Si vous souhaitez recevoir toute l'information "Mot Clé" de notre feed RSS,Inscrivez-vous

2589 documents trouvés, affichage des résultats 41 à 50.

< Les 10 documents précédents

Les 10 documents suivants >

(21/03/2012 11:17:46)

Symantec identifie une variante de Duqu

Des chercheurs de Symantec ont identifié une évolution de Duqu, cet élément responsable du chargement du corps crypté du malware. Selon Vikram Thakur, en charge de la riposte en matière de sécurité chez Symantec « cette amorce, qui porte l'identifiant mcd9x86.sys a été compilé le 23 février. » Découvert pour la première fois en octobre 2011, Duqu est liée au ver Stuxnet utilisé dans le sabotage industriel des systèmes SCADA notamment, et avec lequel il partage des portions de code. Cependant, contrairement à Stuxnet, créé pour mener des attaques offensives destructrices, l'objectif principal de Duqu est de voler des informations sensibles dans les systèmes informatiques d'administrations gouvernementales ou d'entreprises très ciblées partout dans le monde. « La découverte de ce nouveau malaware indique clairement que les auteurs de Duqu poursuivent leur mission, » a déclaré Vikram Thakur. « Le gros travail de sensibilisation auprès du public au sujet de Duqu n'a pas suffi à dissuader les auteurs de Duqu qui continuent à s'en servir pour atteindre leur objectif. »

Costin Raiu, directeur de l'équipe de chercheurs et d'analystes de Kaspersky Lab, n'est pas étonné. « Je pense que lorsque vous investissez autant d'argent pour développer des malwares aussi malléables que Duqu et Stuxnet, il est tout simplement impossible de les mettre à la poubelle et de tout abandonner », a-t-il déclaré. « Nous avons toujours dit que les futures variantes de Duqu et de Stuxnet seraient probablement basées sur la même plate-forme, mais avec à chaque fois suffisamment de modifications pour les rendre indétectables par les logiciels de sécurité. Et c'est en effet ce qui se passe ici. »

Seul un morceau du nouveau Duqu a été découvert

Le code source du nouveau malware a été remanié et compilé selon des modalités différentes de celles utilisées dans les versions précédentes. Il contient également un sous-programme de routine différent pour décrypter le bloc de configuration et charger le corps du malware. « La même technique avait été utilisée en octobre 2011. Après la diffusion publique du profil de Duqu, celui-ci est ensuite réapparu avec des pilotes recompilés et présentant de nouvelles sous-routines de chiffrement, » a déclaré Costin Raiu. « Cette variante de Duqu utilise probablement un nouveau serveur de commande et de contrôle (C&C), dans la mesure où tous les serveurs C&C déjà connus ont été fermés le 20 octobre 2011, » a estimé le responsable de Kaspersky Lab.

Toutefois, ni Symantec, ni les chercheurs de Kaspersky ne connaissent l'adresse exacte du nouveau serveur, parce qu'ils n'ont pas le composant qui contient cette information. « Nous n'avons pas le corps entier de Duqu, mais seulement le chargeur sous la forme du driver. Le chargeur ne contacte pas le serveur de contrôle et de commande directement. Il charge uniquement le corps principal qui est stocké sous forme cryptée, » a expliqué Costin Raiu.

« Même si le nouveau serveur était connu, il serait sans doute configuré de manière à tenir quiconque à distance des attaquants réels, » a ajouté Vikram Thakur. « Les auteurs de Duqu se sont assurés que leur malware protègera leur anonymat, » a-t-il dit. « Pour l'instant, on ne sait pas non plus quelles organisations sont visées par la nouvelle version, mais ce sont probablement les mêmes que dans les variantes précédentes, » a déclaré le responsable de Kaspersky Lab.

(...)

(19/03/2012 16:46:17)

Fuite de code malveillant, Microsoft met en cause ses partenaires MAPP

Microsoft a confirmé que le code d'attaque, qu'elle avait elle-même mis au point, était probablement tombé dans les mains des pirates, dans le cadre du programme que l'éditeur mène en partenariat avec des vendeurs de solutions antivirus. «  Les détails sur le code « proof-of-concept » (POC) semblent correspondre à la vulnérabilité que Microsoft a dévoilé à ses partenaires dans le cadre du Microsoft Active Protection Program (MAPP) », a déclaré Yunsun Wee, directeur du groupe Trustworthy Computing de Microsoft, dans un communiqué publié sur le site de l'entreprise. « Microsoft mène une enquête active pour savoir comment ces informations ont pu être divulguées et prendre les mesures nécessaires pour protéger ses clients. Nous devons nous assurer que les informations confidentielles que nous partageons sont protégées dans le respect de nos contrats et les exigences de notre programme, » a-t-il ajouté.

