erreur.

Si vous réglez la confiance aux certificats manuellement, vous trouverez ci-dessous les empreintes digitales des nouveaux certificats que nous utiliserons bientôt. Les empreintes digitales se trouvent également
dans nos mentions légales.

Nouvelles empreintes digitales des certificats de sécurité TLS

Geotrust:
SHA256: 30:2A:06:B8:CF:A8:5B:93:66:5A:44:66:E2:BB:84:05:FE:80:95:3F:5A:FE:D1:08:DB:3B:B0:0D:7C:42:B4:39
SHA1: BD:16:71:84:B0:B1:40:D9:0A:65:99:8C:E6:7B:01:D6:AA:5B:8B:67
MD5: 55:F5:81:51:91:CD:88:64:14:D5:AA:E2:D5:2E:2C:AB

D-Trust:
SHA256: 06:48:D6:E4:D3:79:42:79:81:77:0F:49:88:43:D7:65:EE:A8:6F:1F:12:6F:72:11:8F:A9:4C:A9:66:34:FE:B5
SHA1: 79:DB:A0:A9:57:D9:30:FA:EF:5F:72:69:FB:1B:EA:06:90:27:9F:4D
MD5: DA:59:74:62:7C:D1:12:4E:15:41:25:37:9B:56:D0:58

Bien cordialement
l’équipe Posteo