Je décline toute responsabilité quant aux mentions qui s'affichent dans les cinq lignes ci-dessus du pavé "Recherchez aussi" sur lequel je n'ai aucun contrôle.
Mes statistiques sont bloquées depuis le 2 février 2015.
7 février 2015
Mes statistiques sont de retour, tout fonctionne.
16 février 2015
Statistiques "basiques" de nouveau bloquées depuis le 12 février.
22 février 2015
Mes statistiques "basiques" ont été débloquées hier soir après la publication de mon dernier article concernant NEMROD34. Belle reprise simultanée de l'activité du Chinois.
23 février 2015
Statistiques "basiques" toujours sujettes à blocages : le 21 février au soir, à peine étaient-elles débloquées, puis à nouveau hier, 22 février, à peine étaient-elles débloquées.
24 février 2015
Statistiques "basiques" débloquées. Pas de nouveau pic d'activité du Chinois depuis le 21 février.
25 février 2015
Je n'ai pas mes statistiques "basiques" du jour, ça bloque encore... et Justinpetitcoucou est toujours bloqué depuis le 8 février... Faudrait penser à le débloquer, lui aussi, il y a du laisser-aller, là...
26 février 2015
Statistiques "basiques" des deux blog débloquées. Merci pour Justin, il était temps !
27 février 2015
Statistiques "basiques" des deux blogs de nouveau bloquées depuis le 26 février. Ce petit jeu pourrait-il cesser ? On n'en voit pas l'intérêt... Complément de 22 h: merci de m'avoir rendu ces statistiques !
25 mars 2015
Statistiques "basiques" de nouveau bloquées depuis le 20 mars.
26 mars 2015
Merci de m'avoir débloqué mes statistiques "basiques". Encore une fois, je ne vois pas l'intérêt de ce petit jeu. Ce serait aussi bien de cesser de bloquer ces statistiques pour oublier de les débloquer jusqu'à ce que j'aie signalé le problème.
31 mars 2015
Merci de bien vouloir me débloquer les statistiques "basiques" de Justinpetitcoucou, restées bloquées depuis le 14 mars - cf. avis du 25 mars sur Justin.
2 avril 2015
Merci de m'avoir rendu les statistiques de Justin.
7 mai 2015
Je n'ai plus de statistiques depuis deux jours, ni "basiques" ni "avancées".
10 mai 2015
Retour des statistiques "basiques". Merci. Manquent encore les statistiques "avancées".
14 mai 2015
Toutes mes statistiques sont de retour depuis hier. Merci.
3 octobre 2015
Depuis hier, les compteurs de mes statistiques avancées sont tous à zéro. Merci de me les rendre.
Durant tout le temps de l’activité de mon ancien blog « Un petit coucou » sur la plateforme OverBlog, soit de mars 2010 à juin 2013, j’ai été presque quotidiennement abondamment insultée, menacée, harcelée jusque sur mon propre blog par mes calomniateurs de la bande de Cyprien Luraghi, comme ils le faisaient déjà auparavant sur ma page du Post tant que j’ai été inscrite sur ce média, de début septembre 2009 à début mars 2010, et précédemment sur le site Rue89 depuis février 2009.
Leur cheftaine elle-même, Josette Brenterch du NPA de Brest, ne fut pas la dernière à venir m’y provoquer à compter du mois de juillet 2010.
Mais depuis que j’ai recommencé à m’exprimer sur un blog au mois de mars 2014, je ne les ai quasiment pas vus dans mes commentaires de blog, qu’il s’agisse de Petitcoucou, Satanistique ou Justinpetitcoucou.
C’est donc de manière tout à fait exceptionnelle qu’en dates des 3 et 4 février derniers, soit à la veille de l’attaque du tout nouveau trojan crypto-rançonneur Locky ayant frappé le Hollywood Presbyterian Medical Center le 5 février 2016, un internaute pseudonymé « Unknown » ressemblant à s’y méprendre à ma harceleuse d’habitude Josette Brenterch du NPA de Brest, m’a laissé trois commentaires sur Satanistique.
Eh oui, « Unknown » n’a pas manqué de commenter mon article du 9 juillet 2014 sur les voleurs de dossiers médicaux de Brest, dont Josette Brenterch du NPA, une grande spécialiste en la matière.
On notera par ailleurs que le trojan crypto-rançonneur Locky, qui a commencé par s’attaquer à un centre médical nécessairement fréquenté par des catégories de personnes parmi les plus haïes de cette femme, et a depuis muté pour multiplier ses victimes en France, a le bon goût d’y épargner les services publics et leurs finances. Autrement dit, il n’affectera pas paies et retraites des fonctionnaires.
Rappelons enfin que des pirates informatiques tels les deux compères Pascal Edouard Cyprien Luraghi et Jean-Marc Donnadieu sont régulièrement sollicités par les auteurs de programmes malveillants pour leur mise au point et les connaissent ainsi fort bien, ils leur sont destinés :
Un nouveau ransomware a fait son apparition sur les forums clandestins
janvier 15, 2014. 4:46
Les activistes de l’alliance pour la sécurité Malware Must Die (MMD) signalent la sortie prochaine sur le marché noir d’un programme d’escroquerie présenté sous le nom de Prison Locker et Power Locker. Ces chasseurs de menaces sur Internet traquent ce programme depuis le mois de novembre et selon eux, l’auteur de ce programme et son associé sont dans la phase de finition de l’interface utilisateur du toolkit et ils font beaucoup appel aux membres des forums de pirates pour les tests. L’auteur du programme malveillant a déjà fixé le montant de la licence à 100 dollars et il a l’intention d’accepter les paiements en bitcoins.
D’après les données de MMD, le nouveau ransomware a été programmé en C/C++ et se charge dans le dossier de fichiers temporaires de la victime à l’aide d’un cheval de Troie de type dropper. Une fois installé, Prison Locker chiffre toutes les données sur le disque dur et les disques partagés, à l’exception des fichiers système (.exe, .dll, .sys, etc.) D’après une déclaration publiée en décembre sur Pastebin.com, la version finale du programme malveillant utilisera l’algorithme de chiffrement Blowfish en créant une clé unique pour chaque fichier chiffré. Cette clé est ensuite chiffrée à l’aide d’une clé RSA de 2 048 bits, unique pour l’ordinateur infecté et enregistrée avec le fichier chiffré.
Prison Locker crée également un Bureau et quand le chiffrement est terminé, il y affiche en plein écran une message sur la nécessité de payer une rançon. Un module spécial bloque les touches Windows et Escape et arrête de nombreux processus Windows, dont explorer.exe, regedit.exe, taskmgr.exe et cmd.exe. Le passage d’une application à l’autre à l’aide de Alt+Tab devient également impossible. De plus, le programme malveillant vérifie toutes les quelques millisecondes si l’utilisateur n’a pas quitté le nouveau Bureau. Si c’est le cas, il l’active à nouveau.
A l’instar de CryptoLocker, ce nouveau programme d’escroquerie exige le paiement d’une rançon dans le délai imparti, sans quoi la clé de déchiffrement sera détruite. L’opérateur du programme malveillant a la possibilité de modifier ce délai, d’arrêter le compte-à-rebours ou de le réinitialiser. Il peut même fixer lui-même le montant de la rançon. Il peut également renommer le fichier malveillant et désigner un autre dossier pour son téléchargement. L’accès au tableau d’administration s’opère à l’aide des données par défaut admin/admin, mais là aussi il existe des possibilités de personnalisation.
D’après l’auteur, Prison Locker est doté de toute une série de moyens de protection. Il est en mesure de détecter son exécution sur une machine virtuelle de base, dans un bac à sable ou avec un débogueur.
A l’heure actuelle, les enquêteurs connaissent le pseudo sur les réseaux de l’auteur du programme malveillant : gyx. Ils connaissent également son numéro ICQ, son ID sur Jabber, son adresse Gmail ainsi que son surnom sur Twitter et l’adresse de sa page personnelle sur blogspot.in. Il est intéressant de voir que l’auteur de Prison Locker se décrit dans son profil Twitter comme un « défenseur de la sécurité sur Internet », « un analyste de virus débutant » et même « un programmeur C/C++ qui apprend MASM » (Microsoft Macro Assembler). Les membres de MMD ont déjà transmis les informations en leur possession à leurs collègues et partenaires dans les services de police et la situation est contrôlée.
Présidentielle 2017 : Philippe Poutou désigné candidat du NPA
Philippe Poutou avait déjà été candidat en 2012 pour le Nouveau parti anticapitaliste. Il avait récolté 1,15% des voix au premier tour.
Source AFP
Publié le 20/03/2016 à 19:13 | Le Point.fr
Le Nouveau parti anticapitaliste (NPA) a choisi Philippe Poutou, 49 ans, comme candidat à la prochaine élection présidentielle, a-t-on appris dimanche auprès du parti, confirmant une information du Lab d’Europe 1. Philippe Poutou avait déjà été candidat en 2012 pour le même parti. Le NPA, réuni à l’Université de Nanterre pour sa Conférence Nationale samedi et dimanche, a désigné Philippe Poutou dans une déclaration votée « à plus de 95% », a indiqué Jean-Marc Bourquin, responsable communication du mouvement. « Le mouvement contre le gouvernement et la loi travail nous a redonné la pêche. On a une colère à faire entendre », a indiqué Philippe Poutou à Europe 1. « On est obligé de prendre de l’avance et d’avoir un calendrier précoce pour obtenir les 500 signatures. On est donc obligé de partir plus tôt que d’autres pour passer ce tour préliminaire. Pourquoi moi ? Le fait que je sois un peu connu, ça a aidé, même si ce n’est pas quelque chose de naturel pour moi d’être candidat », a-t-il ajouté.
1,15% des voix
En 2012, Philippe Poutou avait obtenu 1,15% des voix au premier tour. Il se voulait alors le « porte-parole de ceux qui trinquent ». Né le 14 mars 1967 à Villemomble (Seine-Saint-Denis), de père facteur et de mère sans emploi, ce réparateur de machines-outils de l’usine automobile Ford de Blanquefort (Gironde) s’était fait connaître à travers son combat à la CGT pour la sauvegarde des emplois au sein de son usine. Autre candidate trotskiste de 2012, Nathalie Arthaud a elle aussi été désignée la semaine dernière comme candidate pour 2017 pour Lutte Ouvrière.
