Nemo123

Mouais, "sous le contrôle" ça veut tout et rien dire : accès aux données brutes remontées ? Ou rien du tout ? Quand tu possèdes l'infra, même en boite noire, c'est assez facile d'identifier et couper tous les flux qui ne t'intéressent pas ou que tu juges suspects. Sans savoir comment fonctionne le produit, c'est purement spéculatif de juger si les SR israeliens en tirent profit ou non. Surtout qu'un SR client aurait probablement grand intérêt à refuser l'utilisation d'un produit s'il ne peut pas s'assurer un minimum de son contrôle et avec qui il discute. Sinon pour coller au Maroc, j'apprends que des numéros de téléphones de M6 et son PM figurent dans la liste.

L'Espagne est client de NSO pour Pegasus depuis quelques années, et des leaders indépendantistes catalans figurent parmi les gens qui auraient pu être surveillés. Je ne critique pas l'enquête initiale qui est un super travail, je critique plutôt la reprise des médias mainstream qui ne font que recopier des résumés de l'enquête les uns sur les autres en ajoutant des approximations et erreurs. L'objectif initial de NSO est de ne vendre le produit qu'aux SR sérieux (l'exécutif israélien doit donner son accord pour que NSO vende son produit à un pays), mais vu le prix du produit (que j'estime très grosse mailles à 10-30M$ selon le niveau de licence), il n'ont pas pu le vendre initialement aussi large qu'espéré (finalement une cinquantaine d'état aujourd'hui quand même, c'est énorme, mais le début fut bof), et ont débordé sur tout ce qui pouvait aider les intérêts de leur gouvernement (les pays du Golf). D'ailleurs, c'est bien les pays du Golf qui ont lancé le marché, avant que bien d'autres ne leur emboîtent le pas. De là à dire que certains SR clients ont pu déborder de l'objectif antiterroriste, il n'y a qu'un pas. Mais il faut aussi faire la différence entre espionner un opposant et espionner un individu pour le compte d'une organisation criminelle ou d'un SR tiers non client. Je n'ai aucune certitude sur comment fonctionne le soft, mais j'ai cru comprendre que les clients avaient une infra dédiée on prem avec leurs propres DB et C2, ce qui complique la manière dont les SR israeliens pourraient récupérer des infos dessus, même si on peut légitimement penser qu'ils essayent / ont essayé. +1 Niafron, il faudrait créer un fil dédié, probablement dans la section renseignement ? Pour moi, ça n'a rien à voir avec la cyberwarefare dans le sens où la finalité c'est de faire du rens et pas de la destruction opérationnelle.

Pour rappel : sauf erreur de ma part, la liste des numéros n'indique ni que ceux-ci ont été exploités, ni qu'il y en a eu la volonté active, ni qu'ils ont été exploités par les SR marocains plus que n'importe quel autre SR. Attention à l'emballement médiatique et aux titres putaclic. Personne n'a soupçonné l'Espagne à la place du Maroc. Pourtant, ça pourrait être l'un comme l'autre. La seule chose qu'on sait, c'est qu'un grande majorité des +33 surveillés sont des nationaux marocains ou binationaux franco-marocains, et qu'ils ont fait acte d'espionnage sur notre territoire (jusqu'ici, rien de nouveau ni d'exceptionnel). De là à accuser qu'ils aient écouté Macron, le chemin est énorme. Je ne dis absolument pas que les SR Marocains sont hors de cause, je dis simplement qu'il faut attendre plus d'infos... Que les SR français ont peut-être déjà via une taupe chez les marocains. Mais en tous cas, via l'OSINT, rien ne permet de l'affirmer. Apparemment, Tehtris a sorti un soft qui permet de savoir si votre téléphone a été compromis. Il ne fonctionne pas à tous les coups car il peut y avoir des faux négatifs, mais si le test est positif, c'est sans aucun doute. J'ai été amusé de voir que Thinkerview leur ait demandé de passer sur leur 3 téléphones. "Vous comprenez, on est soit-disant des hacker, mais on n'est pas foutu de faire tourner votre outil, pourtant fait pour les non initiés". Bande de gignols !

En IT, il y a un acronyme qui vaut son pesant d'or (utilisé pour un formalisme de description technique de malwares) : YARA. Il signifie : Yet Another Ridiculous Acronym La créativité n'a pas de limite... Les acronymes non plus !

https://information.tv5monde.com/info/perou-le-candidat-de-la-gauche-pedro-castillo-elu-president-417570 La gauche radicale arrive au pouvoir au Pérou, par Pedro Castillo.

