Cyberwarfare

[Rob1]

Ce qui me gêne avec cette news c'est que d'un côté on parle d'une puce "sensible", de l'autre on dit qu'elle est utilisée dans plein d'applications (centrales nucléaires etc.) et fabriquée en Chine, ce qui est un peu imcompatible.

Ensuite, j'ai du mal à voir comment un éventuel pirate "au courant" aurait accès à la backdoor... si elle n'est pas reliée à l'extérieure, il ne peut rien faire, non ?

Bref ca sent plus l'astuce que s'est gardé le constructeur "au cas où" que la 5ème colonne chinoise.

[g4lly]

Bref ca sent plus l'astuce que s'est gardé le constructeur "au cas où" que la 5ème colonne chinoise.

Un missile équipé d'une puce backdoorisé tombe dans le nul part. Quelqu'un de bien informé le récupére ... utilise la backdoor, et lit les info de la puce sur la logique d'attaque du missile. Il les utilise pour programmer ses ECM ... et ton missile ne sert plus a grand chose. T'as plus qu'a reprogrammer ton FPGA avec une autre logique d'attaque si tu peux.

La bonne nouvelle c'est qu'on commence a avoir des outils pour analyser de maniere exhaustive et a posteriori la logique des puce, et plus ou moins savoir si elle ne cache pas des fonctions fantome.

[alexandreVBCI]

"Flame" met le feu au proche-orient (noté le jeu de mot !)

Un virus qui "redéfinit la notion de 'cyber-guerre' et 'cyber-espionnage'", "l'arme virtuelle la plus sophistiquée jamais lancée"... La description du logiciel pirate Flame par le groupe d'experts en sécurité informatique Kapersky, qui a annoncé l'avoir découvert lundi, a de quoi faire froid dans le dos.

Kapersky estime que 5.000 ordinateurs au maximum ont été infectés à travers le monde. Le groupe de sécurité informatique Symantec juge de sont côté que "les machines infectées vont probablement se compter en dizaines, peut-être en centaines, mais très probablement pas au-delà". Le virus a déjà infecté quelques centaines d'ordinateurs au Proche-Orient, essentiellement en Iran, mais aussi dans la zone israélo-palestinienne, au Soudan, en Syrie, en Lybie ou encore au Liban. Quelques ordinateurs ont aussi été infestés - mais dans une moindre mesure - dans d'autres zones, comme en Russie, en Autriche, à Hong-Kong, aux Emirats arabes unis et aux Etats-Unis.

Selon Kapersky, l'attaque informatique est extrêmement ciblée et vise essentiellement des entreprises et des structures académiques. En Iran, le ministère du Pétrole et le principal terminal pétrolier du pays ont notamment été visés.

Qui est derrière ce virus ?

Selon les spécialistes, Flame ne serait pas l'oeuvre de hackers ou d'activistes. "Vu le niveau de sophistication, il est clair que derrière ce ne sont pas des cybercriminels de base ni même des activistes, c'est clairement sponsorisé par quelqu'un qui a des moyens. Est-ce que c'est un Etat, est-ce que c'est du militaire, du paramilitaire? C'est très difficile à dire", estime Laurent Heslault, le directeur des stratégies de sécurité de Symantec.

Si sa découverte a été annoncée lundi, sa création pourrait remonter à bien plus loin : des traces de son installations remontant à 5 ans ont en effet été retrouvées. "La chose la plus effrayante pour moi est que si c'est ce dont ils étaient capables il y a cinq ans, je peine à imaginer ce qu'ils conçoivent maintenant", s'inquiète désormais Mohan Koo, directeur de la société de sécurité informatique britannique Dtex Systems.

Flame a-t-il un lien avec Stuxnet ?

