Cyberwarfare

[g4lly]

 

http://abonnes.lemonde.fr/pixels/article/2017/10/20/free-un-trou-dans-les-mailles-de-la-geolocalisation_5203566_4408996.html

  Quote

La justice ne peut plus géolocaliser les clients de Free, une faille majeure pour les enquêteurs

Cette faille, datant du 1er janvier, illustre les difficultés liées à la mise en place de la Plateforme nationale des interceptions judiciaires confiée à Thales.

« Oui, c’est vrai, on ne peut plus géolocaliser les clients de Free. Mais ne le dites pas trop fort ! » Ce haut fonctionnaire du ministère de la justice ne cache pas son embarras. Depuis le 1er janvier, les données de géolocalisation de plusieurs millions de clients Free (dont le propriétaire, Xavier Niel, est actionnaire à titre personnel du Monde) ne sont plus à la disposition des enquêteurs. Cette faille, pourtant largement prévisible, reste béante depuis bientôt dix mois.

La « géoloc », qui permet de retracer précisément le parcours d’une personne même lorsque cette dernière ne téléphone pas, est d’une grande utilité pour les enquêteurs. L’impossibilité de mettre en place cette « filature » en temps réel pour l’un des quatre grands opérateurs français constitue une brèche majeure dans la surveillance. « Il y a quelques trous dans la raquette de Big Brother », résume amèrement un haut responsable policier.

Cet incroyable loupé illustre les difficultés rencontrées depuis la mise en place de la Plateforme nationale des interceptions judiciaires (PNIJ), confiée au groupe Thales. Née d’une volonté de centraliser les écoutes et les réquisitions judiciaires (interceptions, bornages, fadettes, « géoloc »), la PNIJ a vocation à remplacer les prestataires privés qui traitaient jusqu’ici les données brutes fournies par les opérateurs.

« Laborieuse et chronophage »

Face aux réticences des services d’enquête à utiliser cette nouvelle interface – décrite comme « obsolète, laborieuse et chronophage » par un récent communiqué du Syndicat majoritaire des cadres de la sécurité intérieure –, la loi du 3 juin 2016 leur faisait même obligation d’y recourir à partir du 1er janvier. Mais les retards se sont accumulés et c’est seulement depuis le 12 septembre que toutes les nouvelles réquisitions judiciaires passent par la PNIJ. Toutes, sauf celles qui concernent la « géoloc ».

La montée en charge laborieuse de la plateforme a en effet amené le ministère de la justice et Thales à se concentrer en priorité sur la prise en compte de l’ensemble des interceptions téléphoniques, dont le nombre a été multiplié par cinq en dix ans pour atteindre les 10 000 écoutes journalières. Cet énorme travail de mise à niveau de l’outil a retardé la livraison de la fonctionnalité « géolocalisation ». Initialement prévue fin 2017, elle a dû être repoussée à courant 2018.

En attendant que la PNIJ soit entièrement fonctionnelle, les opérateurs historiques continuent donc de suivre l’ancien protocole, en fournissant leurs données de « géoloc » au prestataire privé avec lequel ils avaient l’habitude de traiter. Sauf Free. Jusqu’au 31 décembre 2016, c’est Orange qui se chargeait de transmettre les données de géolocalisation de son concurrent, en vertu d’un accord d’itinérance permettant à Free d’utiliser son réseau en attendant d’avoir le sien.

Mais cet accord prend progressivement fin depuis le 1er janvier. De plus en plus d’utilisateurs basculent sur le réseau de Free à mesure que celui-ci se développe – notamment dans les grandes villes. Selon les informations du Monde, ce sont près d’un quart du total des requêtes de géolocalisation, tous opérateurs confondus, qui restent aujourd’hui sans réponse.

A qui la faute ?

A qui la faute ? Contrairement à ses concurrents, Free n’a jamais eu l’occasion de mettre en place des interfaces d’échanges de données avec les anciens prestataires privés. L’opérateur s’est donc mis en ordre de marche pour fonctionner directement avec la PNIJ, dont personne n’a cherché à anticiper le retard à l’allumage. Consciente que la faute lui incombe en premier lieu, la chancellerie ne cherche d’ailleurs pas à se défausser sur l’opérateur. « Ce n’est en rien dû à une mauvaise volonté de Free », insiste-t-on au ministère.

