Aller au contenu
AIR-DEFENSE.NET

Cyberwarfare


wielingen1991
 Share

Messages recommandés

Article qui documente les activités de la 807ème compagnie de transmissions, aka "l'unité 807", en charge de la défense des infrastructures informatiques de l'Armée (via un SOC classique) et de la mise en œuvre des opérations offensives (assez diversifiées).

https://www.defense.gouv.fr/terre/actualites/defnet-limagination-hackers-est-limite

En exercice : https://www.defense.gouv.fr/ema/actualites/locked-shields-2022-lequipe-franco-europeenne-aiguiseprepare-ses-defenses-cyber

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...
Le 11/05/2021 à 20:28, rogue0 a dit :

Pour changer un peu :Le célèbre bureau d'étude russe Rubin (spécialiste des sous-marins et drones UUV) aurait récemment été la cible d'une tentative de piratage via phishing (document RTF vérolé envoyé au PDG de la société ... )... par des pirates présumés chinois

Révélation

liens

Mes commentaires.

  1. Aucune certitude sur l'attribution du hack, mais le malware utilisé nom de code Royal Road est souvent utilisé par des APT chinois.
    (et la backdoor Portdoor est intéressante...).
    EDIT: Et souvent, quand le hack vient des SR occidentaux,  les firmes de cyberdef occidentales ne donnent pas d'attribution (voire les passent parfois sous silence... ).
    Exception récente qui a fait scandale : https://www.technologyreview.com/2021/03/26/1021318/google-security-shut-down-counter-terrorist-us-ally/
     
  2. Le document de phishing est aussi notable, parce qu'il présente des informations crédibles (non confirmées) sur un UUV russe baptisé Cephalopode.
    La suite sur les fils de soum russe.
     
  3. il n'y a aucune certitude sur l'attribution, mais en terme d'espionnage et de défense, il n'y a pas d'ami, il n'y a que les intérêts nationaux qui comptent.
    Vu que la Chine et la Russie ont de fortes convergences d'intérêts (pour s'opposer aux USA), il n'y aura pas de conséquences visibles publiquement...
    (cf les reproches russes sur la version chinoise des Flanker pas vraiment licensée J-11B )

2 nouveaux incidents récents de piratage visant la Russie ... attribués à des groupes chinois (et ce en pleine guerre avec l'Ukraine).

Rien de très choquant pour les connaisseurs, si on se rappelle que les états n'ont pas d'amis ... juste des intérêts nationaux.

Le 2ème hack (Twisted Panda) est évalué comme de bon niveau (phishing, obfuscation) :
il visait les instituts de recherche en guerre électronique (+radars et missiles) de Russie et Biélorussie.

https://www.cyberscoop.com/chinese-hacking-russia-ukraine-bronze-president/

https://blog.checkpoint.com/2022/05/19/twisted-panda-check-point-research-unveils-a-chinese-apt-espionage-campaign-against-russian-state-owned-defense-institutes/

https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/

 

Modifié par rogue0
  • Merci (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...

(ThalesGroup, 13juillet)

L’algorithme Falcon – co-développé avec Thales – sélectionné par le NIST comme nouvelle norme de cryptographie post-quantique

L’Institut américain des normes et de la technologie (NIST) du ministère du Commerce des États-Unis a sélectionné l’algorithme Falcon pour les signatures numériques. Co-développé pour devenir la norme de cryptographie post-quantique, il est capable de résister aux attaques des futurs ordinateurs quantiques, extrêmement puissants.

Retenu pour son haut niveau de sécurité et sa remarquable efficacité spectrale, Falcon sera intégré dans les normes de cryptographie post-quantique du NIST, dont la définition devrait être finalisée d’ici deux ans.

