Cyberwarfare

[collectionneur]

La défense cybernétique suisse n'est simplement pas a la hauteur avec des effectifs et budget dérisoires - 50 professionnels et 100 miliciens - :

http://mobile2.24heures.ch/articles/58dead98ab5c377428000001

[rogue0]

Le 19/12/2016 à 22:14, rogue0 a dit :

Merci pour le lien.

J'avoue qu'il y a eu tellement d'activité Shadow Brokers que j'étais passé à côté de ce dernier bout...

Suite de la saga shadow brokers.

Ils ont publié ce week end la clé de déchiffrement de leur archive (celle proposée "en enchère" l'année dernière)

A ma grande surprise, l'archive n'était pas bidon, mais contient des hacks moins intéressants voire obsolètes.

Reporting neutre par schneier : 

https://www.schneier.com/blog/archives/2017/04/shadow_brokers_.html

Revue de presse des spécialistes en sécurité : 

https://arstechnica.com/security/2017/04/shadowbrokers-post-password-to-auction-file-of-alleged-nsa-hacking-tools/

Citation

Le timing de cette dernière fuite (...).

J'étais aussi surpris parce que les shadow brokers avaient publiquement déclaré raccrocher le gant le 12 janvier dernier (avant l'intronisation de Trump).

Et les revoilà qu'ils reviennent d'entre les morts, le lendemain des frappes US en syrie, avec un message de revendication décousu, digne de guccifer et wikileaks.

Le timing est très suggestif, et renforce encore plus la thèse qu'ils sont liés aux renseignements russes (pour ceux qui en doutaient encore).

Source et rappel de l'historique

https://www.riskbasedsecurity.com/2016/08/the-shadow-brokers-lifting-the-shadows-of-the-nsas-equation-group/#strikeback

 

Modifié le 11 avril 2017 par rogue0
Double post

[Rob1]

Et apparemment Wikileaks sort une nouvelle livraison d'outils de la CIA... coïncidence ?

https://www.schneier.com/blog/archives/2017/04/fourth_wikileak.html

[rogue0]

Il y a 19 heures, Rob1 a dit :

Et apparemment Wikileaks sort une nouvelle livraison d'outils de la CIA... coïncidence ?

https://www.schneier.com/blog/archives/2017/04/fourth_wikileak.html

<mode Assange ON>
Non, ce n'est pas une coïncidence : ça tombe pile au moment où je me suis mis au jeu sur mobile (Sword Art Online : Memory Defrag pour être précis) et que j'ai moins le temps de poster .
Je soupçonne une conspiration du FSB ... pardon de la NSA )
</mode>

Blague à part, Wikileaks est passé en mode publication hebdomadaire depuis 1 mois.
Tous les vendredi, ils sortent des nouveaux documents au compte goutte, ce qui permet (en théorie) d'entretenir le buzz pour Assange, et contre les USA.
Un peu comme le canard et mediapart en somme
Donc je penche plutôt pour une coïncidence... d'autant plus que Trump était encore dans la liste des "copains" jusqu'à jeudi dernier.

Concernant les derniers dumps, je n'en ai pas parlé:

• Par manque de temps
• Vu les doutes pesant sur Wikileaks (grossières erreurs, et gros doutes sur leur objectivité au minimum), je ne reprend plus leurs communiqués de presse.
  EDIT: J'ai horreur qu'on essaie de me manipuler, donc j'applique pour eux la même politique de fact checking que pour les déclaration de Trump, Poutine, (insérez votre politicien "préféré" )

Ceci étant dit, sur les derniers dumps, (EDIT) ils ont calmé la rhétorique et écrit moins d'allégations foireuses, donc je serais moins sardonique sur la critique.

Même si l'intérêt était très variable.

Un bon point pour eux est qu'ils ont annoncé vouloir faire du responsible disclosure (révéler les failles au constructeur d'abord, pour les patcher... mais wikileaks est notorieusement un partenaire difficile)...
Ce qui ralentit le rythme des révélations.

