Flux RSS

Inscrivez-vous

Bercy piraté : La prise de conscience peut débloquer des moyens

François Baroin, ministre du budget, a confirmé ce matin que les systèmes informatiques du ministère des finances étaient piratés depuis décembre dernier (une information révélée par le site Web de Paris-Match). Pour Laurent Heslault, directeur des technologies de sécurité chez Symantec, ces attaques dirigées contre l'administration française pourrait à tout le moins permettre à l'ANSSI (l'Agence Nationale de la Sécurité des Systèmes d'Information) d'obtenir davantage de moyens. « Ce genre d'attaques ciblées, dont les motivations ne sont pas financières mais idéologiques, se multiplient depuis un an. Qu'elles soient ainsi rendues publiques va contribuer à la prise de conscience des responsables politiques. Les dirigeants vont comprendre que, oui, les informations qui nous font vivre sont numérisées et qu'il faut prendre des mesures pour assurer leur protection ».

Le développement du cyber-espionnage

Depuis un an, une troisième vague d'attaques a déferlé, après celle des hackers opérant depuis leur chambre pour le simple plaisir de pénétrer dans des systèmes informatiques (terminée depuis 2005), puis celle des cybercriminels piratant des cartes bancaires à des fins crapuleuses. Les motivations sont souvent politiques, désormais. « Comment ne pas imaginer que des informations concernant un Etat ne puissent pas intéresser d'autres Etats. C'est la version moderne de l'espionnage », pointe le directeur des technologies de sécurité chez Symantec.  Or, souligne-t-il, pour assurer la sécurité informatique, il faut non seulement des spécialistes, de la formation, de l'information et des bonnes pratiques, mais il faut aussi revoir les processus, par exemple ceux qui déterminent quelles sont les personnes habilités à accéder aux données. « Il y a des technologies à mettre en place qui ne vont pas supprimer tous les risques, mais au moins les limiter. »

Quatre étapes pour exfiltrer des données

Dans le genre d'attaques que vient de subir le ministère des finances, il y a généralement quatre étapes, explique Laurent Heslault : « La première, c'est l'incursion. On adresse à une personne identifiée un message porteur d'informations pertinentes, venant d'un expéditeur qu'elle connaît. Dans 100% des cas, ce message sera ouvert. En pièce jointe, il contient le logiciel malveillant, un maliciel, qui va s'installer de manière discrète sur l'ordinateur du destinataire. » La machine est dès lors contrôlée à distance. Commence alors la deuxième étape, celle de découverte de l'environnement informatique, poursuit Laurent Heslault. La troisième phase consiste à capturer l'information explicite avec la mise en place d'un système qui va enregistrer tout ce qui se passe. « Il peut même y avoir déclenchement du microphone de l'ordinateur pour enregistrer ce qui se passe dans la pièce, cela a déjà été observé », signale le directeur de la sécurité de Symantec. Avec la quatrième étape commence l'exfiltration des données qui sont envoyées vers un serveur qui peut être n'importe où. « Le fait que les informations partent vers certaines adresses IP [aboutissant vers tel ou tel pays] n'est pas significatif de leur destination réelle, insiste Laurent Heslault. Cela peut relever d'une opération d'intox. »

La stratégie de l'ANSSI va dans le bon sens

Il existe des solutions pour protéger les systèmes ou limiter l'impact des vols (comme le chiffrement des données, par exemple), mais il faut des moyens pour les mettre en place. Le piratage dont le ministère des finances français a été victime va peut-être permettre aux personnes qui sont chargées de la sécurité des grandes entreprises et aux ministres de recevoir des moyens supplémentaires.

