Overblog
Suivre ce blog
Administration Créer mon blog
5 janvier 2016 2 05 /01 /janvier /2016 18:51

Voici une liste de numéros de téléphone, que j'ai relevés principalement pour du démarchage coimmercial abusif (voire des "arnaques connues"):

  • continuent d'appeler alors qu'on demande explicitement à ne plus être contacté
  • et/ou refusent de donner leurs identifiants légaux (SIRET, RECS, etc)
  • et/ou refusent de nous passer un manager
  • et/ou refusent d'indiquer comment ils ont collecté nos informations personnelles (et les lois Informatique et Libertés alors ?)


Il est de la responsabilité de chacun de mettre ces numéros en blocage automatique sur les téléphones mobiles comme fixes, je ne peux être tenu pour responsable que ces numéros soient bloqués ou non.

Je publie ici de l'information sur ceux qui m'ont démarché de façon illégale et/ou douteuse, au moins pour que les internautes puissent tomber dessus en faisant des recherches Google ou BIng.


-------------------------------------------------------------------------------------------------------------------------

0179996754
Date : 08/12/15
assurance habitation, responsabilité civile, numéro à rappeler en 0890. 


0178907695
Date : 17/12/15
"préparation de votre commande, veuillez rappeler à ce numéro".

 

0178569561
Dates : 05/01/16, 04/01/16, 29/12/15, 23/12/15, 21/12/15, 16/12/15
Démarchage Free, "vous faire profiter d'une offre exceptionnelle"
NB : Rappellent alors que j'ai explicitement demandé ne plus être démarché par Free lors de précédents appels.

Published by Philippe V.
commenter cet article
11 août 2015 2 11 /08 /août /2015 12:28

Rien qu'au niveau grammaire et orthographe, c'est tellement déplorable que ça en devient louche au-delà du procédé lui-même !

 

Citation du SMS reçu via Viber ce jour :

félicitations

Votre numéro de téléphone as été tirée au sort bravo vous avez gagnée un de ces prix maintenant votre code gagnant est le 65450 1 prix : une Mercedes C d une valeur de 30000 euros ou 30000 euros en espèce 2 prix un collier en diamant Hermes d une valeur de de 10000 euors ou en espèce 3 prix un voyage d une valeur de 2500 euros ou en espèce 4 prix un pack mobile logo et sonnerie valeur 400 euros 5 prix un bon d achat de 300 euros

appeler maintenant a ce numéro 002207711750 pour confirmer votre prix et n oublier pas votre code gagnant

Attention si vous n avez pas confirmer dans les 24 heures votre prix sera remis a une autre personne. et pour gagner 2 iphone6 pour toi et ton partenaire appel le 0037253105042 merci de votre participation 

ce numéro ne marche pas sur viber! veuillez nous appelez directement

 

"ne marche pas sur Viber" : bien sûr, un numéro +220 semblerait être en République de Gambie (https://en.wikipedia.org/wiki/The_Gambia), très crédible pour ce type d'opérations, et Viber pourrait augmenter le risque de pouvoir mieux tracer les individus...

 

Bref, liste noire recommandée pour :

002207711750 (+2207711750)

- 0037253105042 (+37253105042)

Published by Philippe V.
commenter cet article
26 mars 2015 4 26 /03 /mars /2015 12:05

Vu il y a quelques minutes, dans un dérivé de Chrome avec le module KB SSL Enforcer :

La Fnac utilise un site (tiers) de paiement peu sécurisé

Voici le rapport de scan du site par SSLlabs :

https://www.ssllabs.com/ssltest/analyze.html?d=secure.ogone.com

 

Il y a quand même 2 ou 3 choses surprenantes pour un site de paiment en ligne :

- accepter TLS 1.0 alors qu'il est vulnérable (et aussi TLS 1.1)

- accepter des suites de chiffrement vulnérables comme TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA 

- être vulnérable à certaines attaques connues : 

Secure Client-Initiated Renegotiation Supported   DoS DANGER (more info)

 

Bref... cela ne donne pas vraiment envie de faire confiance, pourtant sans ça, on ne peut payer en ligne sur le site de la Fnac !

Prudence donc...

Published by Philippe V.
commenter cet article
16 octobre 2014 4 16 /10 /octobre /2014 11:06

Comodo Dragon is somewhat a derived from Chromium, the open-source project behind Google Chromium, adding some features and "more security".

So far, I was quite happy with it.

 

Today, I saw this message while opening my GMail account:

 

Comodo Dragon and Gmail

[in English: This version of Chrome browser is no longer compatible"

Gasp... what? Chromium not compatible anymore with GMail? sounds like a paradox...!

Then I double checked: Chromium versions available, Comodo installed version, and bingo:

Comodo Dragon and Gmail

It seems that guys at Comodo are late to publish newer versions of Comodo Dragon: Chromium is now v40, while Dragon sticks with version 33...

Guys... we need you!