C’est finalement Philippe Poutou qui se présentera en 2017. Cinq ans après avoir été le premier candidat à la présidentielle du Nouveau Parti anticapitaliste, l’ouvrier de chez Ford, 49 ans, a de nouveau été désigné, dimanche 20 mars à Nanterre, par sa formation pour porter les couleurs du NPA dans treize mois. « Il y a quasiment eu l’unanimité pour qu’il soit candidat », assure Alain Krivine, figure historique du parti trotskiste.
« Le mouvement contre le gouvernement et la loi travail nous a redonné la pêche. On a une colère à faire entendre », a déclaré M. Poutou à Europe 1. « On est obligé de prendre de l’avance et d’avoir un calendrier précoce pour obtenir les 500 signatures. On est donc obligé de partir plus tôt que d’autres pour passer ce tour préliminaire. Pourquoi moi ? Le fait que je sois un peu connu, ça a aidé, même si ce n’est pas quelque chose de naturel pour moi d’être candidat », a-t-il ajouté.
En 2012, une campagne difficile
En 2012, alors inconnu, ce dernier avait obtenu 1,15 % des voix au terme d’une campagne difficile. Comme Nathalie Arthaud, la candidate de Lutte ouvrière, il avait souffert de la concurrence de Jean-Luc Mélenchon, qui avait attiré sur sa candidature une partie des suffrages de l’extrême gauche.
Un an plus tôt, M. Poutou avait eu la délicate mission de succéder à Olivier Besancenot, candidat à deux reprises de la Ligue communiste révolutionnaire en 2002 et 2007. Cette figure de la LCR, qui avait réalisé les meilleurs scores du parti avec plus de 4 % des suffrages les deux fois, n’avait pas voulu se représenter. Et a fait savoir qu’il ne souhaitait toujours pas rempiler en 2017.
Ouvrier à l’usine automobile Ford de Blanquefort (Gironde), M. Poutou s’était fait connaître à travers son combat à la CGT pour la sauvegarde des emplois au sein de son usine. En 2014, il avait quitté la direction du NPA en critiquant un comité exécutif du parti « trop parisien » et dénonçant des « problèmes de fonctionnement, de manque de démocratie, de manque de respect entre camarades ».
Depuis plusieurs années, les temps sont durs pour la formation trotskiste. En 2009, la Ligue était devenue le NPA et connaissait son apogée avec plus de 9 000 militants et l’idée de créer un parti de masse. Mais plusieurs crises internes ont eu raison de cet idéal. La formation a perdu son financement public dans la foulée des législatives en 2012 et a dû faire face à au départ de nombreux militants au Front de gauche.
La première victime connue est le Hollywood Presbyterian Medical Center, attaqué le 5 février 2016.
Si le responsable du centre médical a tenu à rassurer ses patients sur la totale sécurité des soins dispensés dans son établissement jusqu’au paiement d’une rançon d’environ 15000 euros, il est évident qu’il ne peut leur garantir qu’ils ne seront pas eux-mêmes victimes de chantages ou autres désagréments en conséquence du vol de leurs dossiers médicaux…
1/2 Voici le type de mail qui vous est adressé, contenant le virus Locky. Attention à ne surtout pas cliquer sur la pièce jointe. Et jetez vite fait ce mail à la poubelle!
Le Matin
Attention au virus Locky! Utilisant la même technique de vol de données que le cheval de Troie Dridex (les experts en sécurité pensent que le groupe à l’origine de Locky est lié à l’un des groupes qui contrôlent Dridex), il permet aux pirates informatiques de chiffrer vos données et vous en bloquer l’accès.
Le versement d’une rançon est ensuite exigé par les hackers, ceci afin que les victimes obtiennent la clé de déchiffrement qui leur permettra de récupérer les fichiers.
Evidemment, à la condition expresse que les pirates tiennent parole, sans quoi les fichiers sont simplement irrécupérables.
Des exemples? Aux Etats-Unis, le Hollywood Presbyterian Medical Center a été stoppé après une infection par le Locky. Une rançon de 17 000 dollars a dû être versée par l’établissement.
En Suisse romande, des journaux du groupe Tamedia (auquel appartient «Le Matin») ont également été visés par le virus. Sans conséquence jusqu’ici, heureusement.
Ce qui n’a pas été le cas d’une agence immobilière de l’arc lémanique dont l’entier des données (non sauvegardées) a été ainsi pris en otage par des pirates informatiques réclamant une rançon pouvant aller jusqu’à 1500 francs par ordinateur utilisé dans l’entreprise.
Que faire pour éviter Locky?
Le virus Locky vous parvient par un simple mail contenant un dossier Zip, avec un document Microsoft Word. Si vous ouvrez ce dernier, Locky est immédiatement activé.
Il est donc impératif de ne pas ouvrir les mails provenant d’une adresse inconnue ou à l’intitulé étrange. Direction poubelle, sans hésiter! Et puis rappelons que sauver ses fichiers régulièrement sur un disque dur externe est vivement conseillé.
Certains indices font penser aux spécialistes que les pirates qui contrôlent Locky ont organisé une large campagne d’attaque. Une extrême prudence est donc de rigueur.
Locky, un ransomware qui a récemment bloqué un hôpital à Los Angeles, cible en ce moment la France. Attention aux pièces jointes ressemblant à des factures et faisant appel à des macros !
Le ransomware Locky, à l’origine d’une attaque récente contre un hôpital à Los Angeles, est toujours actif et il cible particulièrement la France. Selon une analyse de l’éditeur Kaspersky, le malware, dont la société a identifié plus de 60 variantes à ce jour, serait en effet particulièrement diffusé en France et en Allemagne. Le CERT-FR, le centre d’alerte et de réaction aux attaques informatiques de l’administration hexagonale, confirme d’ailleurs cette analyse dans une note datée du 2 mars (sa première version date du 19 février). L’organisme indique constater une « vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible », des spams ayant pour objectif de diffuser le rançongiciel Locky.
Ce ransomware doit son nom au suffixe qu’il donne aux fichiers qu’il crypte (transformé en .locky). Classiquement, les cybercriminels demandent aux victimes de s’acquitter d’une rançon pour retrouver l’accès à leurs données devenues inaccessibles (entre 0,5 et 1 Bitcoin dans le cas présent, selon les données publiées par Sophos, un Bitcoin valant aujourd’hui quelque 360 euros).
Diffusion de Locky : haro sur les macros Office
Locky chiffre un grand nombre de fichiers, en particulier tous ceux ayant des extensions renvoyant à des vidéos, des images, des codes source et des fichiers Office. Il cible même le fichier wallet.dat, autrement dit le portefeuille de Bitcoin si l’utilisateur en possède un. Faute de sauvegarde de ce dernier et s’il renferme plus d’un Bitcoin, les criminels sont quasiment sûrs d’amener leur victime à payer la rançon !
La méthode de diffusion du malware est assez classique et rappelle celle utilisée pour un autre malware célèbre, Dridex : l’infection se dissimule, la plupart du temps, dans une pièce jointe à un e-mail, prenant par exemple l’apparence d’une facture. Sauf que ce fichier (très souvent un .doc) semble codé de façon inappropriée. C’est là que réside le piège : un message conseille alors à l’utilisateur d’autoriser les macros pour revenir à un codage plus adapté. Cette action permet d’installer sur le disque dur de la victime un fichier qui, à son tour, va aller télécharger le malware à proprement parler. Cette mécanisme à double détente, assez courant, permet aux hackers de modifier et de peaufiner leur malware au fil du temps, sans avoir à bouleverser leur procédure d’installation.
« Il est intéressant de noter que le message électronique a pour sujet « ATTN: Invoice J-<8 chiffres> » et la pièce jointe pour nom « invoice_J-<8 mêmes chiffres> ». Cette caractéristique peut permettre le blocage ou la mise en place d’alertes via les serveurs mandataires », écrit le CERT-FR. Ce dernier précise toutefois que la méthode de diffusion du malware peut varier : depuis le 29 février, l’organisme observe une nouvelle vague de pourriels prenant la forme de fausses factures Free Mobile, envoyées par e-mail (voir ci-dessus). Ces dernières renferment cette fois un fichier Javascript dont l’objectif est de télécharger Locky.Kaspersky Lab assure également avoir identifié d’autres méthodes de propagation, notamment via des pages web légitimes sur lesquelles le malware Locky est implanté. Lors d’une simple visite d’une de ces pages, Locky cherche à se diffuser sur le poste de l’utilisateur en exploitant d’éventuelles vulnérabilités logicielles présentes sur sa configuration. L’éditeur d’antivirus ajoute que, dans ses versions les plus récentes, le malware peut se présenter également « sous la forme d’une notification de fax ou de scanner ».
Attention à la propagation sur le réseau de l’entreprise
Une fois l’ordinateur infecté, un écran s’affiche, informant l’utilisateur du forfait et l’invitant à se connecter à des pages décrivant de la marche à suivre pour payer sa rançon et récupérer ses données (ci-dessous). Comme le rappelle Sophos, les effets d’un ransomware comme Locky peuvent être dévastateurs en entreprises, car le malware ne se contente pas de chiffrer le disque C: de sa victime. Il bloque aussi les fichiers des disques auxquels le poste a accès, y compris les disques amovibles, les serveurs de fichiers du réseau ou les machines de tiers (y compris sous Linux ou OS X). Dévastateur si la victime est connectée en tant qu’administrateur du domaine. Dans sa note, le CERT-FR recommande d’ailleurs, en cas d’infection, de « déconnecter immédiatement du réseau les machines identifiées comme compromises » et de « positionner les permissions des dossiers partagés en lecture seule afin d’empêcher la destruction des fichiers sur les partages ».
