Alerte PC Asus: risque de malware via le live update !

Bonjour le Monde !

Un hacker est parvenu à infecter le système de Live Update de Asus !

Asus a corrigé le problème et Kaspersky fournit un outil de vérification ici: https://shadowhammer.kaspersky.com/

Asus dit avoir prévenu les personnes concernées mais cela ne concerne que ceux qui se sont enregistrés et qui ont fourni des coordonnées exactes, évidemment.

Près d’un million d’utilisateurs sont concernés mais le malware ne ciblait “que” 600 PC via leur adresse MAC (adresse matérielle unique d’une connexion réseau); il s’agit de cette suite de chiffes hexadécimaux normalement affiché sur tout appareil avec une connexion réseau cablée et/ou WIFI et/ou Bluetooth.

L’attaque a commencé dans la 2e moitié de 2018, le malware a été découvert par Kaspersky en janvier 2019 et signalé à Asus le 31 janvier 2019.

Asus n’a pas prévenu ses utilisateurs tant que Kaspersky n’avait pas une solution qui est arrivée ce lundi 25 mars en même temps que l’annonce publique du problème.

Je conseille donc à tous les possesseur de PC, laptop, tablette et smartphone Asus de tester leur appareil via le lien ci-dessus.

Malware

Une deuxième raison pour laquelle j’écris cet article est de vous montrer que la détection et la résolution d’une attaque peut prendre beaucoup de temps; dans le cas présent, la détection est intervenue plusieurs mois après le début de l’attaque et il a encore fallu 3 mois supplémentaires pour fournir une solution définitive avec un outil de détection/nettoyage.

Il aura fallu longtemps ici car le hacker a utilisé un véritable certificat de Asus dérobé par d’autres moyens, certificat qui sert justement a identifier une “source sûre” !
Un certificat est par exemple utilisé pour sécuriser un site web et faire apparaître le fameux cadenas et l’utilisation du protocole de communication https (encrypté) plutôt que http entre le site web et votre navigateur internet. Il y a plusieurs sortes de certificats suivant l’usage et le degré de sécurité souhaités.

CCleaner a aussi subi une attaque du même genre en mars 2017 avec plus de 2,2 millions d’utilisateurs ayant téléchargé le programme infecté. Il aura fallu attendre septembre pour avoir une solution définitive. En Juin de cette même année 2017, CCleaner a été racheté par Avast (il appartenait à Piriform auparavant).
De ces 2.2 millions, 1.65 millions ont installé la version infectée de CCleaner qui a donc contacté le hacker (ou plutôt le groupe de hackers) via Internet mais seulement 40 ont été utilisés en août 2017 pour attaquer 11 sociétés (les particuliers comme nous n’intéressant pas ce groupe de hackers).
C’est un outil que je conseille et utilise toujours aujourd’hui mais je me souviens très bien de cette période où il était difficile de télécharger une nouvelle version de CCleaner. Le site actuel est, propriétaire actuel Avast oblige, plein de pub, essayant de vous faire acheter la version payante et il faut savoir comment faire pour télécharger la version gratuite sans passer par l’infâme site de téléchargement Download.com ! Enfin, il faut explorer et comprendre les réglages avancés pour désactiver la surveillance de l’espace disque en temps réel qui ne sert pas à grand-chose puisque Windows le fait déjà…
C’est la raison pour laquelle je n’utilise plus Avast ! Leurs produits gratuits sont bons mais trop “chiants” ! C’est aussi une des raisons de la disparition progressive des programmes gratuits…
Bla-Bla avait raison: la pub ? Beuuuuurk !

La leçon a retenir est que si une mise à jour ne veut pas se faire, il ne faut pas insister et attendre (parfois très patiemment) que cela refonctionne …

Li P’ti Fouineu vous salue bien !

Source: article WIRED du 25 mars 2019

 

Alertes de Février !

Bonsoir le Monde !

J’essaie de faire plus moins long mais parfois plus souvent ou souvent parfois plus !
Si il y en a une ou un qui a compris, qu’elle ou il se serve un bon grog !

Quelques alertes qu’il me semble important de vous signaler !

Voilà pour les alertes brèves ! En voici une autre mais avec quelques explications:

Une attaque d’envergure mondiale a lieu ou a eu lieu ou va avoir lieu contre l’Internet ! Les pirates ont attaqué les serveurs DNS (serveurs de noms) de l’ICANN de sorte que sans le savoir vous passez peut-être par un serveur des pirates qui peuvent bien évidemment capturer tout ce qui transite entre votre PC, tablette ou Smartphone et le site visité, que ce soit celui de votre banque ou un autre !

 

DNS, kesako ? Comment est-ce possible et en quoi est-ce dangereux pour moi ?