Otherwise, as for every obsolete product, I would have to switch to another browser, and recommend everyone that reads my blog to do the same.... :(

Published by Philippe V.
commenter cet article
9 octobre 2014 4 09 /10 /octobre /2014 15:32

Note here, this is the paid version of MalwareBytes, yes full/genuine license, therefore realtime protection can be enabled.

While trying to download a Linux distrib, Austrumi, here is the warning that appeared:

AV False positives, part 2 - MalwareBytes

Interesting... "malicious website blocked", for non-French speaking guys.

Okay, let's check!

VirusTotal says 0 engine, as of today, detect it as malicious!

https://www.virustotal.com/en/url/c3e6125fff7e0861083c470fefb46013b0934659843164bfbb484fe8c8d68a81/analysis/1412861752/

Sucuri did not report anything malicious either:

http://sitecheck.sucuri.net/results/austrumi.ru.lv

Linux distro being considered as malicious stuff, poor guys at Austrumi!

HTH...

Published by Philippe V.
commenter cet article
28 juillet 2014 1 28 /07 /juillet /2014 22:40

Voici un commentaire récent, reçu sur un de mes articles :

Le spam via les commentaires d'article de blog

Et je ne suis visiblement pas le seul à être concerné...

Le spam via les commentaires d'article de blog

Pourtant le site nyt30ud0.com n'existe même pas...incroyable !

Les polluposteurs ne sont même plus un minimum compétents de nos jours :(

A bon entendeur... à vos listes noires !

Published by Philippe V.
commenter cet article
27 juillet 2014 7 27 /07 /juillet /2014 21:57

According to Webroot SecureAnywhere, cloud-based antimalware, Easy Drive Data Recovery is malicious:

 

AV False positives, part 1 - SecureAnywhere

According to VirusTotal, this file is not malware:

https://www.virustotal.com/en/file/74ab0b9068ef46db6f3acb04c17963fa8e99f23ee0d603559faca4fd720c1c8f/analysis/1406491025/

If you scan whole disk drives without confirming action for every file that gets detected, you may get in trouble... at least, I would recommend to choose "quarantine" as default action.

AV False positives, part 1 - SecureAnywhere

-----------------------------------------------------------------------------------------------------

Now, according to SecureAnywhere, Portable LibreOffice (Framakey version) also contains malware:

AV False positives, part 1 - SecureAnywhere

Well, according to VirusTotal, those files are not really malicious...

  • passwordcontainer.uno.dll is in fact packed, 2 detections out of 53

https://www.virustotal.com/en/file/4ae9daed6ef23e760df5fa9624671311be148c3c9c3fc46d0950180e090385dc/analysis/1406491597/

AV False positives, part 1 - SecureAnywhere
AV False positives, part 1 - SecureAnywhere
AV False positives, part 1 - SecureAnywhere
AV False positives, part 1 - SecureAnywhere

All of those results were with a (quite) old version of Portable LibreOffice, pas per the file properties:

AV False positives, part 1 - SecureAnywhere

Now, here is what SecureAnywhere says regarding the latest available version of Portable LibreOffice (from here: http://framakey.org/Portables/LibreOfficePortable): still 2 detections!

AV False positives, part 1 - SecureAnywhere

According to VT,

  • wininst-6.0.exe: 5 detections

File is UPX packed...

AV False positives, part 1 - SecureAnywhere
  • python.exe: same as before, 3 detections on VT.

File is UPX packed..

Published by Philippe V.
commenter cet article
11 avril 2014 5 11 /04 /avril /2014 12:30

Cela pourra certainement être utile à d'autres, soit au niveau administration soit au niveau recherche inforensique... :)

Besoin :

  • extraire depuis un fichier journal de sécurité (format EVT ou EVTX), les événements ayant un numéro particulier (ici, un numéro d'événement lié à un refus d'ouverture de session, sous 2003 : le 675)
  • trier sur un champ dans la zone de message de l'évènement (Ici : adresse IP de la machine cliente ayant déclenché l'événement, donc la ligne commençant par "Client Address")
  • sortir un top 10 des plus mauvais élèves.

 

2 étapes :

  1. convertir au format XML pour pouvoir travailler dessus
  2. faire l'extraction sur le numéro d'évènement, puis le tri par IP et comptage 

 

Voici donc les commandes :

  • D'abord, vers du XML :

Get-WinEvent -Path C:\temp\security.evt -Oldest |Export-Clixml seclog

avec security.evt étant le fichier journal extrait de la machine qui fait l'objet de la vérification... (ou investigation).