Ben voyons, c'est l'admin du forum qui rédige les grades maintenant... En attendant, le troll, si tu veux faire de vieux os sur ce forum, je te suggère de lisser un peu ta ligne éditoriale. Être pro-régime, c'est ton droit le plus légitime, en revanche, ça ne doit pas exclure le bon-sens. On ne te demande pas d'admettre la culpabilité du régime que tu défends, mais le minimum serait de ne pas défendre l'indéfendable. La parole est d'argent, le silence est d'or.

L’existence de NSO et de ses activités sulfureuses sont connues publiquement assez largement dans les médias mainstream depuis au moins 2017, il n'y a rien de nouveau là-dedans. On sait depuis longtemps (au moins 2012) que NSO a vendu à une cinquantaine de SR différents ses Pegasus et autres malwares espions. Mais ce qui est nouveau, c'est d'avoir récupéré une liste des victimes potentielles (c'est la liste de numéros de téléphone qui a été récupéré), et d'en avoir identifié les noms. Il semblerait que l'Etat français ne soit pas client (le machine est très cher, ça ne m'étonne pas), mais que les SR marocains aient hameçonnés environ 1500 numéros en +33. Beaucoup de ni-nationnaux franco-marocains, mais aussi des prêtres.

Surtout que c'est complètement insensé de parler de preuves matérielles pour du software. Par contre, des preuves irréfutables, il y en a moult. Toute personne contre-disant ce fait est soit mal renseigné, soit un troll. Pourquoi chercher à nier l'évidence qu'un régime autoritaire surveille son opposition ? Parce que tout le monde aime le souverain et que personne n'aurait d'intérêt à s'y opposer ?

Le Pakistan encore soupçonné de déposer (ici, au moins 4) des implants permanents, permettant des accès à distance non autorisés dans les réseaux indiens : https://blog.talosintelligence.com/2021/07/sidecopy.html

Apparemment c'est un porte conteneurs qui a pris feu. L'hypothèse Houtis / terroriste semble écartée pour le moment.

https://www.lemonde.fr/international/article/2021/07/07/haiti-le-premier-ministre-annonce-l-assassinat-du-president-jovenel-moise_6087360_3210.html Haïti : le président Jovenel Moïse assassiné, selon le premier ministre sortant « Vers une heure du matin, un groupe d’individus non identifiés, dont certains parlaient en espagnol, ont attaqué la résidence privée du président de la République et ainsi blessé mortellement le chef de l’Etat », a annoncé le chef du gouvernement.

Très fortes températures attendues au Maroc très prochainement, entre 44 et 49°C, avec une température au sol de 55°C pour les cultures, ce qui devrait avoir des conséquences catastrophiques. Le prix du H va exploser

Super intéressant comme article, et vachement bien écrit !

La National Security Agency (NSA) avertit que des pirates informatiques affiliés à la Russie mènent des attaques par force brute pour accéder aux réseaux américains et voler des e-mails et des fichiers. Dans un nouvel avis publié jeudi dernier, la NSA déclare que le 85e centre principal de services spéciaux (GTsSS) du GRU russe (renseignement militaire), l'unité militaire 26165, utilise un cluster Kubernetes depuis 2019 pour effectuer des attaques par spray de mot de passe contre des organisations américaines et européennes, y compris le gouvernement et les agences du ministère de la Défense US. "La cyberactivité malveillante GTsSS a déjà été attribuée par le secteur privé en utilisant les noms Fancy Bear, APT28, Strontium et divers autres identifiants" "Le 85e GTsSS a dirigé une grande partie de cette activité vers les organisations utilisant les services cloud de Microsoft Office 365 ; cependant, ils ont également ciblé d'autres fournisseurs de services et serveurs de messagerie sur site utilisant une variété de protocoles différents. Ces efforts sont presque certainement toujours en cours." Quand les acteurs de la menace accèdent aux informations d'identification, ils exfiltrent les boîtes mails Office 365. La finalité de cette attaque est donc du renseignement. Pour masquer l'origine de leurs attaques, un cluster Kubernetes effectue des attaques par force brute derrière des services TOR et VPN, notamment CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark et WorldVPN. La NSA affirme qu'entre novembre 2020 et mars 2021, les pirates ont mené des attaques par force brute sans utiliser de service d'anonymisation (comme pré-cité, reste à savoir si cette démarche est volontaire ou non), exposant leurs adresses IP, et confirmant qu'elles étaient celles utilisées par le cluster Kubernetes du GTsSS russe (ou alors il s'agit d'une attaque sous faux drapeau assez exceptionnelle). Ces attaques se concentrent sur les États-Unis et l'Europe. Les types d'entités ciblées par les attaques sont : Organisations gouvernementales et militaires Consultants politiques et organisations de partis Entrepreneurs de la défense Entreprises énergétiques Entreprises de logistique Groupes de réflexion Établissements d'enseignement supérieur Cabinets d'avocats Entreprises médiatiques ************************************************************ Autre sujet sans lien avec ci-dessus. Autre victime du hack de Solarwinds (voir quelques pages avant pour le détail) : le renseignement russe a pu tranquillement squatter le réseau de la Banque Centrale du Danemark pendant 7 mois (en admettant que le SI ait pu être nettoyé, ce qui ne peut pas être vérifié). Cette nouvelle victime a été révélée la semaine dernière, et n'avait pas été initialement documentée. Entre vendre leur réseau aux américains et aux russes (ou disons plutôt, se faire trouer), va falloir qu'ils choisissent les danois