Dans le cadre du MAPP, Microsoft fournit à certains éditeurs de logiciels antivirus des informations techniques sur les bugs avant que l'éditeur ne les corrige. Le programme consiste à communiquer aux tierces parties un avis de sécurité préalable afin qu'elles puissent élaborer des signatures de détection correspondantes. Selon un FAQ sur le programme, Microsoft partage notamment avec ses partenaires du MAPP la « preuve de concept » ou des outils permettant de reproduire la vulnérabilité de manière à expliciter le problème et élaborer une protection en conséquence. » La reconnaissance du travail de Microsoft a été provoquée par l'alerte donnée dans la journée de vendredi par le chercheur en sécurité italien Luigi Auriemma, qui avait repéré la vulnérabilité dans Windows Remote Desktop Protocol (RDP) en mai 2011.

Soupçonnée, l'équipe ZDI de HP a vivement démenti

Selon Luigi Auriemma, le code trouvé dans un exploit « proof-of-concept » sur un site Internet chinois était identique à celui qu'il avait fourni au programme de chasse aux bogues Zero Day Initiative (ZDI) de HP TippingPoint. Son code avait ensuite été utilisé par ZDI pour créer un exploit fonctionnel comme le prévoit le programme de vérification. ZDI a ensuite transmis des informations sur la vulnérabilité de RDP à Microsoft, y compris l'exploit utilisant le code du chercheur. Selon Luigi Auriemma, l'exploit public comprenait la chaîne « MSRC11678 », un numéro de référence renvoyant au Microsoft Security Response Center (MSRC), ce qui indique selon lui que la fuite provient de Microsoft. ZDI a nié qu'elle avait été la source de la fuite. « Nous sommes à 100% sûr que la fuite ne vient pas de chez nous, et Microsoft n'a pas démenti, » a déclaré Aaron Portnoy, chef de l'équipe de recherche en sécurité qui travaille pour TippingPoint et lui-même patron de la Zero Day Initiative, dans une interview.

Ce dernier a également décrit la chaîne de traçabilité du code du chercheur italien - un pack de données spécialement construit pour déclencher la vulnérabilité Remote Desktop Protocol - entre le mois de mai 2011, date à laquelle le chercheur l'a soumise à l'équipe  ZDI, jusqu'à son intégration dans l'exploit POC que ZDI a fourni à Microsoft en août 2011, dans le cadre d'un vaste travail d'analyse sur la vulnérabilité. « La « preuve de concept » qui circule actuellement parmi les hackers ne permet pas l'exécution de code à distance - nécessaire pour compromettre un ordinateur ou un serveur, et pour installer ensuite le malware dans le système. Par contre, elle fait planter une machine vulnérable, » a déclaré Aaron Portnoy. En fait, elle affiche le classique « Blue Screen of Death » ou écran bleu de la mort bien connu dans Windows. Le chef de la ZDI confirme également ce que Yunsun Wee de Microsoft a déclaré quant à la similitude entre l'exploit public et le code de Luigi Auriemma. « Nous pouvons confirmer que l'exploit exécutable comporte un paquet qui appartient au code que Luigi nous a donné», a déclaré Aaron Portnoy.

[[page]]

C'est en 2008 que Microsoft a lancé son programme MAPP, lequel réunit 79 partenaires, toutes des entreprises spécialisées dans la sécurité, comme AVG, Cisco, Kaspersky, McAfee, Trend Micro et Symantec, ainsi que plusieurs éditeurs de logiciels antivirus chinois. La liste complète des membres du programme MAPP est disponible sur la page de Microsoft. Avant le week-end, Yunsun Wee n'avait pas indiqué si Microsoft avait déjà établi sa liste de suspects, mais celui-ci faisait remarquer que toutes les informations transmises aux partenaires MAPP sont couvertes par « un strict accord de non-divulgation (NDA). » Ce serait donc une première si la fuite provenait d'un partenaire MAPP.