Les serveurs de noms ou DNS (Domain Name Server) transforment le nom d’un site en une adresse Internet compréhensible par l’ordinateur !
Exemple: je veux aller sur http://www.google.be; votre ordinateur va s’adresser à un serveur DNS pour connaître l’adresse Internet de ce site pour pouvoir s’y connecter et afficher la page d’accueil du site en question.
Absolument tous les appareils qui se connectent à Internet utilisent les DNS !

Si ce serveur DNS est compromis à cause d’une faille de sécurité, un pirate peut changer l’adresse correspondant au site que vous souhaitez visiter et notamment vous faire passer par un serveur pirate avant de vous faire parvenir sur le site souhaité. Le serveur pirate se trouve alors entre vous et le site que vous souhaitez visiter et peut donc enregistrer tout ce qui passe y compris vos mots de passe, numéros de carte de crédit … Tout quoi !
Les SSL (https) et autre VPN ne vous protègent pas contre ce genre de piratage.

Le pire, c’est que vous ne vous rendez compte de rien puisque votre site s’affiche apparemment normalement, parfois un poil plus lentement, et que le nom du site qui apparaît dans la barre d’adresse de votre navigateur est le bon !
Pour rappel, votre navigateur, c’est Google Chrome, Firefox, Edge, Opera ou autres…
Comme cette fameuse adresse retournée par un serveur DNS (ex: 172.217.18.195 pour google.be) n’est jamais affichée par votre navigateur, vous n’avez donc aucune chance de détecter la supercherie ! Et ce d’autant plus que les sites du genre Google ou autre grosse pointure devant servir beaucoup de visiteurs ont plusieurs adresses…

Les serveurs de noms sont organisés en arborescences avec à la base, les serveurs DNS dits “racines” avec qui se synchronisent tous les autres (en simplifiant très fort). C’est l’ ICANN qui gère ces serveur DNS racines et ce sont ceux-là qui ont été attaqués. Il est déjà arrivé par le passé que l’Internet soit presque complètement bloqué à cause d’une autre attaque d’ampleur qui visait à empêcher ces serveurs de remplir leur rôle (attaque par DDOS).
On voit bien qu’il ne s’agit pas ici du même type d’attaque, les pirates n’ont ici aucune envie de bloquer Internet…

Personne ne sait ce que les pirates vont faire des informations capturées ni qui ils sont et c’est la raison pour laquelle on considère que l’attaque est toujours en cours malgré que ces serveurs DNS aient maintenant été modifiés et protégés contre ce piratage précis.

Il est très difficile de se protéger de ce genre d’attaque et vous ne pouvez qu’adopter un comportement réfléchi pour surfer sur Internet comme:

  • Effectuer les mises à jour de votre appareil (même si ça aussi ça peut foutre le brun)
  • Changer vos mots de passe de temps en temps (c’est l’occasion d’essayer une phrase…)
  • Vérifier que votre antivirus se met bien à jour et que l’agent web est actif. Pour Android, PC, IOS et Mac. Quoi Linux ? C’est pour bientôt sans doute…
  • Utilisez une extension de blocage de pub réputée (Disconnect, Ghostery ou uBlock) pour votre navigateur Internet mais sans virer parano (il ne sert à rien d’en installer toute une collection). N’oubliez pas que ce genre de protection peut empêcher un site de s’afficher et qu’il faut donc apprendre à s’en servir; relire mon article https://ecollart.xyz/pourquoi-certains-sites-internet-sont-bloques-et-pas-dautres/ à tête reposée …
  • Effacer régulièrement la cache de votre navigateur (y compris les cookies); c’est ce qui se souvient des pages déjà visitées (y compris leurs adresses)
  • Éteignez votre PC ou appareil de temps en temps plutôt que de le mettre en veille pour effacer entre autres la cache du client DNS. C’est ce qui se souvient des anciennes adresses demandées au DNS
  • Fuir les sites bizarres… Ouaich, c’est plus facile à dire qu’à faire; c’est quoi un site bizarre ?
  • Utiliser une carte de débit pour vos paiements sur Internet (Bpost paid, une de votre banque, Revolut, etc…) et pas une carte de crédit ni votre carte de banque !

Comme vous ne savez pas vraiment faire grand-chose contre ce genre de plaisanteries, que cela ne vous empêche pas de dormir mais il me semblait important de vous en informer car je n’ai pas entendu de tam-tam sur le sujet et ça me parait un peu bizarre …

Savez pas la meilleure ? Il n’y aurait qu’un risque d’attaque ! Voir l’article du Monde.

Ouf ! On l’a échappé belle ! Au moins, si ça arrive, vous comprendrez le pourquoi du comment ou l’inverse…
Comment vous dites ? C’est arrivé ou c’est pas arrivé ? Qu’est-ce que j’en sais, moi ! Comme dirais Julos: même dans les anges, on ne peux pas avoir confiance !