Locky a fait récemment la démonstration de sa dangerosité en bloquant les systèmes d’un hôpital de Los Angeles, le Hollywood Presbyterian Medical Center. Selon le New York Post, ce dernier a été contraint de verser 17 000 $ aux pirates – après négociation, les criminels réclamaient au départ plus de 3,5 M$ – pour obtenir les clefs de déchiffrement et retrouver l’accès à ses données.
Un ransomware qui rebondit grâce au Cloud
« 2016 est probablement l’année du ransomware. Au cours du seul mois de février, nous avons déjà dénombré autant de tentatives d’attaques contre nos clients que lors des cinq mois précédents cumulés », commente Marco Preuss, à la tête de l’équipe de recherche et de développement de Kaspersky Lab en Europe. L’éditeur a dénombré au cours du mois dernier plus de 40 000 tentatives d’infection par un ransomware chez ses clients.
Récemment, un autre rançongiciel écrit en PHP s’en est pris non plus aux postes de travail mais directement aux serveurs Web, preuve de la volonté des cybercriminels d’exploiter le filon partout où c’est possible. Par ailleurs, Netskope, éditeur spécialisée dans la sécurisation des applications Cloud, a récemment expliqué avoir détecté des phénomènes de diffusion de ransomware via le Cloud, au travers de la fonction de synchronisation de fichiers que ces services offrent à leurs utilisateurs.
• Au total l’an passé, le nombre des utilisateurs attaqués dans le monde par des malwares ciblant des appareils Android a augmenté de 48,3%
• Kaspersky Lab a déjà recensé plus de 40 000 tentatives d’infection par un ransomware chez ses clients en février 2016
Le cheval de Troie de cryptage (ransomware) Locky est toujours en activité, et donc Kaspersky Lab en a identifié à ce jour plus de 60 variantes. Selon les analyses de la société, les internautes allemands et français sont les plus exposés à ce risque, suivi par l’Afrique du Sud, l’Autriche, l’Italie, les Etats-Unis, la Chine et l’Inde [1].
Locky utilise en particulier deux vecteurs d’attaque. Il arrive notamment sur l’ordinateur par le biais de fausses factures jointes dans un courriel. Dès que le document est ouvert, le logiciel malveillant est téléchargé à partir d’Internet, à condition que les macros nécessaires pour l’infection soient activées. Par ailleurs, Kaspersky Lab a identifié des pages web légitimes sur lesquelles le malware Locky a été implanté. Lorsqu’un utilisateur visite l’une de ces pages et que les vulnérabilités logicielles correspondantes sont présentes sur son ordinateur, Locky tente de s’installer automatiquement sur ce dernier. Dans les versions les plus récentes, le malware se présente également sous la forme d’une notification de fax ou de scanner. Une fois que Locky [2] s’est frayé un chemin sur l’ordinateur infecté, le cheval de Troie entame ses activités de cryptage puis exige de sa victime une rançon [3].
« Les criminels qui se cachent derrière le ransomware Locky cherchent à en tirer un maximum de profits », commente Marco Preuss, à la tête de l’équipe de recherche et de développement de Kaspersky Lab en Europe. « Locky n’est pas une blague mais l’œuvre de malfaiteurs qui y ont investi une énergie considérable. »
2016 sera-t-elle l’année du ransomware ?
Les chevaux de Troie de racket et de cryptage ne sont pas des nouveautés. Parmi les exemples connus figurent notamment Coinvault ou Teslacrypt. En outre, les ransomwares mobiles, qui s’attaquent aux utilisateurs d’Android, sont en progression constante. Selon le Kaspersky Security Bulletin 2015/2016 [4], une attaque de ransomware sur six en 2015 a été observée sur des appareils Android. Au total, l’an passé, le nombre des utilisateurs attaqués par ce type de malware dans le monde a augmenté de 48,3% [5].
Locky s’inscrit dans cette tendance. « 2016 est probablement l’année du ransomware. Au cours du seul mois de février, nous avons déjà dénombré autant de tentatives d’attaques contre nos clients que lors des cinq mois précédents cumulés », souligne Marco Preuss.
De fait, Kaspersky Lab a déjà recensé plus de 40 000 tentatives d’infection par un ransomware chez ses clients en février 2016. L’Allemagne se situe au troisième rang mondial des pays les plus ciblés, derrière la Russie et l’Inde.
Les conseils de sécurité de Kaspersky Lab
Pour se protéger contre une attaque de ransomware, Kaspersky Lab recommande les mesures de sécurité suivantes :
• Se méfier des pièces jointes : ne pas ouvrir les pièces jointes dans les e-mails provenant d’expéditeurs inconnus. En outre, il est conseillé de désactiver les macros dans les documents car Locky s’en sert pour s’implanter sur un ordinateur.
• Réaliser des sauvegardes régulières, afin de pouvoir accéder à nouveau aux données cryptées en cas d’urgence.
• Mettre à jour les logiciels (système d’exploitation, navigateur et tous les autres programmes utilisés) avec les derniers correctifs disponibles.
• Installer de véritables solutions de sécurité : les solutions antivirus modernes telles que Kaspersky Total Security – Multi-Device [6] offrent une protection contre les infections. Des technologies spéciales comme Activity Monitor de Kaspersky Lab permettent de restaurer des données qui ont été cryptées de manière illicite et de rétablir l’état initial du système.
• Ne pas céder au chantage : Kaspersky Lab recommande de ne pas payer la rançon exigée mais plutôt d’avertir les autorités de toute tentative de cyberracket. Les solutions de Kaspersky Lab identifient et bloquent Locky sous l’appellation « Trojan-Ransom.Win32.Locky ». Les bases de données de signatures ont été actualisées en conséquence dès le 7 février 2016. En outre, l’activité malveillante d’un processus Locky en cours a déjà été reconnue par la technologie proactive d’analyse comportementale de Kaspersky Activity Monitor [7], qui offre une protection spéciale contre les ransomwares.
Le malware Locky évolue pour échapper aux outils de détection de malwares. Et cible toujours autant les entreprises françaises. Le rédaction de Silicon.fr, qui en a été une des ses victimes, peut d’ailleurs en témoigner.
« Eteignez les ordinateurs immédiatement ». C’est la consigne que s’est vue intimer la rédaction de Silicon.fr hier, vers 10h30. En cause : la découverte de fichiers comportant le suffixe .locky sur un des serveurs de fichiers partagés de NetMediaEurope, l’éditeur de notre publication. Le signe indiscutable d’une contamination naissante par le ransomware Locky, un malware apparu à la mi-février et qui multiplie les tentatives d’infection dans l’Hexagone.
Locky chiffre un grand nombre de fichiers, en particulier tous ceux ayant des extensions renvoyant à des vidéos, des images, des codes source et des fichiers Office. Une fois les données verrouillées, les cybercriminels demandent aux victimes de s’acquitter d’une rançon pour retrouver l’accès à leurs données devenues illisibles (entre 0,5 et 1 Bitcoin pour Locky, selon les données publiées par l’éditeur Sophos, un Bitcoin valant aujourd’hui quelque 360 euros).
« Une nouvelle variante presque chaque jour »
Pour se propager, Locky se cache dans des e-mails (par exemple de fausses factures Free, l’opérateur vient d’ailleurs – tardivement – d’alerter ses abonnés du phénomène), mais également dans des notifications semblant émaner d’imprimantes ou de scanners situés sur le réseau de l’entreprise. Ces dernières comportent un fichier PDF renfermant du code Javascript déclenchant le téléchargement du malware. « Ce n’est malgré tout pas une attaque ciblée au sens où on l’entend habituellement, explique Vincent Nguyen, le responsable technique du CERT (le centre de réponse aux incidents de sécurité) de la société de conseil Solucom. Cette technique peut s’automatiser à partir de l’adresse du destinataire. La diversification des techniques de diffusion de l’infection témoigne par contre de la volonté des cybercriminels d’échapper aux filtres anti-spam. »
Le ransomware se diffuse aussi via des sites infectés par les cybercriminels, méthode qui semble être celle exploitée pour contaminer l’éditeur de Silicon.fr. « Le site va utiliser un ‘Exploit Kit’ (en ce moment, principalement Angler), qui consolide plusieurs codes d’exploitation de vulnérabilités pour des produits web (navigateurs web, plug-in Flash, Java, Silverlight…) », détaille Vincent Nguyen. Objectif : repérer une des vulnérabilités ciblées par le kit dans le navigateur web des visiteurs pour exécuter un code malveillant qui va déclencher l’innoculation du ransomware.
Et ça marche, comme peut en témoigner Apicomm, le prestataire chargé de la gestion du parc de NetMediaEurope. « Une nouvelle variante de Locky apparaît presque chaque jour afin d’échapper aux outils de détection », confirme Rémy Fontaine, son responsable entreprise. Qui précise : « depuis ce matin (hier le 10 mars), une nouvelle variante est apparue et n’est détectée que par 5 antivirus sur 57. Cette variante est plus dangereuse, car elle chiffre tout sur le partage réseau en utilisant la découverte réseau de Windows, alors que la précédente mouture du malware se basait sur les lettres des lecteurs réseaux ». Pour Apicomm, en cas d’infection, la première chose à faire consiste à débrancher le câble réseau et même à éteindre les PC. « En effet, sur les dernières variantes, le fait de couper le réseau empêche la communication entre Locky et le serveur des hackers et donc interrompt le chiffrement. Normalement, le fait de relancer la machine suffit à désactiver le malware », détaille Rémy Fontaine, dont la société est déjà intervenue sur 5 serveurs infectés par les premières variantes et sur deux autres touchés par les dernières moutures. Pour tenter d’enrayer le malware, la société a développé une stratégie de groupe (GPO,Group Policies Object) sur les serveurs permettant de bloquer l’exécution de Locky dans APPDATA, le répertoire où il a l’habitude de se loger.