Le choix de Falcon, au bout de 5 années de compétition mondiale démontre le leadership de Thales dans les domaines de la cybersécurité, des technologies de pointe et de la recherche. (…):

https://thales-group.prezly.com/lalgorithme-falcon-co-developpe-avec-thales-selectionne-par-le-nist-comme-nouvelle-norme-de-cryptographie-post-quantique

  • Merci (+1) 3
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

il y a 16 minutes, fraisedesbois a dit :

(ThalesGroup, 13juillet)

L’algorithme Falcon – co-développé avec Thales – sélectionné par le NIST comme nouvelle norme de cryptographie post-quantique

L’Institut américain des normes et de la technologie (NIST) du ministère du Commerce des États-Unis a sélectionné l’algorithme Falcon pour les signatures numériques. Co-développé pour devenir la norme de cryptographie post-quantique, il est capable de résister aux attaques des futurs ordinateurs quantiques, extrêmement puissants.

Retenu pour son haut niveau de sécurité et sa remarquable efficacité spectrale, Falcon sera intégré dans les normes de cryptographie post-quantique du NIST, dont la définition devrait être finalisée d’ici deux ans.

Le choix de Falcon, au bout de 5 années de compétition mondiale démontre le leadership de Thales dans les domaines de la cybersécurité, des technologies de pointe et de la recherche. (…):

https://thales-group.prezly.com/lalgorithme-falcon-co-developpe-avec-thales-selectionne-par-le-nist-comme-nouvelle-norme-de-cryptographie-post-quantique

Je l'avais déjà publié sur un autre fil, mais celui-ci me semble plus adapté.

  • Merci (+1) 2
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 4 weeks later...

Twitter s'est fait piquer les informations personnelles - y compris les numéros de téléphone et adresses mails de 5,4 millions de comptes... et le pirate essaie de les vendre.

https://www.schneier.com/blog/archives/2022/08/twitter-exposes-personal-information-for-5-4-million-accounts.html

Le message d'aide twitter qui ne nous aide pas :

Si vous avez un compte Twitter sous pseudonyme, nous comprenons les risques qu'un tel incident peut présenter et nous regrettons profondément que cela se soit produit. Pour que votre identité soit la plus discrète possible, nous vous recommandons de ne pas ajouter de numéro de téléphone ou d'adresse électronique connus du public à votre compte Twitter.

Comme le dit un commentaire qui tourne sur le net :

Donc, après avoir forcé les utilisateurs à ajouter un numéro de téléphone pour continuer à utiliser Twitter, bien que Twitter n'ait aucun besoin de connaître le numéro de téléphone des utilisateurs, ils ont ensuite laisser fuiter les numéros de téléphone et les comptes associés. Super.

Mais ca devient pire... Après avoir été informé de la faille en janvier, plutôt que d'annoncer que des millions de données d'utilisateurs avaient été visibles pour n'importe qui qui aurait regardé, ils ont tranquillement corrigé le problème et espéré que personne d'autre ne l'avait trouvé.

Ce n'est que lorsque la presse a commencé à le remarquer qu'ils ont finalement révélé la faille.

Il ne s'agit pas d'un simple bogue causant une faille de sécurité, mais d'une chaîne de mauvaises décisions et d'une mauvaise culture en matière de sécurité.

 

  • Haha (+1) 3
Lien vers le commentaire
Partager sur d’autres sites

Le 15/08/2022 à 13:42, Rob1 a dit :

Mais ca devient pire... Après avoir été informé de la faille en janvier, plutôt que d'annoncer que des millions de données d'utilisateurs avaient été visibles pour n'importe qui qui aurait regardé, ils ont tranquillement corrigé le problème et espéré que personne d'autre ne l'avait trouvé.

Ce n'est que lorsque la presse a commencé à le remarquer qu'ils ont finalement révélé la faille.

 

On tombe très clairement sous les feux du GDPR / RGPD dans ce cas là.

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 3 months later...

(sciences&avenir, 27nov.)

REPORTAGE. La cyberguerre a déjà commencé

Le bâtiment jaune pâle de 120 mètres de long, massif, domine la base militaire du quartier Stephant à Saint-Jacques-de-la-Lande, en périphérie de Rennes (Ille-et-Vilaine). Abritant salles de serveurs et plateaux techniques, il a été inauguré en octobre 2019 pour héberger le Groupement de la cyberdéfense des armées (GCA), la composante opérationnelle du Commandement de la cyberdéfense, ou Comcyber.