• Le premier dump sur les failles iOS était juste d'intérêt historique.
• Le dump sur les outils d'obfuscation (Marble) est lui potentiellement intéressant (et embarrassant pour la CIA).
  Avec l'outil de dé-masquage fourni, on peut s'attendre à ce que certains vieux hacks non résolus soient finalement attribués à la CIA.
  https://www.nextinpact.com/news/103904-wikileaks-publie-code-source-marble-outil-masquant-provenance-attaques.htm 
  Et c'est déjà le cas pour le groupe appelé "Longhorn" par Symantec.
  http://securityaffairs.co/wordpress/57916/apt/longhorn-group-cia.html
• Le dernier dump (grasshopper) n'intéressera que les hackers et experts en sécurité.
  Il détaille les méthodes pour modifier des logiciels grands publics (VLC, NP++) pour charger des malwares (souvent via clé USB), et échapper aux méthodes de détection antivirus.
  https://www.nextinpact.com/news/103983-wikileaks-plongee-dans-grasshopper-outil-cia-derriere-ses-fausses-applications-windows.htm 

Modifié le 12 avril 2017 par rogue0
Précision

[rogue0]

Le 15/01/2017 à 16:15, rogue0 a dit :

Suite du hack présumé sur l'application GPS d'artillerie ukrainienne (reposté du fil USA).

D'autres spécialistes cyber se sont penché dessus, et pointent des failles dans l'analyse.
https://medium.com/@jeffreycarr/the-gru-ukraine-artillery-hack-that-may-never-have-happened-820960bbb02d#.tj1tnxm52

[...]

Quelques (rares) grands média ont fait du fact checking sur l'annonce initiale de Crowdstrike, et sont beaucoup plus réservés depuis.

http://www.voanews.com/a/skeptics-doubt-ukraine-hack-link-to-dnc-cyberattack/3649234.html
https://www.bloomberg.com/view/articles/2016-12-22/why-i-still-don-t-buy-the-russian-hacking-story

Suite de l'affaire de l'appli GPS d'artillerie ukrainienne:

Crowdstrike a dû se rétracter sur plusieurs points importants de son analyse (géolocalisation pour contre batterie directe, pertes militaires dûes au hacking).
Mais ils maintiennent le hack et l'attribution au Fancy Bear / APT-28 (malgré la possibilité théorique que le X-Agent ne soit plus l'exclusivité du groupe "Fancy Bear").
(à la place, ils parlent de géolocalisation large niveau antenne et d'espionnage des communications)

http://www.voanews.com/a/cyber-firm-rewrites-part-disputed-russian-hacking-report/3781411.html

Sur ce point, ils ont eu un appui inattendu (et majeur)
Kasperky (firme de cyber sécurité russe) a confirmé que cette application utilisait un des serveurs de contrôle exclusif à Fancy Bear/Sofacy.

https://medium.com/@thegrugq/voice-of-russia-50ae874777ca?source=user_profile---------1-----------

Conclusion:
Crowdstrike aurait mieux fait de laisser le renseignement militaire aux spécialistes ( et de ne pas sauter à des conclusions hâtives)...
mais leur attribution du X-Agent (pour le hack du DNC et pour l'appli d'artillerie) tient encore.

 

[rogue0]

Les hackers nord-coréens ne se limitent pas à terroriser les pontes de Sony 

Ils semblent avoir réussi à accéder à des plans de défense sud-coréen (OPLAN 5027) : c'est l'ancien plan de défense combiné US - Sud Coréen.
Accessoirement, ce hack a été découvert par hasard, en investiguant un autre hack

sources:

http://english.chosun.com/site/data/html_dir/2017/04/04/2017040401234.html

http://thediplomat.com/2017/04/north-korean-hackers-may-have-seen-secret-us-south-korea-war-plans/

[rogue0]

Le 13/02/2017 à 11:52, rogue0 a dit :

Moscou pourrait oeuvrer contre la candidature Macron (fake news et fuites).

http://www.lexpress.fr/actualites/1/politique/en-marche-moscou-pourrait-oeuvrer-contre-la-candidature-macron_1878600.html

Honnêtement, je suis sceptique (disons 40 %  de chance que ça soit un coup de pub gratuit), mais mieux vaut prévenir que guérir (sans compter qu'il y a aussi breitbart et le piratage de l'Elysée de 2012 par la NSA).