« Le phénomène touche toutes les entreprises, les plus grandes y compris », assure Vincent Nguyen. Solucom, dont l’activité se concentre sur les grandes entreprises, a ainsi reçu une dizaine de sollicitations sur le sujet et est intervenu, sur site, chez deux de ses clients. « L’un d’entre eux était touché par 5 souches de ransomwares différentes en même temps. C’est ce qui rend la situation complexe, car on n’a pas affaire à une menace unique : aux multiples variantes de Locky s’ajoutent celles de Teslacrypt par exemple. Et les antivirus ont toujours un coup de retard », explique le responsable technique du CERT de Solucom, société qui vient de publier quelques conseils sur les façons de réagir à une infection par ransomware.
Locky mute par algorithme
Comme l’explique Cyrille Badeau, le directeur régional de l’éditeur ThreatQuotient, spécialisé dans l’intelligence sur la menace, les malwares mutent en permanence pour contourner les lignes de défense, ce qui explique pourquoi des entreprises même à jour sur leurs technologies de lutte contre les menaces sont piégées… pour peu qu’un utilisateur clique sur un fichier malicieux. « Si on compare une attaque complexe à une molécule composée d’atomes, même si les méthodologies d’attaque, soit la structure des molécules, évoluent très lentement du fait de l’importance du coût associé, les hackers sont capables de faire évoluer de nombreux atomes à bas coût. Ainsi depuis plusieurs années, de campagne en campagne, ils remplacent certains atomes devenus trop facilement détectables par de nouveaux éléments ayant le même rôle, mais apparaissant pour la première fois. »
Et Cyrille Badeau de noter que, dans le cas de Locky, l’automatisation des attaques s’est accentuée avec l’utilisation de serveurs de contrôle et de commande (serveurs dits C&C qui pilotent les virus) générés par algorithme. « Impossible pour les défenseurs de prévoir le prochain C&C à surveiller », résume-t-il. Un site comme RansomwareTracker les référence au fil de l’eau, mais une fois les premières infections détectées.
Un Javascript à la place des macros Office
Si la France figure parmi les principaux pays victimes du rançongiciel, le phénomène est global. Les laboratoires SpiderLabs de la société Trustwave estiment que 18 % des 4 millions de spams qu’ils ont analysé dans le courant de la semaine dernière sont liés à des ransomware. Et Locky est la star actuelle dans cette famille d’infections. Les SpiderLabs notent une accélération importante de l’envoi de spams renfermant des ransomware au cours des derniers jours. « Ces campagnes (d’envoi de spams visant à diffuser l’outil de téléchargement du virus) ne sont pas continues, mais concentrées, avec des pics à 200 000 e-mails infectieux arrivant sur nos serveurs en une seule heure », écrit Rodel Mendrez, un chercheur de Trustwave.
Et la société de mettre en garde contre la diffusion par spam de scripts Javascript (encapsulés dans des fichiers Zip) déclenchant le téléchargement de Locky, une autre technique exploitée par les cybercriminels. Objectif de la compression en .zip et de l’envoi d’un fichier de petite taille : laisser penser que ledit fichier est bénin.« Nous pensons que le passage au Javascript vise à esquiver les technologies antimalware », renchérit McAfee dans un billet de blog. Cette méthode, aux côtés de celles basées sur de fausses notifications de scanners ou imprimantes et sur la diffusion par des sites infectés, semblent avoir supplanté la première technique de dissémination employée par les cybercriminels, une approche exploitant les macros Office.
500 000 connexions venant de France
Les statistiques fournies par un autre fournisseur d’outils de sécurité, Fortinet, témoignent aussi de la large diffusion de Locky. Sur la base des connexions aux serveurs de commande et contrôle des ransomware détectées par ses sondes de détection d’intrusion (soit 18,6 millions de connexions entre le 17 février et le 2 mars), la société estime que 16,5 % d’entre elles sont liées à Locky. C’est certes beaucoup moins que les connexions dues à la famille Cryptowall (plus de 83%), mais Locky est, contrairement à son aîné, clairement surreprésenté en France, l’Hexagone pesant quelque 15 % des connexions totales dues à la nouvelle terreur des services IT. Ce qui représente, pour les seules sondes Fortinet, pas loin de 500 000 connexions aux serveurs de commande et contrôle Locky issues de France, dans le courant de seconde moitié de février.
Locky a récemment fait la démonstration de sa dangerosité outre Atlantique, en bloquant les systèmes d’un hôpital de Los Angeles, le Hollywood Presbyterian Medical Center. Selon le New York Post, ce dernier a été contraint de verser 17 000 $ aux pirates – après négociation, les criminels réclamaient au départ plus de 3,5 M$ – pour obtenir les clefs de déchiffrement et retrouver l’accès à ses données. Comme l’explique Vincent Nguyen, de Solucom, aucun outil ne permet à ce jour de restaurer les fichiers chiffrés par Locky sans posséder la clef que vendent les cybercriminels, même si des travaux sont en cours pour tenter de trouver des solutions de contournement.
L’hôpital américain pris en otage par un ransomware a décidé de payer environ 15 000 euros en bitcoin pour reprendre la main sur son SI.
Le Hollywood Presbyterian Medical Center est devenu un établissement de santé très médiatique. Pas nécessairement pour ses compétences médicales, mais plutôt pour sa faiblesse en matière de sécurité informatique. En effet, en début de semaine, on apprenait que l’hôpital avait été victime d’un ransomware, bloquant une bonne partie du système d’information. Selon les informations de la presse américaine, le cybercriminel demandait 9000 bitcoins, ce qui représente à peu près 3,2 millions d’euros pour un retour à la normale.
Après quelques jours d’incertitudes et d’emballement médiatique, le responsable du centre médical, Allen Stefanek, est sorti de son silence pour donner quelques détails. Le plus important est qu’il a été obligé de payer une rançon pour reprendre le contrôle des PC. Mais les sommes annoncées ne sont pas mirobolantes, le dirigeant explique qu’il a versé « 40 bitcoins soit l’équivalent de 17 000 dollars (15 000 euros) ». Il justifie ce paiement comme étant, « la façon la plus rapide et la plus efficace pour restaurer notre système et les fonctions administratives ». Aucun détail n’a été fourni sur le niveau réel de cette attaque, mais Allen Stefanek assure « les soins des patients n’ont pas été affectés, ni les dossiers des patients ».
Les entreprises n’hésitent plus à payer
Pour autant, des mesures de sécurité ont été prises pour palier le blocage du système. Les urgences ont été redirigées vers un autre hôpital, le personnel de santé redécouvre les crayons et le papier pour enregistrer les informations patients et le fax pour communiquer avec les autorités. L’attaque a eu lieu le 5 février dernier, mais la direction de l’hôpital a attendu la semaine dernière pour informer la police de Los Angeles du problème. Le FBI est aussi de la partie en prenant en charge l’enquête. A noter que la rançon a été payée avant que les autorités judiciaires soient sollicitées.
Cette attaque apporte plusieurs enseignements. Le premier est la montée en puissance inexorable des rançongiciels. Les cybercriminels redoublent de sophistication, allant de la programmation (JavaScript) ou de l’intégration du service client avec un chat. La création d’un ransomware est un investissement très lucratif. Surtout que les entreprises n’hésitent pas à payer pour déverrouiller les PC infectés. Une étude de Skyhigh montre que près d’un quart des entreprises sont prêtes à payer une rançon et 15% seraient capables d’y mettre 1 millions de dollars. La nouvelle plaie de la sécurité pourrait être combattue, mais cette bataille nécessite une politique un peu plus volontariste des autorités.
Spécialisé dans le vol de données bancaires, Dridex est toujours actif malgré l’opération du FBI, mi-octobre. Il cible maintenant la France, avertit le CERT-FR et une société de sécurité.
Le botnet Dridex, que les autorités expliquaient avoir démantelé il y a deux semaines, serait toujours actif… et ciblerait en particulier la France. La société américaine, spécialiste de la sécurité des points d’accès, Invincea explique en effet avoir détecté 60 instances du botnet ciblant des utilisateurs français avec le malware Dridex, spécialisé dans le vol de données bancaires. « Au moins certains de ses serveurs de commande et contrôle ont été remis sur pied », écrit Invincea. Selon la société, qui explique que ses observations portant sur le retour du botnet remontent au 22 octobre, le malware envoyé par les cybercriminels est signé avec un certificat émis par l’entreprise de sécurité Comodo, « ce qui signifie que les technologies de sécurité qui font confiance aux exécutables signés échoueront à stopper ces attaques », note Invincea. Ceci concerne notamment les entreprises ayant placé en liste blanche de telles applications.
La menace est confirmée par le CERT-FR, qui a émis une alerte au sujet de Dridex le 23 octobre. « Depuis la mi-octobre 2015, le CERT-FR constate à l’échelle nationale une vague de pourriels (de type Dridex, NDLR) dont le taux de blocage par les passerelles anti-pourriel est relativement faible », écrit l’organisme officiel de réponse aux menaces, qui dépend de l’Anssi (Agence Nationale de la Sécurité des Systèmes d’information). Le centre note que ces courriels sont souvent écrits dans un français sans faute.
Radical : désactiver les macros
L’attaque prend en effet la forme d’une campagne de phishing, des mails renfermant des documents Microsoft Office qui semblent renfermer des factures émanant de magasins, d’hôtels ou d’organismes divers (la fourrière de Grenoble, la DGA…). Si l’utilisateur ouvre ces documents, une macro VBScript ou Visual Basic est employée pour assembler le malware PIDARAS.exe, via une technique dite Just-in-Time, qui consiste à construire la souche infectieuse directement sur le poste de la cible, afin d’échapper aux défenses basées sur le monitoring de réseau ou les bacs à sable. Selon le CERT-FR, les téléchargements s’effectuent via le port HTTP « non standard 8080 », une caractéristique qui « permet de détecter pour cette variante les postes ayant exécuté la macro ».
Une fois le malware en place, il communique avec des serveurs basés au Japon, via le port 473. Si Dridex est susceptible d’échapper à la vigilance de certains antivirus, une désactivation de la fonction d’exécution automatique des macros Office permet de lui couper les ailes, rappelle le centre de réponse aux incidents de l’administration française.