C'est là que sont analysées et détectées les menaces visant les systèmes d'information du ministère de la Défense et des armées françaises. C'est de là que ces derniers sont protégés. De là, également, que sont surveillées des opérations d'influence, utilisant notamment les réseaux sociaux, susceptibles de mettre en danger des forces françaises sur le terrain. Et c'est en ces lieux que s'élabore la lutte informatique offensive de la France. En clair : élaboration de virus, logiciels espions, riposte à une agression numérique.

Ces opérations font l'objet d'une doctrine militaire officielle depuis janvier 2019, dont les modalités restent confidentielles. Actuellement en plein bouleversement, la base a vocation à rassembler d'autres unités de cyberdéfense présentes à Paris, Rennes et Bruz (Ille-et-Vilaine), et deux nouveaux bâtiments doivent sortir de terre d'ici à 2025. Preuve s'il en est d'une dimension cruciale des conflits : aujourd'hui, les pays s'affrontent aussi dans le cyberespace, à savoir notre environnement de réseaux informatiques, de logiciels, de câbles et de matériels toujours plus connectés.

Des signaux faibles indiquent qui est derrière une attaque

"Le cyberespace du ministère des Armées a des réseaux dont on se sert pour travailler - comme celui d'une entreprise du CAC 40 -, des réseaux plus classifiés qui ne sont pas reliés à Internet, mais aussi des systèmes faisant fonctionner nos infrastructures (climatisation, refroidissement des datacenters) et nos matériels, résume le colonel Pierre-Arnaud Borrelly, commandant du GCA. Sur un véhicule blindé d'infanterie, on trouve les mêmes calculateurs que sur un camion civil, mais susceptibles d'être attaqués. " S'y ajoutent les systèmes d'armes, par définition extrêmement surveillés, nécessitant des moyens tels, pour les atteindre, qu'ils ne constituent paradoxalement pas des cibles privilégiées.

Historiquement, c'est la vaste cyberattaque subie par l'Estonie en 2007, attribuée à la Russie, qui a déclenché une prise de conscience qu'un État pouvait recourir à des telles "armes" (voir la chronologie ci-dessous). En 2010, le virus Stuxnet, lancé contre les centrifugeuses iraniennes d'enrichissement d'uranium, a démontré l'impact matériel d'une telle opération. "L'Ukraine, en 2014, est un autre jalon, ajoute Julien Nocetti, maître de conférences à l'académie militaire de Saint-Cyr-Coëtquidan (Morbihan). Pendant les périodes de guerre dans le Donbass, la Russie a visé des centrales électriques, des infrastructures portuaires, énergétiques… Avec le recul, on comprend que la Russie a testé grandeur nature ses armes numériques. " Selon un rapport de Microsoft publié en juin, la Russie a en effet multiplié les attaques contre l'Ukraine, par logiciels destructeurs ou chiffreurs de données, dans les premiers mois de son invasion de février dernier.

Il reste que, mis à part le cas d'un conflit ouvert, l'ambiguïté est de mise. Les États revendiquent rarement une action dans le cyberespace, et des groupes cybercriminels employés comme mercenaires peuvent servir de paravent. "Le coût d'une attaque informatique a fortement baissé, poursuit le colonel Pierre-Arnaud Borrelly. Maintenant, sur le darkweb, on trouve des kits d'attaque tout prêts. " Des petits pays peuvent ainsi en attaquer de gros, ce qu'un arsenal conventionnel n'aurait pas permis. La nature même du monde cyber autorise à brouiller les pistes. "Les frontières n'y sont pas celles du monde physique. L'opérateur qui conduit l'attaque ne se trouve pas forcément dans le pays d'où elle vient ", note François Deruty, directeur des opérations chez l'éditeur de cybersécurité Sekoia.

"Certains programmeurs savent qu'ils vont se faire analyser"

Pour faire face, l'arsenal des cybercombattants du quartier Stephant s'apparente aux outils bien connus des entreprises de la cybersécurité : veille sur des vulnérabilités, rétro-ingénierie de logiciels malveillants, surveillance et défense en temps réel des réseaux par des SOC (Security operations center), utilisation de "bacs à sable" numériques pour rejouer une cyberattaque et l'analyser.