Malgré mon scepticisme, il y a une première confirmation indépendante de ces tentatives de hacking / influence sur les élections présidentielles françaises.

Trend Micro va publier (demain) un rapport détaillant une campagne de phishing de type Fancy Bear alias APT28 alias Pawn Storm, sur l'infrastructure IT du parti de E. Macron (en cours depuis au moins 2 semaines).
Oui, c'est le même type que le hack du DNC US, le comité d'enquête de MH17, le parti de Merkel, l'agence anti dopage, etc. 

Les tentatives de phishing semblent avoir été détectées et contrées par l'ANSSI.
Le rapport se garde bien d'attribuer formellement ces attaques aux services russes.

Habituellement, je ne relaie pas des communiqués de presse sans avoir vu les données source qui le justifient (surtout un communiqué de presse qui a été diffusé mondialement en quelques heures).

Néanmoins, si un acteur extérieur voulait influencer les élections, l'entre-deux tours serait le moment idéal pour avoir un Guccifer 3.0 ...
Et si quelqu'un voulait handicaper le gouvernement nouvellement élu avec des mails compromettants, le moment idéal pour une action Wikileaks serait quelques semaines après les élections.

A méditer et relayer donc si vous voyez un gars louche qui vous propose une liasse de email volé sous le manteau.

Source:

http://www.silicon.fr/en-marche-macron-cible-phishing-services-russes-172979.html

http://lexpansion.lexpress.fr/high-tech/en-marche-cible-par-les-hackers-fancy-bear_1900835.html

EDIT : Disclaimer : je sais bien que le mode opératoire des APT28 et cie consiste à ratisser large, en hackant le maximum d'acteurs d'influence (tous les partis politiques, société civile, décideurs économiques, opposants), mais je préfère jouer la sécurité et diffuser l'avertissement du rapport.
Mieux vaut prévenir que guérir...
Et ça permet de se blinder contre toutes les sources d'influence extérieures "amies" ou "ennemies" (cf hacking de l'élysée 2012)

Modifié le 24 avril 2017 par rogue0
Disclaimer

[Marcus]

Il y a 15 heures, rogue0 a dit :

Malgré mon scepticisme, il y a une première confirmation indépendante de ces tentatives de hacking / influence sur les élections présidentielles françaises.

 

Macron était un très grand utilisateur de la messagerie Telegram.

Telegram a des très gros défauts : ses programmes, ses serveurs et son financement sont intégralement Russes. Si les services secrets Ruses avaient voulu espionner les messages de Macron, ce n’aurait pas été par une attaque informatique…

Macron  a heureusement changé de messagerie !

[rogue0]

Le 11/04/2017 à 13:12, rogue0 a dit :

Nouvel épisode de la saga shadow brokers.

Source et rappel de l'historique

https://www.riskbasedsecurity.com/2016/08/the-shadow-brokers-lifting-the-shadows-of-the-nsas-equation-group/#strikeback

Après avoir parlé du hacking présumé russe, parlons des outils de la NSA (soyons justes en temps de parole ) 

Nouvel épisode de la saga shadow brokers.

Depuis 2 semaines, Ils ont clairement redéclaré la guerre aux USA (renforçant encore la thèse du groupe à soutien étatique, car AMHA, les dégâts commencent à justifier la frappe de tomahawk en représailles ). 

Et ils sont loin de l'image du hacker romantique Robin des bois. Ils sont prêts à causer des dommages collatéraux massifs chez les autres.

A chaque fois, ils publient les outils complets avancés de la NSA, prêts à l'emploi par tous les script kiddies du monde entier

Et c'est publié le vendredi soir, pour faire le maximum de dégâts pendant que les spécialistes de sécurité sont en congé.