L'update MS12-020 publié par Microsoft corrige le bug RDP, et peut être téléchargé et installé via les services Microsoft Update et Windows Update, ainsi que via Windows Server Update Services.

(...)

(16/03/2012 16:06:22)

Black Hat Europe : les entreprises doivent modéliser les menaces offensives

Si la plupart des entreprises technologiques testent et évaluent les faiblesses techniques de leurs systèmes pour en repérer les failles informatiques éventuelles, « elles devraient également prendre plus sérieusement en compte l'hypothèse d'une attaque physique. » C'est ce que pensent en effet Rafal Los, évangéliste sécurité de Hewlett-Packard, et Shane MacDougall, associé principal du cabinet de conseil en sécurité Tactical Intelligence, lesquels ont donné une conférence commune pendant la Black Hat Europe d'Amsterdam.

Plutôt que de se mettre dans le rôle du gentil pirate qui traque les méchants, les « white hat hackers », c'est-à-dire ceux qui prône la divulgation des failles plutôt que leur exploitation, les testeurs en intrusion feraient bien d'enfiler les vrais habits de l'attaquant afin de considérer d'autres menaces, peut-être un peu négligées, en mettant à profit un outil de modélisation des menaces conventionnelles. « Les individus peuvent être assez imprévisibles, sauf si l'on essaye de les comprendre», a expliqué Rafal Los, pour qui « les salariés sont souvent le maillon faible, quand il s'agit de sécurisation des réseaux et des applications.

Attention aux épanchements dans les bars

Pour Shane MacDougall, il y a plusieurs façons de mettre en défaut la sécurité. « Si le personnel du département informatique se retrouve dans un bar, rien ne dit qu'un attaquant potentiel ne va pas se joindre à eux, » a-t-il fait valoir. Selon lui, « ils peuvent par exemple utiliser les médias sociaux pour surveiller les déplacements de leurs « amis» en temps réel. » L'attaquant potentiel peut payer à l'équipe quelques coups à boire, jusqu'à la mettre dans un état d'ébriété suffisant, et attendre le bon moment pour mettre son projet à exécution. « Par exemple, dans la nuit suivante, il peut planifier une attaque sur le réseau de l'entreprise visée, et profiter du défaut de vigilance de l'équipe, estimant qu'elle mettra plus de temps à contrer son action, » a-t-il expliqué.

Selon les chercheurs, d'autres méthodes peuvent être utilisées pour compromettre la sécurité d'une entreprise, comme le chantage, la corruption, le guet-apens sexuel ou encore l'addiction au jeu. Par ailleurs, les attaquants pourraient cibler les espaces privés de certains dirigeants ou procéder à ce qu'on appelle des attaques d'ingénierie sociale pour cibler les employés. « Les salariés mécontents sont vraiment faciles à trouver, » a affirmé l'évangéliste de HP. Mais, toujours selon lui, des salariés dévoués pourraient également être utilisés pour recueillir des informations sur l'entreprise, l'attaquant se faisant passer pour un client ou un fournisseur.

Hiérarchiser les menaces et les cibles potentielles

Pour tester ces faiblesses, Rafal Los et Shane MacDougall conseillent de dresser, sur un tableau blanc, la liste de toutes ces failles possibles, aussi bien physiques que techniques. Puis, selon eux, des testeurs en sécurité devraient hiérarchiser les cibles selon leur importance, par exemple les employés qui touchent des salaires élevés, ou des biens qui ont une valeur importante, sans oublier les plus hauts cadres dirigeants et le personnel de sécurité, mais aussi les personnels de vente, les vendeurs et le personnel affecté au support technique. Selon eux, « tous représentent un accès potentiel à l'entreprise ou sont susceptibles de livrer des informations sur les accès possibles. »

[[page]]

Cette liste de cibles potentielles peut ensuite être découpée en plusieurs approches offensives, de manière à bien identifier les failles dans un système de sécurité global. La liste des risques possibles comprend aussi bien ceux visant les membres de la famille, les risques pendant les loisirs, les conférences, à quoi il faut ajouter une analyse comportementale et un profilage psychologique et sociologique, entre autres. Quand ce travail est fini, les experts estiment qu'il est possible d'évaluer toutes les menaces possibles. Il faut s'assurer aussi de disposer du calendrier des maintenances informatiques. « Chaque année, nous remarquons que si la vigilance de systèmes très sécurisés baisse ne serait-ce que pendant quelques secondes, ceux-ci sont piratés. Peut-on vraiment croire à un simple accident ? » a déclaré Rafal Los.