"Certains programmeurs (de logiciels malveillants, ndlr) savent qu'ils vont se faire analyser, explique Fabio*, expert sous contrat au Centre d'analyse en lutte informatique défensive, une autre unité du Comcyber. Ils vont donc mettre au point des techniques d'anti-analyse, mais nous savons qui procède ainsi. Toute une série de signaux faibles permettent de dire qui est derrière. "

Pour Thierry Berthier, maître de conférences en mathématiques à l'Université de Limoges et chercheur en cyberdéfense, la robotisation des matériels militaires va aussi exiger le recours à la version embarquée d'un outil de cybersécurité typique des entreprises, le Siem (système de gestion des événements et des informations de sécurité). Le principe consiste à surveiller tout ce qui se passe dans un système et à en déduire un modèle de normalité. "Le Siem va détecter toute déviation de ce modèle et enclencher une alerte qu'il faudra analyser. C'est très efficace pour bloquer des menaces qui n'ont pas encore été documentées. "

Ce travail d'analyse et d'anticipation alimente des exercices d'entraînement simulant des situations réalistes d'attaque. Parfois en utilisant des virus existants prisés du cybercrime. "Nous développons aussi nos propres armes pour surprendre, car le jour où cela arrivera, nous ne serons peut-être pas frappés par quelque chose que tout le monde connaît ", prévient l'adjudant Sébastien, en charge de ces entraînements.

D'autant que les "frappes" sont loin de se résumer à effacer des données ou à provoquer le blocage ou le dysfonctionnement d'équipements chez l'adversaire. Espionnage et intrusion dans des réseaux en prévision d'actions futures tiennent encore le haut du pavé. D'après Microsoft, le renseignement russe s'y est livré contre 128 organisations de 42 pays aidant de près ou de loin l'Ukraine, avec 29 % de réussite. "Le terme de cyberguerre a une connotation martiale et technique, complète Julien Nocetti. Je parle plutôt de conflictualité numérique, qui associe cyberattaques et opérations informationnelles, désormais omniprésentes et qui ont davantage d'impacts sur les décideurs et les populations. " Twitter, Facebook et YouTube utilisés pour manipuler et déstabiliser, c'est aussi ça, l'art de la cyberguerre.

* Le prénom a été changé.

 

15 ans de cyberguerre

Avril 2007 : À la suite du déplacement d'une statue célébrant les soldats soviétiques, l'Estonie subit une vague inédite d'attaques par déni de service (envoi de multiples requêtes pour saturer un serveur) sur les sites Internet du Parlement, de ministères, de banques et de médias. Accusée, la Russie a nié en être l'instigatrice.

2008-2010 : Stuxnet, un virus informatique sophistiqué, provoque la destruction de centrifugeuses d'enrichissement d'uranium à Natanz, en Iran. Il a été développé pendant trois ans par les États-Unis et Israël pour stopper le programme nucléaire iranien.

Novembre 2014 : Un groupe nord-coréen pirate Sony Pictures, vole des données et menace les États-Unis d'un attentat pour empêcher la sortie du film "L'Interview qui tue !", qui tourne en dérision le leader nord-coréen Kim Jong-un.

Décembre 2015 : En Ukraine, des coupures d'électricité sont provoquées par un logiciel malveillant envoyé dans les systèmes informatiques de plusieurs centrales. L'attaque est attribuée à la Russie.

Juin 2017 : NotPetya, un faux rançongiciel dévastateur, se répand dans le monde entier. Pour beaucoup, il s'agit d'une opération russe contre l'Ukraine qui a dégénéré.

Avril 2020 : Une cyberattaque coordonnée vise les installations hydrauliques israéliennes. Accusant l'Iran, Israël riposte par une cyberattaque créant le chaos dans le port iranien de Shahid Rajaee.

