Des ravages du trojan crypto-rançonneur Locky

La première victime connue est le Hollywood Presbyterian Medical Center, attaqué le 5 février 2016.

Si le responsable du centre médical a tenu à rassurer ses patients sur la totale sécurité des soins dispensés dans son établissement jusqu’au paiement d’une rançon d’environ 15000 euros, il est évident qu’il ne peut leur garantir qu’ils ne seront pas eux-mêmes victimes de chantages ou autres désagréments en conséquence du vol de leurs dossiers médicaux…

 

http://www.lematin.ch/high-tech/Gare-au-virus-Locky-qui-sequestre-vos-fichiers/story/27796795

Gare au virus Locky qui séquestre vos fichiers

Informatique

Ce virus fait actuellement des ravages, y compris en Romandie. La prudence est de rigueur. Voici à quoi il vous faut faire attention.

Par Laurent Siebenmann. Mis à jour le 18.03.2016
Des ravages du trojan crypto-rançonneur Locky dans Crime 2666346_pic_970x641

1/2 Voici le type de mail qui vous est adressé, contenant le virus Locky. Attention à ne surtout pas cliquer sur la pièce jointe. Et jetez vite fait ce mail à la poubelle!

Le Matin

Attention au virus Locky! Utilisant la même technique de vol de données que le cheval de Troie Dridex (les experts en sécurité pensent que le groupe à l’origine de Locky est lié à l’un des groupes qui contrôlent Dridex), il permet aux pirates informatiques de chiffrer vos données et vous en bloquer l’accès.

Le versement d’une rançon est ensuite exigé par les hackers, ceci afin que les victimes obtiennent la clé de déchiffrement qui leur permettra de récupérer les fichiers.

Evidemment, à la condition expresse que les pirates tiennent parole, sans quoi les fichiers sont simplement irrécupérables.

Des exemples? Aux Etats-Unis, le Hollywood Presbyterian Medical Center a été stoppé après une infection par le Locky. Une rançon de 17 000 dollars a dû être versée par l’établissement.

En Suisse romande, des journaux du groupe Tamedia (auquel appartient «Le Matin») ont également été visés par le virus. Sans conséquence jusqu’ici, heureusement.

Ce qui n’a pas été le cas d’une agence immobilière de l’arc lémanique dont l’entier des données (non sauvegardées) a été ainsi pris en otage par des pirates informatiques réclamant une rançon pouvant aller jusqu’à 1500 francs par ordinateur utilisé dans l’entreprise.

Que faire pour éviter Locky?

Le virus Locky vous parvient par un simple mail contenant un dossier Zip, avec un document Microsoft Word. Si vous ouvrez ce dernier, Locky est immédiatement activé.

Il est donc impératif de ne pas ouvrir les mails provenant d’une adresse inconnue ou à l’intitulé étrange. Direction poubelle, sans hésiter! Et puis rappelons que sauver ses fichiers régulièrement sur un disque dur externe est vivement conseillé.

Certains indices font penser aux spécialistes que les pirates qui contrôlent Locky ont organisé une large campagne d’attaque. Une extrême prudence est donc de rigueur.

(Le Matin)

Créé: 18.03.2016, 11h04

 

http://www.silicon.fr/ransomware-locky-inonde-france-fausses-factures-free-140742.html

Le ransomware Locky inonde la France, via de fausses factures Free Mobile

 

ransomware

Locky, un ransomware qui a récemment bloqué un hôpital à Los Angeles, cible en ce moment la France. Attention aux pièces jointes ressemblant à des factures et faisant appel à des macros !

Le ransomware Locky, à l’origine d’une attaque récente contre un hôpital à Los Angeles, est toujours actif et il cible particulièrement la France. Selon une analyse de l’éditeur Kaspersky, le malware, dont la société a identifié plus de 60 variantes à ce jour, serait en effet particulièrement diffusé en France et en Allemagne. Le CERT-FR, le centre d’alerte et de réaction aux attaques informatiques de l’administration hexagonale, confirme d’ailleurs cette analyse dans une note datée du 2 mars (sa première version date du 19 février). L’organisme indique constater une « vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible », des spams ayant pour objectif de diffuser le rançongiciel Locky.

Ce ransomware doit son nom au suffixe qu’il donne aux fichiers qu’il crypte (transformé en .locky). Classiquement, les cybercriminels demandent aux victimes de s’acquitter d’une rançon pour retrouver l’accès à leurs données devenues inaccessibles (entre 0,5 et 1 Bitcoin dans le cas présent, selon les données publiées par Sophos, un Bitcoin valant aujourd’hui quelque 360 euros).

Diffusion de Locky : haro sur les macros Office

Locky chiffre un grand nombre de fichiers, en particulier tous ceux ayant des extensions renvoyant à des vidéos, des images, des codes source et des fichiers Office. Il cible même le fichier wallet.dat, autrement dit le portefeuille de Bitcoin si l’utilisateur en possède un. Faute de sauvegarde de ce dernier et s’il renferme plus d’un Bitcoin, les criminels sont quasiment sûrs d’amener leur victime à payer la rançon !

La méthode de diffusion du malware est assez classique et rappelle celle utilisée pour un autre malware célèbre, Dridex : l’infection se dissimule, la plupart du temps, dans une pièce jointe à un e-mail, prenant par exemple l’apparence d’une facture. Sauf que ce fichier (très souvent un .doc) semble codé de façon inappropriée. C’est là que réside le piège : un message conseille alors à l’utilisateur d’autoriser les macros pour revenir à un codage plus adapté. Cette action permet d’installer sur le disque dur de la victime un fichier qui, à son tour, va aller télécharger le malware à proprement parler. Cette mécanisme à double détente, assez courant, permet aux hackers de modifier et de peaufiner leur malware au fil du temps, sans avoir à bouleverser leur procédure d’installation.

locky2

« Il est intéressant de noter que le message électronique a pour sujet « ATTN: Invoice J-<8 chiffres> » et la pièce jointe pour nom « invoice_J-<8 mêmes chiffres> ». Cette caractéristique peut permettre le blocage ou la mise en place d’alertes via les serveurs mandataires », écrit le CERT-FR. Ce dernier précise toutefois que la méthode de diffusion du malware peut varier : depuis le 29 février, l’organisme observe une nouvelle vague de pourriels prenant la forme de fausses factures Free Mobile, envoyées par e-mail (voir ci-dessus). Ces dernières renferment cette fois un fichier Javascript dont l’objectif est de télécharger Locky.Kaspersky Lab assure également avoir identifié d’autres méthodes de propagation, notamment via des pages web légitimes sur lesquelles le malware Locky est implanté. Lors d’une simple visite d’une de ces pages, Locky cherche à se diffuser sur le poste de l’utilisateur en exploitant d’éventuelles vulnérabilités logicielles présentes sur sa configuration. L’éditeur d’antivirus ajoute que, dans ses versions les plus récentes, le malware peut se présenter également « sous la forme d’une notification de fax ou de scanner ».

Attention à la propagation sur le réseau de l’entreprise

Une fois l’ordinateur infecté, un écran s’affiche, informant l’utilisateur du forfait et l’invitant à se connecter à des pages décrivant de la marche à suivre pour payer sa rançon et récupérer ses données (ci-dessous). Comme le rappelle Sophos, les effets d’un ransomware comme Locky peuvent être dévastateurs en entreprises, car le malware ne se contente pas de chiffrer le disque C: de sa victime. Il bloque aussi les fichiers des disques auxquels le poste a accès, y compris les disques amovibles, les serveurs de fichiers du réseau ou les machines de tiers (y compris sous Linux ou OS X). Dévastateur si la victime est connectée en tant qu’administrateur du domaine. Dans sa note, le CERT-FR recommande d’ailleurs, en cas d’infection, de « déconnecter immédiatement du réseau les machines identifiées comme compromises » et de « positionner les permissions des dossiers partagés en lecture seule afin d’empêcher la destruction des fichiers sur les partages ».

locky1

Locky a fait récemment la démonstration de sa dangerosité en bloquant les systèmes d’un hôpital de Los Angeles, le Hollywood Presbyterian Medical Center. Selon le New York Post, ce dernier a été contraint de verser 17 000 $ aux pirates – après négociation, les criminels réclamaient au départ plus de 3,5 M$ – pour obtenir les clefs de déchiffrement et retrouver l’accès à ses données.

Un ransomware qui rebondit grâce au Cloud

« 2016 est probablement l’année du ransomware. Au cours du seul mois de février, nous avons déjà dénombré autant de tentatives d’attaques contre nos clients que lors des cinq mois précédents cumulés », commente Marco Preuss, à la tête de l’équipe de recherche et de développement de Kaspersky Lab en Europe. L’éditeur a dénombré au cours du mois dernier plus de 40 000 tentatives d’infection par un ransomware chez ses clients.

Récemment, un autre rançongiciel écrit en PHP s’en est pris non plus aux postes de travail mais directement aux serveurs Web, preuve de la volonté des cybercriminels d’exploiter le filon partout où c’est possible. Par ailleurs, Netskope, éditeur spécialisée dans la sécurisation des applications Cloud, a récemment expliqué avoir détecté des phénomènes de diffusion de ransomware via le Cloud, au travers de la fonction de synchronisation de fichiers que ces services offrent à leurs utilisateurs.

A lire aussi :

Ransomware : un tiers des Français prêts à payer et seulement 188 €

Le ransomware prospère grâce à l’apathie des autorités

Ransomware : un retour sur investissement très lucratif

 

https://www.globalsecuritymag.fr/Kaspersky-Lab-a-identifie-a-ce,20160303,60214.html

Kaspersky Lab a identifié à ce jour plus de 60 variantes du ransomware Locky L’Allemagne et la France sont les pays plus touchés

mars 2016 par Kaspersky Lab

• Au total l’an passé, le nombre des utilisateurs attaqués dans le monde par des malwares ciblant des appareils Android a augmenté de 48,3%
• Kaspersky Lab a déjà recensé plus de 40 000 tentatives d’infection par un ransomware chez ses clients en février 2016
Le cheval de Troie de cryptage (ransomware) Locky est toujours en activité, et donc Kaspersky Lab en a identifié à ce jour plus de 60 variantes. Selon les analyses de la société, les internautes allemands et français sont les plus exposés à ce risque, suivi par l’Afrique du Sud, l’Autriche, l’Italie, les Etats-Unis, la Chine et l’Inde [1].

Locky utilise en particulier deux vecteurs d’attaque. Il arrive notamment sur l’ordinateur par le biais de fausses factures jointes dans un courriel. Dès que le document est ouvert, le logiciel malveillant est téléchargé à partir d’Internet, à condition que les macros nécessaires pour l’infection soient activées. Par ailleurs, Kaspersky Lab a identifié des pages web légitimes sur lesquelles le malware Locky a été implanté. Lorsqu’un utilisateur visite l’une de ces pages et que les vulnérabilités logicielles correspondantes sont présentes sur son ordinateur, Locky tente de s’installer automatiquement sur ce dernier. Dans les versions les plus récentes, le malware se présente également sous la forme d’une notification de fax ou de scanner. Une fois que Locky [2] s’est frayé un chemin sur l’ordinateur infecté, le cheval de Troie entame ses activités de cryptage puis exige de sa victime une rançon [3].

« Les criminels qui se cachent derrière le ransomware Locky cherchent à en tirer un maximum de profits », commente Marco Preuss, à la tête de l’équipe de recherche et de développement de Kaspersky Lab en Europe. « Locky n’est pas une blague mais l’œuvre de malfaiteurs qui y ont investi une énergie considérable. »

2016 sera-t-elle l’année du ransomware ?

Les chevaux de Troie de racket et de cryptage ne sont pas des nouveautés. Parmi les exemples connus figurent notamment Coinvault ou Teslacrypt. En outre, les ransomwares mobiles, qui s’attaquent aux utilisateurs d’Android, sont en progression constante. Selon le Kaspersky Security Bulletin 2015/2016 [4], une attaque de ransomware sur six en 2015 a été observée sur des appareils Android. Au total, l’an passé, le nombre des utilisateurs attaqués par ce type de malware dans le monde a augmenté de 48,3% [5].

Locky s’inscrit dans cette tendance. « 2016 est probablement l’année du ransomware. Au cours du seul mois de février, nous avons déjà dénombré autant de tentatives d’attaques contre nos clients que lors des cinq mois précédents cumulés », souligne Marco Preuss.

De fait, Kaspersky Lab a déjà recensé plus de 40 000 tentatives d’infection par un ransomware chez ses clients en février 2016. L’Allemagne se situe au troisième rang mondial des pays les plus ciblés, derrière la Russie et l’Inde.

Les conseils de sécurité de Kaspersky Lab

Pour se protéger contre une attaque de ransomware, Kaspersky Lab recommande les mesures de sécurité suivantes :
• Se méfier des pièces jointes : ne pas ouvrir les pièces jointes dans les e-mails provenant d’expéditeurs inconnus. En outre, il est conseillé de désactiver les macros dans les documents car Locky s’en sert pour s’implanter sur un ordinateur.
• Réaliser des sauvegardes régulières, afin de pouvoir accéder à nouveau aux données cryptées en cas d’urgence.
• Mettre à jour les logiciels (système d’exploitation, navigateur et tous les autres programmes utilisés) avec les derniers correctifs disponibles.
• Installer de véritables solutions de sécurité : les solutions antivirus modernes telles que Kaspersky Total Security – Multi-Device [6] offrent une protection contre les infections. Des technologies spéciales comme Activity Monitor de Kaspersky Lab permettent de restaurer des données qui ont été cryptées de manière illicite et de rétablir l’état initial du système.
• Ne pas céder au chantage : Kaspersky Lab recommande de ne pas payer la rançon exigée mais plutôt d’avertir les autorités de toute tentative de cyberracket. Les solutions de Kaspersky Lab identifient et bloquent Locky sous l’appellation « Trojan-Ransom.Win32.Locky ». Les bases de données de signatures ont été actualisées en conséquence dès le 7 février 2016. En outre, l’activité malveillante d’un processus Locky en cours a déjà été reconnue par la technologie proactive d’analyse comportementale de Kaspersky Activity Monitor [7], qui offre une protection spéciale contre les ransomwares.


[1] http://newsroom.kaspersky.eu/filead… / L’analyse de Kaspersky Lab s’appuie sur des données anonymes obtenues via Kaspersky Security Network (KSN) dans le cloud, avec la participation volontaire des clients de la société. Les données recueillies par Kaspersky Lab sont traitées de manière anonyme et confidentielle. Aucune information personnelle (mot de passe, par exemple) n’est collectée. KSN fournit à Kaspersky Lab des informations sur les tentatives d’infection et les attaques de logiciels malveillants. Ces informations contribuent en particulier à améliorer la protection en temps réel des clients de Kaspersky Lab. Des informations détaillées sur KSN sont disponibles dans un livre blanc : http://www.kaspersky.com/images/KES….
[2] http://newsroom.kaspersky.eu/filead…
[3] http://newsroom.kaspersky.eu/filead… http://newsroom.kaspersky.eu/filead…
[4] https://de.securelist.com/analysis/… [5] http://newsroom.kaspersky.eu/filead…
[6] http://www.kaspersky.com/de/total-s…
[7] http://www.kaspersky.com/images/Kas…

 

http://www.silicon.fr/ransomware-locky-multiplier-victimes-france-141498.html

Le ransomware Locky mute pour multiplier ses victimes en France

 

ransomware

Le malware Locky évolue pour échapper aux outils de détection de malwares. Et cible toujours autant les entreprises françaises. Le rédaction de Silicon.fr, qui en a été une des ses victimes, peut d’ailleurs en témoigner.