Suite à l’arrestation d’individus soupçonnés de liens avec le cybercrime l’été dernier, le FBI américain, en partenariat avec les autorités britanniques, a annoncé mi-octobre le démantèlement des infrastructures de commande et contrôle de Dridex. Repéré en novembre 2014, le malware a infecté des entreprises dans plus de 26 pays, engendrant de grosses pertes financières : 10 millions de dollars détournés aux Etats-Unis, 20 millions de livres sterling au Royaume-Uni.
Malgré l’arrestation du cerveau, les campagnes Dridex continuent
Malgré l’arrestation du cerveau, les campagnes Dridex continuent
De son côté, Lexsi a publié ses observations sur Dridex & Bruteres. Une vue sur les mécanismes du botnet utilisé pour envoyer massivement des millions de pourriels via seulement une trentaine de serveurs SMTP.
Hier, le FBI, la NCA (la National Crime Agency est une agence du Royaume-Uni) et bien d’autres agences gouvernementales autour du monde ont agit contre l’un des malwares les plus utilisés en 2015 : Dridex. L’organisation criminelle derrière ce malware aurait volé des dizaines de millions de dollars depuis mai 2015.
Les services américains et anglais, accompagnés d’autres autour du monde ont mené une action conjointe pour faire tomber une grosse partie du réseau “botnet” de l’organisation criminelle. Un botnet est un réseau de machine zombie servant à infecter d’autres machines et à diffuser un virus informatique. Ce sont les serveurs servant à diffuser et à contrôler ce réseau qui ont été mis hors d’état de nuire par le FBI avant d’être saisis. Les agences gouvernementales ont aussi procédé à des arrestations de personnes suspectées d’appartenir au réseau criminel.
Dridex detections during 2015
Dridex est, d’une certaine façon, né de l’action du FBI contre le réseau “botnet” Zeus en juin 2014. Dridex est donc un réseau botnet, dont le principal but est de récupérer les données bancaires pouvant être présentes sur les ordinateur infectés. Même si l’équipe derrière le virus a souvent changé de méthode d’infection, la plus répandue reste l’infection par mail.
Top ten countries by number of Dridex detections in 2015
Le virus exploite une faille bien connue dans la sécurité informatique : le facteur humain. Des mails de spam sont envoyés par les machines infectées avec à l’intérieur, des liens vers de fausses pages web, mais aussi avec des documents Excel ou Word, c’est la méthode la plus utilisé. Ces documents de la suite Office ont l’avantage de ne pas trop attirer l’attention, la majorité des gens étant plus au courant des menaces transmises via les URL que de la possible dangerosité d’un document Word. Ces derniers peuvent pourtant exécuter des macros à l’ouverture, permettant le téléchargement du malware en lui même. Ce dernier se chargera ensuite de récupérer les informations et d’intégrer la machine au botnet.
Il faut aussi noter que Dridex et capable de se répliquer et de se cacher sur les clés USB et autres appareils reliés à l’ordinateur infecté.
Pour ceux parlant anglais, la société FireEye explique bien l’évolution du virus dans un post sur son blog.
Bugat Botnet Administrator Arrested and Malware Disabled
U.S. Department of Justice October 13, 2015
A sophisticated malware package designed to steal banking and other credentials from infected computers has been disrupted, and charges have been filed in the Western District of Pennsylvania against a Moldovan administrator of the botnet known as “Bugat,” “Cridex” or “Dridex.” Actions taken by the U.K. and the U.S. substantially disrupted the botnet.
Assistant Attorney General Leslie R. Caldwell of the Justice Department’s Criminal Division, U.S. Attorney David J. Hickton of the Western District of Pennsylvania and Special Agent in Charge Scott S. Smith of the FBI’s Pittsburgh Division made the announcement today.
Andrey Ghinkul, aka Andrei Ghincul and Smilex, 30, of Moldova, was charged in a nine-count indictment unsealed today in the Western District of Pennsylvania with criminal conspiracy, unauthorized computer access with intent to defraud, damaging a computer, wire fraud and bank fraud. Ghinkul was arrested on Aug. 28, 2015 in Cyprus. The United States is seeking his extradition.
“The steps announced today are another example of our global and innovative approach to combatting cybercrime,” said Assistant Attorney General Caldwell. “Our relationships with counterparts all around the world are helping us go after both malicious hackers and their malware. The Bugat/Dridex botnet, run by criminals in Moldova and elsewhere, harmed American citizens and entities. With our partners here and overseas, we will shut down these cross-border criminal schemes.”
“Through a technical disruption and criminal indictment we have struck a blow to one of the most pernicious malware threats in the world,” said U.S. Attorney Hickton.
“Cyber criminals often reach across international borders, but this operation demonstrates our determination to shut them down no matter where they are,” said Executive Assistant Director Robert Anderson Jr. of the FBI’s Criminal, Cyber, Response and Services Branch. “The criminal charges announced today would not have been possible without the cooperation of our partners in international law enforcement and private sector. We continue to strengthen those relationships and find innovative ways to counter cyber criminals.”
According to the indictment, Ghinkul was part of a criminal conspiracy that disseminated Bugat, which is a multifunction malware package that automates the theft of confidential personal and financial information, such as online banking credentials, from infected computers through the use of keystroke logging and web injects. It is generally distributed through “phishing,” an e-mail fraud method where legitimate-looking e-mails are distributed to victims in an attempt to obtain personal or financial information. Bugat is specifically designed to defeat antivirus and other protective measures employed by victims. The FBI estimates at least $10 million in direct loss domestically can be attributed to Bugat.
The indictment alleges that Ghinkul and his co-conspirators used the malware to steal banking credentials and then, using the stolen credentials, to initiate fraudulent electronic funds transfers of millions of dollars from the victims’ bank accounts into the accounts of money mules, who further transferred the stolen funds to other members of the conspiracy. Specifically, according to the indictment, on Dec. 16, 2011, Ghinkul and others allegedly attempted to cause the electronic transfer of $999,000 from the Sharon, Pennsylvania, City School District’s account at First National Bank to an account in Kiev, Ukraine, using account information obtained through a phishing e-mail. In addition, Ghinkul and others allegedly caused the international transfer on Aug. 31, 2012, of $2,158,600 from a Penneco Oil account at First Commonwealth Bank to an account in Krasnodar, Russia, and the international transfer on Sept. 4, 2012, of $1,350,000 from a Penneco Oil account at First Commonwealth Bank to an account in Minsk, Belarus. Finally, the indictment alleges that on Sept. 4, 2012, Ghinkul attempted to cause the electronic transfer of $76,520 from a Penneco Oil account at First Commonwealth Bank to an account in Philadelphia. In all three instances, the company’s account information was allegedly obtained through a phishing e-mail sent to a Penneco Oil employee.
In addition to the criminal charges announced today, the United States obtained a civil injunction in the Western District of Pennsylvania authorizing the FBI to take measures to redirect automated requests by victim computers for additional instructions to substitute servers.
The charges and allegations contained in an indictment are merely accusations. The defendant is presumed innocent until and unless proven guilty.
The investigation is being conducted by the FBI. Other agencies and organizations partnering in this effort include: the Department of Homeland Security’s U.S.-Computer Emergency Readiness Team (US-CERT), the United Kingdom’s National Crime Agency, Europol’s EC3, German Bundeskriminalamt (BKA), Dell SecureWorks, Fox-IT, S21sec, Abuse.ch, the Shadowserver Foundation, Spamhaus and the Moldovan General Inspectorate of Police Centre for Combating Cyber Crime, the Prosecutor General’s Office Cyber Crimes Unit and the Ministry of Interior Forensics Unit.
The case is being prosecuted by Assistant U.S. Attorneys Mary McKeen Houghton and Margaret E. Picking of the Western District of Pennsylvania. The civil action to disrupt the Bugat malware is led by Senior Trial Attorney Richard D. Green of the Computer Crime and Intellectual Property Section and Assistant U.S. Attorney Michael A. Comber of the Western District of Pennsylvania. The Criminal Division’s Office of International Affairs provided significant assistance throughout the criminal and civil investigations.
Victims of Bugat/Dridex may use the following webpage created by US-CERT for assistance in removing the malware: https://www.us-cert.gov/dridex.
Anyone claiming an interest in any of the property seized or actions enjoined pursuant to the court orders described in this release is advised to review the court documents below for notice of the full contents of the orders.
Arrestations de deux hommes, un russe et un moldave, soupçonnés d’avoir des rôles clefs dans le développement et la maintenance de Citadel et de Dridex, des programmes malveillants sophistiqués spécialisés dans le vol d’identifiants et de données bancaires.
Le premier homme, un moldave de 30 ans, était recherché par les autorités U.S. Il a été appréhendé par les autorités locales le vendredi 28 août 2015 alors qu’il passait ses vacances avec sa femme dans la ville de Páfos à Chypre. Il serait à lui seul responsable de fraudes bancaires estimées à ~ 3.5 millions de dollars. L’homme est une figure du « Business Club », un gang de l’Europe de l’Est connu pour avoir subtilisé plus de 100 millions de dollars à des établissements bancaires & financiers. Il serait fortement impliqué dans le développement de Dridex que vous avez peut-être eu lors de campagnes de courriels malicieux avec pièces jointes en Word/Excel.
Le second homme, un russe de 27 ans, a été arrêté à Fredrikstad en Norvège en octobre dernier. Au départ, les médias ont dressés le portrait de l’inconnu à partir du sobriquet « Mark » et petit à petit sont arrivés aux conclusions qu’il s’agirait peut être d’Aquabox, le pseudo derrière Citadel, un malware basé sur le code de ZeuS , qui aurait facilité entre autre les piratages de plusieurs entreprises pétrochimiques européennes.
Cinq personnes ont été arrêtées en Ukraine soupçonnées d’être derrière les tristement réputés malwares bancaires ZeuS et SpyEye, dont l’un des dignes successeurs se nomme GameOverZeus.
Découvert en 2007, le malware bancaire Zeus permet de siphonner des comptes en ligne en toute impunité grâce à des techniques telles que le phishing et autres spams. Grâce à elles, les pirates récoltaient mots de passe, identifiants, numéro de comptes bancaires et toutes informations nécessaires pour accéder à des comptes bancaires en ligne.