En 2010, Stuxnet, qui visait à retarder le programme nucléaire iranien en attaquant les centrifugeuses enrichissant l'uranium, avait été découvert. Selon des médias, il aurait pu être développé grâce à la collaboration de services de renseignement israéliens et américains. Néanmoins, ses auteurs n'ont jamais été identifiés. Selon Kapersky, "Flame n'a pas de grande ressemblance" avec Stuxnet. Il est simplement beaucoup plus puissant et développé.

http://www.europe1.fr/International/Flame-met-le-feu-au-Proche-Orient-1104891/

[alexandreVBCI]

On en sait un peu plus sur Stuxnet et l'opération "Olympic Games" :

http://www.opex360.com/2012/06/02/cyberguerre-operation-olympic-games-contre-le-programme-nucleaire-iranien/

[alexandreVBCI]

L'éditeur Symantec rapporte que le malware Flame, qui agite la Toile et les experts en sécurité depuis deux semaines, aurait initié une procédure d'autodestruction visant à le faire disparaître des machines contaminées. Il pourrait s'agir d'une méthode destinée à effacer les traces du malware, pour empêcher une étude approfondie.

Symantec a détecté ce comportement, baptisé « Urgent Suicide », sur ses machines-tests destinées à étudier Flame. Des serveurs distants visant à commander et contrôler le malware ont envoyé des requêtes à ce dernier pour lancer une procédure d'autodestruction. Cette dernière est déclenchée par un fichier nommé browse32.ocx qui commence par réécrire aléatoirement l'ensemble des fichiers utilisés par Flame, avant de les supprimer de la machine.

Les experts en sécurité ont déterminé que la création du fichier browse32.ocx datait du 9 mai dernier. Or, un autre fichier contenu dans le malware – qui pèse près de 20 Mo et compte 160 éléments – était visiblement déjà destiné à une telle manœuvre. Symantec est pour l'instant indécis concernant les modifications effectuées à distance sur le système d'autodestruction du virus.

Reste que cette fonction « suicide » semble révélatrice de la volonté des concepteurs de Flame à garder des informations secrètes concernant le fonctionnement et l'origine du malware. Cette procédure intervient d'ailleurs quelques jours seulement après la mise en ligne par Microsoft d'un correctif visant à empêcher Flame d'utiliser une fausse signature pour s'installer sur un PC. De leur côté, les chercheurs de Kaspersky soulignent que la démarche du fichier browse32.ocx ne concerne que Flame et qu'elle ne risque pas d'endommager le reste des éléments contenus sur un ordinateur.

http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/malware-logiciel-malveillant/actualite-495684-malware-flame-train-suicider.html

[Rob1]

Les petits malins...  O0

Un missile équipé d'une puce backdoorisé tombe dans le nul part. Quelqu'un de bien informé le récupére ... utilise la backdoor, et lit les info de la puce sur la logique d'attaque du missile. Il les utilise pour programmer ses ECM ... et ton missile ne sert plus a grand chose. T'as plus qu'a reprogrammer ton FPGA avec une autre logique d'attaque si tu peux.

Effectivement, mais

1) ca fait beaucoup de "si"

2) les découvreurs disent seulement que la backdoor permet de neutraliser ou reprogrammer la puce, mais rien sur une lecture.

[Mani]

L’Inde prête à se doter de cyber-armes

echnologie - Après la cyberdéfense, plusieurs Etats, dont l’Inde, s’apprêteraient à présent à développer un arsenal de cyber-armes. La faute à Stuxnet et Flame, des programmes présentés comme étant des armes mises au point par des pays.

Stuxnet, Flame… ces programmes malveillants pourraient avoir été développés par des Etats (les Etats-Unis et Israël sont cités) afin de lancer des attaques informatiques. Ces virus feraient ainsi office de cyber-armes.

Les nations envisageraient-elles de se doter d’un arsenal de cyberguerre ? Du côté de l’Inde, des réflexions en ce sens sont déjà très avancées selon un article du Times of India – cité par The Register.

Ainsi le gouvernement indien envisagerait d’accroître ses capacités de cyberdéfense afin de protéger ses infrastructures critiques de programmes tels que Stuxnet. Mais l’Inde souhaiterait également pouvoir, en cas d’attaques, être en mesure de répliquer, et pour cela être dotée de capacités offensives.

