Aller au contenu
AIR-DEFENSE.NET

Cyberwarfare


wielingen1991
 Share

Messages recommandés

https://www.lesnumeriques.com/telephone-portable/refuser-le-deverrouillage-de-son-smartphone-a-la-police-une-infraction-dans-certains-cas-n155755.html

Quote

Refuser le déverrouillage de son smartphone à la police, une infraction dans certains cas

La police peut-elle exiger le code de déverrouillage de votre mobile ? Un arrêt rendu le 13 octobre 2020 par la Cour de cassation estime que le refus de le fournir peut dans certains cas constituer une infraction.

Vous avez le droit de garder le silence, mais votre smartphone pourrait bien parler à votre place. D'après un nouvel arrêt rendu le 13 octobre 2020 par la chambre criminelle de la Cour de cassation de Paris, en charge du droit pénal, le refus de communiquer le code de déverrouillage de son téléphone peut constituer une infraction, disposition prévue par l'article 434-15-2 du Code pénal.

Ce nouvel arrêt succède à celui de la cour d’appel de Paris, daté du 16 avril 2019, qui avait établi que le code d’un téléphone n’était pas une convention secrète de déchiffrement. “C’est un arrêt très intéressant, estime Thierry Vallat, avocat au barreau de Paris. Il risque de faire débat parce que le seul arrêt précédent sur le sujet, intervenu l’an dernier, ne se prononçait pas sur ce qui est appelé ‘convention de chiffrement’. Là, deux points ont été précisés : qu’est-ce qu’une convention secrète de chiffrement ? Comment doit-on le demander ?”.

#Thread On reparle encore du refus de communiquer le code de déverrouillage d'un téléphone (infraction prévue par l'article 434-15-2 du code pénal). La chambre criminelle vient de rendre un arrêt très important à ce sujet.
— Matthieu Audibert (@GendAudibert) October 13, 2020

Concrètement, l’arrêt précise que le refus de fournir son code de déverrouillage à un officier de police judiciaire constitue une infraction, passible d’une peine de trois ans d'emprisonnement et de 270 000 € d'amende. Le dépositaire de l’autorité doit cependant matérialiser sa demande et avertir le mis en cause que le refus constitue une infraction. Mais attention, pas question de fournir docilement son mot de passe au premier policier croisé dans la rue. “Il faut que ce policier ait obtenu l’autorisation d’un magistrat, précise l’avocat. C’est vrai que lorsqu’on est en garde à vue et qu’on ne sait pas tout à fait comment ça se passe, la plupart des gens donnent leur code sans résistance”.

Des précisions à venir sur les téléphones concernés

Là où le doute subsiste, c’est en ce qui concerne la définition technique de ce qu’est un téléphone avec convention de chiffrement. “Le débat reste ouvert puisque l’arrêt de la Cour de cassation ne résout pas tout, comme de savoir quels téléphones sont concernés ou pas, tempère Thierry Vallat. On sait qu’un ‘téléphone d’usage courant’ [en 2019, la Cour d'appel faisait apparaître ce terme pour justifier sa décision, NDLR] ça n’existe pas et ne peut pas être utilisé comme définition pour caractériser le téléphone. Il y a une ambiguïté et pas vraiment de définition juridique”.

Une décision qui devrait pousser, dans les mois qui viennent, à définir plus précisément cette notion de chiffrement. “On comprend bien qu’un téléphone d’usage courant c’est un téléphone basique qui sert à téléphoner mais ça ne résout rien, car cela n’empêche pas qu’il puisse servir à commettre des délits”. La Cour de cassation semble en effet avoir botté en touche sur le volet technique des téléphones. En revanche, elle a précisé ce qu’est une convention de chiffrement. “C’est l’apport essentiel de cet arrêt", indique l’avocat.

Une décision a priori définitive

Y aura-t-il une nouvelle étape juridique après celle de la Cour de cassation ? “Non, c’est une décision qui est définitive puisque c’est une cassation sans renvoi, faite dans l'intérêt de la loi, explique maître Vallat. C’est le parquet qui avait fait un appel dans cet intérêt pour faire préciser les choses, et on a maintenant une décision qui peut faire jurisprudence”. Le seul recours contre cet arrêt consisterait à aller devant la Cour européenne des droits de l’homme (CEDH).

Pour l’heure, les procureurs de la République et avocats généraux vont pouvoir utiliser ce nouvel arrêt. "Et donc le conseil qu’on peut donner c’est : attention, il y a maintenant un vrai risque à ne pas vouloir donner son code", conclut l’avocat.

  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...
Il y a 5 heures, Teenytoon a dit :

Ca s'appellerait pas une déclaration de guerre juste après s'en être pris au PR verbalement ?

C'est des bots. Mêmes commentaires copiés-collés des dizaines de fois.
Et en plus avec le confinement et le couvre-feu, et le fait que les gens soient remontés comme des pendules, dur de faire des attentats.