Grâce à l’action conjointe d’Europol et d’Eurojust, réunissant 6 pays, cinq cybercriminels ont été arrêtés entre le 18 et le 19 juin, soupçonnés de faire partie du gang responsable du développement, de l’exploitation et du déploiement des logiciels malveillants et chevaux de Troie bancaires ZeuS et SpyEye ainsi que du blanchiment de l’argent collecté. Par ailleurs, du matériel informatique a été saisi dans huit maisons réparties dans quatre villes différentes en Ukraine.
Ces malwares seraient responsables de l’infection de dizaines de milliers d’ordinateurs pour un préjudice financier évalué à plus de 2 millions d’euros. En effet, le gang aurait utilisé ces logiciels malvaillants pour attaquer des systèmes bancaires et subtiliser l’argent de plusieurs banques en Europe et hors UE.
Chacun dans leur spécialité, ils créaient les logiciels, vérolaient les systèmes, récoltaient les données bancaires et blanchissaient l’argent volé, notamment grâce à des réseaux de « mules ». « Très actif », le gang louait parfois ses services à des tiers ou recherchait de « nouveaux partenaires » pour réaliser leurs forfaits et échangeait notamment les informations d’identification récoltées, précise Europol dans un communiqué.
« Europol a travaillé avec une équipe internationale d’enquêteurs pour faire tomber un groupe cybercriminel très destructeur. C’est l’une des opérations les importantes coordonnées par l’agence au cours des dernières années », s’est ainsi félicité Rob Wainwright, directeur d’Europol.
Cette opération fait partie intégrante d’une action plus large entamée depuis 2013 par l’équipe commune d’enquête (Joint investigation team, JIT) regroupant l’Autriche, la Belgique, la Finlande, les Pays-Bas mais aussi la Norvège et le Royaume-Uni et ayant abouti à 60 arrestations à ce jour.
Rien de bien méchant, cette fois : il n’y a pas mort d’homme, les victimes ne sont que des femmes.
Elles n’avaient qu’à se couvrir davantage et se tenir à distance des inconnus de la longueur d’un bras…
Les violeurs n’ont pas le bras long, non, non, non…
A ce propos, un nouveau « déconnologue » de la bande du cyberdélinquant Cyprien Luraghi se targuant tout comme « Homere », le bras armé du NPA en Thaïlande, d’avoir un nom et des relations, je leur rappelle à tous, d’une part, que je ne pouvais décemment pas voir confirmer ma condamnation du 11 juin 2013 dans l’enceinte du Parlement de Bretagne, et d’autre part, que le conseiller de François Hollande Bernard Poignant ne les aime pas et Mohammed VI encore moins, puisqu’il les soupçonne de vouloir lui trancher la tête.
Berlin a condamné une centaine d’agressions sexuelles commises à Cologne la nuit de la Saint-Sylvestre et attribuées par la police à des hommes d’origine nord-africaine, mais s’est refusé à toute «instrumentalisation» visant les réfugiés.
Allemagne : vague d’agressions sexuelles à Cologne, «un millier de personnes» impliquées
Le gouvernement allemand a condamné mardi une centaine d’agressions sexuelles commises à Cologne la nuit de la Saint-Sylvestre et attribuées par la police à des hommes d’origine nord-africaine, mais s’est refusé à toute «instrumentalisation» visant les réfugiés.
L’affaire, qui a pris de l’ampleur à mesure que se multipliaient les plaintes de victimes, suscite désormais une forte émotion en Allemagne en raison de la «dimension nouvelle» de ces actes impliquant «plus d’un millier de personnes» ayant agressé ou protégé les agresseurs, selon le ministre de la Justice Heiko Maas.
«Il s’agit d’une nouvelle forme de criminalité organisée» et «il va falloir qu’on réfléchisse, qu’on pense aux moyens à mettre en oeuvre pour y faire face», a estimé M. Maas mardi devant la presse. Alors que les témoins ont décrit des suspects «d’apparence arabe ou nord-africaine», selon la police, le ministre de la Justice a mis en garde contre toute «instrumentalisation» de cette affaire dans le débat sur l’afflux de migrants en Allemagne. L’apparence des agresseurs «ne doit pas conduire à faire peser une suspicion générale sur les réfugiés qui, indépendamment de leur origine, viennent chercher une protection chez nous», a renchéri le ministre de l’Intérieur Thomas de Maizière.
Parmi les réactions pour le moins surprenantes (ou idiotes, c’est selon) dénichées sur Twitter, on citera celle d’un journaliste autrichien pour le quotidien Der Standard. Basé à Bruxelles d’où il couvre l’actualité européenne, Thomas Mayer s’est risqué à un pseudo-éclairage à la pertinence très relative, écrivant qu’«en France, le phénomène des abus sexuels commis par des bandes de jeunes hommes («les tournantes») est connu depuis longtemps», tout en partageant un article de Libé paru en 2012 sur une sordide histoire de viol collectif en Val-de-Marne en aucune manière comparable aux débordements de la Saint-Sylvestre outre-Rhin.
La police avait déjà enregistré 90 plaintes mardi matin, allant du harcèlement à au moins un viol en passant par des dizaines d’agressions sexuelles et des vols, et s’attendait à en recevoir de nouvelles, a indiqué un porte-parole à l’agence allemande DPA.
Ces agressions, attribuées à des groupes de 20 à 30 jeunes hommes ivres encerclant les victimes, se sont concentrées autour de la cathédrale et de la gare centrale de Cologne, mais la police a aussi signalé une dizaine de plaintes à Hambourg. La mairie de Cologne, qui accueillera du 4 au 10 février des centaines de milliers de fêtards pour le carnaval, tenait mardi une réunion de crise à ce sujet.
VIDÉO – Durant la nuit de la Saint-Sylvestre, des bandes de jeunes se sont livrées à des violences sur des femmes au cœur de Cologne.
La gare centrale de Cologne se trouve à quelques centaines de mètres de la cathédrale, au cœur de la ville. C’est là, durant la nuit de la Saint-Sylvestre, qu’un millier d’individus se sont rassemblés. Par groupe de vingt à quarante, des hommes souvent alcoolisés de moins de 30 ans et «d’origines arabes ou nord-africaines», selon les témoins, ont cerné et agressé des femmes mêlant vol à la tire et attouchements. Au moins un viol a été signalé.
Mardi, le nombre de plaintes déposées s’accumulait au fur et à mesure que l’affaire prenait de l’ampleur: 60 en début de journée, 90 à midi. Ces «agressions sexuelles de masse», selon les termes employés par la police de Cologne, ont suscité l’indignation dans toute l’Allemagne. La chancelière Angela Merkel a notamment exprimé sa «révolte» face à ces «agressions scandaleuses» et réclamé une «réponse forte». «Il s’agit d’une nouvelle forme de criminalité organisée», a commenté à Berlin le ministre de la Justice allemand, Heiko Maas. «Il va falloir qu’on réfléchisse, qu’on pense aux moyens à mettre en œuvre pour y faire face», a-t-il ajouté, alors que d’autres faits similaires mais sans avoir la même ampleur ont été signalés à Hambourg et Stuttgart.
Un contexte de tension
Mardi, cinq jours après les faits, aucun suspect n’avait encore été arrêté. Le nombre d’individus recherchés, parmi le millier de personnes présentes, n’était pas non plus précisé. Mais les autorités promettaient une grande fermeté. «Les auteurs, quelle que soit leur origine ou leur religion, doivent être rapidement entendus et devront rendre des comptes. Avec toutes les conséquences», a insisté la ministre de la Famille, Manuela Schwesig.
Dans un contexte de tension, lié au défi de l’intégration d’un flux sans précédent de réfugiés dans le pays, le profil décrit des agresseurs provoque le malaise. Heiko Maas a mis en garde contre «toute généralisation». L’apparence des agresseurs «ne doit pas conduire à faire peser une suspicion générale sur les réfugiés qui, indépendamment de leur origine, viennent chercher une protection chez nous», a renchéri le ministre de l’Intérieur, Thomas de Maizière.
Cologne compte environ 10.000 réfugiés. Jusqu’à présent, l’arrivée massive de demandeurs d’asile n’a pas provoqué de hausse de l’insécurité en l’Allemagne. Si les centres pour réfugiés ont été la cible d’agressions et si des violences y ont été commises entre demandeurs d’asile, le taux de criminalité des réfugiés n’est pas plus élevé que pour le reste de la population, a conclu un rapport des services de renseignements en novembre dernier. À Cologne, l’hypothèse de bandes organisées n’était pas exclue. «Rien ne permet de penser pour l’instant que des demandeurs d’asile seraient impliqués», a affirmé la maire de Cologne, Henriette Reker. Quoi qu’il en soit les habitants de Cologne s’inquiétaient mardi pour leur sécurité. Certains appelaient à une manifestation contre les violences faites aux femmes. Mardi, la maire Henriette Reker a convoqué une réunion d’urgence de tous ses services. «Nous ne pouvons pas tolérer de zone de non-droit dans la ville», a-t-elle insisté. Quant à la police, elle est sommée par les autorités d’accélérer son enquête. Le 1er janvier, faute de plaintes, elle avait conclu à «une nuit calme».
La maire de Cologne moquée pour ses conseils aux femmes après une vague d’agressions
Publié le 06/01/2016 à 15:20 | AFP
La maire de la ville allemande de Cologne, théâtre à la Saint-Sylvestre d’une vague d’agressions sexuelles, faisait mercredi l’objet de critiques et quolibets, particulièrement sur Twitter, pour son conseil donné aux femmes de se tenir à bonne distance des inconnus.
Henriette Reker, maire sans étiquette de la métropole rhénane, a recommandé mardi aux femmes de respecter « une certaine distance, plus longue que le bras » avec les inconnus pour se protéger d’éventuels assauts. Elle s’exprimait lors d’une conférence de presse suite aux agressions sexuelles qui ont choqué toute l’Allemagne, et en réponse à une question sur le meilleur moyen de se protéger.