Le conseil national de sécurité du pays, présidé par le premier ministre Manmohan Singh, finaliserait ainsi un projet en ce sens. Un projet confié aux services secrets et à une agence de recherche nationale, la NTRO (National Technical Research Organisation).

Faut dire que l'Inde subit de nombreuses attaques venant de Chine, du Pakistan, ...

[alexandreVBCI]

Création d’un centre européen de lutte contre la cybercriminalité.

(BRUXELLES2) Les attaques menées contre des structures étatiques (Estonie en 2007, Georgie en 2008, France fin 2010, etc.) ont fait prendre conscience aux responsables européens de ce qui était jusqu’ici l’apanage des spécialistes de la sécurité. Plusieurs Etats-Membres ont ainsi adopté ces dernières années des stratégies nationales spécifiques dans ce domaine (Royaume-Uni en juin 2009, France en février 2011, Luxembourg en juillet 2011, Allemagne en février 2012…). Le séminaire organisé par l’IHEDN, l’Institut des Hautes Etudes de Défense Nationale (français), jeudi (28 juin) à Bruxelles, a eu le mérite de faire le point sur ce sujet, insistant sur la nécessité d’adopter une « cyberstratégie européenne ».

La suite de l'article : http://www.bruxelles2.eu/marches-de-defense/cyber/face-aux-menaces-de-la-cybersecurite-une-strategie-europeenne.html

[g4lly]

La France va avoir son antivirus presque libre et ouvert ...

http://www.lemagit.fr/article/france-antivirus-esiea-esiea/11423/1/la-france-aura-bien-son-antivirus-presque-libre-ouvert/

Fin septembre dernier, l’Ecole Supérieure d’Informatique, Électronique, et Automatique (Esiea) levait le voile sur un projet de «démonstrateur antivirus français et international» (Davfi), dans le cadre du Grand Emprunt, et en association avec Qosmos, Nov’IT et DCNS. Le projet est aujourd’hui officiellement lancé et il a rallié à lui Teclib’, fournisseur de solutions d’inventaire et de gestion de parc.

Dans un communiqué, Éric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles de l’Esiea, estime que «les modèles technologiques de détection des antivirus actuels ont montré leurs limites et ne répondent plus aujourd’hui aux menaces.» Selon lui, Davfi serait plus prometteur : son «approche technique innovante le rendra capable de détecter les variantes inconnues de codes identifiés et de prévenir l’action de codes inconnus. Basé sur une décennie de travaux de recherche, Davfi assure d’ores et déjà une rupture technologique dans la lutte antivirale.»

Fin septembre dernier, lors d’un entretien téléphonique, Éric Filiol avait expliqué à la rédaction que Davfi doit notamment embarquer «une première couche supprimant toute fonctionnalité active d’un document bureautique [comme les macros, par exemple, NDLR]» afin de protéger l’utilisateur contre le code malveillant que de telles fonctionnalités sont susceptibles de dissimuler. Mais Davfi devrait également profiter de technologies propres à la sécurité des réseaux en s’appuyant sur les solutions de Qosmos, qui développe un moteur d’analyse de paquets en profondeur (DPI), et des sondes matérielles passives.  

Dans son communiqué, le consortium Davfi revendique un futur «antivirus à performances élevées», proposé en plusieurs versions pour l’adapter à différents scénarios d’utilisation et de déploiement. Davfi devra en outre être audité par l’Anssi pour «être intégré à une offre complète à destination des administrations, des Opérateurs d’Importance Vitale, des entreprises et des particuliers.»

Mais dès l’évocation du projet, l’an passé, certains s’étaient inquiétés du fait que cet antivirus national puisse faire silencieusement et discrètement preuve de bienveillance à l’égard des futurs logiciels espions dont l’Etat souhaite se doter dans le cadre de la Loppsi 2. Eric Filiol s’était alors montré très ferme sur le sujet : «si on me le demande, je dirai non.» Parce que Davfi doit protéger de tout type de logiciel malveillant mais aussi parce que, selon lui, «la Loppsi 2 a ouverte une boîte de Pandore. N’importe qui peut décoder et détourner un code malveillant, fusse-t-il construit par un Etat.» Les épisodes Stuxnet et Flame pourraient bien lui avoir donné raison.