Mai 2021 : Un rançongiciel paralyse le fonctionnement de l'oléoduc américain Colonial Pipeline, provoquant des pénuries de carburant. Le président Joe Biden estime que les autorités russes ont une part de responsabilité.

Janvier-février 2022 : Une opération de défacement (modification de pages Web), de destruction de données et de déni de service cible les sites gouvernementaux ukrainiens. La Russie envahit l'Ukraine le 24 février.

 

  • J'aime (+1) 1
  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 1 month later...

Lastpass, vendu comme un logiciel de "coffre-fort" pour mot de passe (pour gérer les centaines de login/mdp pour se connecter aux services numérique ), s'était fait piraté plusieurs fois depuis août dernier.

Les données clients ont été volées (cad les données personnelles clients + adresses IP + les coffre fort clients avec la liste des sites, login et mdp en théorie cryptés...).
EDIT : seuls les mdp étaient chiffrés.
Les autres informations personnelles n'étaient pas protégées (dont votre liste de sites internet préférés, recommandables ou pas...)


Si vous êtes clients, changez vite votre mot de passe "maître", et préparez vous à des attaques intenses de hameçonnage...
EDIT: Et je conseillerais aussi de changer de gestionnaire de mot de passe (pour une boîte plus sérieuse).
Il est très probable qu'une partie de cette base de mot de passe soit rapidement décryptée (via attaque force brute en cloud AWS)

https://www.01net.com/actualites/mensonges-ehontes-chiffrement-de-merde-lastpass-est-violemment-critique-pour-ses-declarations-et-sa-securite.html

Comme souvent pour les entreprises victimes d'attaques informatiques, ils ont :

  • tardé à informer le public du vol des données (4 mois après la première attaque ...)
  • menti pour tenter de minimiser les conséquences de l'attaque (ou leur responsabilité légale)

Pour une fois, les mensonges ne sont passés, et ils se font attaquer par de nombreux experts en sécurité, et même les concurrents... 

Car visiblement, ils ont commis de nombreuses erreurs de sécurité élémentaires (pas autant que Parler, l'ancien réseau social préféré de l'alt-right, mais presque ...).
Pas de "salage"/salting des mots de passe
Chiffrage vulnérable (faible entropie)
 

Personnellement, je recommande quand même les gestionnaire de mot de passe, mais plutôt ceux à stockage local (type keypass), précisément pour éviter ce type de fuites massives de données.
EDIT : Lastpass lui, est un service de coffre fort synchronisé dans le cloud, pour pouvoir accéder à ses mots de passe depuis tous ses ordinateurs, smartphones et tablettes.
Moi, c'est plus simple, je ne fais jamais rien de sensible sur mon smartphone, vu l'impossibilité de vraiment bien sécuriser un smartphone grand public.
Et les téléphones aggréés par la NSA , eux sont tellement blindés qu'on ne peut rien faire dessus

 

Rappel:
les longues phrases de mot de passe (à personnaliser) sont bien plus solides que des mots de passe aléatoires courts (et plus faciles à mémoriser)
exemple https://xkcd.com/936/

Modifié par rogue0
  • J'aime (+1) 1
  • Merci (+1) 3
Lien vers le commentaire
Partager sur d’autres sites

  • 1 month later...
  • 3 months later...
Il y a 16 heures, Rob1 a dit :

Un bel article.

Ce que j'en retiens :

  • Ce malware va pouvoir être complètement nettoyé assez facilement,
  • Turla est capable du meilleur comme du pire (on a vu de cuisants échecs par le passé),
  • Tous les états qui en ont les moyens (coucou les équipes de la LIO du MinArm) développent des malwares qui sont capables de rester indétectés pendant des années.
  • Parier sur l'inviolabilité de son SI, même le plus sécurisé, n'est pas une situation d'avenir,
  • Les attaques informatiques se ré-inventent de plus en plus (virage en 2021-2022) du sabotage (avec +/- demande de rançon) vers de l'espionnage (exfiltration de données sensibles), aussi bien dans le monde cybercriminel (but lucratif) que de l'étatique (renseignement militaire comme économique).
  • J'aime (+1) 1
  • Merci (+1) 2
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Ce que je n'avais pas réalisé, c'est la persistence ou capacité de ré-infection que peuvent atteindre certains spywares. J'imaginais qu'une fois qu'un truc était détecté, la sécurité informatique "remontait" la chaîne pour extirper tout le machin. Là, bien que certaines activités de Snake aient été détectées depuis des années, le logiciel est conçu de manière à ce qu'on ne remonte pas à l'implant stocké en mémoire, ce qui a permis de le réutiliser, avec d'autres modules j'imagine...