L'étape suivante consiste à tester les situations listées. Les attaques peuvent se produire sur site. Il y aussi les attaques techniques et d'ingénierie sociale. Selon Shane MacDougall, « il faut identifier le risque que fait courir chaque utilisateur dans l'entreprise. » Le risque peut aussi se produire dans les conférences. « Les salariés participants peuvent se faire voler leur smartphone ou leur badge d'entrée et quelqu'un peut les utiliser pour s'introduire dans l'entreprise», a-t-il déclaré. Les experts en sécurité ont souligné que certaines des méthodes exposées dans leur discours sont « illégales et contraires à l'éthique ». Ils ne les approuvent pas, mais leur objectif est de se mettre dans la peau de pirates offensifs et imaginer comment ils pourraient agir, afin de réagir efficacement à leurs attaques.

Après la phase de tests, il est nécessaire d'analyser les résultats. Selon les deux chercheurs, l'enquête doit se faire de manière continue, et doit être répétée de temps à autre. «Le suivi est essentiel», a déclaré Shane MacDougall. Selon les chercheurs, les personnes qui ont commis des erreurs pourraient perdre leur job, même s'ils pensent que dans la plupart des cas ce serait inutile ou inefficace. « Je ne préconise jamais de se séparer d'un maillon faible », a déclaré Shane MacDougall. « Il peut aussi y avoir dans ce cas un risque de représailles et d'effet boomerang. »

(...)

(15/03/2012 17:04:01)

Anonymous OS est bien un piège truffé de trojans

(...)

(15/03/2012 15:35:30)

Cryptocat, ou comment crypter le chat des messageries instantanées

Nadim Kobeissi, un étudiant libanais de 21 ans résidant au Canada, a cherché un moyen simple et sûr qui permettrait aux utilisateurs de discuter en ligne en protégeant leurs conversations des regards indiscrets. « Petit génie de l'informatique doté d'une forte conscience citoyenne » comme il se décrit lui-même, le jeune étudiant de l'Université Concordia de Montréal a calculé qu'il passait cinq fois plus de temps à développer son projet Cryptocat qu'à potasser ses bouquins de sciences politiques et de philosophie.

A une époque où l'activisme politique se développe sur le web, Cryptocat souhaite fournir un environnement très sécurisé pour les systèmes de messagerie instantanée et contrer les gouvernements qui surveillent l'Internet pour débusquer des opposants. Les programmes de messagerie instantanée sont très populaires, mais, côté sécurité, ce ne sont pas des outils assez fiables pour les militants. Beaucoup de ces applications reposent sur le protocole SSL (Secure Sockets Layer), un protocole de chiffrement utilisé aussi pour sécuriser les transactions commerciales sur Internet. Les messages sont cryptés lors de la transmission, mais les conversations sont déchiffrées sur les serveurs sur lesquels tourne le service de messagerie, si bien que, potentiellement, des intrus pourraient avoir accès à leur contenu. Il y a bien des technologies de cryptage éprouvées pour la messagerie instantanée, comme PGP (Pretty Good Privacy) et OTR (Off The Record), un programme de chiffrement sous forme d'add-on compatible avec des applications de messagerie instantanée comme Pidgin et Adium. Mais le PGP peut être « difficile à utiliser pour les non-geeks », a estimé Nadim Kobeissi. OTR doit être téléchargé, installé et configuré, et il doit être activé chez les deux parties qui discutent pour que les messages soient cryptés.