Son conseil a déclenché une vague de commentaires sarcastiques sur Twitter, le hashtag « ArmlaengeAbstand », mot allemand pour « distance de plus d’un bras », s’imposant rapidement mercredi dans les cinq plus partagés en Allemagne.
L’Inspecteur Gadget avec un bras téléscopique, ou les déesses hindoues aux bras multiples faisaient partie des références utilisées, et les commentaires allaient bon train. « Les effets pernicieux d’une distance de plus d’un bras… Je ne peux plus payer à la caisse », se moquait une utilisatrice, « je ne me suis plus sentie autant en sécurité que depuis que je me promène les bras écartés », ironisait une autre, tandis qu’un commentateur faisait valoir que « si les gens dans les régions en guerre savaient ça, il n’y aurait plus aucun problème! ».
« Shame on you » (« honte à vous »), s’indignait une utilisatrice, outrée qu’on suggère « aux femmes de changer de comportement et pas aux agresseurs ».
Un point de vue également exprimé par la ministre de la Famille, des Femmes et de la Jeunesse, Manuela Schwesing, qui sur Twitter, a affirmé: « nous n’avons pas besoin de règles de comportement pour les femmes, ce sont les auteurs des faits qui doivent rendre des comptes ».
Le ministre de la Justice Heiko Maas y est lui aussi allé de son commentaire sur le réseau social: « Ce ne sont pas les femmes qui portent la responsabilité » de ces agressions, a-t-il jugé.
Mme Reker s’est défendue mercredi, déplorant selon des propos rapportés par l’agence DPA que « les compte-rendus raccourcis dans la presse (de ses propos) aient pu donner l’impression que (ses) mesures de prévention se limitent à des recommandations aux femmes et aux jeunes filles quant à leur comportement ».
Maire de Cologne depuis octobre 2015, Mme Recker avait été poignardée la veille de son élection par un homme revendiquant des motivations racistes, mais avait maintenu sa candidature.
La nuit du réveillon de la Saint-Sylvestre, au moins une centaine de femmes ont été victimes sur une grande place de Cologne d’attouchements et de vols, commis par plusieurs dizaines de jeunes hommes d’origine apparemment immigrée.
L’Allemagne est sous le choc après les agressions sexuelles du Nouvel An à Cologne, commises par des « jeunes apparemment d’origine arabe ». Les opposants à la chancelière Merkel tentent de faire le lien avec sa politique en faveur des réfugiés.
Une centaine d’agressions sexuelles commises contre des femmes durant la nuit du Nouvel An à Cologne, en Allemagne, a provoqué un vif émoi, mardi 5 janvier, dans le pays.
Ces agressions sont attribuées à des groupes de 20 à 30 jeunes hommes ivres qui ont encerclé leurs victimes au milieu de plusieurs centaines de personnes qui s’étaient rassemblées autour de la cathédrale et de la gare centrale de Cologne. La police a également signalé une dizaine de plaintes à Hambourg, dans le nord du pays.
Au total, 90 plaintes ont été déposées et selon le chef de la police de Cologne, Wolfgang Albers, « d’autres devraient suivre ». Les plaintes visent des faits allant du harcèlement à au moins un viol en passant par des dizaines d’autres agressions sexuelles et des vols.
« Un groupe d’une dizaine, vingtaine, trentaine de jeunes hommes étrangers s’en est pris à nous », a raconté une victime sur le plateau de la chaîne d’information en continu N-TV. « Ils se sont mis à nous agresser, nous prenant l’entre-jambe, touchant nos décolletés, sous les manteaux », a-t-elle expliqué, ajoutant que « seules les femmes » étaient visées.
Mardi en début de soirée, entre 2 et 300 personnes (selon la police) se sont symboliquement rassemblées devant la cathédrale de Cologne pour appeler à plus de respect envers les femmes.
« Madame Merkel, que faites-vous ? Ça fait peur », s’interrogeait sur une pancarte une des manifestantes.
Les explications de notre correspondant en Allemagne
Des « jeunes apparemment d’origine arabe »
Selon le chef de la police Wolfgang Albers, les policiers intervenus ce soir-là font état « dans leur très large majorité de jeunes hommes, âgés de 18 à 35 ans, apparemment d’origine arabe ou nord-africaine », un constat corroboré par les descriptions des victimes.
Sans attendre, plusieurs personnalités politiques ont commencé à utiliser l’événement. Après ces incidents, « Est-ce que l’Allemagne est suffisamment ouverte sur le monde et multicolore pour vous, Madame Merkel ? » a lancé, provocatrice, Frauke Petry, la patronne du parti populiste Alternative für Deutschland (AfD) qui progresse dans les sondages.
Au sein même de la coalition gouvernementale, les conservateurs bavarois de la CSU, qui tempêtent depuis des mois contre la politique favorable aux réfugiés de la chancelière, ont trouvé aussi matière à alimenter leurs griefs.
« Si des demandeurs d’asile ou des réfugiés se livrent à de telles agressions [...] cela doit conduire à la fin immédiate de leur séjour en Allemagne », a lancé Andreas Scheuer, secrétaire général du parti, qui recevra mercredi Mme Merkel en Bavière lors d’une réunion prévue de longue date.
Pour l’heure, la police n’a fait état d’aucune arrestation spécifiquement liée aux incidents.
« Aucun indice montrant qu’il puisse s’agir de réfugiés »
La maire de Cologne Henriette Reker a à son tour réagi, jugeant ce rapprochement entre réfugiés et agresseurs « inadmissible ». « Nous n’avons aucun indice montrant qu’il puisse s’agir de réfugiés séjournant à Cologne » ou dans les environs, a-t-elle déclaré.
Le ministre de la Justice Heiko Maas a lui aussi mis en garde contre toute « instrumentalisation » de ces agressions dans un pays où l’afflux de réfugiés a parfois suscité de vives tensions ces derniers mois.
Son homologue de l’Intérieur a abondé contre « la suspicion généralisée » à l’égard des immigrés mais demandé aussi qu’il n’y ait « pas de tabou » s’il devait se confirmer que les auteurs sont d’origine étrangère.
Un renforcement des effectifs des forces de l’ordre ainsi que de la vidéo-surveillance a été annoncé par le président de la police de Cologne qui se prépare à accueillir du 4 au 10 février des centaines de milliers de fêtards pour le carnaval, l’événement emblématique de cette ville.
La chancelière allemande Angela Merkel fait face à de vives critiques sur sa politique d’immigration à la suite d’une série de viols et agressions sexuelles à Cologne la nuit du 1er de l’An. L’extrême-droite a saisi l’occasion pour accuser des migrants, alors que l’enquête ne fait que commencer.
Les détracteurs de la chancelière cherchent désormais à lier l’agression d’une centaine de femmes à sa politique d’ouverture envers les réfugiés.
Une centaine de femmes agressées sexuellement
Plus d’une centaine de femmes ont déposé plainte pour agressions sexuelles et deux ont déposé plainte pour viol. Tous ces actes auraient été commis à Cologne la même nuit, lors d’un rassemblement de plusieurs milliers de personnes autour de la gare. Les détracteurs de la politique d’immigration de Merkel affirment que des victimes parlent d’agresseurs étrangers, venant d’Afrique du Nord. A ce stade, les autorités affirment ne disposer d’aucune information à ce sujet. Les enquêtes sont en cours.
La chancelière face à sa propre famille politique
Angela Merkel va affronter la branche locale de sa famille politique, la CSU, ce marecredi après-midi en bavière. Elle était justement invitée de longue date à la réunion de rentrée de la CSU. Ses pairs comptaient lui redire à quel point elle juge le cap du gouvernement sur le dossier des réfugiés, dangereux pour le pays.
Si des demandeurs d’asile ou des réfugiés se livrent à de telles agressions » comme à Cologne, « cela doit conduire à la fin immédiate de leur séjour en Allemagne, a lancé le secrétaire général de la CSU, Andreas Scheuer
L’Allemagne a accueilli un million cent mille demandeurs d’asile en 2015 (en majorité de Syrie, Afghanistan, Irak, Albanie et Kosovo), soit environ cinq fois plus qu’en 2014.
Le mea culpa de la télévision publique
Les thèses complotistes fleurissent sur internet et dans les mouvements populistes, accusant les grands médias d’avoir à dessein passé sous silence les événements de Cologne pour ne pas alimenter le discours anti-migrants. Elles sont en partie alimentées par la chaîne publique ZDF, qui a fait son mea culpa pour ne pas avoir mentionné les événements de Cologne avant mardi, parlant d’une « négligence ».
Depuis que ses victimes ont commencé à porter plainte contre lui, en 2010, le cyberdélinquant Pascal Edouard Cyprien Luraghi a plusieurs fois supprimé de ses textes publics les concernant, et même totalement fermé son blog principal une première fois le 13 décembre 2012 avant de le rouvrir le 25 juin 2013, et une seconde fois le 13 mai 2014 avant de le rouvrir le 24 décembre 2014.
Au cours de cette seconde fermeture, il a encore supprimé des textes, dont celui qui jusqu’au 13 mai 2014 précédait ses revendications terroristes du 17 novembre 2008, un billet de blog qu’il avait publié le même jour et intitulé « Baron Dimanche au trou zombie ».
Il ne veut à tout prix pas qu’on le maraboute. Pourtant j’élabore tous les jours les philtres délétères qui l’assécheront définitivement.
Si nous nous y mettons tous, nous aurons bien sa peau ; j’ai commandé le kit vaudou (douze euros trente franco de port) hier, qui rejoindra sur mon autel conspuatoire les nazes et les nazis que je honnis.
Il ne veut absolument pas qu’on lui noue l’aiguillette et pourtant je fais tout pour, dans le secret creuset au cœur de l’atelier, planqué derrière les étagères et les carcasses d’ordinateurs. Je lui inflige des piqûres à l’abdomen et dans les yeux et je souhaite qu’il crève dans toutes les douleurs et qu’il se vide de ses liquides.
Je suis le Jivaro déterminé à le réduire tant que je pourrais porter sa tête autour du cou. Elle fera peur aux gens et me protègera avec ses dents.