Premières bombes le vendredi 14 avril: 

• publication d'une archive contenant Toast,  un outil / framework de création rapide de hack interne à la NSA, façon metasploit pour les connaisseurs. 
• Publication de multiples failles critiques sur tous les Windows dont une certaine DOUBLE PULSAR... Patchées de justesse  par Microsoft (sans doute tuyauté par la NSA).
• On se doutait que les Usa surveillaient les transactions financières  passant sur le réseau Swift. La confirmation est tombée, avec la révélation de hacking dans de nombreuses banques du proche orient. (et les méthodes d'accès qui sont maintenant grillées, notamment via Windows serveur 2008) 

http://securityaffairs.co/wordpress/58006/hacking/nsa-hacked-swift.html

Dernier épisode vendredi 21 avril. 

La faille DOUBLE Pulsar a un correctif, mais de nombreuses machines restent vulnérables. Les chercheurs en sécurité font un Scan des machines infectées... Et le nombre a explosé depuis 1 semaine (de 10 000 à 180 000 PC). 

L'interprétation  la plus probable est que les scripts kiddies et autres pirates ont repris l'outil de la NSA et l'ont détourné pour leur propre usage. 

Source

Vulgarisation

http://www.lesnumeriques.com/vie-du-net/subtilises-outils-piratage-nsa-sont-utilises-en-masse-n62421.html

https://arstechnica.com/security/2017/04/10000-windows-computers-may-be-infected-by-advanced-nsa-backdoor/

http://blog.binaryedge.io/2017/04/21/doublepulsar

Analyse technique pour les experts: je suis sûr que @Boule75 pourra nous expliquer tout ça 

https://countercept.com/our-thinking/analyzing-the-doublepulsar-kernel-dll-injection-technique/

 

[rogue0]

Il y a 20 heures, rogue0 a dit :

Malgré mon scepticisme, il y a une première confirmation indépendante de ces tentatives de hacking / influence sur les élections présidentielles françaises.

Trend Micro va publier (demain) un rapport détaillant une campagne de phishing de type Fancy Bear alias APT28 alias Pawn Storm, sur l'infrastructure IT du parti de E. Macron (en cours depuis au moins 2 semaines).
Oui, c'est le même type que le hack du DNC US, le comité d'enquête de MH17, le parti de Merkel, l'agence anti dopage, etc.

Voilà le rapport de Trend Micro (société japonaise de cyber sécurité pour rappel) sur Pawn Storm / Fancy Bear / APT28 sur leurs activités détectées depuis 2004, et devenus célèbres depuis le hack du DNC

https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/espionage-cyber-propaganda-two-years-of-pawn-storm

https://documents.trendmicro.com/assets/wp/wp-two-years-of-pawn-storm.pdf

A éplucher...

 

[Boule75]

Il y a 1 heure, rogue0 a dit :

Analyse technique pour les experts: je suis sûr que @Boule75 pourra nous expliquer tout ça 

C'est me faire beaucoup d'honneur, beaucoup trop.

Alors : ça concerne Windows manifestement...

(suivant !)

[rogue0]

Il y a 5 heures, Boule75 a dit :

C'est me faire beaucoup d'honneur, beaucoup trop.

Alors : ça concerne Windows manifestement...

(suivant !)

Rohhhh,  il doit bien avoir sur des forumeurs fluent en cyber, non ? ... (et ayant le droit d'en parler ).  Sinon c'est que je parle dans le vide

Un chtit @g4lly, @zx, @LeCassandre, @Marcus ? 

@Rob1, je suis tombé sur un premier indice de lien Stuxnet-NSA. 

Un des outils fuité contient un composant quasi identique à un module de stuxnet. (et daté d'avant sa découverte publique). 

Ce n'est pas une preuve formelle, juste les auteurs de Stuxnet et le Équation Group ont partagé leur travail (volontairement ou pas)... Mais j'ai peu de doutes à ce sujet. 