  • Puis on charge le XML en mémoire, avec une variable:

$seclog = Import-Clixml c:\temp\seclog.xml

 

  • Et on fait le travail d'extraction et de tri, sur l'événement numéro 675 (mais qui est donc modifiable à volonté) :

PS C:\temp> $seclog | ? { $_.id -match '675' } | fl Message | findstr /i /c:"Client Address" | gro up |Sort-Object -Descending count |Select-Object -first 10

 

Et viola :

Count  Name         Group

-----      ----               -----

5496    Client ... {    Client Address: 10.X.Y.Z, 3406 Client ... { Client Address: 10.X.Y.Z,

2858    Client ... {    Client Address: 10.X.Y.Z, 2016 Client ... { Client Address: 10.X.Y.Z,

2003    Client ... {    Client Address: 10.X.Y.Z, 1677 Client ... { Client Address: 10.X.Y.Z,

1572    Client ... {    Client Address: 10.X.Y.Z, 1541 Client ... { Client Address: 10.XY.Z,

1512    Client ... {    Client Address: 10.X.Y.Z, 1307 Client ... { Client Address: 10.X.Y.Z,

(les X.Y.Z étant bien sûr des remplacements des valeurs réelles des IP dans la vraie vie :) )

Plus de 700 Mo de fichier XML traités en moins de 2min... cela me semble acceptable.

 

Je tiens à remercier mon collègue Cyrille pour son aide sur la partie formatage de sortie avec fl.

 

 

 

 

 

Published by Philippe V. - dans inforensique
commenter cet article
18 mars 2014 2 18 /03 /mars /2014 00:29

Tout commence avec un outil assez connu : Advanced Task Manager. La plateforme est un Android 4, Galaxy SII.

Etant "gratuit mais financé par la pub", il affiche des bannières publicitaires en bas de l'écran lors de l'utilisation.

Et un jour, la bannière suivante apparâit :

WP_20140310_026.jpg

 

Alors, évidemment, un utilisateur non averti peut appuyer sur la bannière. Et voici alors ce qu'il se passe : Le navigateur s'ouvre et...

WP_20140310_008-copie-1.jpg

 

(Le téléphone est protégé par 1 antivirus temps réel, plus 1 autre à la demande, et des mises à jour régulières...)

L'avertissement ressemble de plus en plus au coup classique du faux antivirus sous Windows (ou Mac !!), qui crie partout "attention vous êtes o=infecté", cliquez ici pour réparer !".

On aura noté la traduction hasardeuse... encore une fois certains ne savent toujours pas parler Français :(

A date, aucun logiciel de sécurité pour mobile ne bloquait l'URL droid-safety.com (d'après mes tests).

Cliquons donc sur OK.

WP_20140310_013.jpg

Hmmm un scan antivirus ?

WP_20140310_014.jpg

 

Et bam, le résultat... (NB : il s'agit d'une rediction "forcée" dans le navigateur, qu'on ne peut pas annuler malgré mes tentatives).

WP_20140310_020.jpg

 

Haha de plus en plus conforme aux "rogue" antivirus, comme dit l'anglicisme.

Mais l'écran suivant est encore mieux :

WP_20140310_023.jpg

Ca y est ! je suis infecté !! :)

WP_20140310_006.jpg

 

Et si je veux suivre les conseils et désinfecter ?

WP_20140310_002.jpg

Zoom sur l'URL de la bannière de l'"antivirus" :

WP_20140310_005.jpg

 

(wap.fumblo.com)


Le tout pointe en fait sur un système de facturation mensuelle, qui s'ajoute à la facture mobile (ici SFR). 

L'URL est sur le domaine : im-echopass.hcnx.eu.

D'après mes tests, aucun logiciel de sécurité pour mobile ne bloque cette URL en date du 11/03.

WP_20140310_024.jpg

 

Moralité : non, l'antivirus sur mobile n'est pas de la science fiction, mais un réel besoin !

Published by Philippe V. - dans Veille virale
commenter cet article
18 janvier 2014 6 18 /01 /janvier /2014 15:36

La lutte contre la fuite d'information n'est pas quelque chose de simple. De nombreuses solutions existent, certaines gratuites et bien connues.

L'idée ici est de faciliter le travail des admins ou ingénieurs sécurité dans leur surveillance du traffic réseau, dans le cadre de cette lutte contre la fuite d'info. Pour le cas présent, il sera question de DropBox.

Il faudra bien évidemment ensuite déterminer si l'usage de l'outil est légitime ou non.

Voici donc des requêtes caractéritisques de la connexion à un espace Dropbox, que vous verrez par exemple sur un proxy type Squid3 :

en HTTPS :

CONNECT client51.dropbox.com:443 

CONNECT client88.dropbox.com:443

Apparemment le nombre après "client" change dans le temps, sans que ce soit itératif, et varierait entre 10 et 99.

Mais aussi :

CONNECT d.dropbox.com:443

CONNECT client-lb.dropbox.com:443

CONNECT www.dropbox.com:443

CONNECT dl-client977.dropbox.com:443

CONNECT dl-debug18.dropbox.com:443

 

- en HTTP :

Nombreuses requêtes de type  GET http://notify7.dropbox.com/subscribe? 

 

Comme tout outil de ce type, rappelons que Dropbox peut faire le pont entre machine pro (à l'intérieur de l'entreprise), machine perso (à la maison), machine presta (en vadrouille), etc.

Bonne surveillance :)

Published by Philippe V. - dans Veille sécurité
commenter cet article