Li P’ti Fouineu vous salue bien !

 

Pourquoi certains sites Internet sont bloqués et pas d’autres ?

Bonjour le Monde !

Houlà ! En voilà une vaste question !!!!!

Mais il faut bien que je m’y mette puisque deux personnes m’ont signalé ne pas pouvoir voir mon site en cliquant sur le lien du mail que je vous envoie !

Tout d’abord, pour voir mon site quand même en attendant que je trouve une meilleure solution, il suffit de l’ajouter dans la liste des sites à ne pas bloquer dans votre bloqueur de pub; ici il s’agissait de uBlock mais d’autres pourraient venir !

Je ne fais aucune publicité sur mon site mais les anti-pub ont évolué avec un spectre d’application beaucoup plus large que juste le blocage des publicités…

Voilà pour la partie facile…

Essayons maintenant d’expliquer pourquoi ça se passe tout d’un coup et que ça marchait très bien le jour avant !

  • Chaque site a plus ou moins beaucoup de “mouchards” ou “pisteurs” le plus souvent pour de bonnes raisons mais pas toujours ! Exemple: un site gratuit fait de la pub pour pouvoir payer l’hébergement (le fait que le site soit disponible sur Internet). Flûte et zut, ça continue de se compliquer !
  • Chaque navigateur Internet (Firefox, Chrome, Edge, etc…) et chaque anti-pub (uBlock, µBlock, ADBlock, Ghostery, Disconnect, etc…) a sa propre idée de ce qu’il faut bloquer ou pas et les réglages proposés doivent pouvoir tenir compte de votre degré de parano pour vous plaire ! Ces réglages évoluent avec le temps et les nouveaux dangers découverts. Allez-y donc vous y retrouver !
  • Quand ces 3 composants ne sont pas d’accord, le site ne s’affiche plus et vous recevez souvent une explication totalement incompréhensible pour une personne normalement constituée et qui fait donc peur à l’écran !

Firefox est de loin le meilleur navigateur Internet qui existe car respectant votre vie privée et mettant votre sécurité (et celle de vos données sur votre PC) au premier plan ! C’est par exemple le seul qui permet d’exécuter Facebook dans une espèce d’environnement fermé minimisant ce que Facebook peut tracer de vous ! Il faut pour cela installer l’extension Facebook Container.
Le revers de la médaille est de rendre aujourd’hui la navigation sur Internet un peu plus difficile.

Prenons mon site https://ecollart.xyz comme exemple:

  • La page d’accueil présente les 3 derniers articles avec, sous chaque article, des boutons permettant de partager l’article sur les réseaux sociaux !

Déjà ici, si vous utilisez Firefox avec les réglages par défaut ou un navigateur avec l’extension Disconnect et ses réglages par défaut, vous ne voyez pas les boutons de partage ! J’ai fais un article là-dessus. En fait, Firefox utilise Disconnect en interne.
La raison de ce filtrage est que ces boutons de partage lancent une requête vers un domaine lockerz sans vous demander votre avis ! L’éditeur AddToAny ne m’a pas répondu sur ce point.
La solution à appliquer est donc de changer mon plugin de boutons pour un autre et c’est en test car il doit rester compatible avec tout le reste et ne pas amener d’autre problème…

  • Toujours sur la page d’accueil, il y a un “widget” de traduction Gtranslate qui utilise la traduction Google

Certaines protections réglées en mode strict voient cela comme un mouchard (à raison) et peuvent bloquer mon site pour cette raison.
Il existait une alternative mais qui utilisait Bing et présentait donc le même problème. Cette alternative est obsolète aujourd’hui (je l’ai utilisée un temps sur mon site quand Microsoft était moins intrusif que Google).
J’attends impatiemment de voir ce que Deepl ou d’autres vont peut-être proposer un jour mais je n’ai pas de solution aujourd’hui à part retirer ce traducteur et laisser tomber mes admirateurs et admiratrices de la galaxie d’Alpha du Centaure !

La solution à ces problèmes est de s’aventurer dans les réglages de Firefox ou de votre extension de filtrage de pubs et de mouchards, pisteurs, traqueurs et autres (voir plus bas)

Vous savez voir mon site depuis le navigateur mais pas en cliquant sur le lien dans le mail

  • le soucis provient de redirections multiples causées par ma méthode d’envoi et vue comme une tentative d’interception par, notamment, uBlock qui est un très bon programme !