La prise en compte des risques n'est pas évidente. L'ANSSI (l'Agence Nationale de la Sécurité des Systèmes d'Information) qui vient de se voir confier un rôle dans la défense de la France en cas de cyberguerre, a récemment publié sa stratégie préventive. Un document que Laurent Heslault  juge impeccable. « J'adhère à tout ce qui y est dit, mais il y manque des précisions sur le budget. J'espère que Monsieur Pailloux, directeur général de l'agence et ses équipes recevront de l'argent. » Laurent Heslault souhaite aussi la mise en place de partenariats public/privé. « Ce type de collaboration pourrait être renforcé. Tout ce qui va permettre de faire prendre conscience à nos dirigeants des enjeux va dans le bon sens. »

Les compétences sont là

Selon lui, d'autres pays sont plus proactifs que la France en matière de sécurité. Il considère que les pays latins sont moins engagés que les pays nordiques dans ce domaine. « En France, on a parfois l'impression que la sécurité, c'est l'empêcheur de tourner en rond. Or, si vous n'êtes pas capables de mettre en place des systèmes de sécurité, vous n'irez pas très loin. Ce qui permet aux banques en ligne et aux sites de commerce électronique d'exister, c'est d'être protégé correctement. Tant mieux s'il y a maintenant une prise de conscience. Ce n'est pas trop tard. Les technologies existent et les gens sont suffisamment compétents pour les mettre en oeuvre. Ce n'est pas un problème de compétences. »

WordPress: Les attaques DDoS provenaient de Chine

Les attaques par déni de service (DDoS) qui ont frappé la plate-forme de publication de blog WordPress.com la semaine dernière provenaient de Chine selon le fondateur du site. Une attaque DDoS consiste à utiliser simultanément des centaines ou des milliers d'ordinateurs pour bombarder de données un site web et le rendre inaccessible. Les ordinateurs à la base de telles attaques ont généralement été infectés par des malwares afin qu'ils puissent être utilisés sans le consentement et à l'insu de leurs propriétaires.

Les actions malveillantes, qui ont provoqué des ralentissements sur le site WordPress.com, ont été suffisamment graves pour perturber l'activité de l'entreprise dans ses datacenters de Chicago, de San Antonio et de Dallas. Depuis ce lundi, le site est revenu à la normale. WordPress a également indiqué que ces attaques auraient pu être motivées par des motifs politiques et ciblaient particulièrement un blog en langue chinoise non cité par la société. « Ne pensez pas que c'est seulement politique », a toutefois déclaré le fondateur de WordPress, Matt Mullenweg, à nos confrères d'IDG News Service dans un mail. « Cependant les attaques proviennent bien de Chine. » Matt Mullenweg n'a pas opéré de changement d'opinion sur ce point ni apporté plus de détails sur la source de ces attaques. Les frappes directes de « plusieurs gigabits par seconde et de plusieurs dizaines de millions de paquets par seconde » étaient« les plus grandes et les plus soutenues » dans l'histoire de WordPress qui a 6 ans d'existence, a simplement précisé le dirigeant.

La mère de toutes les attaques DDoS ? 

Selon le fournisseur de sécurité McAfee, la Chine a souvent été citée comme le pays à  l'origine de plusieurs cyberattaques majeures. Les hackers chinois ont été accusés de lancer des intrusions pour dérober des gigaoctets de données dans des entreprises énergétiques étrangères. En 2009, Google a également été la victime d'une attaque qu'il présumait provenir de Chine.

Très souvent, la véritable source d'une attaque en déni de service n'est pas claire. Alors que les ordinateurs lançant des attaques sont basés dans un pays, ils pourraient être sous le contrôle de pirates opérant dans un pays tiers. Les utilisateurs susceptibles d'être infectés par des logiciels malveillants qui peuvent être utilisés pour des attaques par saturation, sont ceux qui ne disposent pas d'antivirus et qui ne font pas les mises à jour de leur système d'exploitation.

Le gouvernement chinois a réagi à ces accusations, en disant qu'il niait être impliqué dans une cyber-attaque. «L'allégation que la Chine soutient le piratage est sans fondement », avait déclaré le mois dernier un porte-parole du ministère des Affaires étrangères de la Chine.

Illustration principale : Matt Mullenweg, fondateur de WordPress, crédit photo D.R.