Donc stuxnet ne serait pas uniquement israélien. 

http://securityaffairs.co/wordpress/58098/cyber-warfare-2/shadow-brokers-link-stuxnet.html

 

 

[zx]

je manque un peu de temps en ce moment et c'est le genre de truc qui est très chronophage

le problème est que le stuxnet risque de faire pas mal de petits si il a été isolé, chacun le récupérant pour en faire une version dédié à ses besoins en modifiant la charge utile.

Modifié le 28 avril 2017 par zx

[zx]

concernant l'injection de dll ce sont des techniques courantes de hooking qui permet a des rootkit, virus,malware,keylogger,trojans, pour se cacher derrière un autre code, ce qui rend difficile leur nettoyage et leur détection, 

https://en.wikipedia.org/wiki/DLL_injection

pour résumer Doublepulsar est la mise en place de "backdoor" pour permettre la mise en place d'autre outils espion dédié. d'ou le terme de charge utile réservé à cet effet. Son très lointain cousin est metasploit (https://fr.wikipedia.org/wiki/Metasploit). utiliser dans le cadre du pen testing. aussi bien utiliser par les attaquants que par les defenseurs.

hen the Trojan is executed, it creates the following file: 
Doublepulsar-1.3.1.exe 
https://www.symantec.com/security_response/writeup.jsp?docid=2017-042122-0603-99&tabid=2

The Trojan opens a back door on the compromised computer and connects to a remote location. 
The Trojan may connect to preconfigured IP addresses and ports. 
The Trojan communicates with the attacker using one or more of the following protocols: RDP/SMB

http://www.20minutes.fr/high-tech/2056499-20170425-etats-unis-doublepulsar-logiciel-espion-nsa-installe-pres-100000-ordinateurs

Les dll non signés sont particulièrement vulnérable, si ils sont signés, on peut détecter l'infection, sinon il faut rechercher l'empreinte spécifique de doublepulsar

https://www.malekal.com/injection-de-code-pedll-injection-et-dropper/

La revue MISC parlent souvent des diverses technique d'intrusion et de securité

http://www.miscmag.com/

Pour tester les malware et autre joyeuseté, il vaut mieux faire cela en isolement dans une vm (virtualbox/vmware), ce qui permet d'éviter la contagion à sa machine,  et l'elimination de la vm, après la fin des tests, ou utiliser metasploit qui va lancer les conditions d'attaque de doublepulsar sur le système qu'on choisit d'émuler (seven,nt,window 10,etc..), c'est ce qu'ils ont du faire pour observer le malware.

metasploit & attaque des trojans  eternalblue &  doublepulsar

 

Modifié le 29 avril 2017 par zx

[zx]

Révélation

 

docu sur Stuxnet

Modifié le 28 avril 2017 par zx

[Boule75]

Perturbation apparemment sélective du routage du trafic d'institutions financières occidentales par déclaration intempestive de la "propriété" de leurs blocs d'adresses au niveau des peering, les points de contacts entre gros opérateurs de transport des données.

Pour faire plus court : l'opérateur russe Rosneft a subitement déclaré (techniquement) que les adresses IP publiques utilisées par Visa, Mastercard, HSBC et d'autres lui appartenaient et devaient être routées par chez lui, pendant qques minutes au moins.

https://arstechnica.com/security/2017/04/russian-controlled-telecom-hijacks-financial-services-internet-traffic/

 

Sympa, non ?

Modifié le 4 mai 2017 par Boule75

[zx]

il me semblait qu'ils avaient coupé les flux visa/mastercard avec la russie a cause de la crise en Ukraine.

Modifié le 4 mai 2017 par zx

[Boule75]

il y a 14 minutes, zx a dit :

il me semblait qu'ils avaient coupé les flux visa/mastercard avec la russie a cause de la crise en Ukraine.

Peuvent-ils seulement les couper au niveau du routage ? Il faudrait contrôler tous les points d'interconnexion d'Internet avec les réseaux russes et interdire BGP (ou ses concurrents s'il en a), pour router en bloc les adresses russes vers la Russie et interdire au Russes toute altération des plages d'adresses qu'ils affirment couvrir.