Sérieusement il n'y a qu'à lancer une grève du kébab et on en parle plus. :laugh: 
(imaginez erdogan s'énerver à la télé parce qu'on boycotte ses kébabs) :bloblaugh:

  • Haha (+1) 3
Lien vers le commentaire
Partager sur d’autres sites

  • 3 weeks later...
Citation

Il était très important pour la DélCdG de faire autant que possible la transparence sur cette affaire. C’est la raison pour laquelle le rapport sera publié dans son intégralité, y compris les douze recommandations qu’il contient. Par contre, le rapport rédigé par l’ancien juge fédéral Niklaus Oberholzer sur mandat de la délégation, dans lequel ce dernier a traité l’ensemble des dossiers non archivés provenant de l’installation K et qui porte sur les activités susmentionnées de la société Crypto AG et des services de renseignement impliqués, ne sera lui pas publié. Ce rapport, classifié secret, contient notamment des informations qui, si elles étaient rendues publiques, pourraient nuire gravement et durablement aux intérêts du pays. Les faits pertinents pour le traitement de l’affaire sur le plan politique ont été intégrés au rapport de la DélCdG sans aller dans le détail.

Le Conseil fédéral est prié de se prononcer sur le rapport et les recommandations qu’il contient d’ici au 1er juin 2021.

Pourvu qu'ils puissent capitaliser sur cette expérience pour mieux se protéger de ce type de dysfonctionnement.

Lien vers le commentaire
Partager sur d’autres sites

https://www.zdnet.com/article/microsoft-says-three-apts-have-targeted-seven-covid-19-vaccine-makers/

Citation

The three state-sponsored hacker groups (APTs) are Russia's Strontium (Fancy Bear) and North Korea's Zinc (Lazarus Group) and Cerium.

Source : Microsoft.

On retarde la sortie des vaccins des concurrents comme on peut...

Lien vers le commentaire
Partager sur d’autres sites

  • 3 weeks later...
Le 04/10/2018 à 17:38, rogue0 a dit :

backdoor hardware (palladium, clipper) pour pouvoir tout écouter quel que soit le chiffrage.

Les nouveaux Mac à base de processeur ARM semblent avoir pris une grosse avance en performance, sur les processeurs x86 Intel utilisés depuis 14 ans chez la pomme ...

https://www.wired.com/story/apple-t2-chip-unfixable-flaw-jailbreak-mac/

Mais Apple a recyclé le design de la puce T2 (puce DRM créant une enclave sécurisée (type Palladium / Trusted Computing)) ...

Hélas pour eux, une puce similaire pour les iPhone avait déjà eu une faille de sécurité  en 2017 (utilisée pour le jailbreaking d'iPhone à l'epoque), qui casse toute la sécurité (pour un attaquant ayant un accès physique à l'appareil... pas d'attaque à distance possible)

 

Lien vers le commentaire
Partager sur d’autres sites

Avec une fiabilité assez bulletproof, et quand exceptionnellement ya un problème, un servive client très bon.

En général des drivers très stables aussi.

Mais clairement la manière avec laquelle ils se sont laissé remonter par AMD qui était vraiment à la rue il y a 7/8 ans, c'est assez dingue.

 

Lien vers le commentaire
Partager sur d’autres sites

13 hours ago, Rob1 said:

Outch...

 

Quote

FireEye, a Top Cybersecurity Firm, Says It Was Hacked by a Nation-State

The Silicon Valley company said hackers — almost certainly Russian — made off with tools that could be used to mount new attacks around the world.

WASHINGTON — For years, the cybersecurity firm FireEye has been the first call for government agencies and companies around the world who have been hacked by the most sophisticated attackers, or fear they might be.

Now it looks like the hackers — in this case, evidence points to Russia’s intelligence agencies — may be exacting their revenge.

FireEye revealed on Tuesday that its own systems were pierced by what it called “a nation with top-tier offensive capabilities.” The company said hackers used “novel techniques” to make off with its own tool kit, which could be useful in mounting new attacks around the world.

It was a stunning theft, akin to bank robbers who, having cleaned out local vaults, then turned around and stole the F.B.I.’s investigative tools. In fact, FireEye said on Tuesday, moments after the stock market closed, that it had called in the F.B.I.

The $3.5 billion company, which partly makes a living by identifying the culprits in some of the world’s boldest breaches — its clients have included Sony and Equifax — declined to say explicitly who was responsible. But its description, and the fact that the F.B.I. has turned the case over to its Russia specialists, left little doubt who the lead suspects were and that they were after what the company calls “Red Team tools.”

These are essentially digital tools that replicate the most sophisticated hacking tools in the world. FireEye uses the tools — with the permission of a client company or government agency — to look for vulnerabilities in their systems. Most of the tools are based in a digital vault that FireEye closely guards.

The F.B.I. on Tuesday confirmed that the hack was the work of a state, but it also would not say which one. Matt Gorham, assistant director of the F.B.I. Cyber Division, said, “The F.B.I. is investigating the incident and preliminary indications show an actor with a high level of sophistication consistent with a nation-state.”

The hack raises the possibility that Russian intelligence agencies saw an advantage in mounting the attack while American attention — including FireEye’s — was focused on securing the presidential election system. At a moment that the nation’s public and private intelligence systems were seeking out breaches of voter registration systems or voting machines, it may have a been a good time for those Russian agencies, which were involved in the 2016 election breaches, to turn their sights on other targets.