Piratage informatique de Bercy : le G20 ciblé

(Mise à jour) « Les services de la direction centrale du renseignement, du secrétariat  général de la Défense Nationale nous ont alertés (... que) des gens étaient entrés dans les boîtes mail et dans les serveurs, a reconnu ce matin le ministre au micro de Jean-Pierre Elkabbach. Tout a été mis en oeuvre à la fois pour envoyer des leurres depuis plusieurs semaines, donc l'attaque est parée et ce week-end, une immense opération de maintenance à Bercy a été menée pour nettoyer l'ensemble », a-t-il expliqué. Le site de Paris Match évoque « 150 ordinateurs du ministère infiltrés et de nombreux documents piratés ».

Ce sont les informations autour du G20 qui intéressaient les hackers « comme cela s'est passé, là aussi semble-t-il, lors de la précédente organisation du G20 », a indiqué le ministre en précisant que les dossiers personnels et fiscaux des particuliers ne sont pas concernés, selon les informations dont il dispose.

L'origine des attaques n'est pas encore déterminée : « Il y des pistes, à ce stade, il est impossible de les confirmer », a indiqué François Baroin en ajoutant qu'il y avait des pistes et que les militaires s'exprimeraient probablement dans la semaine, puisque c'est le SGDN qui est en charge de la coordination de la communication sur ce sujet. « Il me semble que la communication de ce matin devrait au moins porter l'information aux hackers : Ils ont été repérés », a estimé François Baroin.

Mise à jour : L'Agence nationale de la sécurité des systèmes d'information (ANSSI) organise un point presse ce soir 7 mars à 17 heures au SGDSN (secrétariat général de la défense et de la sécurité nationale) au sujet de l'attaque d'espionnage informatique « d'ampleur » dont a été victime le système d'information des ministères économique et financier.

Illustration : François Baroin (source - site web d'Europe 1)

Wordpress victime d'une attaque DDOS géante

Dans une déclaration officielle, Wordpress a décrit une attaque de « plusieurs gigabits par seconde et des dizaines de millions de paquets par seconde » Elle a affecté trois datacenters de la société à Chicago, San Antonio et Dallas. Les ralentissements ont très vite été remarqués par les journalistes et les éditeurs mardi dernier, car beaucoup utilise le système de gestion de contenu en ligne.

«WordPress.com est la cible d'une attaque en déni de service de très grande ampleur qui affecte l'accès à la plate-forme » a précisé l'éditeur dans un communiqué une heure après avoir eu connaissance de l'attaque et d'ajouter «nous travaillons afin d'atténuer cette agression, mais en raison de son ampleur, il s'avère plutôt difficile de le juguler ».

Des soupçons d'hacktivisme

Le fondateur de Wordpress Matt Mullenweg a depuis, dans un mail, fait allusion à la motivation d'un tel événement. « Il s'agit de l'attaque la plus grande et la plus soutenue que nous avons depuis nos 6 ans d'existence. Nous pensons qu'elle pourrait avoir été politiquement motivée contre l'un de nos blogs non-anglais, mais nous sommes en train d'enquêter sans détenir de preuve définitive pour le moment. » Il ne s'agit pas de la première attaque subie par Wordpress, mais le volume concerné est considéré comme préoccupant.

A titre de comparaison, une analyse en 2008 sur les attaques en DDOS d'Arbor Networks sur Wordpress, avait recensé 268 attaques sur une période de sept jours. Au plus haut des agressions, la société avait recensé 24 000 paquets par seconde. En atteignant le gigabit et la délivrance de millions de paquets par seconde, cela montre que les pirates disposent de ressources en forte augmentation. (...)

Pékin veut suivre ses habitants en traçant leurs mobiles

L'annonce de ce projet de tracking mobile en Chine a été faite cette semaine via un article publié sur un site web du gouvernement (http://www.gov.cn/gzdt/2011-03/02/content_1814543.htm). Le système fonctionnerait en traçant les déplacements des 17 millions de résidents de la ville actuellement abonnés auprès de l'opérateur de télécommunications China Mobile. Dès que ces utilisateurs mettront en marche leur téléphone, le système pourra connaître leur localisation et savoir dans quelle direction ils se dirigent. Le projet vise à résoudre les problèmes liés à l'augmentation croissante du trafic: il y a parfois d'énormes perturbations sur les routes, certaines ayant pu durer jusqu'à neuf jours.Sauf que la Chine n'a pas très bonne réputation sur la manière dont elle utilise la technologie pour écraser la dissidence. Le gouvernement a ainsi piraté les comptes emails de militants des droits de l'homme et lancé des cyber-attaques contre des sites Internet appelant à des manifestations de protestation.