« Eteignez les ordinateurs immédiatement ». C’est la consigne que s’est vue intimer la rédaction de Silicon.fr hier, vers 10h30. En cause : la découverte de fichiers comportant le suffixe .locky sur un des serveurs de fichiers partagés de NetMediaEurope, l’éditeur de notre publication. Le signe indiscutable d’une contamination naissante par le ransomware Locky, un malware apparu à la mi-février et qui multiplie les tentatives d’infection dans l’Hexagone.

Locky chiffre un grand nombre de fichiers, en particulier tous ceux ayant des extensions renvoyant à des vidéos, des images, des codes source et des fichiers Office. Une fois les données verrouillées, les cybercriminels demandent aux victimes de s’acquitter d’une rançon pour retrouver l’accès à leurs données devenues illisibles (entre 0,5 et 1 Bitcoin pour Locky, selon les données publiées par l’éditeur Sophos, un Bitcoin valant aujourd’hui quelque 360 euros).

« Une nouvelle variante presque chaque jour »

Pour se propager, Locky se cache dans des e-mails (par exemple de fausses factures Free, l’opérateur vient d’ailleurs – tardivement – d’alerter ses abonnés du phénomène), mais également dans des notifications semblant émaner d’imprimantes ou de scanners situés sur le réseau de l’entreprise. Ces dernières comportent un fichier PDF renfermant du code Javascript déclenchant le téléchargement du malware. « Ce n’est malgré tout pas une attaque ciblée au sens où on l’entend habituellement, explique Vincent Nguyen, le responsable technique du CERT (le centre de réponse aux incidents de sécurité) de la société de conseil Solucom. Cette technique peut s’automatiser à partir de l’adresse du destinataire. La diversification des techniques de diffusion de l’infection témoigne par contre de la volonté des cybercriminels d’échapper aux filtres anti-spam. »

Le ransomware se diffuse aussi via des sites infectés par les cybercriminels, méthode qui semble être celle exploitée pour contaminer l’éditeur de Silicon.fr. « Le site va utiliser un ‘Exploit Kit’ (en ce moment, principalement Angler), qui consolide plusieurs codes d’exploitation de vulnérabilités pour des produits web (navigateurs web, plug-in Flash, Java, Silverlight…) », détaille Vincent Nguyen. Objectif : repérer une des vulnérabilités ciblées par le kit dans le navigateur web des visiteurs pour exécuter un code malveillant qui va déclencher l’innoculation du ransomware.

Et ça marche, comme peut en témoigner Apicomm, le prestataire chargé de la gestion du parc de NetMediaEurope. « Une nouvelle variante de Locky apparaît presque chaque jour afin d’échapper aux outils de détection », confirme Rémy Fontaine, son responsable entreprise. Qui précise : « depuis ce matin (hier le 10 mars), une nouvelle variante est apparue et n’est détectée que par 5 antivirus sur 57. Cette variante est plus dangereuse, car elle chiffre tout sur le partage réseau en utilisant la découverte réseau de Windows, alors que la précédente mouture du malware se basait sur les lettres des lecteurs réseaux ». Pour Apicomm, en cas d’infection, la première chose à faire consiste à débrancher le câble réseau et même à éteindre les PC. « En effet, sur les dernières variantes, le fait de couper le réseau empêche la communication entre Locky et le serveur des hackers et donc interrompt le chiffrement. Normalement, le fait de relancer la machine suffit à désactiver le malware », détaille Rémy Fontaine, dont la société est déjà intervenue sur 5 serveurs infectés par les premières variantes et sur deux autres touchés par les dernières moutures. Pour tenter d’enrayer le malware, la société a développé une stratégie de groupe (GPO,Group Policies Object) sur les serveurs permettant de bloquer l’exécution de Locky dans APPDATA, le répertoire où il a l’habitude de se loger.

« Le phénomène touche toutes les entreprises, les plus grandes y compris », assure Vincent Nguyen. Solucom, dont l’activité se concentre sur les grandes entreprises, a ainsi reçu une dizaine de sollicitations sur le sujet et est intervenu, sur site, chez deux de ses clients. « L’un d’entre eux était touché par 5 souches de ransomwares différentes en même temps. C’est ce qui rend la situation complexe, car on n’a pas affaire à une menace unique : aux multiples variantes de Locky s’ajoutent celles de Teslacrypt par exemple. Et les antivirus ont toujours un coup de retard », explique le responsable technique du CERT de Solucom, société qui vient de publier quelques conseils sur les façons de réagir à une infection par ransomware.

Locky mute par algorithme

Comme l’explique Cyrille Badeau, le directeur régional de l’éditeur ThreatQuotient, spécialisé dans l’intelligence sur la menace, les malwares mutent en permanence pour contourner les lignes de défense, ce qui explique pourquoi des entreprises même à jour sur leurs technologies de lutte contre les menaces sont piégées… pour peu qu’un utilisateur clique sur un fichier malicieux. « Si on compare une attaque complexe à une molécule composée d’atomes, même si les méthodologies d’attaque, soit la structure des molécules, évoluent très lentement du fait de l’importance du coût associé, les hackers sont capables de faire évoluer de nombreux atomes à bas coût. Ainsi depuis plusieurs années, de campagne en campagne, ils remplacent certains atomes devenus trop facilement détectables par de nouveaux éléments ayant le même rôle, mais apparaissant pour la première fois. »

Et Cyrille Badeau de noter que, dans le cas de Locky, l’automatisation des attaques s’est accentuée avec l’utilisation de serveurs de contrôle et de commande (serveurs dits C&C qui pilotent les virus) générés par algorithme. « Impossible pour les défenseurs de prévoir le prochain C&C à surveiller », résume-t-il. Un site comme RansomwareTracker les référence au fil de l’eau, mais une fois les premières infections détectées.

Un Javascript à la place des macros Office

Si la France figure parmi les principaux pays victimes du rançongiciel, le phénomène est global. Les laboratoires SpiderLabs de la société Trustwave estiment que 18 % des 4 millions de spams qu’ils ont analysé dans le courant de la semaine dernière sont liés à des ransomware. Et Locky est la star actuelle dans cette famille d’infections. Les SpiderLabs notent une accélération importante de l’envoi de spams renfermant des ransomware au cours des derniers jours. « Ces campagnes (d’envoi de spams visant à diffuser l’outil de téléchargement du virus) ne sont pas continues, mais concentrées, avec des pics à 200 000 e-mails infectieux arrivant sur nos serveurs en une seule heure », écrit Rodel Mendrez, un chercheur de Trustwave.

Et la société de mettre en garde contre la diffusion par spam de scripts Javascript (encapsulés dans des fichiers Zip) déclenchant le téléchargement de Locky, une autre technique exploitée par les cybercriminels. Objectif de la compression en .zip et de l’envoi d’un fichier de petite taille : laisser penser que ledit fichier est bénin.« Nous pensons que le passage au Javascript vise à esquiver les technologies antimalware », renchérit McAfee dans un billet de blog. Cette méthode, aux côtés de celles basées sur de fausses notifications de scanners ou imprimantes et sur la diffusion par des sites infectés, semblent avoir supplanté la première technique de dissémination employée par les cybercriminels, une approche exploitant les macros Office.

500 000 connexions venant de France

Les statistiques fournies par un autre fournisseur d’outils de sécurité, Fortinet, témoignent aussi de la large diffusion de Locky. Sur la base des connexions aux serveurs de commande et contrôle des ransomware détectées par ses sondes de détection d’intrusion (soit 18,6 millions de connexions entre le 17 février et le 2 mars), la société estime que 16,5 % d’entre elles sont liées à Locky. C’est certes beaucoup moins que les connexions dues à la famille Cryptowall (plus de 83%), mais Locky est, contrairement à son aîné, clairement surreprésenté en France, l’Hexagone pesant quelque 15 % des connexions totales dues à la nouvelle terreur des services IT. Ce qui représente, pour les seules sondes Fortinet, pas loin de 500 000 connexions aux serveurs de commande et contrôle Locky issues de France, dans le courant de seconde moitié de février.

Capture d’écran 2016-03-10 à 18.22.07
Les statistiques de Fortinet sur Locky.

 

Locky a récemment fait la démonstration de sa dangerosité outre Atlantique, en bloquant les systèmes d’un hôpital de Los Angeles, le Hollywood Presbyterian Medical Center. Selon le New York Post, ce dernier a été contraint de verser 17 000 $ aux pirates – après négociation, les criminels réclamaient au départ plus de 3,5 M$ – pour obtenir les clefs de déchiffrement et retrouver l’accès à ses données. Comme l’explique Vincent Nguyen, de Solucom, aucun outil ne permet à ce jour de restaurer les fichiers chiffrés par Locky sans posséder la clef que vendent les cybercriminels, même si des travaux sont en cours pour tenter de trouver des solutions de contournement.

A lire aussi :

Le ransomware Locky inonde la France, via de fausses factures Free Mobile

Le ransomware prospère grâce à l’apathie des autorités

Ransomware : un retour sur investissement très lucratif

 

http://www.silicon.fr/hopital-us-ranconne-paye-pour-retrouver-son-reseau-139311.html

Ransomware : un hôpital US paye pour retrouver son réseau

 

hopital machine

L’hôpital américain pris en otage par un ransomware a décidé de payer environ 15 000 euros en bitcoin pour reprendre la main sur son SI.

Le Hollywood Presbyterian Medical Center est devenu un établissement de santé très médiatique. Pas nécessairement pour ses compétences médicales, mais plutôt pour sa faiblesse en matière de sécurité informatique. En effet, en début de semaine, on apprenait que l’hôpital avait été victime d’un ransomware, bloquant une bonne partie du système d’information. Selon les informations de la presse américaine, le cybercriminel demandait 9000 bitcoins, ce qui représente à peu près 3,2 millions d’euros pour un retour à la normale.

Après quelques jours d’incertitudes et d’emballement médiatique, le responsable du centre médical, Allen Stefanek, est sorti de son silence pour donner quelques détails. Le plus important est qu’il a été obligé de payer une rançon pour reprendre le contrôle des PC. Mais les sommes annoncées ne sont pas mirobolantes, le dirigeant explique qu’il a versé « 40 bitcoins soit l’équivalent de 17 000 dollars (15 000 euros) ». Il justifie ce paiement comme étant, « la façon la plus rapide et la plus efficace pour restaurer notre système et les fonctions administratives ». Aucun détail n’a été fourni sur le niveau réel de cette attaque, mais Allen Stefanek assure « les soins des patients n’ont pas été affectés, ni les dossiers des patients ».

Les entreprises n’hésitent plus à payer

Pour autant, des mesures de sécurité ont été prises pour palier le blocage du système. Les urgences ont été redirigées vers un autre hôpital, le personnel de santé redécouvre les crayons et le papier pour enregistrer les informations patients et le fax pour communiquer avec les autorités. L’attaque a eu lieu le 5 février dernier, mais la direction de l’hôpital a attendu la semaine dernière pour informer la police de Los Angeles du problème. Le FBI est aussi de la partie en prenant en charge l’enquête. A noter que la rançon a été payée avant que les autorités judiciaires soient sollicitées.

Cette attaque apporte plusieurs enseignements. Le premier est la montée en puissance inexorable des rançongiciels. Les cybercriminels redoublent de sophistication, allant de la programmation (JavaScript) ou de l’intégration du service client avec un chat. La création d’un ransomware est un investissement très lucratif. Surtout que les entreprises n’hésitent pas à payer pour déverrouiller les PC infectés. Une étude de Skyhigh montre que près d’un quart des entreprises sont prêtes à payer une rançon et 15% seraient capables d’y mettre 1 millions de dollars. La nouvelle plaie de la sécurité pourrait être combattue, mais cette bataille nécessite une politique un peu plus volontariste des autorités.

A lire aussi :

Les implants médicaux, prochaines cibles des ransomwares
Un ransomware change le code PIN des terminaux Android

 

http://www.silicon.fr/vol-donnees-bancaires-malware-dridex-cible-france-129997.html

Vol de données bancaires : le malware Dridex cible la France

 

crédit photo © GlebStock - Shutterstock

Spécialisé dans le vol de données bancaires, Dridex est toujours actif malgré l’opération du FBI, mi-octobre. Il cible maintenant la France, avertit le CERT-FR et une société de sécurité.

Le botnet Dridex, que les autorités expliquaient avoir démantelé il y a deux semaines, serait toujours actif… et ciblerait en particulier la France. La société américaine, spécialiste de la sécurité des points d’accès, Invincea explique en effet avoir détecté 60 instances du botnet ciblant des utilisateurs français avec le malware Dridex, spécialisé dans le vol de données bancaires. « Au moins certains de ses serveurs de commande et contrôle ont été remis sur pied », écrit Invincea. Selon la société, qui explique que ses observations portant sur le retour du botnet remontent au 22 octobre, le malware envoyé par les cybercriminels est signé avec un certificat émis par l’entreprise de sécurité Comodo, « ce qui signifie que les technologies de sécurité qui font confiance aux exécutables signés échoueront à stopper ces attaques », note Invincea. Ceci concerne notamment les entreprises ayant placé en liste blanche de telles applications.

La menace est confirmée par le CERT-FR, qui a émis une alerte au sujet de Dridex le 23 octobre. « Depuis la mi-octobre 2015, le CERT-FR constate à l’échelle nationale une vague de pourriels (de type Dridex, NDLR) dont le taux de blocage par les passerelles anti-pourriel est relativement faible », écrit l’organisme officiel de réponse aux menaces, qui dépend de l’Anssi (Agence Nationale de la Sécurité des Systèmes d’information). Le centre note que ces courriels sont souvent écrits dans un français sans faute.

Radical : désactiver les macros

 

dridex
Une capture d’écran fournie montrant le nom des fichiers et fournie par Invincea.

 

L’attaque prend en effet la forme d’une campagne de phishing, des mails renfermant des documents Microsoft Office qui semblent renfermer des factures émanant de magasins, d’hôtels ou d’organismes divers (la fourrière de Grenoble, la DGA…). Si l’utilisateur ouvre ces documents, une macro VBScript ou Visual Basic est employée pour assembler le malware PIDARAS.exe, via une technique dite Just-in-Time, qui consiste à construire la souche infectieuse directement sur le poste de la cible, afin d’échapper aux défenses basées sur le monitoring de réseau ou les bacs à sable. Selon le CERT-FR, les téléchargements s’effectuent via le port HTTP « non standard 8080 », une caractéristique qui « permet de détecter pour cette variante les postes ayant exécuté la macro ».

Une fois le malware en place, il communique avec des serveurs basés au Japon, via le port 473. Si Dridex est susceptible d’échapper à la vigilance de certains antivirus, une désactivation de la fonction d’exécution automatique des macros Office permet de lui couper les ailes, rappelle le centre de réponse aux incidents de l’administration française.