Ça m'étonnerait beaucoup que ça fonctionne, car ça sous-entendrait que les chinois font leur OSINT derrière le "grand firewall" sans utiliser les Google Dorks, ce qui est improbable à 100%. Aujourd'hui, tous les expats en Chine utilisent largement des VPN avec points de sortie hors Chine pour bypasser ce "grand firewall". Ça ne garanti nullement l’anonymat, mais au moins, tu as accès à ce que tu veux. Et par définition, l'OSINT étant non intrusif, l'anonymat est inutile.

Disons que le secret qui entoure les activité de la DGSE ne facilite pas le sourçage. Après, ses ressources, c'est quoi ? La tune ou le nombre de pax ? Autre input si ça peut aider, je sais que début des années 2010, je ne sais plus quel cadre de la DGSE s'était plaint qu'on n'en faisait pas assez, que l'activité n'était pas développée et qu'il fallait mettre plein de moyens dessus. Bluff ou pas, sans chiffre, difficilement exploitable, mais voici toujours. La LIO est bien la "Lutte Informatique Offensive", encadré par le MinArm, de ce que j'en ai compris. C'est un centre de pilotage des différentes équipes ayant un potentiel offensif cyber, pour coordonner les intrusions, les déposes de Remote Access Trojan (cheval de Troie), organiser la récupération des informations confidentielles et tout faire péter si nécessaire le moment venu. Typiquement, coordonner la rupture de service d'un opérateur Télécom, rendre une ou des stations de production ou distribution d'électricité inopérante, couper des pipelines ou empêcher les stations services de distribuer du carburant. Et puis il y a des choses moins contraignantes comme simplement rendre indisponible un site web gouvernemental, couper le téléphone à un service public, ...

Cet article n'est pas tout à fait exact. S'il y a bien une segmentation entre blue team (défenseurs) et red team (attaquants), la redteam est divisée à travers la DRM (assez opérationnelle militaire, veille stratégique), la DGSE (espionnage politique, économique, plus "high level") et la LIO (MinArm purement opérationnelle informatique). Et il y a probablement d'autres composantes dont je n'ai pas entendu parler, je sais par exemple que la DGSI en fait un peu de son côté, mais je ne sais pas avec quelle doctrine. Et l'ANSSI n'est pas absolument purement blue team, hein, quoi qu'on en dise. Tout ce petit monde devrait atteindre 4000 pax d'ici 2025. Tout le monde ne sera pas forcément opérationnel (2 à 3 ans selon les postes en moyenne pour les non seniors) en 2025, mais force est de constater qu'on se donne les moyens financiers, parce que ça coûte cher ces gens là. Après, niveau approvisionnement humain, je ne sais pas où ils vont aller chercher tous les nouveaux, que les ESN (ancien nom des SSII) de cyber vont davantage séduire sur des critères où le secteur public ne peut pas rivaliser (salaire, segmentation des équipes par spécialité, perspective d'évolution basée sur autre chose que l'âge / l'ancienneté, ...).

Un rapport d’un Institut international classe les quinze premières puissances en cyberguerre en trois catégories. Les États-Unis sont seuls en première catégorie, loin devant la Chine, et la France seul pays de l’UE de la liste. Source : https://www.iiss.org/blogs/research-paper/2021/06/cyber-capabilities-national-power

En ce qui concerne les SOC, c'est sûr que l’appât du gain doit encourager certaines structures à ne pas beaucoup plus implémenter que les règles de détections de base. De là à dire qu'elles sont majoritaires, ça m'étonnerait beaucoup, car le milieu est si petit (tout le monde se connaît) que si tu te grilles, c'est juste fini pour toi et ta boite. Les quelques uns qui vendent du SOC cheap le revendiquent et présentent une facture cohérente. Toute la force d'un SOC (d'un niveau de maturité moindre, mais c'est déjà beaucoup) réside dans sa capacité à contextualiser ses règles à la vie du SI de son client pour augmenter le taux de détection. Mais corollaire, il y a plus de faux positifs à traiter, et il faut donc une plus grande équipe, ce qui coûte plus cher. Après, pour les SOC évolués ++ qui mettent les moyens, on met en place : de l'orchestration (automatisation) avec du SOAR, l'implémentation des Mitre Attack et Defend, & standards NIST, et des activités de purple team, (liste non exhaustive). Mais je ne sais pas s'il y en a plus de 5 en France qui le font correctement (teasing : ça m'étonnerait qu'il y en ait au moins un). Donc à défaut de bien faire de la contextualisation, certains boutiques à la taille conséquente, comme dans le secteur bancaire, internalisent leur SOC. Je ne sais pas combien il y a de clients finaux (hors monde de l'IT) qui ont leur propre SOC en pur interne en France, mais je suppose ça doit tourner autour de 10.