Bon apparemment ce n'est pas tout à fait nouveau, il y avait la même chose avec SolarWinds :

J'ai l'impression que le grand bond en avant des contre-hackeurs a été quand ils ont trouvé une faille dans la crypto des communications des implants. Le programmeurs russes ont fait une bêtise, ils ont utilisé une fonction de la boîte à outils bien connue OpenSSL, mais avec un paramètre d'une longueur trop courte pour que la crypto soit solide ! Une faute de débutant.

Un communiqué des autorités US dit que ca rend possible de casser la partie "échange de clés", il ne va pas jusqu'à dire qu'ils l'ont fait, mais on devine que oui et que ca a été un moment-pivot. Parce qu'une fois qu'ils ont les clés, ils voient comment les communications par HTTP fonctionnent, et contrairement au reste du logiciel, elles sont très révélatrices : une métadonnée s'incrémente de manière prévisible, le FBI dit qu'avec deux ou trois paquets seulement ils arrivent à identifier les ordinateurs communicant ainsi.

Et ils en ont profité pour le coup de grâce : le FBI a envoyé de telles communications en se faisant passer par les opérateurs de Turla, sauf que celles-ci commandaient l'arrêt du logiciel Snake et le mettent KO définitivement en écrasant le malware sur l'ordinateur infecté. En bref, ils ont piraté le malware.

Je relève aussi dans le communiqué de la NSA la liste des agences impliquées : FBI, NSA, CISA de l'Homeland Security, CNMF du Cybercom, et les centres cyber de tous les Five Eyes.

Il y a 6 heures, Nemo123 a dit :

Les attaques informatiques se ré-inventent de plus en plus (virage en 2021-2022) du sabotage (avec +/- demande de rançon) vers de l'espionnage (exfiltration de données sensibles), aussi bien dans le monde cybercriminel (but lucratif) que de l'étatique (renseignement militaire comme économique).

J'ai l'impression que le sabotage aura été une "mode" à partir de 2017, Stuxnet mis à part. Pour l'espionnage, il s'est fait oublier, mais il a toujours été là.

Lien vers le commentaire
Partager sur d’autres sites

De nombreux bons spécialistes (en guerre d'information ou sécurité ou autres) sont partis de twitter.

On peut en retrouver pas mal sur mastodon ou substack:

exemple:

Modifié par rogue0
  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 3 weeks later...

Le bureau du directeur national du renseignement (au US) a déclassifié un rapport sur la Commercially Available Information (CAI), en gros les données personnelles que l'on peut acheter sur internet. On y apprend (après un survol rapide): 
https://www.dni.gov/files/ODNI/documents/assessments/ODNI-Declassified-Report-on-CAI-January2022.pdf
- que la communauté du renseignement américaine en achète de grandes quantités, tout particulièrement des données provenant des réseaux sociaux, et des données de localisation.
- un autre usage intéressant: des bases de données commerciales académiques (Web of Science) permettent de rattacher des affiliations un peu ennuyeuses a certains chercheurs, typiquement le fait qu'ils font de la recherche sur des sujets avec des applications militaires dans leur pays d'origine. Ces affiliations sont souvent visibles uniquement avec des articles derrières des paywalls par exemple. 
- des bases de données indiquant des dépendances entre des entreprises qui ne sont pas nécessairement publiques permettent de faciliter le contrôle des capitaux dans des domaines sensibles. 
- la CAI facilite le ROHUM, en facilitant le ciblage par exemple, et en facilitant la découverte de vulnérabilités personnelles. 
- la CAI permet de trouver des données pour fitter des modèles d'IA
Cependant, ces données posent aussi des problèmes de contre-espionnage: 
- dé-anonymiser ces données est souvent très facile. C'est a double tranchant pour la communauté du renseignement US (pour toutes les communautés du renseignement), ça sert mais ça rend aussi les citoyens américains vulnérables. Sous l'administration Trump, on a montré qu'on pouvait pister le président a partir de membres du Secret Service peu prudents.
- 10 vendeurs se targuent de vendre des données permettant d'identifier du personnel du DoD
- la CAI facilite certains comportements criminels (pressions, harcèlement ...)