Cette mansuétude n’est pas partagée dans les rangs de la police. « Free aurait pu mettre en place un service temporaire, même dégradé, déplore un haut gradé de la gendarmerie. Mais ils ont choisi de ne pas le faire. Cette entreprise fonctionne à l’économie. » Interrogé par Le Monde, l’opérateur n’a pas souhaité faire de commentaire.

Free est-il réellement responsable de la situation ? Contrairement aux interceptions téléphoniques, la « géoloc » n’est pas une obligation légale. L’opérateur peut donc plaider la bonne foi. Il n’en demeure pas moins que Free a déjà fourni des données de « géoloc » dans le cadre de requêtes administratives, émanant notamment des services de renseignement, signe qu’il en a la capacité technique. Dès son arrivée dans le mobile en 2012, le trublion des télécoms s’était dit réticent à communiquer les données de ses clients à des prestataires techniques tiers.

« Solution transitoire »

Face au nombre croissant d’utilisateurs passant sur le réseau Free et aux retards à répétition de la PNIJ, le ministère de la justice affirme avoir finalement trouvé une parade. « Une solution transitoire va être mise en place dans les prochaines semaines pour que Free puisse se brancher avec ces prestataires », assure-t-on à la chancellerie.

Les carences de la PNIJ étant connues depuis de longs mois, il peut sembler étonnant que cette « solution transitoire » n’ait pas été imaginée plus tôt. Pour le dire autrement, il a été tacitement accepté qu’entre la sortie progressive de l’accord d’itinérance entre Free et Orange et la date théorique de démarrage du service de géolocalisation de la PNIJ, fin 2017, des millions de Français ne soient pas localisables pendant un an.

La situation a paru suffisamment inquiétante pour qu’un député La République en marche, Jean-Michel Jacques, interpelle la garde des sceaux, le 18 juillet, dans une question écrite. « Alors que la France est particulièrement ciblée en matière de terrorisme, il n’est pas envisageable de se priver de cette source d’informations », écrit l’élu, qui souhaite « savoir ce que son ministère compte mettre en œuvre afin de permettre (…) la géolocalisation judiciaire des abonnés de l’opérateur Free ». Sa question n’a, à ce jour, pas reçu de réponse.

Expand  

 

[hadriel]

  Le 20/10/2017 à 14:00, g4lly a dit :

 "Free aurait pu mettre en place un service temporaire, même dégradé, déplore un haut gradé de la gendarmerie. Mais ils ont choisi de ne pas le faire. Cette entreprise fonctionne à l’économie."

Expand  

Ils en fument de la bonne à la gendarmerie, ils veulent des réquisitions livrées sur un plateau d'argent aussi?

[rogue0]

 

Jus d'avocat sur la cyberdéfense US (objections à la NDAA ?, l'équivalent de la loi de programmation militaire US ?):

Par exemple, les parlementaires voulaient que les US préviennent dans la mesure du possible, un pays tiers hébergeant des attaquants.
(le SecDef objecte ici, avec raison : presque toutes les puissances pratiquant la cyberguerre disposent de hackers patriotiques "officieux", qu'ils peuvent toujours désavouer en cas de besoin)

https://www.lawfareblog.com/cyber-operations-and-draft-ndaa-analyzing-section-1621-and-secdefs-objections

---

On a échappé de peu à plusieurs failles critiques windows (patchées) : la faille du wifi WPA2, et une grosse faille DNS.

https://www.cyberscoop.com/critical-windows-dns-vulnerability-gives-hackers-the-keys-to-the-kingdom/

---

La proposition de loi sur le contre-hacking par des entreprises privées (joliment nommée ACDC ) est en cours d'examen.
Le gouvernement US s'y oppose en l'état, avec de bons arguments.

Dans la plupart des cas, il n'y a rien à hacker en face (soit un script kiddie, soit à l'inverse un gouvernement étranger)...
Et la compagnie privée risque à chaque fois une bavure, ou de  déclencher une guerre

https://www.cyberscoop.com/doj-examines-controversial-new-hack-back-bill/

 

[rogue0]

Le smartphone personnel de J.Kelly, chef de cabinet de la Maison Blanche, a sans doute été "compromis" (cad piraté).
Le piratage a été découvert cet été, et a probablement eu lieu depuis décembre 2016 (quand il se préparait à être Secrétaire du DHS / alias ministre de l'intérieur).