***
Je pense depuis au moins trente ans que les manifs ne servent plus à rien, d’ailleurs le présideur ne s’y est pas trompé : le pouvoir n’est plus dans la rue.
C’est pourquoi je préconise la pratique du maraboutage pour venir à bout de ce fléau de dictadent que le suffrage universel nous a infligé. Très efficace ; en plus ce con y croit, j’en suis certain. Je l’ai vu dans ma poule de cristal.
Le présideur dictadent ne m’a pas vu venir : j’ai préparé ma soupe de sorcière de longue date. Si, si : il suffit de mélanger intimement toutes les sales bêbêtes dont je me suis servi pour illustrer mon blog depuis deux ans et des pour s’en concocter une furieusement régicide.
Tout doux à la manœuvre et ne pas se viander dans le nuage ou sur les cimes.
Après sept ans d’existence, mon site vient de migrer tout en douceur des lentissimes serveurs de chez Free à une Dédibox toute pimpante et très nerveuse. Un boulot pas de tout repos. J’aime beaucoup la classification des niveaux dans le monde informatique des réseaux qui font le Net : ça part de la piétaille des néophytes et ça va tout en haut chez les Barbus. Mais je n’ai d’autre barbe que celle en poils qui me gratte le menton présentement. Mon niveau à moi, c’est Velu Grave et Bidouillou Opinâtre Noctambule, et ça suffit à ma démerde.
Trente cinq euros par mois pour la bestiole ; c’est mon seul luxe ; le prix de ma rotative électronique. Après tout je n’ai pas de téléphone mobile, ni de télévision et mon trousseau se réduit à l’essentiel. Seul le tabac me coûte cher, à part ça.
C’est aussi le prix à payer pour pouvoir écrire librement au XXIème siècle, sans avoir à se maquer avec un éditeur véreux ou à s’abibocher avec la coterie des écrivains qui causent dans le poste. Un écrivain ne doit qu’écrire, je pense fermement.
Je me grime en bon citoyen mais n’étant pas doué, je passe pas dans la masse inaperçu, hélas, et pourtant je suis tout réjoui.
Faudrait qu’il se méfie à l’Élysée, le locataire : d’Albanel à Boutin je vais marabouter côté femelle, et chez les mâles faire souffler le ravage de l’Hirsch à l’Hortefeux.
Et quand toute la cour sera bien décimée, j’achèverai le rite en épinglant Nicolas-le-Vulgaire à côté de la carapace de Mussolini, au panthéon des crapauds-buffles de ma collection.
Il y aurait des funérailles générales où la gigasse fade Carla Bruni serait veuve échalas peu éplorée.
***
En tant que Kondukator de l’Ici-Blog, je préconise le port massif d’oreilles en peau de chat et le lancer de sortilèges antinicolesques. D’ailleurs j’ordonne à l’univers entier de mettre le paquet le jour de la Saint Nicolas de l’An 2008 de l’Ère du Têtard Épinglé, soit le 6 Décembre.
Les plus zélés d’entre vous peuvent commencer à éplucher leur chats.
Faute de greffier, faites avec ce qui vous tombe sous la main : le concours est ouvert.
Les oreilles félines, c’est une chose… mais le plus important, c’est la poupée. Qu’elle soit de cire ou de chiffon, ou de ce que vous voudrez, mais qu’elle soit épinglable.
J’exige des preuves : envoyez-moi vos photos de marabouteurs antinicolesques. Elles seront publiées ici-même en bonne place.
Allez hop, au boulot !
Maraboutons le Présideur Dictadent le jour de la Saint Nicolas !
Si les Ricains ont réussi à se débarrasser de cette crapule planétaire de Bush, il n’y a pas de raison pour que nous autres Français ne puissions pas remiser aux oubliettes de l’Histoire son ami Sarkolas, pour lequel je conçois le mépris le plus vif, tant pour son œuvre de destruction massive du système social, que pour sa personnalité, négation même du bel esprit des Montaigne, Rabelais, Villon et tant d’autres, cœurs palpitants de notre langue, notre culture.
Le 6 décembre, jour de la Saint Nicolas, maraboutons massivement !
Envoyez-moi vos photographies de poupées vaudoues antinicolesques dûment épinglées. Les créations personnelles sont furieusement encouragées.
Il est représenté vêtu d’un chapeau haut de forme blanc, d’un costume de soirée, de lunettes de soleil dont un verre est cassé, avec du coton dans les narines.
C’est l’esprit de la mort et de la résurrection, il se trouve à l’entrée des cimetières et se met sur le passage des morts vers la Guinée. Il représente aussi les excès sexuels : il mène une danse langoureuse, la banda, qui imite le coït.
Certains anciens mystiques haïtiens prétendent qu’une invocation rituelle de ce dieu le 1er samedi du mois de juin au lever du soleil permettrait d’obtenir la mort de certains ennemis ou d’obtenir la domination maléfique d’une femme qui se serait rebellée. Il s’agit bien entendu d’une croyance populaire des Haïtiens totalement indépendante du culte vaudou en général et des attributs qu’il prête à ce lwa en particulier. Il sert également à l’approche du jour des morts (1er novembre) à la vengeance des âmes errantes, des personnes persécutées, des sorcières et des consultantes des cultes vaudou. Il est invoqué avec l’aide de bourdons pour lequel un charme sera jeté sur les aiguillons selon la parole biblique « mort où est ton aiguillon? ».
Références dans la culture
Dans la littérature et la bande dessinée
Le culte de Baron Samedi est évoqué dans la Trilogie de Nick Stone dont l’action se passe entre Miami et Haïti (Tonton Clarinette – Voodoo Land – Cuba libre). Le Baron Saturday est un personnage (zombie) du roman de la fantasy burlesque Mécomptes de fées de Terry Pratchett. Le Baron Samedi est un des dieux négatifs de la série Amos Daragon. Il souhaite faire revenir sur terre sa race, les Anciens (des dragons). C’est un personnage secondaire de la série Requiem, Chevalier Vampire, d’Olivier Ledroit. Il apparait dans les bandes dessinées Bob Morane[réf. nécessaire] ainsi que dans le roman « Rituel de chair » de Graham Masterton. Il apparaît également comme un personnage de la bande-dessinée de monsieur le chien, « Didier Barcco t2 : Shotgun et Confiserie », comme un antagoniste très éphémère du personnage. Dans le jeu de rôle Scion, il est possible pour les joueurs de choisir pour personnage de jeu un avatar de Baron Samedi, ainsi que tous les autres dieux du Panthéon Vaudou.
Au cinéma et à la télévision
Il figure en outre dans les livres, films et jeux vidéo sur James Bond, dont Live and Let Die et GoldenEye 007. Il s’agit aussi du nom d’un personnage de la série Heroes. Le Baron Samedi apparaît dans l’épisode 19 de la saison 5 de la série américaine Supernatural ainsi que dans l’épisode 21 de la saison 2 de la série Grimm. Un ennemi de MacGyver se fait également passer pour le Baron Samedi lors de l’épisode 6 « Mort Vivant » de la saison 7. Le Baron samedi est aussi représenté par le Docteur Facilier, dans le dessin animé La Princesse et la Grenouille des studios Walt Disney. Il apparait aussi dans l’émission Histoire d’horreur de la saison 3, épisode 10.
Dans la musique
Le groupe de rock progressif anglais Pretty Things a écrit une chanson en référence à ce personnage, Baron Saturday, sur leur album S.F. Sorrow paru en 1968. Le Baron Samedi est un personnage présent dans l’album Voodoo du groupe de heavy metal King Diamond. Ainsi que l’album Baron Samedi de Bernard Lavilliers, sorti en 2013, ou l’album Blutschwur de Short And Crunch, sorti en 2015.
Dans les jeux vidéo et les jeux de société
Le Baron Samedi est une créature que l’on peut invoquer dans Dark Reign 2 et qui prend l’apparence d’un géant qui reste sur le champ de bataille pour un temps limité. C’est aussi un personnage principal du jeu Akuji The Heartless, basé sur le vaudouisme. Il a inspiré Samedi, un personnage du jeu Doodle Hex, Bwonsamdi, un PNJ du jeu World of Warcraft, et le gang des Sons of Samedi, du jeu Saints Row 2. Une allusion au Baron Samedi se retrouve dans le nom d’un personnage du jeu vidéo Dead Island, Sam B, auteur de la chanson Who Do You Voodoo. Le boss du donjon « Siège Du Trouble » dans le MMORPG Wakfu (jeu vidéo) est inspiré du Baron Samedi (« Baron Sramedi »).
Le Baron Samedi est un zombie et l’une des 6 créatures jouables du jeu de société interactif Atmosfear. Dans le jeu de figurines Confrontation, c’est un petit singe possédant un pistolet qui fait partie de l’équipage pirate Gobelin.
Il est aussi représenté dans le jeu Shadow Man (et sa suite Shadow man 2nd coming) comme la partie maléfique de Mike Leroy qui s’est vu implanté le masque de la mort sur les côtes par une prétresse Vaudou. Il incarne le Baron à chacune de ses morts.
Dans la série de jeux de Rôle Scion : Héros, Scion : Demi-dieu et Scion : Dieu, il est possible pour les joueurs d’incarner l’un des enfants du Baron Samedi. Les Samedis sont des vampires haïtiens dans le jeu Vampire : la Mascarade et le fondateur de leur lignée est appelé Baron.
Il fait aussi partie du bestiaire du jeu indépendant Dungeons of Dredmor dans lequel il apparaît dans son apparence traditionnelle.
Il est l’un des dieux adversaires dans le jeu Pocket God Facebook.
Pour Halloween, FUNCOM, dans son MMORPG « The Secret World », donne aléatoirement la tenue du Baron Samedi aux joueurs qui tuent « Jack’O'Lanterne ».
On le retrouve aussi dans le jeu Warframe sous la forme de Limbo : un personnage vêtu d’un haut de forme pouvant se déplacer entre les dimensions.
Sources
Laënnec Hurbon, Les Mystères du Vaudou, Gallimard, 1993.
SVP ne vous cachez pas donnez moi votre nom afin que je puisse vous répondre