Un chiffrement 256-bit AES

L'atout de Cryptocat est sa simplicité. Tout d'abord, une des versions du logiciel est basée sur le web, donc il n'est pas nécessaire de la télécharger. L'utilisateur crée une session de chat, choisit un pseudonyme, puis saisit une chaîne de caractères aléatoires afin de générer les clés de chiffrement 256-bit AES correspondant au système de cryptographie à clé publique qu'il utilise. Le cryptage et les clés de décryptage sont stockées dans le navigateur Web de l'utilisateur lui-même, si bien que le système assure une vraie protection d'un bout à l'autre de la chaîne. Selon le jeune étudiant, depuis peu les navigateurs Internet incorporent des moteurs JavaScript suffisamment puissants pour utiliser des clés de chiffrement très longues. Même si un attaquant parvient à s'introduire sur un serveur exécutant Cryptocat, les contenus n'auraient aucun sens et seraient impossibles à décrypter.  Nadim Kobeissi a ajouté d'autres fonctionnalités au client web, comme la possibilité d'inviter ses amis Facebook et d'envoyer des fichiers cryptés à une autre personne.

[[page]]

« Néanmoins, CryptoCat a ses limites, notamment il n'a pas été aussi rigoureusement testé que PGP et OTR,  lesquels ont été éprouvés par les meilleurs cryptographes du monde, » a ajouté l'étudiant. Mais Cryptocat a un peu moins d'un an. « Je le recommanderai aux militants dans 5 ans peut-être, » a ajouté Nadim Kobeissi. « Cryptocat est probablement tout à fait sûr. Mais si les gens comptent sur votre logiciel pour protéger leur vie, il vaut mieux être 100 000 fois sûr de ce que l'on fait. » Le code de Cryptocat est proposé en Open Source, et Nadim Kobeissi a expliqué comment fonctionnait son cryptage afin d'avoir le feedback d'autres spécialistes en cryptologie.

Celui-ci y a ajouté d'autres systèmes de sécurité, puisque Cryptocat est compatible avec Tor (The Onion Router), un réseau mondial qui fait du routage aléatoire sur ses serveurs pour permettre de surfer sur le web de manière un peu plus anonyme. « En utilisant une URL « .oinion » pour Cryptocat, le serveur de Cryptocat ne peut pas identifier l'adresse IP de l'utilisateur réel, » explique le jeune étudiant. Ce dernier a plusieurs autres idées pour améliorer encore plus son logiciel. L'add-on pour le navigateur Chrome de Google est déjà prêt, et Nadim Kobeissi prévoit de sortir des applications natives pour iOS et Android plus tard cette année. Celui-ci a également l'intention d'acheter un de ces mini-ordinateurs à 25-35 dollars Raspberry Pi mis au point par la Fondation Raspberry Pi. Celui-ci imagine qu'on pourrait livrer aux régions qui en ont besoin des packs comprenant un mini-ordinateur Raspberry Pi et son logiciel serveur Cryptocat. « Les organisations non gouvernementales pourraient aussi mettre en place leurs propres serveurs Cryptocat, » a-t-il ajouté. «  C'est une des raisons pour lesquels ce code est Open Source », a-t-il déclaré. « N'importe qui peut le télécharger et configurer son propre serveur. »

(...)

(13/03/2012 17:17:48)

Oracle Linux se cale sur la version 3.0 du kernel et supporte Btrfs

Oracle a mis à jour le noyau de sa distribution Linux pour prendre en compte les dernières avancées du système d'exploitation Open Source. La version 2 d'Unbreakable Enterprise Kernel est basée sur la version 3.0 du kernel Linux de référence livrée en juillet 2011. « De nombreuses améliorations viennent du kernel principal », souligne Sergio Leunissen, vice-président responsable du développement de l'offre Linux chez Oracle. « Nous effectuons de nombreux tests sur ce kernel en mettant en oeuvre des traitements exigeants qui correspondent aux besoins de notre base de clients ».  

Avec cette mise à jour, la distribution offrira un support complet du système de fichiers Btrfs ('ButterFS'), développé par Oracle et qui doit aider les entreprises à gérer d'importants volumes de données. Elle mettra aussi en oeuvre les plus récentes avancées du kernel : meilleure gestion de la mémoire et de la virtualisation. Linux 3.0 a été la première version du kernel à supporter Btrfs qui gère jusqu'à 16 exabytes de données dans un même espace de nom (namespace). Il permet de sauvegarder automatiquement les données et de faire du backup RAID sans contrôleurs externes. Il est aussi plus optimisé pour les disques SSD que pour les disques classiques. Sergio Leunissen le voit déjà comme le système de gestion de fichiers par défaut pour Linux.