Qu’est-ce qu’il dit le monsieur ?
Accrochez-vous à vos baskets, je tente une explication:

  1. Je publie un nouvel article dimanche soir sur mon site. Jusque-là, je pige !
  2. ce qui fait exister mon site est un programme de publication de blog appelé WordPress. Mwouais, bon, ok…
  3. WordPress utilise des plugins pour ajouter des fonctionnalités suivant mes désirs ! C’est-y pas beau ça ?
  4. Pour faire la newsletter, j’utilise le plugin Mailpoet2. Ouais ben c’est pas moi qui choisi le nom …
  5. Le lundi matin vers 10 heures, Mailpoet2 fabrique une nouvelle newsletter car il y a un nouvel article depuis hier (voir point 1)
  6. Les liens utilisés dans l’article sont adaptés pour passer par une page de Mailpoet (sur mon site) pour pouvoir faire de statistiques (combien qui ouvrent la newsletter et combien qui cliquent) – Ce point est capital pour comprendre le problème !
  7. Cette newsletter doit utiliser le mail pour être envoyée mais mon hébergement ne fournit pas ce service de façon fiable; pas de bol !
  8. J’utilise donc un service d’envoi de mail extérieur qui s’appelle SendGrid et qui fait subir un traitement similaire aux liens de la newsletter pour les mêmes raisons, cette fois vers une page sur le site de SendGrid.
  9. Le plugin Mailpoet2 envoie donc cette newsletter via SendGrid à tous les abonnés du site y compris moi ce qui fait une dizaine de personnes
  10. Le lundi soir, j’ouvre mon mail et je vous transfère la newsletter via mon mail ecollart@brusseler.com; vous êtes un peu plus de 100 personnes.

Et donc, vos protections anti brolware, n’aiment pas de voir ce mail venant de Brusseler, vous renvoyant vers SendGrid qui à sont tour vous renvoie vers MailPoet2 qui enfin vous renvoie vers l’article ou la page d’accueil de mon site !

La solution est bien entendu de réduire le nombre de renvois (burps, pardon, de rebonds ou de redirections) mais je n’ai pas encore trouvé comment faire.

Les possibilités de solution sont:

  • Utiliser Mailpoet3 et son service mail mais il est bien entendu payant !
  • Trouver un autre plugin de newsletter qui ne ferait pas de redirection (= pas de statistiques ni de gestion des abonnés) mais ils font tous cela…
  • De me passer totalement de Mailpoet2 et de n’utiliser que SendGrid pour faire la newsletter et l’envoi mais c’est plus de boulot (1 redirection de moins)
  • Trouver un hébergeur pas trop cher avec un service mail digne de ce nom et me passer de SendGrid (1 redirection de moins)
  • Faire des 100 destinataires du mail des abonnés de la newsletter du blog alors qu’ils ne l’ont pas choisi jusqu’ici et je comprends qu’ils n’aient pas envie d’être inscrits à un truc supplémentaire qui détiennent leurs informations mail. Mon site n’est pas plus protégé qu’un autre même si j’y mets ma meilleure volonté…
  • Que chacun réussissent à adapter les réglages de leurs protections de navigation pour permettre de continuer comme avant sans pour cela déforcer ces mêmes protections…
  • Ne plus envoyer de mail et vous ne saurez plus quand il y a un nouvel article… (qui a dit: “Chouette alors !”)

Bref, attendez-vous à du changement tôt ou tard autour de la newsletter afin de ne plus être enquiquiné avec ces soucis qui nous retire le confort d’une navigation sereine sur un Internet plus sûr !

Ma conclusion à moi c’est que tout est fait pour tuer les petits en rendant tout très compliqué et en tuant au passage le gratuit qui est pourtant à la base du succès d’Internet et de son indépendance d’idée en permettant vraiment à tous de s’exprimer ! En Wallon, on dit: C’est todi li p’tit qu’on spotche !

Comme disait Bla-Bla: La Pub ? Bwaaaaaaa ! et salut à la tarte-mère !

Li P’ti Fouineu vous salue bien !


PS: en attendant mieux, voici comment éviter les blocages sur mon site:

  • Firefox: Réglages (les 3 traits horizontaux en haut à droite) – Blocage de contenu – Personnalisé – cochez Traqueurs (pas cookies)
  • uBlock: si message d’erreur après clic dans mon mail, Clic sur l’icône – Clic sur le gros bouton bleu => juste ce site est mis en liste blanche (pas de filtrage)

Comme cela va vous arriver avec d’autres sites, chercher sur Internet comment gérer votre outil de protection:

On trouve aussi de plus en plus de Navigateurs Internet basés sur Firefox ou Chrome mais qui incluent déjà ces protections comme par exemple Cliqz ! Chacun ayant ses propres réglages qu’il faudra aussi apprendre à gérer…

Mise à jour: depuis l’écriture de cet article, j’ai remplacé les boutons de partage sur réseaux social AddToAny par le plugin Sassy Social Share qui ne présente pas de soucis avec Diconnect ni uBlock ni Ghostery !

 

1 2 3 27