Modifié par ywaDceBw4zY3tq
  • J'aime (+1) 1
  • Merci (+1) 1
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Les algo de chiffrement bien implémentés sont en général difficiles à attaquer frontalement.

Il est beaucoup plus rentable de tenter des attaques latérales, pour contourner les défenses (comme contourner la crypto via un keylogger, ou écouter ce qui se fait au niveau hardware, via compromission physique du matériel, ou écouter les émissions électromagnétiques de puces non blindées -> Thalès a une certaine expertise en la matière).

C'est le cas ici:

https://arstechnica.com/information-technology/2023/06/hackers-can-steal-cryptographic-keys-by-video-recording-connected-power-leds-60-feet-away/

papier source

https://www.nassiben.com/video-based-crypta

Des chercheurs ont trouvé un moyen de faire une attaque side-channel de chiffrement ... sans accès physique à la machine ni antenne radio de reniflage (rares et indiscrètes).
Juste avec une vidéo HD 60fps ... zoomée sur la LED qui indique l'activité d'une carte de chiffrement (les clignotements et la luminosité de la LED étant proportionnels à la puissance utilisée par les puces crypto).
Avec diverses astuces (rolling shutter de la vidéo), ils ont prouvé que ça donnait assez de sensibilité pour déduire assez rapidement la clé de chiffrement.
ça ne marche pas partout, mais ça ouvre d'énormes perspectives pour les attaques side channel.

 

Il y avait déjà eu des attaques ingénieuses de ce type avec les attaques Minerva et Heartbleed (qui utilisaient des indices comme les durées de traitement pendant le chiffrage, ou encore mieux, les variations de puissance consommée par les puces de chiffrage) pour aider à déduire rapidement les clés de chiffrement.
Ces attaques nécessitaient d'avoir accès physique au matériel (ou une machine non blindée au tempesting).
D'où l'intérêt de l'innovation du jour.


Note: faut vraiment oublier rapidement les algo à base de courbe elliptique.
(la NSA les ont abandonné depuis ~5 ans, après avoir fortement poussé leur algo Dual-EC DBRG, fortement suspecté d'avoir une backdoor intégrée, au point d'avoir payé RSA des millions pour qu'il soit un algo standard par défaut )

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Surpris que personne n'ait encore parlé de l'affaire "Moveit"!

https://www.usine-digitale.fr/article/moveit.N2143422

Attaque contre MOVEit : la liste des victimes s'allonge

Le groupe de hackers russes Lace Tempest a publié une première liste de victimes de son attaque contre le logiciel de transfert de fichiers. Il menace de partager les données qu'il a dérobées.

Le groupe de hackers russes Lace Tempest se prépare à mettre sa menace à exécution. Sur sa plateforme Clop, sur laquelle s’échangent des données volées, il a publié une première liste de victimes de son attaque contre le logiciel de transfert de fichiers sécurisé MOVEit.

Le nom le plus connu présent sur cette liste est celui du groupe pétrolier britannique Shell. Plusieurs banques américaines, des compagnies d’assurance ou encore des universités ont également été touchées. Il est possible que cette liste ne soit pas exhaustive.

Lace Tempest assure avoir mis la main sur “beaucoup de données”. Le groupe avait laissé à ses victimes jusqu’au 14 juin pour se manifester. Faute de paiement, il menace de publier les données qu’il a récupérées. Pour le moment, aucune information n’a encore été partagée sur la plateforme.