Insistant sur ce sujet et ses implications, Jérôme Notin, président de Nov’IT, souligne dans le communiqué du consortium Davfi que «la confiance que l’on pourra accorder [à Davfi] en tant qu’outil de sécurité sera notamment garantie par l’ouverture du code.» Et celle-ci devrait être total sur le coeur de l’outil : «le code sera libre et ouvert,» explique le communiqué, avant de préciser «hors quelques modules spécifiques.» Les esprits chagrins se contenteront d’attendre de voir en rappelant que le diable se cache dans les détails.

http://www.cnetfrance.fr/news/davfi-l-europe-veut-un-antivirus-de-confiance-39773829.htm

Un groupe de développeurs va tenter de concevoir un antivirus performant et ouvert afin d'assurer la "souveraineté numérique pour la France et l'Europe".

DAVFI : l'Europe veut un antivirus de confiance

Un programme de recherche et développement nommé DAVFI pour "Démonstrateurs d'AntiVirus Français et Internationaux" a pour but la création d'un antivirus réalisé pour la France et l'Europe. Particularité : il sera open source et destiné aussi bien aux entreprises, à l'administration ou aux particuliers dit le site officiel mis en ligne il y a peu.

Nov'IT (solutions de sécurité pour les entreprises) est le chef de file du projet financé par le fond national pour la société numérique. Il sera accompagné de l'école d'ingénieurs ESIEA, Qosmos (éditeur de solutions réseau), Teclib (technologies libres pour l'entreprise) et DCNS Research (défense navale).

Quel est le problème avec les antivirus existants ?

Ils ne sont pas "ouverts", on ne peut pas vérifier le code qui sécurise les machines ni l'adapter à des besoins spécifiques. De plus DAVFI met en avant la souveraineté numérique pour la France et l'Europe. En d'autres mots, on n'a pas confiance dans les antivirus existants.

En lançant la conception d'un antivirus français, les cinq acteurs souhaitent aussi changer l'approche technique en créant une rupture technologique avec les antivirus classiques qui, selon eux, ne répondent plus aux menaces aujourd'hui.

En attendant la sortie de ce nouvel outil, on continuera à faire confiance dans nos antivirus habituels, qu'ils soient gratuits, payants ou intégré au système comme le prévoit Microsoft dans son futur Windows 8. Les éditeurs concurrents ont donc fort à faire en attendant 2014, date de prévue sortie de l'antivirus "made in France".

[Shorr kan]

Intéressante démarche.

Mais honnêtement que peut faire un gouvernement pour contrer/réduire efficacement la menaces des piratages informatiques de toutes origines, surtout les plus dangereux venant des mafias, des multinationales qui espionnent la concurrence, et les services secrets des états ? Sans avoir à mobiliser 15% du PIB s'entent.

[Rob1]

Fin septembre dernier, lors d’un entretien téléphonique, Éric Filiol avait expliqué à la rédaction que Davfi doit notamment embarquer «une première couche supprimant toute fonctionnalité active d’un document bureautique [comme les macros, par exemple, NDLR]» afin de protéger l’utilisateur contre le code malveillant que de telles fonctionnalités sont susceptibles de dissimuler.

Je caricature là, mais sérieusement, avec un tel argument sans plus de justification, on arrive à la conclusion qu'il serait vachement plus sûr d'empêcher tout programme de s'exécuter.

[g4lly]

Je caricature là, mais sérieusement, avec un tel argument sans plus de justification, on arrive à la conclusion qu'il serait vachement plus sûr d'empêcher tout programme de s'exécuter.

