L’analyse des rapports de plantage de Windows pourrait permettre de déceler des attaques persistantes avancées (APT, pour « Advanced Persistent Threat ») et de révéler ainsi des opérations de vol de données.
C’est l’un des principaux points abordés dans le livre blanc publié par les équipes de chercheurs de Websense Security Labs.
Les quelque 16 millions de rapports d’erreurs passés au crible sur une période de 4 mois a permis de détecter une campagne passée jusqu’alors inaperçue, ciblant une agence gouvernementale et un opérateur télécoms. Une deuxième APT a été découverte par ce même biais. Basée sur un dérivé du malware Zeus et sur la capture de données en mémoire, elle ciblait les terminaux points de vente (POS) des distributeurs pour voler des numéros de cartes bancaires.
Pour révéler ces menaces jusqu’alors inconnues, WebSense a cherché dans l’outil de rapport de Microsoft – aussi connu sous le nom de Dr Watson – des signatures de crash similaires à celles laissées, l’an dernier, par une offensive contre des industriels taïwanais et des institutions financières japonaises. Les premières recherches l’ont conduit à explorer la façon dont ces informations pourraient être exploitées pour améliorer la sécurité… et non plus la contourner.
Rappelons que sur ce dernier point, la société avait, début janvier, pointé du doigt une faille béante dans Dr Watson, qui envoie ses rapports en clair, sans chiffrer les données. Un pirate écoutant les transmissions sur le Net peut ainsi récupérer des éléments très utiles pour déterminer comment attaquer la machine visée : fabricant et modèle de l’ordinateur, version du BIOS, mouture de Windows, liste des mises à jour installées, détails des éventuels périphériques ayant provoqué le crahs, etc.
Menace numéro un pour les entreprises, les APT restent généralement implantées très longtemps dans les systèmes informatiques avant d’être détectées (quand elles le sont, comme le note Silicon.fr). En poussant ses investigations pour voir s’il était possible « de créer une nouvelle méthode pour identifier des menaces auparavant inconnues », Websense s’est convaincu que « même les attaques avancées laissent une trace ou des preuves ».
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?
Crédit illustration : Tesla – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…