The hack was the biggest known theft of cybersecurity tools since those of the National Security Agency were purloined in 2016 by a still-unidentified group that calls itself the ShadowBrokers. That group dumped the N.S.A.’s hacking tools online over several months, handing nation-states and hackers the “keys to the digital kingdom,” as one former N.S.A. operator put it. North Korea and Russia ultimately used the N.S.A.’s stolen weaponry in destructive attacks on government agencies, hospitals and the world’s biggest conglomerates — at a cost of more than $10 billion.

The N.S.A.’s tools were most likely more useful than FireEye’s since the U.S. government builds purpose-made digital weapons. FireEye’s Red Team tools are essentially built from malware that the company has seen used in a wide range of attacks.

Still, the advantage of using stolen weapons is that nation-states can hide their own tracks when they launch attacks.

“Hackers could leverage FireEye’s tools to hack risky, high-profile targets with plausible deniability,” said Patrick Wardle, a former N.S.A. hacker who is now a principal security researcher at Jamf, a software company. “In risky environments, you don’t want to burn your best tools, so this gives advanced adversaries a way to use someone else’s tools without burning their best capabilities.”

A Chinese state-sponsored hacking group was previously caught using the N.S.A.’s hacking tools in attacks around the world, ostensibly after discovering the N.S.A.’s tools on its own systems. “It’s like a no-brainer,” said Mr. Wardle.

The breach is likely to be a black eye for FireEye. Its investigators worked with Sony after the devastating 2014 attack that the firm later attributed to North Korea. It was FireEye that was called in after the State Department and other American government agencies were breached by Russian hackers in 2015. And its major corporate clients include Equifax, the credit monitoring service that was hacked three years ago, affecting nearly half of the American population.

In the FireEye attack, the hackers went to extraordinary lengths to avoid being seen. They created several thousand internet protocol addresses — many inside the United States — that had never before been used in attacks. By using those addresses to stage their attack, it allowed the hackers to better conceal their whereabouts.

“This attack is different from the tens of thousands of incidents we have responded to throughout the years,” said Kevin Mandia, FireEye’s chief executive. (He was the founder of Mandiant, a firm that FireEye acquired in 2014.)

But FireEye said it was still investigating exactly how the hackers had breached its most protected systems. Details were thin.

Mr. Mandia, a former Air Force intelligence officer, said the attackers “tailored their world-class capabilities specifically to target and attack FireEye.” He said they appeared to be highly trained in “operational security” and exhibited “discipline and focus,” while moving clandestinely to escape the detection of security tools and forensic examination. Google, Microsoft and other firms that conduct cybersecurity investigations said they had never seen some of these techniques.

FireEye also published key elements of its “Red Team” tools so that others around the world would see attacks coming.

American investigators are trying to determine if the attack has any relationship to another sophisticated operation that the N.S.A. said Russia was behind in a warning issued on Monday. That gets into a type of software, called VM for virtual machines, which is used widely by defense companies and manufacturers. The N.S.A. declined to say what the targets of that attack were. It is unclear whether the Russians used their success in that breach to get into FireEye’s systems.

The attack on FireEye could be a retaliation of sorts. The company’s investigators have repeatedly called out units of the Russian military intelligence — the G.R.U., the S.V.R. and the F.S.B., the successor agency to the Soviet-era K.G.B. — for high-profile hacks on the power grid in Ukraine and on American municipalities. They were also the first to call out the Russian hackers behind an attack that successfully dismantled the industrial safety locks at a Saudi petrochemical plant, the very last step before triggering an explosion.

“The Russians believe in revenge,” said James A. Lewis, a cybersecurity expert at the Center for Strategic and International Studies in Washington. “Suddenly, FireEye’s customers are vulnerable.”

On Tuesday, Russia’s National Association for International Information Security held a forum with global security experts where Russian officials again claimed that there was no evidence its hackers were responsible for attacks that have resulted in American sanctions and indictments.

https://www.nytimes.com/2020/12/08/technology/fireeye-hacked-russians.html

Lien vers le commentaire
Partager sur d’autres sites

Je ne sais pas où le mettre... Un message codé envoyé par le tueur en série "Zodiac" il y a 51 ans vient d'être cassé par trois amateurs : https://www.sfchronicle.com/crime/article/Zodiac-340-cypher-cracked-by-code-expert-51-years-15794943.php

(Oui, c'est le Zodiac de l'excellent film de David Fincher)

Un truc qui me semble original pour lire un unique message, c'est qu'ils ont fait de la "brute-force" sur la manière de lire le code :

Citation

Sam Blake, one of the threesome who solved the 340 Cipher, became interested in the case after seeing Oranchak’s work online. On Friday, from his home in Melbourne, Australia, he said the team tested “around 650,000 different reading directions through the cipher” before coming up with the right combinations. They worked together for eight months on the puzzle.

Il y a encore deux autres lettres pas décodées à ce jour, et le tueur avait prétendu qu'il y a avait son identité dedans. Ca laisse un espoir.