Suite à l’arrestation d’individus soupçonnés de liens avec le cybercrime l’été dernier, le FBI américain, en partenariat avec les autorités britanniques, a annoncé mi-octobre le démantèlement des infrastructures de commande et contrôle de Dridex. Repéré en novembre 2014, le malware a infecté des entreprises dans plus de 26 pays, engendrant de grosses pertes financières : 10 millions de dollars détournés aux Etats-Unis, 20 millions de livres sterling au Royaume-Uni.

 

http://forum.malekal.com/dridex-spam-facture-email-word-excel-t53343.html

Les campagnes Dridex continuent

 

Messagepar Malekal_morte » 29 Oct 2015 14:55

Malgré l’arrestation de cybercriminels impliqués dans la création du malware Dridex ( lire : Deux hommes en relation avec Dridex et Citadel interpelés & Botnet Dridex, arrestation du cerveau )

Les campagnes Dridex via des emails malicieux continuent d’arroser la France & l’Europe depuis plusieurs mois ( lire : Les nouvelles campagnes d’emails Word malicieux & le bulletin de CERT-FR )

Image

Zscaler a publié quelques chiffres sur les activités de Dridex, comme d’habitude, l’usage de fichiers signés continue ( lire : Étude IBM: Les malware signés sont en constante augmentation) :

Dridex_repartition.png
Malgré l’arrestation du cerveau, les campagnes Dridex continuent
Dridex_repartition_2.png
Malgré l’arrestation du cerveau, les campagnes Dridex continuent

 

De son côté, Lexsi a publié ses observations sur Dridex & Bruteres. Une vue sur les mécanismes du botnet utilisé pour envoyer massivement des millions de pourriels via seulement une trentaine de serveurs SMTP.

Dridex sur le forum:
=> Campagnes Dridex – documents Microsoft Word & Excel piégés.

 

http://www.journaldugeek.com/2015/10/15/le-fbi-et-la-nca-agissent-contre-dridex-le-virus-bancaire-le-plus-utilise-en-2015/

Le FBI et la NCA agissent contre Dridex, le virus bancaire le plus utilisé en 2015

 

unnamed%20%2821%29-14477548006449 dans LCR - NPAPar Antoine, le 15 octobre 2015 à 12h27

Hier, le FBI, la NCA (la National Crime Agency est une agence du Royaume-Uni) et bien d’autres agences gouvernementales autour du monde ont agit contre l’un des malwares les plus utilisés en 2015 : Dridex. L’organisation criminelle derrière ce malware aurait volé des dizaines de millions de dollars depuis mai 2015.

quel_prix_valent_données_personnelles_black_market-640x320

Les services américains et anglais, accompagnés d’autres autour du monde ont mené une action conjointe pour faire tomber une grosse partie du réseau “botnet” de l’organisation criminelle. Un botnet est un réseau de machine zombie servant à infecter d’autres machines et à diffuser un virus informatique. Ce sont les serveurs servant à diffuser et à contrôler ce réseau qui ont été mis hors d’état de nuire par le FBI avant d’être saisis. Les agences gouvernementales ont aussi procédé à des arrestations de personnes suspectées d’appartenir au réseau criminel.

Dridex detections during 2015

Dridex detections during 2015

Dridex est, d’une certaine façon, né de l’action du FBI contre le réseau “botnet” Zeus en juin 2014. Dridex est donc un réseau botnet, dont le principal but est de récupérer les données bancaires pouvant être présentes sur les ordinateur infectés. Même si l’équipe derrière le virus a souvent changé de méthode d’infection, la plus répandue reste l’infection par mail.

Top ten countries by number of Dridex detections in 2015

Top ten countries by number of Dridex detections in 2015

Le virus exploite une faille bien connue dans la sécurité informatique : le facteur humain. Des mails de spam sont envoyés par les machines infectées avec à l’intérieur, des liens vers de fausses pages web, mais aussi avec des documents Excel ou Word, c’est la méthode la plus utilisé. Ces documents de la suite Office ont l’avantage de ne pas trop attirer l’attention, la majorité des gens étant plus au courant des menaces transmises via les URL que de la possible dangerosité d’un document Word. Ces derniers peuvent pourtant exécuter des macros à l’ouverture, permettant le téléchargement du malware en lui même. Ce dernier se chargera ensuite de récupérer les informations et d’intégrer la machine au botnet.
Il faut aussi noter que Dridex et capable de se répliquer et de se cacher sur les clés USB et autres appareils reliés à l’ordinateur infecté.

Pour ceux parlant anglais, la société FireEye explique bien l’évolution du virus dans un post sur son blog.

Source

 

https://www.fbi.gov/pittsburgh/press-releases/2015/bugat-botnet-administrator-arrested-and-malware-disabled

Bugat Botnet Administrator Arrested and Malware Disabled

U.S. Department of Justice October 13, 2015
  • Office of Public Affairs (202) 514-2007/TDD (202) 514-1888

 

A sophisticated malware package designed to steal banking and other credentials from infected computers has been disrupted, and charges have been filed in the Western District of Pennsylvania against a Moldovan administrator of the botnet known as “Bugat,” “Cridex” or “Dridex.” Actions taken by the U.K. and the U.S. substantially disrupted the botnet.

Assistant Attorney General Leslie R. Caldwell of the Justice Department’s Criminal Division, U.S. Attorney David J. Hickton of the Western District of Pennsylvania and Special Agent in Charge Scott S. Smith of the FBI’s Pittsburgh Division made the announcement today.

Andrey Ghinkul, aka Andrei Ghincul and Smilex, 30, of Moldova, was charged in a nine-count indictment unsealed today in the Western District of Pennsylvania with criminal conspiracy, unauthorized computer access with intent to defraud, damaging a computer, wire fraud and bank fraud. Ghinkul was arrested on Aug. 28, 2015 in Cyprus. The United States is seeking his extradition.

“The steps announced today are another example of our global and innovative approach to combatting cybercrime,” said Assistant Attorney General Caldwell. “Our relationships with counterparts all around the world are helping us go after both malicious hackers and their malware. The Bugat/Dridex botnet, run by criminals in Moldova and elsewhere, harmed American citizens and entities. With our partners here and overseas, we will shut down these cross-border criminal schemes.”

“Through a technical disruption and criminal indictment we have struck a blow to one of the most pernicious malware threats in the world,” said U.S. Attorney Hickton.

“Cyber criminals often reach across international borders, but this operation demonstrates our determination to shut them down no matter where they are,” said Executive Assistant Director Robert Anderson Jr. of the FBI’s Criminal, Cyber, Response and Services Branch. “The criminal charges announced today would not have been possible without the cooperation of our partners in international law enforcement and private sector. We continue to strengthen those relationships and find innovative ways to counter cyber criminals.”

According to the indictment, Ghinkul was part of a criminal conspiracy that disseminated Bugat, which is a multifunction malware package that automates the theft of confidential personal and financial information, such as online banking credentials, from infected computers through the use of keystroke logging and web injects. It is generally distributed through “phishing,” an e-mail fraud method where legitimate-looking e-mails are distributed to victims in an attempt to obtain personal or financial information. Bugat is specifically designed to defeat antivirus and other protective measures employed by victims. The FBI estimates at least $10 million in direct loss domestically can be attributed to Bugat.

The indictment alleges that Ghinkul and his co-conspirators used the malware to steal banking credentials and then, using the stolen credentials, to initiate fraudulent electronic funds transfers of millions of dollars from the victims’ bank accounts into the accounts of money mules, who further transferred the stolen funds to other members of the conspiracy. Specifically, according to the indictment, on Dec. 16, 2011, Ghinkul and others allegedly attempted to cause the electronic transfer of $999,000 from the Sharon, Pennsylvania, City School District’s account at First National Bank to an account in Kiev, Ukraine, using account information obtained through a phishing e-mail. In addition, Ghinkul and others allegedly caused the international transfer on Aug. 31, 2012, of $2,158,600 from a Penneco Oil account at First Commonwealth Bank to an account in Krasnodar, Russia, and the international transfer on Sept. 4, 2012, of $1,350,000 from a Penneco Oil account at First Commonwealth Bank to an account in Minsk, Belarus. Finally, the indictment alleges that on Sept. 4, 2012, Ghinkul attempted to cause the electronic transfer of $76,520 from a Penneco Oil account at First Commonwealth Bank to an account in Philadelphia. In all three instances, the company’s account information was allegedly obtained through a phishing e-mail sent to a Penneco Oil employee.

In addition to the criminal charges announced today, the United States obtained a civil injunction in the Western District of Pennsylvania authorizing the FBI to take measures to redirect automated requests by victim computers for additional instructions to substitute servers.

The charges and allegations contained in an indictment are merely accusations. The defendant is presumed innocent until and unless proven guilty.

The investigation is being conducted by the FBI. Other agencies and organizations partnering in this effort include: the Department of Homeland Security’s U.S.-Computer Emergency Readiness Team (US-CERT), the United Kingdom’s National Crime Agency, Europol’s EC3, German Bundeskriminalamt (BKA), Dell SecureWorks, Fox-IT, S21sec, Abuse.ch, the Shadowserver Foundation, Spamhaus and the Moldovan General Inspectorate of Police Centre for Combating Cyber Crime, the Prosecutor General’s Office Cyber Crimes Unit and the Ministry of Interior Forensics Unit.

The case is being prosecuted by Assistant U.S. Attorneys Mary McKeen Houghton and Margaret E. Picking of the Western District of Pennsylvania. The civil action to disrupt the Bugat malware is led by Senior Trial Attorney Richard D. Green of the Computer Crime and Intellectual Property Section and Assistant U.S. Attorney Michael A. Comber of the Western District of Pennsylvania. The Criminal Division’s Office of International Affairs provided significant assistance throughout the criminal and civil investigations.

Victims of Bugat/Dridex may use the following webpage created by US-CERT for assistance in removing the malware: https://www.us-cert.gov/dridex.

Ghinkul Indictment

Anyone claiming an interest in any of the property seized or actions enjoined pursuant to the court orders described in this release is advised to review the court documents below for notice of the full contents of the orders.

Ghinkul Complaint

Government’s Motion for Leave to File Under Seal

Memorandum of Law in Support of Motion For Temporary Restraining Order

Motion for Temporary Restraining Order

Order to File Under Seal

Temporary Restraining Order

Motion to Modify Preliminary Injunction

Amended Preliminary Injunction

Special Agent Stevens Affidavit in Support of Temporary Restraining Order

This content has been reproduced from its original source.

 

 

http://forum.malekal.com/arrestations-dridex-citadel-t52815.html

Deux hommes en relation avec Dridex et Citadel interpelés

 

Messagepar Malekal_morte » 08 Sep 2015 23:11

Arrestations de deux hommes, un russe et un moldave, soupçonnés d’avoir des rôles clefs dans le développement et la maintenance de Citadel et de Dridex, des programmes malveillants sophistiqués spécialisés dans le vol d’identifiants et de données bancaires.

Le premier homme, un moldave de 30 ans, était recherché par les autorités U.S. Il a été appréhendé par les autorités locales le vendredi 28 août 2015 alors qu’il passait ses vacances avec sa femme dans la ville de Páfos à Chypre. Il serait à lui seul responsable de fraudes bancaires estimées à ~ 3.5 millions de dollars. L’homme est une figure du « Business Club », un gang de l’Europe de l’Est connu pour avoir subtilisé plus de 100 millions de dollars à des établissements bancaires & financiers. Il serait fortement impliqué dans le développement de Dridex que vous avez peut-être eu lors de campagnes de courriels malicieux avec pièces jointes en Word/Excel.

Le second homme, un russe de 27 ans, a été arrêté à Fredrikstad en Norvège en octobre dernier. Au départ, les médias ont dressés le portrait de l’inconnu à partir du sobriquet « Mark » et petit à petit sont arrivés aux conclusions qu’il s’agirait peut être d’Aquabox, le pseudo derrière Citadel, un malware basé sur le code de ZeuS , qui aurait facilité entre autre les piratages de plusieurs entreprises pétrochimiques européennes.

Source: http://cyprus-mail.com/2015/08/28/moldova-fraudster-caught-in-paphos/
Source : http://krebsonsecurity.com/2015/09/arrests-tied-to-citadel-dridex-malware/

( October 13, 2015 ) DoJ :: Botnet Dridex, arrestation du cerveau

Dridex n’est pas mort, vive Dridex : Les campagnes Dridex continuent

 

http://www.journaldugeek.com/2015/06/29/arrestations-cybercriminels-malware-bancaire-zeus-spyeye/

Arrestations des cybercriminels derrière le malware bancaire ZeuS et SpyEye

 

100x100_1378825234-14482692461677 dans LuraghiPar Elodie, le 29 juin 2015 à 14h48

Cinq personnes ont été arrêtées en Ukraine soupçonnées d’être derrière les tristement réputés malwares bancaires ZeuS et SpyEye, dont l’un des dignes successeurs se nomme GameOverZeus.

arrestations_gang_malware_bancaire_zeus

Découvert en 2007, le malware bancaire Zeus permet de siphonner des comptes en ligne en toute impunité grâce à des techniques telles que le phishing et autres spams. Grâce à elles, les pirates récoltaient mots de passe, identifiants, numéro de comptes bancaires et toutes informations nécessaires pour accéder à des comptes bancaires en ligne.

Grâce à l’action conjointe d’Europol et d’Eurojust, réunissant 6 pays, cinq cybercriminels ont été arrêtés entre le 18 et le 19 juin, soupçonnés de faire partie du gang responsable du développement, de l’exploitation et du déploiement des logiciels malveillants et chevaux de Troie bancaires ZeuS et SpyEye ainsi que du blanchiment de l’argent collecté. Par ailleurs, du matériel informatique a été saisi dans huit maisons réparties dans quatre villes différentes en Ukraine.

Ces malwares seraient responsables de l’infection de dizaines de milliers d’ordinateurs pour un préjudice financier évalué à plus de 2 millions d’euros. En effet, le gang aurait utilisé ces logiciels malvaillants pour attaquer des systèmes bancaires et subtiliser l’argent de plusieurs banques en Europe et hors UE.
Chacun dans leur spécialité, ils créaient les logiciels, vérolaient les systèmes, récoltaient les données bancaires et blanchissaient l’argent volé, notamment grâce à des réseaux de « mules ». « Très actif », le gang louait parfois ses services à des tiers ou recherchait de « nouveaux partenaires » pour réaliser leurs forfaits et échangeait notamment les informations d’identification récoltées, précise Europol dans un communiqué.

« Europol a travaillé avec une équipe internationale d’enquêteurs pour faire tomber un groupe cybercriminel très destructeur. C’est l’une des opérations les importantes coordonnées par l’agence au cours des dernières années », s’est ainsi félicité Rob Wainwright, directeur d’Europol.

Cette opération fait partie intégrante d’une action plus large entamée depuis 2013 par l’équipe commune d’enquête (Joint investigation team, JIT) regroupant l’Autriche, la Belgique, la Finlande, les Pays-Bas mais aussi la Norvège et le Royaume-Uni et ayant abouti à 60 arrestations à ce jour.

Source



L’Allemagne a bien eu ses attentats de la Saint-Sylvestre

Rien de bien méchant, cette fois : il n’y a pas mort d’homme, les victimes ne sont que des femmes.