Des milliers de victimes potentielles

Les pirates ont bénéficié d'une faille de sécurité au sein de MOVEit. Celle-ci avait été identifiée fin mai par son concepteur, l’éditeur américain Progress Software. Celle-ci “pourrait permettre à un attaquant non authentifié de gagner un accès non autorisé aux bases de données”, reconnaissait alors la société. Elle assure désormais avoir corrigé cette vulnérabilité.

MOVEit est utilisé par “des milliers d'entreprises à travers le monde”, indique Progress sur son site Internet. Le logiciel leur permet de transférer des données sensibles avec leurs partenaires, clients ou utilisateurs. Il est disponible à la fois sur site et dans le cloud. Selon le chercheur en cybersécurité Kevin Beaumont, les deux versions ont été touchées.

D'après les décomptes de Shodan, un moteur de recherche pour les appareils et les bases de données exposés publiquement, plus de 2500 serveurs MOVEit Transfer sont accessibles sur Internet, majoritairement aux États-Unis et au Royaume-Uni. Plusieurs administrations américaines, dont le département de la sécurité intérieure, et plusieurs banques utilisent ce service, avance Kevin Beaumont.

Victimes indirectes

Depuis l’attaque, plusieurs organisations ont reconnu en avoir été victimes. Au Royaume-Uni, British Airways, la BBC et d’autres ont été touchés indirectement par l’intermédiaire de Zellis, une société britannique qui gère la paie de près de la moitié des entreprises du FTSE 100. Les données personnelles de leurs employés ont ainsi été dérobées par le groupe russe.

Toujours outre-Manche, l’Ofcom, le régulateur des télécoms, a indiqué que des documents confidentiels avaient été volés. Selon la BBC, Transport for London, l’autorité qui gère les transports dans la capitale britannique, et le cabinet d’audit EY sont aussi impactés. Autres victimes : l’université américaine Johns Hopkins, et le gouvernement de la province canadienne de la Nouvelle-Ecosse.

 

Une excellente vidéo récap' sur l'affaire avec des détails supplémentaires, en anglais:

Parce que oui, il n'y a pas que de grandes entreprises qui sont touchées, vu que le DoD US utilisait aussi ce service!

Modifié par Patrick
  • Merci (+1) 1
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Pour ceux qui veulent se renforcer en compétence cloud, administration réseau/serveur, Java, etc, voici une vente de charité de 22 ebook IT disponibles à partir de 1E (donation de 22E minimum pour avoir accès à tous les livres)
(humble bundle de livres Sybex / Wiley )

https://www.humblebundle.com/books/sybex-certification-prep-wiley-books?hmb_source=&hmb_medium=product_tile&hmb_campaign=mosaic_section_1_layout_index_2_layout_type_threes_tile_index_1_c_sybexcertificationprepwiley_bookbundle

 

Lien vers le commentaire
Partager sur d’autres sites

  • 3 months later...

https://www.bloomberg.com/news/articles/2023-09-27/elon-musk-wins-us-space-force-contract-for-starshield-deepening-pentagon-ties

- Starshield fournit des communications par satellite personnalisées à des fins de sécurité nationale.

- L'accord, dont le plafond est fixé à 70 millions de dollars, "fournira à Starshield un service de bout en bout via la constellation Starlink, des terminaux d'utilisateurs, des équipements auxiliaires, la gestion du réseau et d'autres services connexes".

- SpaceX est en concurrence avec d'autres entreprises pour obtenir 900 millions de dollars de commandes gouvernementales.

 


Starlink doit être un réseau civil, et non un participant au combat. 

Starshield appartiendra au gouvernement américain et sera contrôlé par les forces spatiales du ministère de la défense. 

 

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Restaurer la mise en forme

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • Statistiques des membres

    5 967
    Total des membres
    1 749
    Maximum en ligne
    Stevendes
    Membre le plus récent
    Stevendes
    Inscription
  • Statistiques des forums

    21,5k
    Total des sujets
    1,7m
    Total des messages
  • Statistiques des blogs

    4
    Total des blogs
    3
    Total des billets
×
×
  • Créer...