Edit : un des amateurs a fait une vidéo explicative :

 

Modifié par Rob1
  • J'aime (+1) 1
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le logiciel de sécurité Solarwinds, qui est installé sur pas mal de machines du gouvernement US, s'est fait pirater. Les pirates ont remplacé une mise à jour officielle par un code à eux. DU coup c'est la panique aux US parce que ça veut dire que plein de réseaux sensibles ont pu être infiltrés:

https://www.lefigaro.fr/secteur/high-tech/solarwinds-que-sait-on-de-la-cyberattaque-massive-sunburst-20201217

Citation

L'affaire met toutes les autorités et des entreprises en émoi des deux côtés de l'Atlantique. La France a émis un bulletin d'alerte le 14 décembre à l'attention des administrations et des entreprises. Une cyberattaque sophistiquée, de très grande ampleur touche par ricochet de nombreuses entités publiques et privées aux États-Unis en Europe, en Asie et au Moyen-Orient. Retour sur cette affaire aux conséquences graves et multiples, dont l'étendue n'est pas encore entièrement mesurée.

Que s'est-il exactement passé ?

C'est typiquement ce qu'on appelle une cyberattaque via la chaîne d'approvisionnement, un savant coup de billard à deux ou trois bandes. Les auteurs de l'attaque sont passés par la plateforme logicielle d'un fournisseur de solutions Solarwinds pour atteindre les systèmes de ses clients, parmi lesquelles de puissantes administrations publiques et de nombreuses grandes entreprises.

Cette plateforme logicielle, baptisée Orion, est utilisée pour centraliser la surveillance, l'analyse et la gestion d'un système d'information. Plus précisément, les attaquants ont réussi à infecter une mise à jour d'Orion en passant par des comptes d'office 365 et y ont introduit une «backdoor» pour pénétrer les systèmes informatiques de ses clients. D'après Solarwinds, cette mise à jour a été déployée par plus de 18.000 clients dans le monde, mais il a notifié les 33.000 utilisateurs d'Orion de son piratage. D'après les dernières informations des renseignements américains, Solarwinds ne serait toutefois pas le seul vecteur de cette attaque de très grande ampleur.

Cette attaque a donc commencé en mars 2020, mais ne se fait connaître que maintenant. C'est une société de cybersécurité privée, FireEye, qui a la première découvert qu'elle avait été attaquée par ce biais.

Les dégâts causés sont en cours d'évaluation, mais cela peut aller du vol d'informations et de données sensibles à leur destruction. Depuis au moins 6 mois, les hackers ont eu le temps d'inspecter les systèmes, voir d'y introduire des «bombes à retardement». Dans le cas de FireEye, les pirates ont pu, entre autres, accéder au «coffre» d'armes logicielles qu'elle utilise pour les tests d'intrusion chez ses clients, c'est-à-dire les outils pour simuler les attaques de hackers professionnels.

«Il s'agit d'une situation évolutive et nous continuons à travailler pour prendre toute la mesure de cette campagne tout en sachant que des réseaux ont été affectés à l'intérieur du gouvernement fédéral», ont indiqué mercredi soir dans un communiqué commun le FBI (police fédérale), le directeur du renseignement national et l'agence de cybersécurité et de sécurité des infrastructures (Cisa). Les agences fédérales américaines ont eu ordre de se déconnecter immédiatement de la plateforme de SolarWinds.

Qu'est ce que Solarwinds ?

Solarwinds est un éditeur de logiciel américain, basé au Texas, qui compte plus de 350.000 clients. Sa plateforme Orion, est utilisée par de très grandes institutions publiques et par 450 des 500 plus grosses entreprises mondiales. Orion leur permet de centraliser la surveillance, l'analyse et la gestion de leur informatique. Aux États-Unis, elle est utilisée par plusieurs administrations dont le Département du Trésor, de la Sécurité intérieure, du Commerce et plusieurs agences fédérales. Parmi ses clients aussi, de nombreuses entreprises dont certains gros acteurs dans des secteurs stratégiques (énergie, industrie, cybersécurité...)

« Nous avons scanné le code de tous nos produits logiciels à la recherche de marqueurs similaires à ceux utilisés dans l'attaque de nos produits Orion Platform identifiés ci-dessus, et nous n'avons trouvé aucune preuve que d'autres versions de nos produits Orion Platform ou de nos autres produits contiennent ces marqueurs » a expliqué la société. Sur les neuf premiers mois de 2020, les revenus de la gamme de produits Orion ont représenté 45 % du son chiffres d’affaires total (343 millions de dollars).

Fondée en 1999, la société s'est introduite au New York Stock Exchange en 2018. La révélation de cette affaire a fait chuter son action de 25% depuis le vendredi 11 décembre.

Quelles sont les victimes ?

On ne les connaît pas encore toutes, elles ne se connaissent même pas forcément encore elles-mêmes, l'attaque est toujours en cours, mais elles sont très nombreuses. Côté américain, le département du Trésor, celui de l'Energie, du Commerce, l'Administration nationale des télécommunications et de l'information (NTIA) ont indiqué avoir été impactées. Selon Politico, l'agence américaine du nucléaire aurait aussi été visée, mais on ignore si elle a été touchée.

En Europe, la Commission européenne a indiqué mercredi regarder attentivement les répercussions de cette attaque, sans donner pour l'heure plus de précisions. D'autres pays sont aussi touchés en Asie et au Moyen Orient selon FireEye.