Si vous voulez du Splunk (ou ELK, Graylog, QRadar, Qualys, Sentinel, je ne suis pas raciste), intégration, run ou service managé, France ou international, mes DM sont ouverts Plus sérieusement, avoir juste un mec fonctionnel qui pilote un SOC en service managé (outsourcé chez un prestataire de service), c'est pas forcément déconnant. Ça coûte (le plus) cher, mais ça me semble le plus efficace aujourd'hui, de mon humble REX. C'est pas un métier qui s'apprend en quelques mois, donc quand c'est pas ton métier, faut avoir l'humilité (et les finances) de passer la main. Et faut pas forcément être un ouf en technique pour être simplement le mec en interne qui fait l'interface avec le service managé chez un prestataire. Et faudrait juste que les RSSI arrêtent de croire que parce qu'on a coché la case "j'ai un SOC" alors on va tout détecter. Aujourd'hui, l'immense majorité des SOC en France sont complètement à la ramasse face à des APT, mais plutôt tout juste bon pour détecter des scripts kiddies, des employés malveillants, ou des attaquants pas vraiment professionnel. Mais ça filtre déjà 99% des attaques, alors c'est mieux que rien. Après, ça coûte super cher un SOC (et encore plus un bon).

Pour faire à la fois de l'infra sec et du SOC pour des boites du CAC 40 et des ETI, c'est très vrai pour les deux (quant aux PME, elles ne font pas de sécu ). L'avantage pour les grosses boites est d'avoir un budget cyber plus important et donc permettre au RSSI de pouvoir adresser plus facilement les sujets importants et/ou urgents. Alors que les ETI doivent faire le tri entre les projets tous plus important les uns que les autres. Concernant la pénurie de main d’œuvre... C'est à mon avis le sujet n°1. Les facs et les écoles d'ingés sortent des mecs à plein régime (des promos de 20-25 mecs max), mais la moitié finissent chefs de projet / commerciaux / SDM à faire du fonctionnel et pas de la technique. Et faire de la technique dans ce domaine, c'est quand même être un gros geek et y passer une partie raisonnable de sa vie perso (du moins pour le SOC et le pentest, mais moins pour l'infra). Bref, c'est pas demain que le problème va se résoudre, tous les pays du monde sont concernés, et la fuite des cerveaux vers les US est flagrante (~ salaire x3 pour un profil technique).

Je vais passer pour un bobo écolo, mais franchement, y avait pas plus proche que l'Australie pour faire un accord d'échange de marchandises ? Ah, on nous perle de la Malaisie, nettement plus proche... A la bonne heure ! Y doivent vraiment avoir le couteau sous la gorge les rosbeefs.

Là, le bateau n'est même pas dans les docks, il est carrément en train de prendre l'autoroute vers l'intérieur des terres

Nous sommes donc d'accord, il s'agit de corrélation d'indices, mais pas de preuves. Donc quand tu fais face à une nation ou un groupe bien identifié, c'est facile, mais quand tu fais face à des hacktivistes ou un groupe cybercriminel, ou même un groupe cybercriminel patriote, comme ça se fait beaucoup en Russie (freelance avec la bénédiction de l'état hôte), comment tu attribues ? On aurait envie d'attribuer à l'état hôte, pourtant il n'a rien à voir avec ça. Le gros problème de ne pas avoir de preuve est que ça encourage les attaques sous faux drapeau. Rien de plus facile en informatique pour voir tranquillement s'écharper 2 concurrents.

Christophe, je pense que tu sous estimes complètement la difficulté qu'il y a à identifier l'origine d'un hack à peu près bien effectué. La grande majorité des attaques ne laissent juste absolument aucune preuve derrière elle. Sans revendication, tu peux juste t'appuyer sur un contexte géopolitique pour faire ton attribution. C'est dans l'immense majorité des cas non identifiable pour la NSA itself, qui est à des années lumières devant tout le monde en forensic. Tout le monde sait attaquer, mais peu savent à peu près défendre.