Deux technologies en bêta : DTrace et Linux Containers

Concernant l'utilisation de la mémoire, le kernel Linux peut maintenant organiser automatiquement les blocs de mémoire en segments plus grands ce qui, en retour, réduit le nombre de traitement nécessaires à sa gestion. Cette version est aussi la première dotée d'un support intégré pour l'hyperviseur Xen, ce qui devrait augmenter les performances des hôtes virtuels qui l'utilisent.

Deux autres technologies prévues pour de prochaines versions vont également pouvoir être testées par les administrateurs qui anticipent l'étape suivante, mais elles ne sont pas encore prêtes pour une mise en production. L'une d'elles est un module DTrace intégré. Cet outil trace dynamiquement les threads d'un programme qui s'exécute. Disponible depuis longtemps sur le système d'exploitation Solaris (ex Sun Systems), l'outil de debugging très apprécié a été convoité par les développeurs Linux qui espéraient depuis longtemps une version pour l'OS Open Source.

Autre emprunt à Solaris présenté en bêta, la technologie Linux Containers. Comme Solaris Containers, elle permet à différents déploiements Linux de fonctionner séparément, dans un mode virtualisé peu gourmand, sur le même kernel. L'administrateur peut définir le nombre de ressources que chaque déploiement virtualisé ou container peut utiliser.

Le mois dernier déjà, Suse sortait SLES

La mise à jour, basée sur Linux 3.0.16, peut être installée sur la version 5 ou 6 d'Oracle Linux qui, lui-même, repose sur la distribution RHEL (Red Hat Enterprise Linux). Cette version du kernel apporte aux applications les mêmes fonctionnalités que RHEL. Oracle maintient aussi une version de son kernel qui est 100% compatible avec le propre kernel de Red Hat.

L'éditeur de Redwood Shores n'est pas le seul à mettre à jour sa distribution Linux avec la plus récente version du kernel principal. Le mois dernier, Suse l'a fait avec SLES (Suse Linux Enterprise Server) qui tire lui aussi avantage de nombreuses fonctionnalités de Linux 3.0.

(...)

(09/03/2012 17:33:24)

Le Trojan Duqu partiellement écrit dans un langage mystérieux

Le mystère autour du Trojan Duqu (de type Stuxnet) s'est renforcé depuis que l'on a appris que sa charge d'attaque aurait été écrite dans un langage de programmation que l'on n'arrive pas à identifier. Les experts de Kaspersky Labs ont maintenant découvert une grande partie de la structure interne du programme. Celle-ci est presqu'entièrement écrite en C++, de façon assez conventionnelle. Pourtant, en creusant le fichier Payload.dll, l'équipe a trouvé une portion de code, qu'elle a appelée 'Duqu Framework' et qui défie ses analyses. Elle est destinée à une communication furtive avec les serveurs de commande et de contrôle (C&Cs) du Trojan. Il s'agit d'un langage orienté objet d'une grande sophistication pour autant que les experts de Kaspersky ont pu en juger.

« Le mystérieux langage de programmation n'est pas du C++, ni de l'Objective C, pas plus que du Java, du Python, de l'Ada, du Lua ou l'un des nombreux autres langages que nous avons examinés », a expliqué Igor Soumenkov, l'un des ingénieurs du Kaspersky Lab, sur Securelist. 

Payload.dll semble être un élément important du programme. Selon l'éditeur russe, il est utilisé pour recevoir des instructions venant de serveurs distants mais aussi pour transmettre des données volées. Et il peut opérer de façon totalement indépendante du reste du programme. C'est important pour diffuser le Trojan à d'autres ordinateurs sous Windows. 

Duqu, sans doute écrit par des équipes séparées

« Compte-tenu de la taille du projet Duqu, il est possible que la création du Framework Duqu ait été réalisée par une équipe totalement différente de celle qui a conçu les pilotes et écrit le code d'infection », a indiqué de son côté Alexander Gostev, expert de Kaspersky. « En considérant le niveau de personnalisation très élevé et la particularité avec laquelle le langage a été créé, il est également possible qu'il ait été fait non seulement pour empêcher des intervenants extérieurs de comprendre l'opération de cyberespionnage et les interactions avec les C&Cs, mais aussi pour le tenir à l'écart des autres équipes Duqu chargées d'écrire les autres parties du programme malveillant. »

Duqu a été découvert par les chercheurs en sécurité de l'Université de Budapest en septembre dernier. Son origine, sa conception et ses visées importent parce qu'il est plausible qu'il soit lié au malware Stuxnet que l'on soupçonne d'avoir été créé pour interrompre les systèmes SCADA (Supervisory Control And Data Acquisition) connectés au programme d'enrichissement nucléaire iranien. 