Outre FireEye, le géant Microsoft - qui utilise aussi Orion - a détecté des logiciels malveillants dans ses systèmes, en lien avec l'attaque, qu'elle a isolés et enlever. La société indique ne pas avoir d'éléments que des services de son Cloud Azure aient pu à leur tour être utilisés pour infecter d'autres clients. Mais l'Agence de sécurité nationale américaine a un avis de cybersécurité détaillant comment certains services du nuage Microsoft Azure peuvent avoir été compromis par des pirates et demandant aux utilisateurs de verrouiller leurs systèmes. Elle demande aussi aux enquêteurs de ne pas supposer que leurs organisations étaient en sécurité si elles n'utilisaient pas les versions récentes du logiciel SolarWinds.

La France a émis un bulletin d'alerte le 14 décembre mais n'avait pas encore de retour. Plusieurs sociétés du CAC 40 sont clientes de SolarWinds.

Il sera difficile de savoir l'étendue complète. Les sociétés n'ont pas l'obligation de révéler publiquement qu'elles sont parmi les victimes.

Qui est à l'origine de cette attaque ?

Il est toujours difficile délicat d'attribuer l'origine d'une cyberattaque. Seule certitude à l'heure actuelle, cette attaque de très haut niveau a bénéficié d'un appui au niveau étatique. Les regards se tournent vers la Russie, avec un groupe russe APT29, également connu sous le nom de Cozy Bear. Selon le Washington Post, ce groupe fait partie des services de renseignement de Moscou et a déjà piraté l'administration américaine pendant la présidence de Barack Obama.

LIRE AUSSI - APT29, lié à la Russie, soupçonné d'être à la manœuvre

Microsoft confirme que les méthodes employées portent la marque d'un acteur étatique, mais il n'a pas désigné de pays.

L'ambassade de Russie aux États-Unis a assuré que «la Russie ne mène pas d'opérations offensives dans le cyberespace«.

Quelles mesures d'urgence à prendre ?

SolarWinds devait publier mardi une mise à jour d'Orion contenant un code pour supprimer toute trace du logiciel malveillant dans les systèmes de ses clients.

En France, le CERT-FR donne plusieurs recommandations pour sécuriser les systèmes des utilisateurs d'Orion potentiellement affectés par ce piratage

 

  • J'aime (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, hadriel a dit :

Le logiciel de sécurité Solarwinds, qui est installé sur pas mal de machines du gouvernement US, s'est fait pirater. Les pirates ont remplacé une mise à jour officielle par un code à eux. DU coup c'est la panique aux US parce que ça veut dire que plein de réseaux sensibles ont pu être infiltrés:

https://www.lefigaro.fr/secteur/high-tech/solarwinds-que-sait-on-de-la-cyberattaque-massive-sunburst-20201217

Je n'ai pas le temps de commenter (trop de travail),

A noter que les milliers de clients ne sont pas TOUS vérolés.
Ce piratage via infiltration de MAJ logicielle (attaque dite de type watering hole) semble avoir été un piratage ciblé par les pirates (présumés russes).

Elle durait depuis mars 2020 : en majorité, les millliers de clients (moins intéressants) ont reçu un ordre de kill switch pour que le malware s'autodétruise, et que l'infiltration passe inaperçue le plus longtemps possible.
(il n'empêche qu'il faut quand même combler les failles de sécurité dès que possible, et tout vérifier derrière)

Le malware a finalement été détectée quand les pirates ont tenté de pirater Mandia/Fireeye (cf plus haut).
Le piratage a réussi, mais le malware a été rapidement détecté.

Par ailleurs, ce piratage était de très haut niveau , les experts sécu IT sont épatés par les attaquants ... et par le fait que FireEye ait réussi à le choper.

A noter que je ne parle pas d'attaque, juste d'espionnage, puisque pour l'instant, aucune donnée ne semble avoir été modifiée.

Le cauchemar aurait été une vraie attaque destructrice façon NotPetya (attaque de l'Ukraine et de ses soutiens : infiltration d'un logiciel de compta ukrainien ... et destruction de millions de PC, et 50 miiliards de $ de perte mondial : AP Maersk, Saint Gobain, hopitaux, etc)

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 3 weeks later...

Je signale une bonne affaire cyber

Une quinzaine de manuels pratiques sur la cybersécurité / piratage / pentesting / analyse de malware vendus légalement pour à peine 16E (et qui financeront des oeuvres caritatives)
(version ebook)

https://www.humblebundle.com/books/hacking-101-no-starch-press-books

l'offre s'arrête ce soir

Modifié par rogue0
Lien vers le commentaire
Partager sur d’autres sites

  • 1 month later...
Quote

Une attaque informatique a visé des institutions et plusieurs grandes entreprises françaises

Trois ans. C’est le temps qu’il aura fallu pour mettre au jour une attaque informatique menée par le biais d’un logiciel qui édité par l’entreprise Centreon, permet de superviser des applications et des réseaux informatiques. Il a été choisi notamment par Airbus, Thales, Total, Bolloré, EDF, l’École polytechnique, le ministère de la Justice ainsi que par quelques collectivités locales.

En effet, le 15 février, l’Agence nationale de sécurité des systèmes d’information [ANSSI] a publié un rapport [.pdf] dans lequel elle affirme avour été « informée d’une campagne de compromission touchant plusieurs entités françaises », ciblant le logiciel de supervision Centreon.  »

« Les premières compromissions identifiées par l’ANSSI datent de fin 2017 et se sont poursuivies jusqu’en 2020. Cette campagne a principalement touché des prestataires de services informatiques, notamment d’hébergement web », ajoute l’agence de cybersécurité française.