Le problème c'est qu'en général l'utilisateur exécute des "programmes" a son insu ... l'autre probleme c'est que l'utilisateur supporte pas qu'on le bride ... Il faut donc le laisser faire n'importe quoi mais en toute sécurité :lol:

[zx]

L'Élysée visé par deux importantes attaques informatiques

Le Point.fr - Publié le 11/07/2012 à 17:29 - Modifié le 11/07/2012 à 18:37

Après la cyberattaque qui avait ciblé Bercy l'année dernière, des pirates se sont concentrés sur le palais présidentiel.

http://www.lepoint.fr/politique/l-elysee-objet-de-deux-importantes-attaques-informatiques-11-07-2012-1484274_20.php

c'est vrai que les messages sont les principale failles pour installer un cheval de troie ou un rootkit.

[DAR]

Cyberdéfense : les sénateurs ciblent la Chine

Le rapport Bockel préconise le remplacement des infrastructures vitales pour en bannir les équipements chinois.

http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/cyberdefense-les-senateurs-ciblent-la-chine-19-07-2012-1487160_506.php

une cyberattaque comme celle qu'a subie Areva en octobre 2011 est un "pillage massif", selon Jean-Marie Bockel, et fait partie des mauvaises surprises qui ne doivent pas se reproduire.

Je ne me souviens plus de cette histoire. L'attaque venait d'où ?

[alpacks]

Cyberdéfense : les sénateurs ciblent la Chine

Le rapport Bockel préconise le remplacement des infrastructures vitales pour en bannir les équipements chinois.

http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/cyberdefense-les-senateurs-ciblent-la-chine-19-07-2012-1487160_506.php

Je ne me souviens plus de cette histoire. L'attaque venait d'où ?

  Au hasard des mangeurs de riz qui nous ont acheté des réacteurs y a pas si "longtemps"  ?  ;)

  D'autant que chez AREVA il y a "a boire et a manger"  (beaucoup, beaucoup de riz !)  vu qu'ils sont co-concepteurs des réacteurs de notre FOST et SNA avec DCNS bien qu'après c'est cloisonné dans une filiale pour les secrets défense ect

  Mais pas forcément au niveau informatique générale dans l'entreprise enfin ça après, je n'en sais trop rien

Mais bon ça peut aussi être une attaque "russe", mais y a quand même beaucoup + de chance qu'elle soit chinoise

[zx]

La Chine à  bon dos, les attaques de ce genre peuvent venir de n'importe quel pays dont la législation est laxistes dans le domaine,

ce qui permet beaucoup de chose sans qu'un recours soit possible. un pirate en France se ferait rapidement mettre au frais si on

décide de le coincer.

Cyberdéfense : la France capable de lancer des attaques informatiques malveillantes

http://www.latribune.fr/entreprises-finance/industrie/aeronautique-defense/20120719trib000709886/cyberdefense-la-france-capable-de-lancer-des-attaques-informatiques-malveillantes.html

[hadriel]

D'ailleurs c'est dommage que le sénateur n'ait pas pu fouiller du coté de la DGSE (si on en croit la liste des personne auditionnées et des lieux visités).

[alexandreVBCI]

Google Analytics est un service qui permet aux Webmasters des sites Internet d'avoir les données statistiques de fréquentation de leurs sites. Il permet, entre autres, de fournir les mots-clés qui ont amené l'internaute sur le site, son adresse Ip et les données de géolocalisation, le fournisseur d'accès à partir duquel il se connecte, le système d'exploitation et le navigateur utilisé. Lorsque l'internaute s'est connecté préalablement à l'un des services Google que vous pouvez utiliser gratuitement comme YouTube, Gmail, ..., Google dispose de surcroît d'informations plus précises sur l'identité de l'internaute.

Dans ce contexte, il y a vraiment de quoi s'interroger sur l'utilisation de ce service - et aussi de Cedexis Radar - par le ministère de la Défense français. Google - et accessoirement l'Etat fédéral américain - dispose ainsi de toutes les données de trafic relatif au site de ce ministère ô combien stratégique pour la France.