Elles n’avaient qu’à se couvrir davantage et se tenir à distance des inconnus de la longueur d’un bras…

Les violeurs n’ont pas le bras long, non, non, non…

A ce propos, un nouveau « déconnologue » de la bande du cyberdélinquant Cyprien Luraghi se targuant tout comme « Homere », le bras armé du NPA en Thaïlande, d’avoir un nom et des relations, je leur rappelle à tous, d’une part, que je ne pouvais décemment pas voir confirmer ma condamnation du 11 juin 2013 dans l’enceinte du Parlement de Bretagne, et d’autre part, que le conseiller de François Hollande Bernard Poignant ne les aime pas et Mohammed VI encore moins, puisqu’il les soupçonne de vouloir lui trancher la tête.

 

http://www.liberation.fr/planete/2016/01/05/allemagne-vague-d-agressions-sexuelles-a-cologne-un-millier-de-personnes-impliquees_1424431

Allemagne : vague d’agressions sexuelles à Cologne, «un millier de personnes» impliquées

 

Par LIBERATION, avec AFP — 5 janvier 2016 à 14:57
Devant la gare de Cologne, le 5 janvier 2015. Photo Oliver Berg. AFP

Berlin a condamné une centaine d’agressions sexuelles commises à Cologne la nuit de la Saint-Sylvestre et attribuées par la police à des hommes d’origine nord-africaine, mais s’est refusé à toute «instrumentalisation» visant les réfugiés.

  • Allemagne : vague d’agressions sexuelles à Cologne, «un millier de personnes» impliquées

Le gouvernement allemand a condamné mardi une centaine d’agressions sexuelles commises à Cologne la nuit de la Saint-Sylvestre et attribuées par la police à des hommes d’origine nord-africaine, mais s’est refusé à toute «instrumentalisation» visant les réfugiés.

L’affaire, qui a pris de l’ampleur à mesure que se multipliaient les plaintes de victimes, suscite désormais une forte émotion en Allemagne en raison de la «dimension nouvelle» de ces actes impliquant «plus d’un millier de personnes» ayant agressé ou protégé les agresseurs, selon le ministre de la Justice Heiko Maas.

«Il s’agit d’une nouvelle forme de criminalité organisée» et «il va falloir qu’on réfléchisse, qu’on pense aux moyens à mettre en oeuvre pour y faire face», a estimé M. Maas mardi devant la presse. Alors que les témoins ont décrit des suspects «d’apparence arabe ou nord-africaine», selon la police, le ministre de la Justice a mis en garde contre toute «instrumentalisation» de cette affaire dans le débat sur l’afflux de migrants en Allemagne. L’apparence des agresseurs «ne doit pas conduire à faire peser une suspicion générale sur les réfugiés qui, indépendamment de leur origine, viennent chercher une protection chez nous», a renchéri le ministre de l’Intérieur Thomas de Maizière.

Parmi les réactions pour le moins surprenantes (ou idiotes, c’est selon) dénichées sur Twitter, on citera celle d’un journaliste autrichien pour le quotidien Der Standard. Basé à Bruxelles d’où il couvre l’actualité européenne, Thomas Mayer s’est risqué à un pseudo-éclairage à la pertinence très relative, écrivant qu’«en France, le phénomène des abus sexuels commis par des bandes de jeunes hommes («les tournantes») est connu depuis longtemps», tout en partageant un article de Libé paru en 2012 sur une sordide histoire de viol collectif en Val-de-Marne en aucune manière comparable aux débordements de la Saint-Sylvestre outre-Rhin.

La police avait déjà enregistré 90 plaintes mardi matin, allant du harcèlement à au moins un viol en passant par des dizaines d’agressions sexuelles et des vols, et s’attendait à en recevoir de nouvelles, a indiqué un porte-parole à l’agence allemande DPA.

Ces agressions, attribuées à des groupes de 20 à 30 jeunes hommes ivres encerclant les victimes, se sont concentrées autour de la cathédrale et de la gare centrale de Cologne, mais la police a aussi signalé une dizaine de plaintes à Hambourg. La mairie de Cologne, qui accueillera du 4 au 10 février des centaines de milliers de fêtards pour le carnaval, tenait mardi une réunion de crise à ce sujet.

LIBERATION avec AFP

 

http://www.lefigaro.fr/international/2016/01/05/01003-20160105ARTFIG00262-des-agressions-sexuelles-de-masse-choquent-l-allemagne.php

Des agressions sexuelles «de masse» choquent l’Allemagne

    • Par Nicolas Barotte
    • Mis à jour le 06/01/2016 à 10:34
    • Publié le 05/01/2016 à 18:26
L'Allemagne a bien eu ses attentats de la Saint-Sylvestre dans Attentats XVMe373da1e-b3c9-11e5-80b2-dce2d53edb49

VIDÉO – Durant la nuit de la Saint-Sylvestre, des bandes de jeunes se sont livrées à des violences sur des femmes au cœur de Cologne.

 La gare centrale de Cologne se trouve à quelques centaines de mètres de la cathédrale, au cœur de la ville. C’est là, durant la nuit de la Saint-Sylvestre, qu’un millier d’individus se sont rassemblés. Par groupe de vingt à quarante, des hommes souvent alcoolisés de moins de 30 ans et «d’origines arabes ou nord-africaines», selon les témoins, ont cerné et agressé des femmes mêlant vol à la tire et attouchements. Au moins un viol a été signalé.

Mardi, le nombre de plaintes déposées s’accumulait au fur et à mesure que l’affaire prenait de l’ampleur: 60 en début de journée, 90 à midi. Ces «agressions sexuelles de masse», selon les termes employés par la police de Cologne, ont suscité l’indignation dans toute l’Allemagne. La chancelière Angela Merkel a notamment exprimé sa «révolte» face à ces «agressions scandaleuses» et réclamé une «réponse forte». «Il s’agit d’une nouvelle forme de criminalité organisée», a commenté à Berlin le ministre de la Justice allemand, Heiko Maas. «Il va falloir qu’on réfléchisse, qu’on pense aux moyens à mettre en œuvre pour y faire face», a-t-il ajouté, alors que d’autres faits similaires mais sans avoir la même ampleur ont été signalés à Hambourg et Stuttgart.

Un contexte de tension

Mardi, cinq jours après les faits, aucun suspect n’avait encore été arrêté. Le nombre d’individus recherchés, parmi le millier de personnes présentes, n’était pas non plus précisé. Mais les autorités promettaient une grande fermeté. «Les auteurs, quelle que soit leur origine ou leur religion, doivent être rapidement entendus et devront rendre des comptes. Avec toutes les conséquences», a insisté la ministre de la Famille, Manuela Schwesig.

Dans un contexte de tension, lié au défi de l’intégration d’un flux sans précédent de réfugiés dans le pays, le profil décrit des agresseurs provoque le malaise. Heiko Maas a mis en garde contre «toute généralisation». L’apparence des agresseurs «ne doit pas conduire à faire peser une suspicion générale sur les réfugiés qui, indépendamment de leur origine, viennent chercher une protection chez nous», a renchéri le ministre de l’Intérieur, Thomas de Maizière.

Cologne compte environ 10.000 réfugiés. Jusqu’à présent, l’arrivée massive de demandeurs d’asile n’a pas provoqué de hausse de l’insécurité en l’Allemagne. Si les centres pour réfugiés ont été la cible d’agressions et si des violences y ont été commises entre demandeurs d’asile, le taux de criminalité des réfugiés n’est pas plus élevé que pour le reste de la population, a conclu un rapport des services de renseignements en novembre dernier. À Cologne, l’hypothèse de bandes organisées n’était pas exclue. «Rien ne permet de penser pour l’instant que des demandeurs d’asile seraient impliqués», a affirmé la maire de Cologne, Henriette Reker. Quoi qu’il en soit les habitants de Cologne s’inquiétaient mardi pour leur sécurité. Certains appelaient à une manifestation contre les violences faites aux femmes. Mardi, la maire Henriette Reker a convoqué une réunion d’urgence de tous ses services. «Nous ne pouvons pas tolérer de zone de non-droit dans la ville», a-t-elle insisté. Quant à la police, elle est sommée par les autorités d’accélérer son enquête. Le 1er janvier, faute de plaintes, elle avait conclu à «une nuit calme».

 

http://www.lepoint.fr/monde/la-maire-de-cologne-moquee-pour-ses-conseils-aux-femmes-apres-une-vague-d-agressions-06-01-2016-2007517_24.php

La maire de Cologne moquée pour ses conseils aux femmes après une vague d’agressions

 

Publié le 06/01/2016 à 15:20 | AFP
La maire, sans étiquettes, de Cologne, Henriette Reker, le 5 janvier 2016
La maire, sans étiquettes, de Cologne, Henriette Reker, le 5 janvier 2016 © dpa/AFP – Oliver Berg

 

La maire de la ville allemande de Cologne, théâtre à la Saint-Sylvestre d’une vague d’agressions sexuelles, faisait mercredi l’objet de critiques et quolibets, particulièrement sur Twitter, pour son conseil donné aux femmes de se tenir à bonne distance des inconnus.

Henriette Reker, maire sans étiquette de la métropole rhénane, a recommandé mardi aux femmes de respecter « une certaine distance, plus longue que le bras » avec les inconnus pour se protéger d’éventuels assauts. Elle s’exprimait lors d’une conférence de presse suite aux agressions sexuelles qui ont choqué toute l’Allemagne, et en réponse à une question sur le meilleur moyen de se protéger.

Son conseil a déclenché une vague de commentaires sarcastiques sur Twitter, le hashtag « ArmlaengeAbstand », mot allemand pour « distance de plus d’un bras », s’imposant rapidement mercredi dans les cinq plus partagés en Allemagne.

L’Inspecteur Gadget avec un bras téléscopique, ou les déesses hindoues aux bras multiples faisaient partie des références utilisées, et les commentaires allaient bon train. « Les effets pernicieux d’une distance de plus d’un bras… Je ne peux plus payer à la caisse », se moquait une utilisatrice, « je ne me suis plus sentie autant en sécurité que depuis que je me promène les bras écartés », ironisait une autre, tandis qu’un commentateur faisait valoir que « si les gens dans les régions en guerre savaient ça, il n’y aurait plus aucun problème! ».

« Shame on you » (« honte à vous »), s’indignait une utilisatrice, outrée qu’on suggère « aux femmes de changer de comportement et pas aux agresseurs ».

Un point de vue également exprimé par la ministre de la Famille, des Femmes et de la Jeunesse, Manuela Schwesing, qui sur Twitter, a affirmé: « nous n’avons pas besoin de règles de comportement pour les femmes, ce sont les auteurs des faits qui doivent rendre des comptes ».

Le ministre de la Justice Heiko Maas y est lui aussi allé de son commentaire sur le réseau social: « Ce ne sont pas les femmes qui portent la responsabilité » de ces agressions, a-t-il jugé.

Mme Reker s’est défendue mercredi, déplorant selon des propos rapportés par l’agence DPA que « les compte-rendus raccourcis dans la presse (de ses propos) aient pu donner l’impression que (ses) mesures de prévention se limitent à des recommandations aux femmes et aux jeunes filles quant à leur comportement ».

Maire de Cologne depuis octobre 2015, Mme Recker avait été poignardée la veille de son élection par un homme revendiquant des motivations racistes, mais avait maintenu sa candidature.

La nuit du réveillon de la Saint-Sylvestre, au moins une centaine de femmes ont été victimes sur une grande place de Cologne d’attouchements et de vols, commis par plusieurs dizaines de jeunes hommes d’origine apparemment immigrée.

06/01/2016 15:19:18 – Berlin (AFP) – © 2016 AFP

 

http://www.france24.com/fr/20160106-allemagne-centaine-agressions-sexuelles-viol-cologne-refugies-nouvel-an

L’Allemagne sous le choc après une centaine d’agressions sexuelles

 

© AFP | Une participante à la manifestation qui s’est tenue mardi soir devant la cathédrale de Cologne « pour plus de respect envers les femmes ».

 

Vidéo par Pauline GODART

Texte par FRANCE 24

Dernière modification : 06/01/2016

L’Allemagne est sous le choc après les agressions sexuelles du Nouvel An à Cologne, commises par des « jeunes apparemment d’origine arabe ». Les opposants à la chancelière Merkel tentent de faire le lien avec sa politique en faveur des réfugiés.

 

Une centaine d’agressions sexuelles commises contre des femmes durant la nuit du Nouvel An à Cologne, en Allemagne, a provoqué un vif émoi, mardi 5 janvier, dans le pays.

Ces agressions sont attribuées à des groupes de 20 à 30 jeunes hommes ivres qui ont encerclé leurs victimes au milieu de plusieurs centaines de personnes qui s’étaient rassemblées autour de la cathédrale et de la gare centrale de Cologne. La police a également signalé une dizaine de plaintes à Hambourg, dans le nord du pays.

Au total, 90 plaintes ont été déposées et selon le chef de la police de Cologne, Wolfgang Albers, « d’autres devraient suivre ». Les plaintes visent des faits allant du harcèlement à au moins un viol en passant par des dizaines d’autres agressions sexuelles et des vols.

« Un groupe d’une dizaine, vingtaine, trentaine de jeunes hommes étrangers s’en est pris à nous », a raconté une victime sur le plateau de la chaîne d’information en continu N-TV. « Ils se sont mis à nous agresser, nous prenant l’entre-jambe, touchant nos décolletés, sous les manteaux », a-t-elle expliqué, ajoutant que « seules les femmes » étaient visées.

Mardi en début de soirée, entre 2 et 300 personnes (selon la police) se sont symboliquement rassemblées devant la cathédrale de Cologne pour appeler à plus de respect envers les femmes.

« Madame Merkel, que faites-vous ? Ça fait peur », s’interrogeait sur une pancarte une des manifestantes.

Les explications de notre correspondant en Allemagne

Des « jeunes apparemment d’origine arabe »

Selon le chef de la police Wolfgang Albers, les policiers intervenus ce soir-là font état « dans leur très large majorité de jeunes hommes, âgés de 18 à 35 ans, apparemment d’origine arabe ou nord-africaine », un constat corroboré par les descriptions des victimes.

Sans attendre, plusieurs personnalités politiques ont commencé à utiliser l’événement. Après ces incidents, « Est-ce que l’Allemagne est suffisamment ouverte sur le monde et multicolore pour vous, Madame Merkel ? » a lancé, provocatrice, Frauke Petry, la patronne du parti populiste Alternative für Deutschland (AfD) qui progresse dans les sondages.

>> À voir sur France 24 : Réfugiés : l’éducation des enfants, un défi pour l’Allemagne

Au sein même de la coalition gouvernementale, les conservateurs bavarois de la CSU, qui tempêtent depuis des mois contre la politique favorable aux réfugiés de la chancelière, ont trouvé aussi matière à alimenter leurs griefs.

« Si des demandeurs d’asile ou des réfugiés se livrent à de telles agressions [...] cela doit conduire à la fin immédiate de leur séjour en Allemagne », a lancé Andreas Scheuer, secrétaire général du parti, qui recevra mercredi Mme Merkel en Bavière lors d’une réunion prévue de longue date.