Cette attaque informatique, dont l’objet était visiblement de récupérer des données, n’est pas sans rappeler celle qui, appelée « Sunburst« , a visé le logiciel Orion, édité par la société américain Solarwinds. Lors d’une mise à jour, un « cheval de troie » fut introduit dans les systèmes des entreprises et des administrations clientes à la faveur d’une mise à jour. Par la suite, le programme malveillant créa une porte dérobée sur les systèmes qu’il venait d’infecter, permettant ainsi aux pirates informatiques d’exfiltrer en toute discréton les informations qui les intéressaient, voire d’en détruire.

Selon l’ANSSI, l’attaque ayant visé Centreon a été commise à l’aide du webshell P.A.S. [ou « code encoquillé  » PAS], initialement développé par un étudiant ukrainien. Disponible en source ouverte, l’une de ses versions avait été identifiée par les services américains lors des différentes attaques informatiques ayant visé l’élection de 2016. Pour rappel, ils les avaient attribuées à la Russie.

Par ailleurs, le rapport de l’ANSSI mentionne également l’utilisation de « l’implant Exaramel », qui est une « porte dérobée ». Deux versions ont été identifées : l’une pour les systèmes Windows, l’autre pour les systèmes Linux.

« Les analyses menées par l’ANSSI ont permis de mettre en évidence l’utilisation de l’implant Linux/Exaramel chez plusieurs victimes de la campagne de compromission », indique l’agence qui précise que ses analyses ne lui ont pas permis « d’identifier l’origine du dépôt de cette porte dérobée. »

Rappelant qu’un « mode opératoire est la somme des outils, tactiques, techniques, procédures et caractéristiques mises en œuvre par un ou plusieurs acteurs malveillants dans le cadre d’une ou plusieurs attaques informatiques » et qu’il n’est donc « pas confondre avec un groupe d’attaquants, composé d’individus ou d’organisations », l’ANSSI estime que celui utilisé pour s’attaque au logiciel Centreon rappelle celui connu sous le nom de « Sandworm ».

« Le webshell P.A.S. est disponible en accès libre sur le site du développeur. Il a donc été accessible à de nombreux acteurs. Pris indépendamment des autres indicateurs de compromission, il ne permet pas de lier cette campagne à un mode opératoire », explique l’ANSSI dans un premier temps.

En revanche, « l’outil Linux/Exaramel a quant à lui été analysé par l’entreprise de sécurité informatique ESET » et « celle-ci a noté la proximité de cette porte dérobée avec Industroyer, liée au mode opératoire TeleBots, plus communément connu sous le nom de Sandworm », poursuit l’agence de cybersécurité.

Et cette dernière d’ajouter : « Bien que cet outil puisse être réutilisé assez facilement, l’infrastructure de commande et de contrôle avait déjà été préalablement identifiée par l’ANSSI comme appartenant au mode opératoire Sandworm », lequel est « connu pour mener des campagnes de compromission larges puis pour cibler parmi les victimes celles qui sont le plus stratégiques. »

« Les compromissions observées par l’ANSSI correspondent à ce comportement », insiste l’agence, qui se garde de désigner explicitement les auteurs de cette attaque informatique. En effet, cela relève d’une décision politique.

« La question de l’attribution des attaques est le grand problème du cyber. On a la plupart du temps une idée de qui est derrière, mais on ne peut pas prouver l’origine devant un juge par exemple », avait expliqué son directeur, Guillaume Poupard, en 2019. Aussi, « l’attribution est in fine une décision politique de très haut niveau, orientée par un faisceau d’indices », avait-il ajouté.

Cela étant, en octobre dernier, le mode opératoire « Sandworm » avait été associé par la justice américaine à l’Unité 74455 de la Direction principale du renseignement russe [GRU].

http://www.opex360.com/2021/02/16/une-attaque-informatique-a-vise-des-institutions-et-plusieurs-grandes-entreprises-francaises/

  • Merci (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...
Le 16/02/2021 à 14:31, g4lly a dit :

Pour avoir un peu regardé le sujet, même si Centreon est pas mal utilisé en France, la portée de l'attaque - j'entends par là, la liste des victimes - est à nuancer : très peu d'utilisateurs de ce logiciel étaient vulnérables. Il y une liste de critères pour être ciblé par l'attaque, comme celui d'avoir son serveur exposé sur le web, ce qui est assez rarement le cas pour un logiciel comme ça.

En revanche, chapeau aux attaquants pour la persistance et la furtivité... 3 ans dans un SI sans se faire griller (enfin, s'ils n'y faisaient rien c'est facile, mais s'ils leakaient de la propriété intellectuelle c'est bruyant), ça témoigne d'une démarche "professionnelle, presque étatique".

  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 18/12/2020 à 12:54, rogue0 a dit :

Je n'ai pas le temps de commenter (trop de travail),

A noter que les milliers de clients ne sont pas TOUS vérolés.
Ce piratage via infiltration de MAJ logicielle (attaque dite de type watering hole) semble avoir été un piratage ciblé par les pirates (présumés russes).