 

Su ce, cet épisode est étonnant :

• très court, son utilité, son rendement pratique immédiat pour les russes (s'ils sont bien volontairement à l'origine du phénomène) semble douteux. Ils ont détourné par chez eux du trafic chiffré, pendant 7mn. Qu'ont-ils pu en faire ? Identifier quelle adresse trafiquait avec quelle autre.
  Le jeu en aurait-il valu la chandelle ?
• on peut penser à la démonstration d'une capacité de nuisance, presqu'une menace. Mais y aurait-il un sens à révéler cette capacité, par ailleurs certainement pas surprenante pour les spécialistes de ces interconnexions ?
• si certains, pas nécessairement russes, voulaient pointer la vulnérabilité des protocoles de routage à d'éventuelles manipulations, c'est assez réussi.
  Si quelqu'un prône un durcissement des règles de gestion, ça pourrait avoir du sens.

[zx]

normalement les chemin de routage sont surveillés et authentifier, le temps de transit aussi, les données cryptés au départ et décrypté à l'arrivé par les boites à clé. donc ils ont du arrêter le flux quasiment instantanément suite à la détection des anomalies réseaux de la supervision.

en 7 minutes ils ont du comprendre qu'ils avaient tout interrompu. ils ont du essayer un truc, mais ca s'est pas passé comme prévu, en tout cas visa va cogner. mais ils peuvent collecter des ip, pour une attaque et créer des pertubations. mais c'est un jeu ou les russes pourraient s'en mordre les doigts en retour.

Ca fait penser à la bonne vieille attaque du man in the middle entre alice & bob

La conséquence, c'est que les experts réseaux et sécu vont réfléchir à une meilleure authentication des services et des permissions

intéressant article

 

Modifié le 4 mai 2017 par zx

[zx]

Je ne savais pas si je devais mettre ca sur la guerre de l'information ou ici, mais vu que c'est un piratage

Mise en garde contre la diffusion de données après le piratage d'En Marche!

http://www.lefigaro.fr/flash-actu/2017/05/06/97001-20170506FILWWW00049-mise-en-garde-contre-la-diffusion-de-donnees-apres-le-piratage-d-en-marche.php

ils ont visiblement sous estimé ce danger,  j'ai toujours du mal a comprendre pourquoi leur site publique permet d'accéder à leur serveur d'usage interne, pour être sur il ne faut pas que les deux domaine soit accessible à un flux entrant, le premier reçoit et depose dans un dossier ou utilise un flux sortant,  le second vient le chercher et ne permet pas au front d'accéder directement au back. c'est un principe simple de protection. il est facile de détecter les tentatives d'intrusion sur le serveur interne (back office), ensuite le back office solicite la BD, normalement aujourd'hui on travaille en architecture 3 tiers pour éviter ca.  le Front/le Middle/la Base de données chaque tiers est une machine différente avec un niveau d'authentification et de permissions. meme si il arrive au front, il ne doit pas pouvoir aller plus loin.

il du mettre tout en un. ca fait mal, car tout devient accessible une fois qu'on est entrée.

 

https://fr.wikipedia.org/wiki/Architecture_trois_tiers

voila un exemple basique

il faut éviter de nos jours ce genre d'architecture pour une utilisation web, une fois qu'on est dans le serveur on accède directement à la BD via les resources disponible, voir des dossiers bureautique en visibilité publique.

Modifié le 6 mai 2017 par zx

[g4lly]

23 hours ago, zx said:

Je ne savais pas si je devais mettre ca sur la guerre de l'information ou ici, mais vu que c'est un piratage

Mise en garde contre la diffusion de données après le piratage d'En Marche!

Disperser sur plusieurs machine ne change pas forcément grand chose au smilblick ... Quoiqu'il en soit il faut que les machine front récupere des infos des machines back pour produire les pages ... Si tu arrives a élever tes droit sur la machin front ... alors tu peux lui demander de récupérer pour toi des infos dans la machine back et ainsi de suite.

Le probleme c'est justement de ne rien mettre de critique dans les base de donnée destinée a alimenter dynamiquement le front. En gros on y colle le minimum pour publier les pages, et on aggrège autant que possible pour que les donnée ne soit pas très fines.