Pour l’heure, la police n’a fait état d’aucune arrestation spécifiquement liée aux incidents.

« Aucun indice montrant qu’il puisse s’agir de réfugiés »

La maire de Cologne Henriette Reker a à son tour réagi, jugeant ce rapprochement entre réfugiés et agresseurs « inadmissible ». « Nous n’avons aucun indice montrant qu’il puisse s’agir de réfugiés séjournant à Cologne » ou dans les environs, a-t-elle déclaré.

Le ministre de la Justice Heiko Maas a lui aussi mis en garde contre toute « instrumentalisation » de ces agressions dans un pays où l’afflux de réfugiés a parfois suscité de vives tensions ces derniers mois.

>> À lire sur France 24 : La situation des migrants suscite de vifs débats en Allemagne

Son homologue de l’Intérieur a abondé contre « la suspicion généralisée » à l’égard des immigrés mais demandé aussi qu’il n’y ait « pas de tabou » s’il devait se confirmer que les auteurs sont d’origine étrangère.

Un renforcement des effectifs des forces de l’ordre ainsi que de la vidéo-surveillance a été annoncé par le président de la police de Cologne qui se prépare à accueillir du 4 au 10 février des centaines de milliers de fêtards pour le carnaval, l’événement emblématique de cette ville.

Avec AFP

Première publication : 06/01/2016

 

http://www.franceinter.fr/depeche-allemagne-agressions-sexuelles-et-recuperation-politique

Dépêches > monde du mercredi 06 Janvier à 14H50

 

Allemagne : agressions sexuelles et récupération politique

 

sipa-ap21667221-000001 dans Corruption

La chancellière Merkel © Michael Sohn/AP/SIPA – 2015

La chancelière allemande Angela Merkel fait face à de vives critiques sur sa politique d’immigration à la suite d’une série de viols et agressions sexuelles à Cologne la nuit du 1er de l’An. L’extrême-droite a saisi l’occasion pour accuser des migrants, alors que l’enquête ne fait que commencer. 

 

Les détracteurs de la chancelière cherchent désormais à lier l’agression d’une centaine de femmes à sa politique d’ouverture envers les réfugiés.

 

Une centaine de femmes agressées sexuellement

 

Plus d’une centaine de femmes ont déposé plainte pour agressions sexuelles et deux ont déposé plainte pour viol. Tous ces actes auraient été commis à Cologne la même nuit, lors d’un rassemblement de plusieurs milliers de personnes autour de la gare. Les détracteurs de la politique d’immigration de Merkel affirment que des victimes parlent d’agresseurs étrangers, venant d’Afrique du Nord. A ce stade, les autorités affirment ne disposer d’aucune information à ce sujet. Les enquêtes sont en cours.

 

La chancelière face à sa propre famille politique

 

Angela Merkel va affronter la branche locale de sa famille politique, la CSU, ce marecredi après-midi en bavière. Elle était justement invitée de longue date à la réunion de rentrée de la CSU. Ses pairs comptaient lui redire à quel point elle juge le cap du gouvernement sur le dossier des réfugiés, dangereux pour le pays.

Si des demandeurs d’asile ou des réfugiés se livrent à de telles agressions » comme à Cologne, « cela doit conduire à la fin immédiate de leur séjour en Allemagne, a lancé le secrétaire général de la CSU, Andreas Scheuer

L’Allemagne a accueilli un million cent mille demandeurs d’asile en 2015 (en majorité de Syrie, Afghanistan, Irak, Albanie et Kosovo), soit environ cinq fois plus qu’en 2014.

 

Le mea culpa de la télévision publique

 

Les thèses complotistes fleurissent sur internet et dans les mouvements populistes, accusant les grands médias d’avoir à dessein passé sous silence les événements de Cologne pour ne pas alimenter le discours anti-migrants. Elles sont en partie alimentées par la chaîne publique ZDF, qui a fait son mea culpa pour ne pas avoir mentionné les événements de Cologne avant mardi, parlant d’une « négligence ».



C’était quoi, ce « Baron Dimanche au trou zombie » ?

Depuis que ses victimes ont commencé à porter plainte contre lui, en 2010, le cyberdélinquant Pascal Edouard Cyprien Luraghi a plusieurs fois supprimé de ses textes publics les concernant, et même totalement fermé son blog principal une première fois le 13 décembre 2012 avant de le rouvrir le 25 juin 2013, et une seconde fois le 13 mai 2014 avant de le rouvrir le 24 décembre 2014.

Au cours de cette seconde fermeture, il a encore supprimé des textes, dont celui qui jusqu’au 13 mai 2014 précédait ses revendications terroristes du 17 novembre 2008, un billet de blog qu’il avait publié le même jour et intitulé « Baron Dimanche au trou zombie ».

Auparavant, il avait publié :

 

Chez Cyprien Luraghi − En ligne et à l’œil depuis 2001


Attaque personnelle

Par cyp | Publié : 27 octobre 2008

© Cyprien Luraghi 2007© Cyprien Luraghi 2007

 

Il ne veut à tout prix pas qu’on le maraboute. Pourtant j’élabore tous les jours les philtres délétères qui l’assécheront définitivement.

Si nous nous y mettons tous, nous aurons bien sa peau ; j’ai commandé le kit vaudou (douze euros trente franco de port) hier, qui rejoindra sur mon autel conspuatoire les nazes et les nazis que je honnis.

Il ne veut absolument pas qu’on lui noue l’aiguillette et pourtant je fais tout pour, dans le secret creuset au cœur de l’atelier, planqué derrière les étagères et les carcasses d’ordinateurs. Je lui inflige des piqûres à l’abdomen et dans les yeux et je souhaite qu’il crève dans toutes les douleurs et qu’il se vide de ses liquides.

Je suis le Jivaro déterminé à le réduire tant que je pourrais porter sa tête autour du cou. Elle fera peur aux gens et me protègera avec ses dents.

***

Je pense depuis au moins trente ans que les manifs ne servent plus à rien, d’ailleurs le présideur ne s’y est pas trompé : le pouvoir n’est plus dans la rue.

C’est pourquoi je préconise la pratique du maraboutage pour venir à bout de ce fléau de dictadent que le suffrage universel nous a infligé. Très efficace ; en plus ce con y croit, j’en suis certain. Je l’ai vu dans ma poule de cristal.

Le présideur dictadent ne m’a pas vu venir : j’ai préparé ma soupe de sorcière de longue date. Si, si : il suffit de mélanger intimement toutes les sales bêbêtes dont je me suis servi pour illustrer mon blog depuis deux ans et des pour s’en concocter une furieusement régicide.

Le peuple aura ta peau, Sarkolas !

 

 

Migration

Par cyp | Publié : 30 octobre 2008

© Cyp Luraghi 1982 – Dans un Twin Otter en route vers l’aérodrome de Lukla, non loin du camp de base de l’Everest© Cyp Luraghi 1982 – Dans un Twin Otter en route vers l’aérodrome de Lukla, non loin du camp de base de l’Everest

 

Tout doux à la manœuvre et ne pas se viander dans le nuage ou sur les cimes.

Après sept ans d’existence, mon site vient de migrer tout en douceur des lentissimes serveurs de chez Free à une Dédibox toute pimpante et très nerveuse. Un boulot pas de tout repos. J’aime beaucoup la classification des niveaux dans le monde informatique des réseaux qui font le Net : ça part de la piétaille des néophytes et ça va tout en haut chez les Barbus. Mais je n’ai d’autre barbe que celle en poils qui me gratte le menton présentement. Mon niveau à moi, c’est Velu Grave et Bidouillou Opinâtre Noctambule, et ça suffit à ma démerde.

Trente cinq euros par mois pour la bestiole ; c’est mon seul luxe ; le prix de ma rotative électronique. Après tout je n’ai pas de téléphone mobile, ni de télévision et mon trousseau se réduit à l’essentiel. Seul le tabac me coûte cher, à part ça.

C’est aussi le prix à payer pour pouvoir écrire librement au XXIème siècle, sans avoir à se maquer avec un éditeur véreux ou à s’abibocher avec la coterie des écrivains qui causent dans le poste. Un écrivain ne doit qu’écrire, je pense fermement.

Le vent du Nord pousse les grues cendrées !

 

Cet article a été publié dans Fabrication avec les mots-clefs : , , , , , , . Bookmarker le permalien. Les trackbacks sont fermés, mais vous pouvez laisser un commentaire.

 

Marabout de ficelle

Par cyp | Publié : 1 novembre 2008

© Shanti Devi Luraghi 2008© Shanti Devi Luraghi 2008

 

Gentil, ♬ gentil petit lapin ♪, matou ronron.

Je me grime en bon citoyen mais n’étant pas doué, je passe pas dans la masse inaperçu, hélas, et pourtant je suis tout réjoui.

Faudrait qu’il se méfie à l’Élysée, le locataire : d’Albanel à Boutin je vais marabouter côté femelle, et chez les mâles faire souffler le ravage de l’Hirsch à l’Hortefeux.

Et quand toute la cour sera bien décimée, j’achèverai le rite en épinglant Nicolas-le-Vulgaire à côté de la carapace de Mussolini, au panthéon des crapauds-buffles de ma collection.

Il y aurait des funérailles générales où la gigasse fade Carla Bruni serait veuve échalas peu éplorée.

***

En tant que Kondukator de l’Ici-Blog, je préconise le port massif d’oreilles en peau de chat et le lancer de sortilèges antinicolesques. D’ailleurs j’ordonne à l’univers entier de mettre le paquet le jour de la Saint Nicolas de l’An 2008 de l’Ère du Têtard Épinglé, soit le 6 Décembre.

Les plus zélés d’entre vous peuvent commencer à éplucher leur chats.

Faute de greffier, faites avec ce qui vous tombe sous la main : le concours est ouvert.

Les oreilles félines, c’est une chose… mais le plus important, c’est la poupée. Qu’elle soit de cire ou de chiffon, ou de ce que vous voudrez, mais qu’elle soit épinglable.

 

J’exige des preuves : envoyez-moi vos photos de marabouteurs antinicolesques. Elles seront publiées ici-même en bonne place.

Allez hop, au boulot !

Maraboutons le Présideur Dictadent le jour de la Saint Nicolas !

Faites passer la nouvelle !

 

Cet article a été publié dans Déconnologie, Pilotique avec les mots-clefs : , , , , , , , , , . Bookmarker le permalien. Les trackbacks sont fermés, mais vous pouvez laisser un commentaire.

 

YES WE CAN !

Par cyp | Publié : 5 novembre 2008

© Cyprien Luraghi 2008© Cyprien Luraghi 2008

 

Si les Ricains ont réussi à se débarrasser de cette crapule planétaire de Bush, il n’y a pas de raison pour que nous autres Français ne puissions pas remiser aux oubliettes de l’Histoire son ami Sarkolas, pour lequel je conçois le mépris le plus vif, tant pour son œuvre de destruction massive du système social, que pour sa personnalité, négation même du bel esprit des Montaigne, Rabelais, Villon et tant d’autres, cœurs palpitants de notre langue, notre culture.

 

Le 6 décembre, jour de la Saint Nicolas, maraboutons massivement !

 

Envoyez-moi vos photographies de poupées vaudoues antinicolesques dûment épinglées. Les créations personnelles sont furieusement encouragées.

Mon courriel, c’est : lurapuy (arobase) gmail (point) com.

Que cent mille blogs affichent leur dégoût de ce gouvernement inique !

Faites circuler l’information !

 

Cet article a été publié dans Déconnologie, Pilotique avec les mots-clefs : , , , , , . Bookmarker le permalien. Les trackbacks sont fermés, mais vous pouvez laisser un commentaire.

 

 

Alors, qu’est-ce qui nécessitait d’être supprimé après tous ces cris de guerre ?

 

https://fr.wikipedia.org/wiki/Baron_Samedi

Baron Samedi

C'était quoi, ce
Cet article est une ébauche concernant la religion.
Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.
Page d'aide sur l'homonymie Pour les articles homonymes, voir Baron.
300px-VeveBaronSamedi.svg dans Crime

Vévé de Baron Samedi

Dans le vaudou, Baron Samedi (ou Baron Samdi, Bawon Samedi, Bawon Sanmdi) est l’un des aspects du lwa Baron.

Sommaire

Attributs et représentation

C’est le lwa des morts, avec ses autres incarnations Baron Cimetière et Baron La Croix. C’est l’un des Guédés, ou leur père spirituel. Sa femme est Maman Brigitte.

Il est représenté vêtu d’un chapeau haut de forme blanc, d’un costume de soirée, de lunettes de soleil dont un verre est cassé, avec du coton dans les narines.

C’est l’esprit de la mort et de la résurrection, il se trouve à l’entrée des cimetières et se met sur le passage des morts vers la Guinée. Il représente aussi les excès sexuels : il mène une danse langoureuse, la banda, qui imite le coït.

Certains anciens mystiques haïtiens prétendent qu’une invocation rituelle de ce dieu le 1er samedi du mois de juin au lever du soleil permettrait d’obtenir la mort de certains ennemis ou d’obtenir la domination maléfique d’une femme qui se serait rebellée. Il s’agit bien entendu d’une croyance populaire des Haïtiens totalement indépendante du culte vaudou en général et des attributs qu’il prête à ce lwa en particulier. Il sert également à l’approche du jour des morts (1er novembre) à la vengeance des âmes errantes, des personnes persécutées, des sorcières et des consultantes des cultes vaudou. Il est invoqué avec l’aide de bourdons pour lequel un charme sera jeté sur les aiguillons selon la parole biblique « mort où est ton aiguillon? ».

Références dans la culture

Dans la littérature et la bande dessinée

Le culte de Baron Samedi est évoqué dans la Trilogie de Nick Stone dont l’action se passe entre Miami et Haïti (Tonton ClarinetteVoodoo LandCuba libre). Le Baron Saturday est un personnage (zombie) du roman de la fantasy burlesque Mécomptes de fées de Terry Pratchett. Le Baron Samedi est un des dieux négatifs de la série Amos Daragon. Il souhaite faire revenir sur terre sa race, les Anciens (des dragons). C’est un personnage secondaire de la série Requiem, Chevalier Vampire, d’Olivier Ledroit. Il apparait dans les bandes dessinées Bob Morane[réf. nécessaire] ainsi que dans le roman « Rituel de chair » de Graham Masterton. Il apparaît également comme un personnage de la bande-dessinée de monsieur le chien, « Didier Barcco t2 : Shotgun et Confiserie », comme un antagoniste très éphémère du personnage. Dans le jeu de rôle Scion, il est possible pour les joueurs de choisir pour personnage de jeu un avatar de Baron Samedi, ainsi que tous les autres dieux du Panthéon Vaudou.

Au cinéma et à la télévision

Il figure en outre dans les livres, films et jeux vidéo sur James Bond, dont Live and Let Die et GoldenEye 007. Il s’agit aussi du nom d’un personnage de la série Heroes. Le Baron Samedi apparaît dans l’épisode 19 de la saison 5 de la série américaine Supernatural ainsi que dans l’épisode 21 de la saison 2 de la série Grimm. Un ennemi de MacGyver se fait également passer pour le Baron Samedi lors de l’épisode 6 « Mort Vivant » de la saison 7. Le Baron samedi est aussi représenté par le Docteur Facilier, dans le dessin animé La Princesse et la Grenouille des studios Walt Disney. Il apparait aussi dans l’émission Histoire d’horreur de la saison 3, épisode 10.