Elle durait depuis mars 2020 : en majorité, les millliers de clients (moins intéressants) ont reçu un ordre de kill switch pour que le malware s'autodétruise, et que l'infiltration passe inaperçue le plus longtemps possible.
(il n'empêche qu'il faut quand même combler les failles de sécurité dès que possible, et tout vérifier derrière)

Le malware a finalement été détectée quand les pirates ont tenté de pirater Mandia/Fireeye (cf plus haut).
Le piratage a réussi, mais le malware a été rapidement détecté.

Par ailleurs, ce piratage était de très haut niveau , les experts sécu IT sont épatés par les attaquants ... et par le fait que FireEye ait réussi à le choper.

A noter que je ne parle pas d'attaque, juste d'espionnage, puisque pour l'instant, aucune donnée ne semble avoir été modifiée.

Le cauchemar aurait été une vraie attaque destructrice façon NotPetya (attaque de l'Ukraine et de ses soutiens : infiltration d'un logiciel de compta ukrainien ... et destruction de millions de PC, et 50 miiliards de $ de perte mondial : AP Maersk, Saint Gobain, hopitaux, etc)

Je me permets de te corriger : l'attaque est dite de "supply chain" et pas de waterholing. Le waterholing c'est différent, c'est quand tu compromets un site web légitime (ou que tu montes toi même le tien) pour y faire exécuter un code d'attaque quand un mec se connecte dessus avec son navigateur. Généralement on fait exécuter un code JavaScript.

Le malware n'a pas été rapidement détecté, bien au contraire (cf plus bas).

 

Ayant pas mal bossé sur cette attaque je me permets un petit REX : quelques centaines de victimes sur les 18.000 ayant téléchargé la mise à jour vérolée. Cela témoigne du Big Game Hunting (l'attaquant se paye le luxe de choisir ses victimes).

Cette attaque est de loin la plus sophistiquée que j'ai vu, avec une multitude de tactiques, techniques et procédures, groupe, acteurs, et potentiellement plusieurs nationalités impliquées (non, je ne me permettrais pas de faire de l'attribution, c'est parfaitement impossible quoi qu'en dise le CISA - RSSI américain). C'est clairement ça qui fait de ce hack quelque chose d'exceptionnel. D'ailleurs, on en découvre encore (publication hier de Microsoft et FireEye) et ça va durer pendant plusieurs mois. Cela dit, les méthodes employées n'étaient pas spécialement complexes prises séparément : quasi exclusivement des outils d'audit open source.

On parle de plus d'un an à retourner le SI de plusieurs centaines de boites, en ayant des activités extrêmement bruyantes, donc faisant appel à des techniques assez velues et risquées pour les camoufler (un exemple : le coup de la création de règles firewall dédiées pour masquer leurs scans d'énumération sauvages sur le réseau, c'est couillu de ouf). Tout ça sans se faire griller ! (Jusqu'à l'enrollement d'un téléphone pour valider la double authentification pour activer un fake VPN chez FireEye, qui a envoyé le log de trop dans le SOC FireEye, où une levée de doute a révélé l'intrusion).

 

J'aimerais vous en parler pendant des heures, mais voici quelques infos à la volée :

A noter le grand nombre d’éditeurs de sécurité afin de voler leur propriété intellectuelle, relire leur code, trouver des vulnérabilités et exécuter des 0-day :

  • Microsoft (lu du code source mais pas de modification),
  • Cisco,
  • Malwarebytes,
  • FireEye,
  • CrowdStrike (apparemment sans gros succès),
  • Palo Alto,
  • Et divers  : Equifax, General Electric, Intel, NVIDIA, Deloitte, PwC, VMware, OTAN, Amazon, Boeing, Parlement Européen,

8 ou 9 agences gouvernementales US (U.S. Treasury, Commerce, administration sécurité nucléaire, Homeland Security)...
Environ 40 clients en Belgium, Canada, Israel, Mexico, Espagne, UAE, UK, et US : pas de victime d’ex-URSS.
Aucun service / client français compromis d'après l’ANSSI : en France on a des gros problèmes de MAJ donc on n'a pas profité des dernières versions.

30% des victimes sans lien direct avec SolarWinds, car attaqués par rebond.

 

Les perdants :

  • Einstein est l'EDR des agences américaines, ils sont passés à côté,
  • Toutes les sociétés qui ont fuité de la propriété intellectuelle. La quantité de données fuitées est inconnue mais estimée énorme.
  • Il faudra être attentif aux repositionnements ou aux changement stratégiques des éditeurs US de la cyber,
  • Les ESN seront ciblées car idéalement placées pour faire de l'attaque par supply chain,
  • Les clients qui vont se manger une 2ème vague (Revente des accès persistants à des groupes criminels),
  • Remédiation très longue à effectuer pour certains clients, car même si l’attaque est détectée, ça va être très long à nettoyer (plusieurs années pour certains),

 

Les gagnants :

  • FireEye : Excellente opération de marketing en étant les premiers à révéler l'affaire : 1ers sur les 18.000 impactés.
  • Gros déblocage de $$ pour la cyber pour le CISA et les agences US (on parle de 10 Md $ : 50 fois l’ANSSI),

 