Si on veut accéder dynamiquement a des donnée sensible ... comme de la messagerie ... il faut blinder un server qui ne fasse que ça ... et qui ne soit accessible que par des passerelles/proxy pour éviter les attaques directes.

On connaît la nature des données sensibles "volées"? De la messagerie? des infos d'organisation de campagne, calendrier, programme, tache, annuaire?

Si c'est ça a mon sens c'est pas le site internet qui a été piraté mais les machines des bureau de campagne d'EM!

[Boule75]

il y a 5 minutes, g4lly a dit :

On connaît la nature des données sensibles "volées"? De la messagerie? des infos d'organisation de campagne, calendrier, programme, tache, annuaire?

Si c'est ça a mon sens c'est pas le site internet qui a été piraté mais les machines des bureau de campagne d'EM!

J'ai lu qu'il s'agissait de messageries, donc courriels, pièces jointes, etc...

[zx]

l'attaque serait de type intérieure, virus troyant (un gars aurait cliquer sur fifille.zip ou gagnepleindesous.exe en PJ) ? complice ?

il semblait relativement bien équipé.

MacronLeaks : les hackers ont finalement trouvé la faille

http://www.lepoint.fr/politique/macronleaks-les-hackers-ont-finalement-trouve-la-faille-06-05-2017-2125308_20.php?M_BT=166785755608&m_i=ehGeL5YuqLTbQRynXaGktJN1CcalXu2Nq1O4rZTZUWuVr1f1mrl06h60B7Al_etWUluaXouV8xgG3AtPio8NKfWqWceeeg#xtor=EPR-6-[Newsletter-Mi-journee]-20170507

 

Modifié le 7 mai 2017 par zx

[zx]

En gros, d'après ce que j'ai compris à la radio, Ils se sont fait avoir par l'hameçonnage,  un mail au nom d'un responsable d'En Marche a été envoyé aux employés, demandant de charger des fichiers en PJ et de cliquer sur un lien pour s'authentifier pour contrer les attaques, le lien à enregistrer le nom utilisateur et le mot de passe, et ils se sont fait avoir. mais cela fait plusieurs semaines qu'ils avaient des attaques.

La question que je me pose, pour demander ca, il a du falloir l'écrire en français pour éviter les soupçons.

 

Modifié le 7 mai 2017 par zx

[rogue0]

Le 06/05/2017 à 13:03, zx a dit :

Je ne savais pas si je devais mettre ca sur la guerre de l'information ou ici, mais vu que c'est un piratage

Mise en garde contre la diffusion de données après le piratage d'En Marche!

http://www.lefigaro.fr/flash-actu/2017/05/06/97001-20170506FILWWW00049-mise-en-garde-contre-la-diffusion-de-donnees-apres-le-piratage-d-en-marche.php

ils ont visiblement sous estimé ce danger,  j'ai toujours du mal a comprendre pourquoi leur site publique permet d'accéder à leur serveur d'usage interne, pour être sur il ne faut pas que les deux domaine soit accessible à un flux entrant, le premier reçoit et depose dans un dossier ou utilise un flux sortant,  le second vient le chercher et ne permet pas au front d'accéder directement au back. c'est un principe simple de protection.

@zx

Quelle est ta source pour affirmer le défaut d'architecture chez l'IT du parti visé ? 

De ce que j'ai vu de la bouse "fuitée", une bonne partie des messages légitimes concerne les messageries perso du staff (pas mal de gmail).

Et là, la sécurisation relève de google... Qui n'est pas trop mauvais (pas depuis le double choc 2011 et 2014), mais qui est aussi une cible familière des hackers étatiques, avec des techniques de hack et phishing bien vicieuses (voire démoniaques), qui trompent même des pros en sécu IT.

Cf le rapport de.trend micro du mois dernier (! Edit tout juste 2 semaines !!!  Ce rapport :  )

ayant confirmé independamment les phishing contre Macron. Ca fait froid dans le dos, notamment le tabnabbing...

Modifié le 7 mai 2017 par rogue0