Dans la musique

Le groupe de rock progressif anglais Pretty Things a écrit une chanson en référence à ce personnage, Baron Saturday, sur leur album S.F. Sorrow paru en 1968. Le Baron Samedi est un personnage présent dans l’album Voodoo du groupe de heavy metal King Diamond. Ainsi que l’album Baron Samedi de Bernard Lavilliers, sorti en 2013, ou l’album Blutschwur de Short And Crunch, sorti en 2015.

Dans les jeux vidéo et les jeux de société

Le Baron Samedi est une créature que l’on peut invoquer dans Dark Reign 2 et qui prend l’apparence d’un géant qui reste sur le champ de bataille pour un temps limité. C’est aussi un personnage principal du jeu Akuji The Heartless, basé sur le vaudouisme. Il a inspiré Samedi, un personnage du jeu Doodle Hex, Bwonsamdi, un PNJ du jeu World of Warcraft, et le gang des Sons of Samedi, du jeu Saints Row 2. Une allusion au Baron Samedi se retrouve dans le nom d’un personnage du jeu vidéo Dead Island, Sam B, auteur de la chanson Who Do You Voodoo. Le boss du donjon « Siège Du Trouble » dans le MMORPG Wakfu (jeu vidéo) est inspiré du Baron Samedi (« Baron Sramedi »).

Le Baron Samedi est un zombie et l’une des 6 créatures jouables du jeu de société interactif Atmosfear. Dans le jeu de figurines Confrontation, c’est un petit singe possédant un pistolet qui fait partie de l’équipage pirate Gobelin.

Il est aussi représenté dans le jeu Shadow Man (et sa suite Shadow man 2nd coming) comme la partie maléfique de Mike Leroy qui s’est vu implanté le masque de la mort sur les côtes par une prétresse Vaudou. Il incarne le Baron à chacune de ses morts.

Dans la série de jeux de Rôle Scion : Héros, Scion : Demi-dieu et Scion : Dieu, il est possible pour les joueurs d’incarner l’un des enfants du Baron Samedi. Les Samedis sont des vampires haïtiens dans le jeu Vampire : la Mascarade et le fondateur de leur lignée est appelé Baron.

Il fait aussi partie du bestiaire du jeu indépendant Dungeons of Dredmor dans lequel il apparaît dans son apparence traditionnelle.

Il est l’un des dieux adversaires dans le jeu Pocket God Facebook.

Pour Halloween, FUNCOM, dans son MMORPG « The Secret World », donne aléatoirement la tenue du Baron Samedi aux joueurs qui tuent « Jack’O'Lanterne ».

On le retrouve aussi dans le jeu Warframe sous la forme de Limbo : un personnage vêtu d’un haut de forme pouvant se déplacer entre les dimensions.

Sources

  • Laënnec Hurbon, Les Mystères du Vaudou, Gallimard, 1993.
  • Gede.org


Le cabinet de l’avocat Eric Dupond-Moretti a été cambriolé

Le parquet de Paris prend l’affaire au sérieux.

En revanche, à l’époque où, dans les années 1990, mes voisins juristes ou avocats, et seulement ceux-là, voyaient très curieusement leurs domiciles mis sens dessus dessous par des « cambrioleurs » qui n’ont jamais rien emporté, il n’a jamais manifesté la moindre inquiétude.

 

http://www.franceinfo.fr/actu/faits-divers/article/cambriolage-au-cabinet-de-l-avocat-dupont-moretti-729883

Cambriolage au cabinet de l’avocat Dupond-Moretti

 

INFO FRANCE INFO par Rédaction de France Info mardi 15 septembre 2015 11:53
 

Le cabinet de l'avocat Eric Dupond-Moretti a été cambriolé dans Perversité

Le cabinet du célèbre avocat Eric Dupond-Moretti a été cambriolé ce week-end © REUTERS/Jean-Paul Pelissier

 

C’est un cambriolage plutot gênant et sensible qui s’est déroulé ce week-end à Paris. Dans la nuit de samedi à dimanche, le cabinet du célèbre avocat pénaliste Eric Dupond-Moretti a été cambriolé, boulevard Raspail dans le VIIe. Selon nos informations, les malfaiteurs ont pris, entre autres, deux ordinateurs portables.

 

Le cambriolage est jugé sensible par le parquet de Paris – c’est d’ailleurs la police judiciaire qui est chargée de l’enquête, preuve que l’affaire est prise au sérieux. Eric Dupond-Morettui est l’un des avocats les plus célèbres de France, avec sur son bureau des dossiers ultra-sensibles : on a parlé de lui récemment dans l’affaire du chantage présumé contre le roi du Maroc, Eric Dupond-Moretti est l’avocat de Mohammed VI ; il défend également Bernard Tapie, ou encore le frère du terroriste Mohammed Merah.

On a pu le joindre au téléphone : il n’est visibklement pas du tout inquiet. D’abord, il explique qu’il ne garde rien d’ultra-secret, que les données sensibles ne sont pas sur les disques durs des ordinateurs.

Par ailleurs ce sont plusieurs bureaux qui ont été visités. Les cambrioleurs ont défoncé la porte, ils ont tout mis à sac. Ils ont volé des objets, ce qui plaiderait  plutôt pour l’hypothèse de malfaiteurs qui n’avaient absolument aucune idée de l’endroit où ils étaient.

par Rédaction de France Info mardi 15 septembre 2015 11:53


Attaque contre TV5 Monde : comment les pirates ont procédé

On en sait aujourd’hui un peu plus sur l’attaque de la semaine dernière contre TV5 Monde.

Les informations émanent de différentes sources.

 

http://www.lefigaro.fr/secteur/high-tech/2015/04/14/01007-20150414ARTFIG00121-l-attaque-de-tv5-monde-a-debute-par-du-phishing.php

L’attaque de TV5Monde a débuté par du « phishing »

    • Par lefigaro.fr
    • Mis à jour le 14/04/2015 à 14:37
    • Publié le 14/04/2015 à 11:30
La chaîne a dû interrompre sa diffusion des programmes pendant plusieurs heures.
La chaîne a dû interrompre sa diffusion des programmes pendant plusieurs heures. Crédits photo : Christophe Ena/AP

 
L’intrusion a débuté dès le mois de janvier, à cause d’un mail vérolé envoyé à tous les employés de la chaîne de télévision.

La cyberattaque djihadiste dont a été victime TV5Monde a été enclenchée dès fin janvier, par l’envoi de mails aux journalistes de la chaîne internationale francophone. Dans la nuit du 8 au 9 avril, des pirates se revendiquant de l’organisation de l’Etat islamique ont pris le contrôle des comptes Facebook et Twitter et du site de TV5Monde, en y affichant des messages de propagande djihadiste, puis bloqué tout son système informatique. La chaîne a dû interrompre sa diffusion plusieurs heures.

Une faille humaine

L’attaque avait néanmoins commencé bien plus tôt, avec un mail envoyé fin janvier à l’ensemble des journalistes de la chaîne, selon la technique classique du «phishing» («hameçonnage» en français). Cette dernière consiste en l’envoi d’un mail vérolé à un employé de l’entreprise visée. Le destinataire est invité à télécharger une pièce jointe ou à cliquer sur un lien, provoquant l’installation d’un logiciel malveillant. Trois employés de TV5Monde ont répondu au mail vérolé, permettant aux hackers de pénétrer dans le système de la chaîne par des logiciels de type «Cheval de Troie». Trois semaines avant l’attaque, en mars, la deuxième phase de l’offensive était lancée, avec la contamination de plusieurs ordinateurs de TV5Monde par un virus. Puis le 9 avril, l’offensive proprement dite a débuté, avec l’attaque des serveurs. Pendant plusieurs heures, les serveurs sont attaqués, puis les réseaux sociaux.

«Cette attaque est à la fois simple dans son déclenchement», avec la technique du phishing qui a permis «de faire pénétrer le ver dans le fruit», et «très sophistiquée dans son déroulé avec un logiciel compliqué», a expliqué une source proche du dossier. Ce qui a permis son déclenchement, c’est «comme toujours, une faille humaine au début». Il n’est en l’état des investigations pas permis de déterminer l’origine géographique de l’attaque, ni le nombre de hackers ayant permis de l’organiser, selon une autre source proche du dossier. Selon le Secrétariat général de la défense et de la sécurité nationale (SGDSN) et l’Agence nationale des systèmes de sécurité des systèmes d’informations, cette attaque «sans précédent» a été préparée de longue date et de façon minutieuse.

(avec AFP)

 

http://www.lemonde.fr/pixels/article/2015/04/13/tv5-monde-les-pirates-ont-infiltre-la-chaine-plusieurs-semaines-avant-l-attaque_4614813_4408996.html

TV5 Monde : les pirates ont infiltré la chaîne plusieurs semaines avant l’attaque

 

Le Monde.fr | 13.04.2015 à 12h38 | Par Martin Untersinger

Le logo de TV5 Monde.

Quelques jours après l’attaque informatique qui a interrompu les programmes de la chaîne française  TV5 Monde, les enquêteurs commencent à avoir une idée plus précise du degré de sophistication de l’attaque.

Les assaillants avaient pris soin de repérer le terrain : cela faisait plusieurs semaines qu’ils étaient présents dans le réseau de la chaîne, selon une source proche de l’enquête. Un laps de temps mis à profit pour repérer, parmi les milliers d’ordinateurs du réseau de la chaîne, les équipements indispensables à la diffusion, qu’ils sont parvenus, dans la nuit du mercredi 8 au jeudi 9 avril, à mettre hors-ligne.

Lire : TV5 Monde, un piratage d’ampleur et de nombreuses zones d’ombre

Les enquêteurs sont aujourd’hui convaincus d’être face à un groupe de pirates de bon niveau, peut-être d’une dizaine de personnes. Une information confirmée après la découverte des dégâts causés par les pirates : certains serveurs étaient toujours impossible à démarrer plusieurs jours après l’attaque.

Par ailleurs, la connaissance du fonctionnement de matériels informatiques très spécifiques à la télévision laisse peu de doute quant à la détermination et au niveau technique des pirates. Rien à voir, donc, avec la vague d’attaques de faible niveau technique qui avait touché de nombreuses petites communes peu après les attentats de la rédaction de Charlie Hebdo et de la porte de Vincennes.

« Un réseau bien géré mais fragile »

La question du niveau de protection offert par le réseau informatique de la chaîne a été posée dès le lendemain de l’attaque. Selon les enquêteurs, ce dernier, loin d’être impénétrable, offrait une protection qui ne dépareillait pas pour une entreprise. « Le réseau de TV5 Monde était bien géré, par des gens sérieux, mais était fragile : une fois qu’on est rentré, il n’y avait pas de portes étanches », confie cette même source.

Enfin, le lien entre les assaillants et l’Etat islamique est considéré, à ce stade, avec beaucoup de circonspection par les enquêteurs. Le « cyber caliphat », dont se sont réclamés les pirates à l’origine de l’attaque contre TV5 Monde, semble davantage être une mouvance qu’un groupe fixe.

Lire : TV5 Monde : les pirates n’ont pas diffusé de documents confidentiels de l’armée

Treize agents de l’Agence nationale de la sécurité des systèmes d’information (Anssi) ont été dépêchés dans les locaux de la chaîne dès jeudi. Après avoir préservé les traces laissées par les pirates, le temps est désormais à l’analyse car ils craignent que d’autres médias soient menacés par des attaques similaires. L’agence va donc communiquer aux équipes techniques des médias le résultat de leur enquête afin de prévenir de futures attaques.

Martin Untersinger
Journaliste au Monde

 

http://www.lejdd.fr/Medias/L-attaque-contre-TV5-Monde-une-alerte-727536

12 avril 2015

L’attaque contre TV5 Monde, une alerte

 

Pour l’ancien responsable de la lutte contre la cybercriminalité, Christian Aghroum, « la question n’est pas de savoir si cela va se reproduire mais quand… ».

Essayer de décortiquer l’attaque. Exploiter les messages diffusés… » Loin des spéculations qui pullulent sur le Net, les geeks de la police judiciaire, l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, sous-direction antiterroriste) et les spécialistes de la Direction générale du renseignement intérieur (DGSI) ont démarré leur enquête sur le cyberpiratage qui a plongé dans le noir l’antenne de TV5Monde dans la nuit de mercredi à jeudi.

Un groupe se réclamant de Daech a piraté la chaîne vers 22 heures. Un bandeau noir barré de la mention « Je suis ISIS » –  accronyme anglais de Daech – est apparu sur les réseaux sociaux. L’attaque informatique a obligé les dirigeants de la chaîne à couper leurs serveurs.

Lire aussi : TV5 Monde : des cyberattaques similaires ne sont pas exclues

Une enquête a été ouverte jeudi par le parquet de Paris pour « accès, maintien frauduleux et entrave au fonctionnement d’un système de traitement automatique de données », ainsi que pour « association de malfaiteurs en relation avec une entreprise terroriste ». Sur ce dernier point, plusieurs sources judiciaires se montraient prudentes – « On ne sait pas trop à qui on a affaire… » –, relativisant ainsi les premières déclarations du ministre de l’Intérieur ciblant des « terroristes déterminés ».