Le nouveau système voudrait utiliser les téléphones mobiles pour réguler le trafic dans différents secteurs de la ville, et voir en même temps comment les habitants de Pékin utilisent les transports, métro et autobus. Le communiqué ne donne pas de détails sur la manière dont le système fonctionnera, et indique seulement qu'il a reçu l'approbation des experts techniques quant à sa faisabilité. Selon cet article, les utilisateurs seront en mesure de s'inscrire et de recevoir des informations du système. Mais il est difficile de savoir si les résidents de Pékin auront la possibilité de se désabonner du tracking pour protéger leur vie privée. La commission Science et Technologie de Pékin, à l'origine du projet, n'a pu être jointe pour avis par notre correspondant sur place, Michael Kan d'IDG News Service. Même si le gouvernement chinois entend bien utiliser ces données pour mieux gérer la circulation, « à chaque fois que ce type d'information est collecté, le risque potentiel que ces données soient détournées de leur usage existe, » a déclaré Mark Natkin, directeur général de Marbridge Consulting, une entreprise de conseil basée à Pékin.

Une volonté de mieux surveiller la téléphonie mobile

Ce n'est pas la première fois que la Chine envisage de recueillir des données sur les utilisateurs à partir de leur téléphone mobile. L'année dernière, le gouvernement a déjà exigé des abonnés qu'ils utilisent leur véritable identité pour se connecter à leurs comptes de téléphonie mobile. La Chine compte plus de 850 millions d'utilisateurs de téléphone mobile, et un grand nombre d'entre eux utilisent une identité différente de celle figurant sur leurs documents officiels. Selon les experts, ces mesures pourraient faire partie d'une opération menée par le gouvernement chinois pour réduire l'anonymat dans la population. « Ce système pour suivre les déplacements de la population à Pékin pourrait aussi permettre de surveiller certaines personnes, » a ajouté Mark Natkin. « Les lois américaines et européennes pourraient considérer que ce projet constitue une violation de la vie privée, mais pas nécessairement ici, en Chine, » a-t-il ajouté.

Tout le monde ne voit pas ce système de tracking d'un mauvais oeil. « Il semble que le projet va observer ce qui se passe à une grande échelle. La quantité des données récoltées sera tellement importante, que je ne pense pas qu'il puisse y avoir une incidence sur la vie privée des personnes, » a déclaré Zhao Wei, patron de l'entreprise de sécurité chinoise Knownsec. « Je crois par contre que le système sera efficace pour résoudre certains problèmes de circulation, » conclut-il.

Des applications Android infectées par des malwares

L'ensemble de ces applications provient de trois éditeurs douteux, qui sous un aspect commercial classique contiennent un code appelé « DroidDream ». Celui-ci est capable d'exporter des données  contenues dans le terminal, selon un article du blog de Lookout Mobile Security . La firme fournit une liste des applications concernées, dont beaucoup sont relatives à des contenus pour adultes,  « Ringtones Super Sexy » et « Screaming Sexy Japanese Girls ». Certaines de ces applications semblent identiques à ceux d'origine, mais le nom des  éditeurs est différent « Kingmall2010», «we20090202 » et « Myournet ». « Je viens par hasard de tomber sur une application, où le nom de l'éditeur n'est pas celui qui est sensé être » écrit un certain Lompolo sur le site Reddit à l'origine des interrogations de Lookout.