La suite :

http://www.agoravox.fr/actualites/technologies/article/quand-la-defense-francaise-fournit-120265

[g4lly]

Dans Firefox vous pouvez utiliser différent réglage et plugin qui interdise le téléchargement d'image ou module externe au site que vous visitez

- Noscript qui bloque les javascript et autre plugin flash java, ainsi que les XSS indésirable et/ou vous demande ce que vous voulez ou pas activer https://addons.mozilla.org/fr/firefox/addon/noscript/

- Block site permet de carrement bloquer des domaine entier https://addons.mozilla.org/fr/firefox/addon/blocksite/

- Cookie safe pour controler les cookie https://addons.mozilla.org/en-US/firefox/addon/cookiesafe-ff-4-compatible/

- Ad block, concu pour bloquer les pub a la base, mais qui évite aussi de se faire tracer pas des site externe au site visité, vu que l''affichage des pub est gérer par un régie externe qui pour rendre des compte a ses client trace tous les affichage ou, quand, comment etc. https://addons.mozilla.org/en-US/firefox/addon/adblock-plus/

[French Kiss]

Il y a aussi l'add-on ghostery pour firefox, qui permet de bloquer les traceurs en tout genre, comme google analytics par ex.

[Ciders]

C'est par Ghostery que je me suis rendu compte du nombre ahurissant de traqueurs et autres logiciels à visée publicitaire qui traînent sur Internet.

Actuellement, mon Ghostery bloque 1 043 mouchards (dont 459 "Advertising", 228 "Analytics" ou encore 223 "Trackers")...

[Drakene]

SHUT UP AND TAKE MY MONEY !!!

Il faut signer ou ?

Euh par contre il y a une conspiration mondiale contre Ghostery ou quoi ?

Impossible de le télécharger  :O

Ça fait 30 min que toutes mes tentatives se soldent lamentablement par un implacable 404 - Not Found !

C'est sûr maintenant. Une force obscure m’empêchent de télécharger ce module...

Help  :'(

[g4lly]

Euh par contre il y a une conspiration mondiale contre Ghostery ou quoi ?

Impossible de le télécharger  :O

Ça fait 30 min que toutes mes tentatives se soldent lamentablement par un implacable 404 - Not Found !

C'est sûr maintenant. Une force obscure m’empêchent de télécharger ce module...

Help  :'(

Par ici https://addons.mozilla.org/fr/firefox/addon/ghostery/

Ou au pire par là http://ftp.mozilla.org/pub/mozilla.org/addons/9609/

[Drakene]

Oooookaaay...

C'est pas comme si j'avais essayé des milliers de fois ce lien sans que ça marche.

Et maintenant ça marche  

Je m'incline devant l'impitoyable loi de Murphy   :'(

Et merci du coup pour le lien (sans doute plus frai que tout ceux déjà essayés)  ;)

[alexandreVBCI]

Les courriels du président du Conseil européen, Herman Van Rompuy, et de dix autres officiels ont été piratés en juillet 2011, rapportent l'agence Bloomberg et la lettre européenne anglophone EUObserver.

Le cas a été exposé récemment par des officiels américains et des experts de la sécurité informatique enquêtant sur un groupe de hackers connu sous deux noms, Comment et Byzantine Candor. Ce groupe s'est fait remarquer lors d'attaques précédentes aux Etats-Unis et au Canada.

Au total, dix-sept boîtes e-mails auraient été piratées pendant sept jours. Outre le président du Conseil, trois de ses proches collaborateurs étaient visés ainsi que le coordinateur de la politique antiterroriste, Gilles de Kerchove, et de hauts fonctionnaires spécialisés dans le commerce et le développement.

Les experts qui ont révélé l'affaire évoquent des liens possibles avec le gouvernement chinois. Le Conseil européen tente de minimiser la portée des informations obtenues, affirmant que les plus sensibles sont stockées dans un système séparé, non connecté au Web.

Ce n'est pas la première fois que les données d'officiels européens sont piratées. A la fin de 2011, certains avaient vu leurs courriels, mots de passe et numéros de cartes de crédit révélés. Des membres du Parlement, de la Commission, du Service d'action extérieure et d'Eurojust (le parquet européen de La Haye) avaient été visés.

Les institutions concernées affirment avoir renforcé la sécurité de leurs réseaux et la Commission a lancé un vaste plan visant à endiguer la cyber-criminalité.