« Il existera toujours une microfaille »

«Il existera toujours une microfaille dans laquelle des hackers vont tenter de s’infiltrer»

« L’enquête déterminera qui se cache derrière cette attaque mais pour moi, c’est clairement du cyberterrorisme. » Consultant en cybersécurité basé aujourd’hui en Suisse et ancien patron de l’OCLCTIC, Christian Aghroum voit dans l’attaque de TV5 « la preuve qu’une organisation de hackers agissant dans le cadre ou se réclamant d’une nébuleuse terroriste est capable d’empêcher une chaîne de télévision de diffuser ses programmes en s’assurant un retentissement médiatique immédiat. » Une attaque qui ne l’a pas surpris, au contraire. « Je suis même surpris qu’on soit surpris. Cela peut arriver à tout le monde. Même si l’on est extrêmement bien protégé, il existera toujours une microfaille dans laquelle des hackers vont tenter de s’infiltrer. Cette attaque marque une évolution en France : c’est la première attaque frontale sur une cible aussi exposée avec une médiatisation quasi automatique. Mais la réaction des pouvoirs publics a été satisfaisante. C’est la preuve que l’on a su s’armer et répondre présent. »

Lire aussi : Cyberattaque contre TV5 : « Un cap franchi par les terroristes »

On sait désormais que la chaîne TV5 avait été prévenue quinze jours avant l’attaque par l’Anssi (Agence nationale de sécurité des systèmes d’information) qu’un de ses serveurs informatiques n’était pas suffisamment sécurisé et qu’il risquait d’être utilisé de manière frauduleuse. « Une attaque peut commencer par l’ouverture d’un simple mail infecté par un employé, confirme Christian Aghroum. Ça ne suffit pas mais cela peut être utile pour préparer la véritable attaque. Parce qu’une attaque de cette ampleur se prépare un minimum. Avant l’acte finale, mercredi soir, le clic de souris, il faut choisir la cible et trouver la faille. On peut penser qu’ils ont visé plusieurs médias avant de porter leur choix sur TV5 parce qu’ils ont su identifier une ou plusieurs failles. »

« Je prends la main mais en plus je parle à leur place »

«A TV5, les hackers ont voulu s’assurer le résultat le plus optimal»

Selon les premiers éléments de l’enquête, il semble que l’attaque décisive de mercredi soir se soit jouée en deux temps. Le premier visant la direction de la production de la chaîne. Le second atteignant la direction des réseaux sociaux. Un scénario cohérent, selon le consultant : « Je prendrai l’exemple d’un coup d’État. Les putschistes vont s’emparer des studios de radio et de télévision mais aussi des émetteurs de transmission. A TV5, les hackers ont voulu s’assurer le résultat le plus optimal. Un, en bloquant les canaux de production et de diffusion. Deux, en bloquant les réseaux sociaux pour empêcher la chaîne de communiquer, de s’expliquer. En résumé : non seulement je prends la main mais en plus je parle à leur place! »

Quel enseignement faut-il tirer de cet épisode de cybercriminalité à la mode djihadiste? « C’est l’occasion pour les entreprises de communication mais aussi pour tout un chacun de monter d’un cran l’outil de protection. Parce que la question n’est pas de savoir si cela va se reproduire mais quand… »

Stéphane Joahny – Le Journal du Dimanche

dimanche 12 avril 2015

 

http://www.breaking3zero.com/cyber-attaque-contre-tv5-qui-comment-pourquoi/

Cyber attaque contre TV5 : qui, comment, pourquoi…

9 avr 2015
Screen Shot 2015-04-08 at 12.49.40 PM

 

Dans la soirée de mercredi à jeudi, la chaine TV5 Monde a été victime d’une cyber attaque sans précédent. Au delà de son site web et de ses relais sur les réseaux sociaux, c’est la diffusion des programmes qui a été visée. Ainsi, hier, pour la première fois, des hackers ont réussi à contraindre une chaîne a interrompre sa diffusion. En exclusivité, Breaking3zero vous révèle comment, qui et pourquoi.

ALERTE

Il est 21h50 à Paris lorsqu’une des abonnées du fil Twitter de Breaking3zero nous informe d’un problème avec le compte Twitter de TV5 Enseigner.

 

Screen Shot 2015-04-08 at 12.48.53 PM

 

Le fil présente tous les signes d’un piratage. Sa page a été “défacée” et le logo de la chaine est remplacé par celui du “cybercaliphate”.

Ses derniers tweets sont désormais un robinet de propagande pro-islamiste.

Contre les États-Unis et son allié la France. Le Président de République François Hollande est nommé et l’on recommande aux familles de soldats français de les convaincre de quitter leurs rangs.

Certains tweets – que nous reproduirons pas ici – sont des copies de cartes d’identité et de passeports français. Ils sont présentés comme ceux de militaires français combattants contre l’État islamique. Des futures cibles.

Sur le net, Daech nous a habitué à ce genre de publication choc.

Normalement, c’est l’armée américaine qui est visée et, comme nous l’avons démontré ici avant que le Pentagone ne le confirme, les informations publiées sont souvent périmées et proviennent de sources publiques.

Il est maintenant un peu plus de 22 heures et un à un les relais sociaux de TV5 tombent sous le contrôle des pirates :  Twitter, Facebook, Youtube puis le site web.

A première vue l’opération rappelle deux autres.

Celle contre le Centcom dont les sites sociaux avaient été piratés pendant une trentaine de minutes le 12 janvier 2015 et puis celle, plus massive, contre 19 000 sites français au lendemain de l’attaque contre Charlie Hebdo.

A cette occasion, Breaking3zero avait mené l’enquête dans les réseaux du cyber jihadisme et retrouvé le groupe en charge de l’attaque. Qui nous avait alors révélé son intention de s’attaquer prochainement aux médias français.

Tandis que  la présence de TV5 sur le net était remplacée par de  la propagande du cybercaliphate, tandis qu’un écran noir remplaçait les programmes des différentes chaînes du groupe, nous avions notre point de départ.

 

Screen Shot 2015-04-08 at 4.05.56 PM

 

PREMIERS SUSPECTS

 

“Nous continuerons à attaquer la France. Ces attaques dureront tant que celle-ci continuera a discriminer les musulmans, et tant qu’elle poursuivra ses guerres à l’étranger.

Notre prochaine cible sera les médias français qui jusqu’à aujourd’hui nous ont sous-estimés. Vous verrez vite quels journaux seront touchés, et avec quelle ampleur. Ce sera une surprise.”

Focus est le chef du groupe Fellagas, des pirates tunisiens responsables de ce que le vice-amiral Arnaud Coustillère, en charge de la cyber-défense au Ministère de la Défense avait désigné comme « la plus grande attaque informatique qu’un pays ait jamais affrontée ».

Lorsque nous l’avions interrogé en février dernier, Focus nous avait clairement annoncé son intention et celle de son groupe de poursuivre ses attaques contre la France. Et plus particulièrement contre ses médias.

Si le defacing – modification de la page d’accueil d’un site – est une des spécialités du groupe, le contrôle d’un compte twitter et du système de diffusion des programmes d’un réseau de télévision en est une autre.

Non pas que les Fellagas n’en seraient pas capables mais parce que cela ne correspond pas à leur mode opératoire.

Ni la signature d’ailleurs. Des couleurs utilisées à l’identité affichée sur les sites piratés, tout indiquait qu’il s’agissait d’un autre groupe de pirates.

Pour les identifier, il nous a fallu partir sur leurs traces virtuelles jusqu’au coeur des sites piratés.

 

MODUS OPERANDI

 

Le piratage de TV5 a été effectué via une faille Java. Une faille sur un ordinateur particulier : celui de l’administrateur des réseaux sociaux de la chaîne ou bien un directement connecté à la régie.

Cette faille a permis l’envoi d’un virus au format vbs. Camouflé sous une fausse identité google, le virus crypté était programmé pour se lancer au bout de cinq minutes d’usage du PC.

 

Screen Shot 2015-04-08 at 3.53.25 PM

Son nom ? isis…

Screen Shot 2015-04-08 at 3.51.28 PM

Isis est un ver qui, une fois introduit dans le réseau de TV5, a continué a croître jusqu’à atteindre sa cible : le serveur de transmission.

Mais avant d’en arriver là, il faut expliquer comment ce redoutable virus a été introduit sur l’ordinateur fautif.

Pas pour rendre public un secret de hacker mais parce que cela concerne un outil utilisé de plus en plus dans les rédactions.

Une des manières les plus anciennes est l’envoi d’un faux courrier électronique ressemblant à un officiel de la chaine. L’utilisateur clique et sans le savoir installe sur son PC un script.

Un programme qui permet au pirate de prendre le contrôle de son ordinateur, sa webcam et…ses mots de passe.

Le quotidien Le Monde a failli être victime de ce genre d’attaque en janvier dernier.

Une autre manière de procéder est l’envoi d’un communiqué de presse ou d’un document électronique. Là aussi, sur le document se cache un script html qui va ensuite prendre le contrôle du pc de l’utilisateur.

La troisième est celle qui nous semble la plus probable.

Elle consiste pour un pirate à s’emparer de l’identité I.P. d’un utilisateur via Skype.

La manoeuvre est déconcertante de simplicité et de rapidité. Une de nos sources l’a effectué devant nous, sur un de nos ordinateurs afin de l’illustrer.

Les journalistes de TV5 comme beaucoup d’autres médias utilisent Skype. Y compris dans leurs communications avec certains jihadistes.

C’est vraisemblablement lors d’une de ses sessions – récente- que l’adresse IP a été dérobée et avec elle, l’identité du réseau de la chaîne.

Retour au virus maintenant.

Nous sommes moins de 30 minutes après son lancement.

Tandis que d’autres virus sont installés sur le réseau – nos sources en ont identifié trois autres dont un sous la forme d’un script html installé directement sur la page web de TV5, et qui, avant sa destruction par les techniciens de la chaîne, menaçait tout visiteur du site – isis a fait son chemin jusqu’au serveur de transmission.

Là où le signal des programmes est converti d’analogique en numérique avant d’être envoyé au satellite de diffusion.

Cette centrale de dispatching est le coeur de TV5.

C’est de là que ses programmes partent vers le monde entier. C’est la cible de l’opération.

Mais avant d’en dévoiler le but, il faut revenir sur les auteurs de l’attaque.

Une attaque complexe, pensée et préparée pendant des mois.

 

LES PIRATES

 

Sans surprise, les pirates se sont cachés derrière un VPN mais malgré toutes leurs précautions, n’ont pas réussi a camoufler toutes leurs traces.

Pour les identifier, nos sources ont dû isoler le virus isis puis le craquer afin de trouver l’identité de son concepteur, sa provenance et l’identité de son ou ses diffuseurs.

Deux programmes ont été utilisés pour créer le virus : JRAT MAC et WINRAT.

Le virus est bien évidemment crypté mais une fois sa protection cassée, il révèle, comme nous le pensions, ses secrets.

Dans ses données, notre source découvre le port utilisé pour attaquer TV5, l’identité MAC de l’ordinateur qui sera le premier infiltré, l’identité de camouflage afin d’échapper aux anti-virus de la chaîne, sa programmation…

Plus amusant, nous apprenons aussi aussi qu’il a été conçu et propagé par un PC sous Windows 7.

Enfin, isis cache en son sein l’identité de son concepteur et son pseudonyme de hacker.

Son nom NAJAF.

Son pseudo ? JoHn.Dz

 

 

isWatermarked

 

Dz comme la signature de tous les hackers algériens.

L’Algérie dont les couleurs du drapeau se retrouvent sur chaque page de TV5 piratée par le cybercaliphate.

L’Algérie jusqu’où notre source a réussi a retracer l’activité du pirate.

Mais NAJAF n’est pas seul.

En suivant le parcours de la propagation du virus, nous avons découvert qu’un second pc a aidé l’Algérien dans son opération.

Cet ordinateur appartient à un dénommé Khattab.

Khattab est en Irak et combat avec Daech.

Nous avons réussi également a remonter jusqu’à son compte Twitter.

Un compte qui sert uniquement à relayer les opérations de EI. Ainsi alors que l’opération contre TV5 débutait à peine, Khattab en tweetait déjà les détails….

 

POURQUOI ? 

 

Pourquoi deux hackers directement liés à ISIS se sont-ils attaqués à TV5 ?

Au delà de l’opération de communication et du côté spectaculaire de la chose, il y a une raison politique.

Depuis l’affaire Charlie Hebdo, TV5 est devenue une cible des islamistes, mécontents de sa couverture des événements de Paris.

Une couverture d’autant plus décriée que TV5 est présente au Moyen-Orient et en Afrique.

Tout comme France 24 d’ailleurs, qui, selon nous sources, fait elle aussi partie des cibles de certains cyberjihadistes.

Mais ce n’est pas tout.

Le virus isis avait une mission très précise : s’emparer du serveur de transmission et en offrir l’accès aux pirates.

En clair, le but de l’opération était de prendre le contrôle de l’antenne de TV5.

Et d’utiliser cette immense vitrine pour diffuser un film de propagande de l’État islamique.

Pas qu’à Paris mais dans les 257 millions de foyers répartis dans plus de 200 pays et territoires.

Hier soir, les hackers de Daech ont tenté de pirater le deuxième plus grand réseau mondial de télévision pour une opération de propagande à l’envergure inédite.

La rapidité et l’efficacité des services techniques de TV5 a empêché le pire.

Mais l’attaque a aussi démontré la vulnérabilité de certaines infrastructures françaises.

 

http://www.breaking3zero.com/tv5-retour-sur-la-cyberattaque/

TV5 : RETOUR SUR LA CYBERATTAQUE

10 avr 2015

Screen Shot 2015-04-10 at 12.48.02 AM

 

Dans la nuit de mercredi à jeudi, TV5 Monde, le deuxième plus grand réseau de télévision de la planète était hacké par un groupe de pirates affichant les signatures du cybercaliphate.

Un groupe islamiste qui, s’il n’est pas officiellement rattaché à Daech, se réclame de sa mouvance à chacune de ses attaques.

Depuis janvier, il a visé avec succès les comptes des médias sociaux du centre de commandement de l’État major Américain (Centcom), le feed Twitter de Newsweek, des bases de données fédérales aux États-unis, une chaîne de télévision au Maryland ou encore le site d’un quotidien du Nouveau-Mexique.

 

Screen Shot 2015-04-10 at 2.01.23 AM

 

AVANT TV5, DES MAIRIES

 

L’attaque a débuté vers 21h45. Quelques minutes plus tard, informé par une abonnée à notre compte Twitter, Breaking3zero constatait l’ampleur de l’opération.

Un à un, les feeds Twitter de chaque chaîne de TV5 tombaient sous le contrôle des pirates.

La bannière du groupe y était installée et le fil proposait des messages de propagande pro État islamique.Des photos de passeports présentés comme ceux de militaires français étaient postés.

Des documents qui semblent ne pas avoir de rapport avec le Ministère de la Défense, mais plutôt avec des vols de données effectués sur des serveurs de différentes municipalités françaises.

Ainsi, l’attaque d’hier s’est accompagné d’un “dump” de plus de 300 documents volés par le cybercaliphate il y a quelques jours dans les systèmes informatiques de mairies françaises (un des documents porte un tampon du 20 mars 2015).

Parmi elles Dax, Fresnes sur Escaut, Fontainebleau, Sèvres, Bayonne, Oullins, Valenciennes

La collection de documents est éclectique. Des cv, des devis, des lettres d’avocats, des demandes de subventions, des photos personnelles et même des relevés d’identités bancaires.

Screen Shot 2015-04-10 at 2.03.17 AM

 

RAPIDITÉ

 

Après Twitter, les pirates ont obtenu le contrôle des comptes Facebook puis Youtube de TV5 afin de s’emparer du site web du diffuseur.

Mais le plus spectaculaire et – le plus inquiétant- restait à venir. Quelques minutes plus tard, la chaîne n’était plus en mesure d’émettre vers les 260 millions de foyers qui la reçoivent.

Une attaque sans précédent.

Hier matin, tout juste quelques après l’attaque, tandis que les programmes de TV5 n’étaient toujours pas rétablis, Breaking3zero vous a livré des premiers éléments de réponse.

Notre rapidité a étonné certains experts.

Au delà d’avoir été prévenu avant 22 heures de l’attaque en cours, nous sortions d’une longue enquête sur… les cyberpirates qui avaient attaqué la France au lendemain des attentats de Charlie Hebdo et Hyper Cacher. 19 000 sites atteints, des bases de données pillées…

Nous étions donc en terrain connu.

Nos conclusions se basent sur deux éléments : notre investigation et le travail de notre source dont nous avons suivi pas à pas, clic à clic, la progression dans sa chasse aux pirates de TV5.

Screen Shot 2015-04-08 at 3.51.28 PM

 

CONFIRMATIONS 

 

Aujourd’hui non seulement nous les maintenons mais constatons qu’elles sont confirmées par le ministre de l’Intérieur et deux cadres essentiels à la présence informatique de TV5.