Suite à ce piratage, les consignes limitant les téléphones/appareils personnels ont encore été renforcées à la Maison Blanche (avec des casiers tempestisé pour smartphone hors des bureaux).

http://www.politico.com/story/2017/10/05/john-kelly-cell-phone-compromised-243514

Et c'est la vraie raison pour laquelle l'usage d'appareil de communication personnels (serveurs mails, téléphones, appli "anonyme") est fortement déconseillé par les SR.
Les smartphones commerciaux sont des passoires en matière de sécurité.
Les terminaux sécurisés par les SR sont très restrictifs, mais résistent aux intrusions de base.

Dans cette affaire, on ne saura jamais combien de documents / réunions ont été compromis.

Modifié le 21 octobre 2017 par rogue0

[g4lly]

  Le 20/10/2017 à 23:50, rogue0 a dit :

Les smartphones commerciaux sont des passoires en matière de sécurité.

Expand  

Et surtout ... on les a absolument tout le temps avec nous ... d’où géolocalisation, sonorisation, interception ou intrusion wifi BT etc. globale.

[Shorr kan]

  Le 21/10/2017 à 00:21, g4lly a dit :

Et surtout ... on les a absolument tout le temps avec nous ... d’où géolocalisation, sonorisation, interception ou intrusion wifi BT etc. globale.

Expand  

En même temps, quand ta mère ou ta femme veut savoir où t'es tout le temps, est-ce qu tu as le choix ? ...

[rogue0]

  Le 21/10/2017 à 10:04, Shorr kan a dit :

En même temps, quand ta mère ou ta femme veut savoir où t'es tout le temps, est-ce qu tu as le choix ? ...

Expand  

ça sent le vécu ça

Je sors -> []

Sinon, pour éviter la jalousie qui fait installer les applis d'espionnage, il reste toujours la solution Yoda.
(EDIT : je précise, pour embarquer madame ou maman partout )

Modifié le 23 octobre 2017 par rogue0

[rogue0]

Pour les piratages sur les infrastructures critiques US, c'est officiel :

Le centre d'alerte informatique US CERT a émis un bulletin d'alerte résumant les méthodologies des vagues d'attaque en cours depuis mai dernier.
EDIT: Tout ceci était déjà connu des spécialistes, mais c'est rare que le CERT en fasse un bulletin d'alerte public

• Attaques de reconnaissance
• prise de contrôle de serveurs-relais
• prise d'une tête de pont dans le réseau (partie non critique)
• attaque du réseau de contrôle (critique, électricité, énergie, etc)
• (pas encore d'utilisation des malwares d'attaque électriques vus en Ukraine)

Avec la description des techniques d'attaque les plus courantes (watering hole cad MAJ de logiciel vérolées, spear phishing cad Emails détournés), etc

https://www.us-cert.gov/ncas/alerts/TA17-293A

version grand public

https://www.reuters.com/article/us-usa-cyber-energy/u-s-warns-public-about-attacks-on-energy-industrial-firms-idUSKBN1CQ0IN

 

Modifié le 23 octobre 2017 par rogue0

[Rob1]

Un article sur le social engineering : https://motherboard.vice.com/en_us/article/qv34zb/how-i-socially-engineer-myself-into-high-security-facilities?utm_source=mbtwitter

Ou comment entrer dans deux bâtiments "sécurisés" d'une entreprise en une journée...

Des généralités utiles en cyber comme IRL :

  Citation

Second, I'm sure they did have some sort of policy that required visitors to check in showing government issued identification, but they weren't following it.

We also need to post by every computer, phone and door: "TRUST, BUT VERIFY."

An employee who does their homework can ruin my day.

Third, if it seems too good to be true, it probably is.

Expand  

Autre rappel, la dangerosité des "questions de sécurité" quand on a oublié son mot de passe :

  Citation

On Mary's public Facebook account, she documented all of her family's adventures.

Side note: Now I know where Mary went to high school, her mother's maiden name, the names of her pets, etc.