Lompolo écrit que deux des applications analysées contenaient une faille appelée « rageagainstthecage ». Une chaîne de caractère présente même la signature « CVE-2010-EASY Android local root exploit (C) 2010 by 743C ». A l'aide de cette brèche, les smartphones sont  infectés par DroidDream, malware qui transmet des informations comme le code IMEI (référence du téléphone) ainsi que l'IMSI (numéro international de l'abonné). Ces données qui sont intégrées à la carte SIM du mobile sont alors transférées à un serveur distant, situé à Fremont, en Californie, selon Lompolo. Le site Android Police va même plus loin en indiquant que DroidDream a un accès au niveau de la racine du téléphone. Cela signifie que potentiellement, il peut voler toutes les données sur le téléphone mais également installer d'autres logiciels malveillants.

Google enquête mais peine à contrôler

L'éditeur a apparemment commencé à retirer quelques applications suspectes de sa boutique. Il est également possible pour l'éditeur de Mountain View de supprimer à distance des applications Android installé sur les smartphones, mais Lookout indique «ce système n'a pas encore été mis en oeuvre pour les applications incriminées, car elles font l'objet d'une enquête » . Google n'a pas souhaité faire de commentaires sur le sujet.

Plusieurs applications malveillantes ont été découvertes récemment pour les applications Android, particulièrement destiné aux utilisateurs de langue chinoise. Le mois dernier, Lookout a dit qu'il avait constaté que des jeux mobiles tels que Monkey Jump sont illégalement copiés et reconditionné avec un code conçu pour dérober des informations personnelles ou accomplir d'autres actions.  En décembre dernier, la même société de sécurité avait trouvé un morceau de malware Android appelé « Geinimi » qui contenait des fonctions similaires à un botnet. Plusieurs variantes de ce code sont apparues depuis.

Un décret encadre enfin les obligations d'authentification des internautes

La police britannique demande aux internautes de leur faire suivre les scams

Pour la première fois les utilisateurs de messagerie au Royaume-Uni sont invités à transmettre directement à la police les messages qu'ils croient susceptibles d'être liés à la fraude ou au phishing . Les forces de l'ordre souhaitent ainsi  collecter des données en temps réel sur des menaces liées à la cyber criminalité. Depuis le 25 février, un service géré par le National Fraud Intelligence Bureau (NFIB) se charge de réceptionner ce type d'e-mails, en complément du service de déclaration en ligne qui existe actuellement pour les personnes qui pensent qu'elles ont été victimes d'escroqueries en ligne ou hors ligne. L'adresse du service est email@actionfraud.org.uk. Tous les courriels frauduleux peuvent y être transmis, que ce soit la fraude 419 (aussi appelée scam 419, ou arnaque nigériane),  les phishing  ou la masse de spams pharmaceutiques du type de ceux qui remplissent les boîtes de réception de haut en bas.

Pallier au manque de visibilité

La police britannique veut avoir sous les yeux autant d'exemples que possibles et ce pour une bonne raison. L'analyse des systèmes de réponse aux spams repose essentiellement sur l'installation des serveurs qui permettent de recevoir du spam. Mais pour la police, cela a pour défaut d'entraîner un manque de visibilité sur les menaces qui passent à travers les couches de filtres utilisés par les FAI et les utilisateurs eux-mêmes lorsqu'ils souhaitent atteindre de vraies personnes. «C'est la première fois que nous sommes en mesure de recueillir et d'analyser des scams et des e-mails de cette façon », a déclaré Bernard Herdan, président de la National Fraud Autorité (NFA). « La collecte de renseignements constitue la clé de notre capacité à interrompre les activités des fraudeurs et à cibler leurs réseaux pour pouvoir les fermer. »
En plus de la NFIB qui recueille des données sur des courriels frauduleux, le site utilisé pour obtenir des informations sur  des événements liés à des fraudes est l'Action Fraud, un organisme géré par la NFA. Le bureau qui enquête sur ces crimes est l'unité de police des crimes électroniques (Police Central e-crim Unit ou PCeU) qui peut dans certains cas, transmettre des informations à l'Office Serious Organised Crime (SOCA). Le Get Safe Online, issu du partenariat entre le gouvernement et le secteur privé et qui reproduit une partie de cette action contre la fraude, vient compléter l'ensemble.

Illustration : Policiers britanniques. Crédit photo : D.R

(...)