Ainsi, dès hier matin, nous avions annoncé qu’il s’agissait d’une cyber attaque accomplie par des pirates se réclamant du groupe islamiste Daech.  Et non les exploits de pirates amateurs ni d’adolescents farceurs habitués à s’attaquer aux plateformes de jeux vidéo en ligne.

Hier soir, Bernard Cazeneuve déclarait que « beaucoup d’éléments convergent pour que la présomption d’un acte terroriste soit bien la cause de cette attaque »

Second point crucial, dans notre article d’hier, nous affirmions que la cible de l’attaque était le serveur de transmission de TV5 Monde (la centrale de dispatching dans le jargon du diffuseur).

Si certains experts en doutaient, mettant en avant un prétendu niveau de sophistication trop élevé, hier après-midi, sur iTélé, Hélène Zemmour, directrice que numérique sur TV5 confirmait que c’était bien le “serveur de transmission qui avait été attaqué”.

Enfin – et c’est un élément essentiel – hier, Breaking3zero révélait que TV5 avait été victime d’une attaque complexe dans sa préparation, pensée et préparée pendant des semaines voire des mois. Nous affirmions que le virus introduit dans le serveur du diffuseur avait permis aux pirates d’interrompre la diffusion des programmes.

Une conclusion qui, si elle n’était pas partagée par le quotidien Le Monde (“La chaîne a du interrompre ses programmes et rendre son site internet inaccessible pour barrer la route aux pirates”) a été confirmé hier par Jean-Pierre Vérines, directeur des systèmes d’informations de TV5.

Ainsi, dans un article publié par le site Arrêt sur images, il déclarait : “Les pirates ont coupé les deux services qui gèrent la diffusion. Deux machines parmi 1500. Ils savaient exactement ce qu’ils faisaient.” Pour Vérines, l’homme au coeur du système informatique de TV5Monde, “les pirates ont observé pendant plusieurs jours voire semaines le fonctionnement du réseau «

Trois points essentiels mis en avant par notre enquête.

Qui partait, rappelons le, du serveur de TV5, pour suivre la trace des pirates responsables de l’attaque.

A ce sujet, nous  le révélions hier, nous avons localisé l’un d’eux  en Irak, où il combat avec Daech.

Dans la nuit de mercredi à jeudi, à mesure que l’attaque contre TV5 progressait, “Khattab”, – c’est son pseudo – postait sur son compte Twitter -suivi par d’autres membres de Daech- les documents de revendications du cybercaliphate.

A présent, ce compte n’existe plus. Fermé par l’utilisateur ou supprimé par Twitter.

isWatermarked

 

PILLAGE D’EMAILS

 

Aujourd’hui, alors qu’il est établi que TV5 a subi une attaque de cyber terrorisme visant la prise de contrôle du serveur de diffusion de la chaîne,  seul le diffuseur peut éclaircir quelques questions essentielles.

Comme celle, par exemple, de la connaissance de l’architecture de leur réseau par les hackers du cybercaliphate. Un réseau récent et “ultra protégé” selon Hélène Zemmour.

Au delà de “l’observation” évoquée par Vérinès, il faudra élucider comment les pirates ont obtenu les informations leur ayant permis d’atteindre en moins de 30 minutes le coeur névralgique de la chaîne.

Il y a un autre point qui nécessite une réponse. Plus rapide celle là.

Dans leurs attaques précédentes, le cybercaliphate ne s’est pas contenté de “défacer” la page d’accueil du site de sa victime.

Non, les pirates ont aussi systématiquement pillé la base de données du site.

En clair, ils ont récupéré l’ensemble des adresses électroniques et des mots de passe qui y figuraient (certes ces mots de passe sont cryptés mais casser cette protection est très aisé).

Dans le cas de TV5 Monde, cela voudrait dire que les pirates auraient pu récupérer les adresses électroniques de l’ensemble des journalistes et autres employés de la chaîne.

Mais aussi probablement celles d’abonnés aux services offerts par TV5 sur le web.

Bien entendu, tout cela n’est qu’une supposition, basée sur le mode opératoire des pirates.

Mais si elle est avérée, cela signifie que les pirates du cybercaliphate auraient la possibilité d’accéder aux comptes emails de milliers de personnes. Et de les utiliser ensuite pour prendre le contrôle de leurs ordinateurs. Ou de pénétrer à nouveau un réseau.

De notre côté, nous avons sollicité TV5Monde afin de savoir si les pirates de l’attaque de mercredi soir se sont aussi emparés de leur base de données. Nous n’avons pas eu de réponse.

 

http://www.breaking3zero.com/tv5-second-virus-et-donnees-confidentielles/

TV5 : Second virus et données confidentielles

11 avr 2015
Screen Shot 2015-04-11 at 3.06.08 AM

 

Hier, Breaking3zero revenait sur le mode opératoire habituel des cyber jihadistes qui ont attaqués TV5 Monde dans la nuit de mercredi à jeudi :

Dans leurs attaques précédentes, le cybercaliphate ne s’est pas contenté de “défacer” la page d’accueil du site de sa victime.

Non, les pirates ont aussi systématiquement pillé la base de données du site.

En clair, ils ont récupéré l’ensemble des adresses électroniques et des mots de passe qui y figuraient (certes ces mots de passe sont cryptés mais casser cette protection est très aisé).

 

SECOND VIRUS

 

Ce qui était une supposition hier, prend un nouveau sens aujourd’hui.

Selon une de nos sources, au delà de l’attaque contre le serveur de transmission de programme, les pirates avaient bien installé un second virus sur les serveurs de TV5 Monde.

Un virus permettant de récupérer les éléments contenus dans la base de données.

De style web shell au format php, il permet aux pirates d’effectuer des commandes à distance.

Comme celle de la recherche des fichiers de mots de passe et plus généralement tout ce qui touche à l’activité du serveur.

Une information qui, si elle se confirme, donne un sens nouveau à une autre.

 

DESTRUCTION

 

Ainsi, depuis l’attaque, TV5 Monde ne dispose plus de messagerie gérant ses courriers électroniques. Elle a été détruite par les pirates, sans possibilité d’être rétablie.

Ce qui pourrait donc bien signifier que les cyber jihadistes ont eu la possibilité de récupérer les adresses électroniques et les mots de passe de l’ensemble des journalistes et des autres employés de la chaîne.

Mais aussi probablement ceux des abonnés aux services offerts sur le web par TV5.

Si ce pillage a eu lieu, il est impossible d’en évaluer l’étendue.

De savoir par exemple s’il a touché le contenu des boites à lettres électroniques des journalistes.

Des emails qui, parfois, contiennent des informations confidentielles liées à la gestion des centaines de personnalités invitées sur les plateaux de la chaine.

Comme des adresses de domiciles et des numéros de téléphones. Qui appartiennent aussi bien à un sénateur, un acteur, un écrivain ou un ministre.

Vendredi matin, Breaking3zero a contacté TV5 afin de savoir si les cyberpirates se sont aussi emparés de leur base de données. Nous n’avons pas eu de réponse.

 

http://www.breaking3zero.com/tv5-monde-histoire-dun-virus-et-localisation-des-pirates/

TV5 Monde : histoire d’un virus et localisation des pirates

12 avr 2015
Screen Shot 2015-04-12 at 12.57.37 AM

 

Dans la nuit de mercredi à jeudi, le groupe TV5 Monde était victime d’une cyber attaque unique en son genre.

En quelques minutes, la présence de la chaîne sur le net, de Facebook à Twitter en passant par son site web, était éradiquée. Plus spectaculaire et plus effrayant encore, les onze stations du diffuseur étaient remplacées par un écran noir. Une interruption unique dans notre histoire qui allait durer plus de 20 heures.

Quelques heures après l’attaque, Breaking3zero vous a proposé les premières révélations du mode opératoire des pirates, leurs origines et leurs motivations.

Si certaines de nos conclusions ont été alors mises en doute, elles ont été depuis confirmées.

Hier, nous vous révélions comment les cyber jihadistes se sont très certainement emparés des données confidentielles du serveur de messagerie électronique du groupe.

Aujourd’hui,  documents à l’appui, Breaking3zero a souhaité revenir sur l’histoire du virus qui a terrassé le deuxième diffuseur mondial. Car en son sein reposent les indices nécéssaires à l’expression de la vérité.

 

SOURCE

 

En janvier dernier, suite à l’attaque contre Charlie Hebdo et Hyper Cacher, la France était victime d’un spectaculaire épisode de la cyber guerre.

Plus de 19 000 sites étaient piratés, des bases de données pillées. Breaking3zero avait immédiatement débuté une longue et difficile enquête dans le milieu très secret du cyber jihadisme.

Au cours de ce travail, au delà de nos échanges avec les pirates eux-mêmes, nous avons réussi à approcher différentes sources. Qui, dans l’anonymat le plus complet, sont à la pointe du combat contre les pirates pro-islamistes. Certains affichent une appartenance au mouvement Anonymous, d’autres travaillent de manière indépendante.

Alors que l’attaque contre TV5 Monde était encore en cours, une de nos sources est partie à la traque des pirates.

Grâce à cette immersion, Breaking3zero a pu expliquer très vite que, après prise de contrôle d’une machine via une procédure de phishing, le serveur de transmission était la véritable cible de l’opération.

Et qu’un virus avait été utilisé par les cyber jihadistes pour arriver à leur but.

Un virus qui était encore présent sur les serveurs de la chaîne lors du passage de notre source, à la recherche d’éventuelles traces laissées par les pirates.

 

ISIS

 

Sens de l’humour ou sens de la provocation, le virus utilisé par les pirates de TV5 se nomme isis. Comme le nom utilisé par les Américains pour désigner daech.

Screen Shot 2015-04-08 at 3.51.28 PM

“isis” est un ver, un malware au format Visual Basic Script (.vbs) qui, introduit dans un PC du réseau de TV5, a continué de croître jusqu’à placer les pirates dans la position de contrôler le processus de diffusion de la chaîne.

“isis” est une version modifiée de njRAT, un virus conçu en novembre 2012 et largement diffusé depuis juin 2013.

Selon Symantec, depuis sa création, sous une forme ou une autre, njRAT a infecté au moins 20 000 machines à travers le monde.

NjRAT – et donc isis – a des capacités étendues.

Il permet de prendre à distance le contrôle de la machine infectée et là, par exemple, de récupérer des mots de passe (c’est ainsi que les hackers ont réussi sans aucune difficulté à pirater les comptes Twitter, Facebook et YouTube de TV5).

Les capacités de njRAT sont telles que, toujours selon Symantec, il est devenu le virus de prédilection des cybercriminels lorsqu’ils s’attaquent à des serveurs gouvernementaux.

 

PATERNITÉ

 

NjRAT est donc le virus de base qui a servi à la création de isis, celui qui a attaqué TV5.

À l’origine de njRAT, deux programmeurs : NjQ8 et security.najaf.

isWatermarked

 

Deux pseudos que l’on retrouve dans le script du virus qui a infecté TV5 et que nous publions dans son intégralité pour la première fois aujourd’hui à la fin de cet article.

Derrière NjQ8 se cache un programmeur du Koweït. Security.najaf est, lui, Irakien.

Le virus qui a servi de base à celui qui a attaqué TV5 est donc né au Moyen-Orient.

Où il est très vite devenu l’arme de choix des cyber jihadistes. Selon Symantec, au moins 80 % des utilisateurs de njRAT se trouvent en Irak, Algérie, Arabie Saoudite, Libye, Palestine, Tunisie et Maroc.

Et sans surprise, sous des formes modifiées, njRAT est utilisé par les pirates de l’État islamique. Ainsi un relevé des IP utilisées dans de récentes attaques pointe vers l’Irak et le domaine islamstate.no-ip.biz (comme démontré ici )

 

LOCALISATION

 

Pour résumer,  l’attaque de TV5, orchestrée par des membres du cybercaliphate a été effectuée  avec un virus nommé “isis”, conçu au Moyen-Orient, utilisé très majoritairement par des cyber jihadistes dont certains directement rattachés à daech.

Si cela crée un solide faisceau de suspicion, cela n’est pas suffisant pour établir une preuve.

Sur internet, et plus particulièrement dans l’univers de la cyber criminalité, il est très aisé de camoufler son identité et de se faire passer pour un autre.

Mais, comme nous l’avons publié dès le lendemain de l’attaque, nous estimons qu’un PC installé en Algérie (d’où, selon nos informations, semble aujourd’hui “émettre” security.najaf, l’un des pères du virus) et un autre en Irak (son propriétaire Khettab, un soldat de daech a ainsi “live-twitté” l’attaque contre TV5 avant de voir son compte supprimé) ont participé à l’opération.

Participé, car ils ne sont pas à l’origine de l’attaque.

Afin de rester le moins de temps possible sur les serveurs de TV5 au risque de se faire détecter, les pirates ont travaillé en équipe.

L’opération a vraisemblablement duré une quinzaine de minutes.

Les complices du hacker principal se sont retrouvés en charge de pirater les comptes des réseaux sociaux et les sites web du diffuseur. Pendant ce temps, le cyber jihadiste en chef partait à l’attaque du centre névralgique de TV5 Monde : son serveur de transmission.

Aujourd’hui, Breakig3zero est en mesure de révéler d’où l’attaque contre TV5 a débuté et donc de dévoiler la localisation du hacker principal.

Dans le script du virus “isis”, figure une adresse DNS.

Pour simplifier, il s’agit de la passerelle empruntée par le pirate pour attaquer sa victime. Une liaison qui peut mener à l’adresse IP de l’ordinateur utilisé et donc de sa localisation.

Dans le script de “isis”, l’adresse DNS est la suivante : “isis2012.ddns.net

isWatermarked

 

Une de nos sources a pu remonter sa piste.

Derrière l’adresse DNS se trouve une adresse proxy localisée en Roumanie. Pour faire simple, un proxy est un moyen utilisé pour dissimuler la réelle localisation d’un utilisateur. Une garantie d’anonymat. Ou presque

Derrière ce premier niveau de protection, un second étage d’anonymat via un nouveau proxy renvoyant en Asie.

Mais il n’y en a pas de troisième.

Derrière cette dernière barricade, la véritable adresse IP de l’ordinateur à l’origine de l’attaque contre TV5 Monde.

Sa localisation ? Établie avec précision à 55 kilomètres près, elle pointe vers une zone tribale d’Arabie Saoudite, a proximité de la frontière avec l’Irak.

“isis”,  un ver basé sur un virus crée au Moyen Orient, utilisé par des cyber jihadistes, a bel et bien été envoyé en mission destructrice contre TV5 depuis une zone sensible de la guerre qui oppose la France à l’État islamique.

Confirmant que le cadre de la cyber guerre est bien plus complexe et vaste que l’on croit. Et où les rapports de force sont loin d’être clairs.

 

COMPLEMENT EXCLUSIF : LE SCRIPT VBS DE ISIS, LE VIRUS QUI A ATTAQUÉ TV5

 

isWatermarked isWatermarked

 

isWatermarked

 

isWatermarked

isWatermarked

isWatermarked

isWatermarked

isWatermarked

isWatermarked



1...1920212223...27

Le Club des Jeunes |
Collectif citoyen de Monfla... |
JCM Consultant |
Unblog.fr | Créer un blog | Annuaire | Signaler un abus | Hug Lo
| Reelnew
| coachingmeteo