Les connexions entre les deux malwares sont discutables, mais étranges, si l'on tient compte tenu du fait qu'ils utilisent des éléments communs. Ce qui est clair, c'est que Duqu est suffisamment sophistiqué pour résulter du travail d'une équipe compétente et bien équipée qui essaie de brouiller les pistes. En cela, ils ont en partie échoué. Plus un logiciel est sophistiqué, plus sa structure et sa conception apparaissent inhabituelle, plus il attire l'attention sur lui et éveille les soupçons. Kaspersky fait maintenant appel aux programmeurs pour l'aider à identifier le langage de programmation utilisé pour créer le framework Duqu.

(...)

(08/03/2012 11:59:30)

Le site de Panda Security défiguré par des hackers

Selon un message posté sur Pastebin, plus de 25 sous-domaines de « pandasecurity.com » et plusieurs autres domaines appartenant à Panda ont été détournés vers une vidéo relatant certaines actions phares menées par le groupe de pirates Lulz Security, connu aussi sous le nom de Lulzsec, qui soutient les Anonymous.

Le groupe a également rendu public des adresses mail et les identifiants de messagerie de personnes ayant des comptes chez Panda, plus d'autres détails internes au serveur. Luis Corrons, directeur technique du laboratoire de l'entreprise de sécurité, a été nommément cité par les pirates . Ceux-ci lui reprochent de s'être félicité de l'arrestation des pirates dans un billet publié sur le blog de Panda Security mardi. Les hackers accusent aussi Panda Security d'apporter son soutien à la justice. Sur Twitter, Luis Corrons se défend d'avoir fourni des informations ayant permis de localiser les membres Lulzsec, mais ajoute qu'il «aurait bien aimé y être impliqué. » Celui-ci écrit également que «les équipes de Panda Security sont en train de réparer les dégâts. »

Une représaille à l'affaire l'arrestation de 5 hackers

Mardi, le bureau du procureur du district sud de New York a annoncé l'inculpation de cinq personnes soupçonnées d'être liées aux Anonymous, à LulzSec et à d'autres groupes de pirates, et d'être impliquées dans des attaques contre des entreprises comme Sony Pictures, la société de renseignement privée Stratfor Global Intelligence, PayPal et MasterCard.

Parmi les accusés présumés figure un des leaders d'Anonymous, Hector Xavier Monségur, connu sous le pseudonyme de Sabu. Celui-ci a plaidé coupable et risque jusqu'à 124 ans et six mois de prison, selon des documents judiciaires. Arrêté en juin 2011 par le FBI, Sabu aurait aidé les enquêteurs à retrouver la trace de membres de LulzSec et d'Anonymous.

(...)

(07/03/2012 13:57:54)

Sabu, le leader de LulzSec, était un informateur du FBI

Hier, les autorités américaines ont révélé que Sabu, l'ancien chef du groupe de pirates bien connu LulzSec, est un homme âgé de 28 ans, originaire de la ville de New York, et qu'il s'appelle Hector Xavier Monségur. Ces divulgations correspondent, en grande partie, à l'information que des pirates, rivaux du chef de LulzSec, avaient diffusé sur l'ancien chef du groupe dans le passé. Sabu avait été secrètement arrêté par le FBI l'an dernier et travaillerait depuis comme informateur pour les autorités fédérales, selon des documents judiciaires relatifs à l'affaire. L'opération visant Sabu avait aussi conduit à l'arrestation de cinq autres pirates soupçonnés d'être liés à LulzSec et au groupe d'hacktivistes Anonymous.