  • Programme France - 1Md€ pour la cyber (même si c'était déjà prévu avant)

500 M€ pour R&D,

150 M€ pour le cybercampus,

200 M€ pour financer des levées de fonds de start-up cyber,

136 M€ pour l’ANSSI,
 

Conséquences notables :

  • On tire les prix vers le bas avec les éditeurs de logiciels car concurrence élevée et les DSI ne veulent plus payer pour ça, donc on obtient des softwares truffés de vulnérabilités et avec un contrôle qualité pas au niveau,
  • Dans la même veine, le code open source qui n'est pas assez audité, et les commits malveillants sont nombreux, va falloir réaliser ça. Bref, va falloir sérieusement envisager de mettre en place des plans pour développer de manière sécurisée.
  • Marché de l’assurance cyber : L’assurance entre en jeu quand touché par une 0-day car indétectable en tant que client. Le marché va prendre de l’ampleur. De plus en plus de victimes payent les rançons car se savent couverts par une assurance. La rançon est toujours moins cher que l'assurance, qui est lui même moins cher que la remédiation.
  • Souscrivez à des SOC. Vraiment.
  • L’année de Cobalt Strike : Utilisé dans la grande majorité de ces attaques, au point que les cybercriminels demandent des compétences sur cet outil dans leurs offres d’emplois,
  • On en reparlera dans quelques années, mais la posture des éditeurs de sécurité va devoir évoluer suite à la fuite de leur propriété intellectuelle.


On n'a jamais vu autant de ransomware se créer et être distribués. Il y a même maintenant du "ransomware as a service", entendez par là des services de location de ransomware pour gens non technique, faut juste payer une rétrocession sur ses gains. Dans un des derniers rapports de l'ANSSI, je lisais qu'il y avait 1400 sociétés qui émettaient vers des C2 de Ruyk, et qui sont donc sur la liste des entreprises qui tomberont prochainement.

Et jamais vu autant d’intrusion persistante dans les services essentiels de pays : production et distribution d'eau potable, électricité, nucléaire, ... C'est d'ailleurs la principale inquiétude de l'ANSSI. Il y a d'ailleurs de gros soupçons que la Chine soit à l'origine du blackout électrique à Mumbai (Inde) en octobre dernier.

Bref, si vos gamins vont commencer leurs études et ne savent pas quoi faire, y a un secteur qui recrute :)
 

 

Modifié par Nemo123
  • J'aime (+1) 1
  • Merci (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

Je suppose que vous avez vu cet article sur la 807-CT  active au Sahel

http://www.opex360.com/2021/03/02/barkhane-la-807e-compagnie-de-transmissions-a-recemment-contre-une-cyberattaque-tous-les-10-jours/

Suivi de celui-ci en métropole

http://www.opex360.com/2021/03/05/la-drsd-constate-une-hausse-des-actes-de-cybermalveillance-contre-la-sphere-de-defense-francaise/

La DRSD constate une hausse des actes de « cybermalveillance » contre la sphère de défense française

Lien vers le commentaire
Partager sur d’autres sites

Une question que j'aimerais aborder.

Celle des antivirus "gratuits". Typiquement Avast.

 

Sachant qu'ils équipent la TRES grosse majorité des PC domestiques et que suivant l'axiome "quand c'est gratuit, c'est toi le produit" je pense qu'il serait intéressant de développer les enjeux qui se jouent. Tant en terme de collecte de data qu'en terme de "protection".

 

Merci d'avance pour vos éclairages!

Lien vers le commentaire
Partager sur d’autres sites

il y a 40 minutes, 13RDP a dit :

Une question que j'aimerais aborder.

Celle des antivirus "gratuits". Typiquement Avast.

 

Sachant qu'ils équipent la TRES grosse majorité des PC domestiques et que suivant l'axiome "quand c'est gratuit, c'est toi le produit" je pense qu'il serait intéressant de développer les enjeux qui se jouent. Tant en terme de collecte de data qu'en terme de "protection".

 

Merci d'avance pour vos éclairages!

Pas sûr de comprendre la question. 

La gratuité du service de base ne cache rien de spécial, c'est un modèle économique "freemium" qui consiste à attirer les clients en masse puis a les faire adhérer à des services payants 

Modifié par clem200
Lien vers le commentaire
Partager sur d’autres sites

43 minutes ago, 13RDP said:

Une question que j'aimerais aborder.

Celle des antivirus "gratuits". Typiquement Avast.

 

Sachant qu'ils équipent la TRES grosse majorité des PC domestiques et que suivant l'axiome "quand c'est gratuit, c'est toi le produit" je pense qu'il serait intéressant de développer les enjeux qui se jouent. Tant en terme de collecte de data qu'en terme de "protection".

 

Merci d'avance pour vos éclairages!

L'antivirus proposé dans Windows 10 fait le job pas forcément besoin de mettre un truc avec ...

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Restaurer la mise en forme

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • Statistiques des membres

    5 967
    Total des membres
    1 749
    Maximum en ligne
    Stevendes
    Membre le plus récent
    Stevendes
    Inscription
  • Statistiques des forums

    21,5k
    Total des sujets
    1,7m
    Total des messages
  • Statistiques des blogs

    4
    Total des blogs
    3
    Total des billets
×
×
  • Créer...