En juin 2011, quelques semaines avant que le groupe LulzSec décide sa dissolution, plusieurs équipes de pirates rivaux, comme TeaMp0isoN (Team Poison), ou des pirates francs-tireurs comme th3j35t3r (The Jester), mais aussi d'autres activistes en désaccord avec les actions du groupe, avaient lancé une cyber guerre contre les membres de LulzSec. Sur Internet, les ennemis du groupe étaient partis à la chasse aux traces afin de trouver des renseignements personnels sur ses membres, pour ensuite les publier en ligne et exposer leur véritable identité. Ce mode d'action est connu dans la communauté des hackers sous le nom de « doxing ». La première divulgation d'informations ciblant les membres de LulzSec a été faite par un groupe ayant pour nom A-Team. Si un certain nombre d'éléments se sont avérés plus tard largement incomplets, voire tout à fait faux, les détails publiés sur le chef Sabu semblaient très proches de la vérité.

Le véritable nom de Sabu laché dans la nature

A-Team avait déjà affirmé que Sabu était Porto-Ricain, s'appelait Hector Xavier Montségur, et vivait à New York. Le groupe avait déclaré que cette information correspondait à des données « whois » archivées par prvt.org, un nom de domaine censé appartenir à Sabu, et anonymisé depuis. Selon A-Team, Sabu utilisait, entre-autre, les pseudonymes 548U, hectic_les et leon sur Internet. La mention du dernier pseudo apparaît même dans l'acte d'accusation concernant Hector Xavier Monségur révélé par les autorités. Un autre rapport sur Sabu publié par un utilisateur anonyme sur Pastebin le 21 juin de l'année dernière retracerait l'activité présumée du chef de LulzSec sur le Net jusqu'en 2003. Selon ce « dox », pendant ces années, Hector Xavier Monségur aurait été impliqué dans plusieurs projets de logiciels de sécurité sous le pseudo de Xavier Kaotico et de Xavier de Leon, une autre fausse identité mentionnée dans l'acte d'accusation.

Le 17 août, à l'époque où, semble-t-il, l'ancien chef de LulzSec a commencé à travailler pour le FBI comme témoin, et a coopéré avec la justice, un autre « doxing » sur Sabu est apparu sur un blog listant les adresses mail du hacker, dont beaucoup contenaient Sabu, Xavier et Monségur dans leurs noms. À partir de ces éléments, le blog concluait que Sabu vivait à New York, était fan des New York Giants. Il publiait même une photo du chef de LulzSec récupéré dans un profil MySpace. Ces informations facilement recueillies avec Google Search et d'autres services accessibles à tous, laissent penser que le leader de LulzSec a peut-être été négligent au début de sa carrière de pirate et qu'il aurait eu du mal à changer d'identité quand les choses ont commencé à devenir plus sérieuses.

[[page]]

« Les membres de LulzSec ont laissé des empreintes digitales électroniques derrière eux, et leur arrestation est inévitable, » a déclaré Rob Rachwald, directeur de la stratégie en sécurité chez Imperva, le vendeur de solutions de sécurité. « Au cours d'un incident, un membre de LulzSec a changé son identité sur le Net, mais il a laissé des indices sur un forum public, » a-t-il ajouté. « On trouve pas mal de traces sur les forums de hackers, autant que l'on peut en trouver sur Facebook. Et si vous faites assez de bruits autour de vos actions, comme c'était le cas de LulzSec, alors sûrement que la justice sera assez déterminée pour rechercher vos traces, » a déclaré Rob Rachwald. L'expert en sécurité a établi un parallèle entre Sabu et le célèbre gangster John Gotti. « Son mépris de la loi a finalement conduit le gangster à sa chute. »

Le plus étonnant, c'est que, malgré toutes ces informations exposées à son sujet sur le Net, et même si le pirate a nié leur véracité, les complices de Sabu ne se sont pas interrogés sur le fait qu'il n'a jamais été arrêté. En juin 2011, presque au moment de l'arrestation de Sabu, Eric Corley, éditeur d'un journal trimestriel pour hackers 2600, a déclaré au Guardian que, à son avis, aux États-Unis, un quart des pirates était recruté comme informateur par le FBI. À l'époque, celui-ci avait déclaré que les pirates étaient facilement intimidables du fait des sanctions sévères auxquelles ils s'exposaient et qu'ils n'avaient aucune expérience en matière de droit.

(...)

(07/03/2012 10:49:54)

2% des ménages français victimes de fraudes bancaires

(...)

< Les 10 documents précédents

Les 10 documents suivants >