Answers to those "security questions" you use to reset your passwords are very easy to find if you aren't careful with that information.

Expand  

Et une parenthèse humour de cybersécurité :

 

[Patrick]

  Le 21/10/2017 à 12:15, rogue0 a dit :

Sinon, pour éviter les applis d'espionnage, il reste toujours la solution Yoda.

Expand  

  Révéler le contenu masqué

Mais si une affaire d'espionnage implique une réaction judiciaire, la solution Yoda est-elle compatible avec la défense Chewbacca ? 

 

  Le 23/10/2017 à 09:32, rogue0 a dit :

Pour les piratages sur les infrastructures critiques US, c'est officiel :

Le centre d'alerte informatique US CERT a émis un bulletin d'alerte résumant les méthodologies des vagues d'attaque en cours depuis mai dernier.

Avec la description des techniques d'attaque les plus courantes (watering hole cad MAJ de logiciel vérolées, spear phishing cad Emails détournés), etc

https://www.us-cert.gov/ncas/alerts/TA17-293A

Expand  

Les "General Best Practices Applicable to this Campaign:" ne te semblent pas un peu légères ? On pourrait croire que dans des domaines aussi sensibles que ceux visés les admins réseaux sachent qu'il faut bloquer certains ports, segmenter leur réseau, bloquer les connexions RDP émanant de sources non fiables (celle-là m'a fait rouler des yeux...) etc etc.

Qu'est ce qui rend cette campagne de piratage dangereuse si ce n'est des soucis d'interface chaise-clavier, en fin de compte ?

[rogue0]

  Le 23/10/2017 à 10:05, Patrick a dit :

  Révéler le contenu masqué

Mais si une affaire d'espionnage implique une réaction judiciaire, la solution Yoda est-elle compatible avec la défense Chewbacca ? 

 

Les "General Best Practices Applicable to this Campaign:" ne te semblent pas un peu légères ? On pourrait croire que dans des domaines aussi sensibles que ceux visés les admins réseaux sachent qu'il faut bloquer certains ports, segmenter leur réseau, bloquer les connexions RDP émanant de sources non fiables (celle-là m'a fait rouler des yeux...) etc etc.

Qu'est ce qui rend cette campagne de piratage dangereuse si ce n'est des soucis d'interface chaise-clavier, en fin de compte ?

Expand  

Le danger n'a rien à voir avec le niveau de sophistication.
Et les acteurs/cibles ont été prévenus depuis des mois avec des recommandations plus détaillées...
(mais soyons réalistes, la majorité des acteurs vulnérables le seront encore : architecture, incompétence, ingénierie sociale, coût de la protection, disruption du business par la sécurité)

Une campagne prolongée et focalisée de piratage des sites d'armes nucléaires français est d'intérêt public, même si elle est conduite à base de macros MSOffice vérolées .

[rogue0]

  Le 23/10/2017 à 09:32, rogue0 a dit :

Pour les piratages sur les infrastructures critiques US, c'est officiel :

Le centre d'alerte informatique US CERT a émis un bulletin d'alerte résumant les méthodologies des vagues d'attaque en cours depuis mai dernier.

Expand  

A ce sujet, une autre opinion plus "rassurante" en disant que le sabotage des réseaux électrique n'est pas à la portée de tout le monde.

https://www.wired.com/story/hacking-a-power-grid-in-three-not-so-easy-steps/

Personnellement, je penche plutôt du côté du pessimisme.
Par exemple, pour les nukes, les connaissances ont tellement proliféré que je me demande pourquoi on n'a pas eu déjà d'attentat nuke terroriste...

[g4lly]

  Le 23/10/2017 à 21:46, rogue0 a dit :

Par exemple, pour les nukes, les connaissances ont tellement proliféré que je me demande pourquoi on n'a pas eu déjà d'attentat nuke terroriste...

Expand  

Parce que la connaissance ne fait pas tout ...

[rogue0]

Des scoops sont tombés sur Fancy Bear et le hack du DNC, l'analyse prend du temps.

Pour patienter , quelques brèves de cybersécurité:
 

  Le 28/06/2017 à 19:58, rogue0 a dit :

Matt Suiche, (un hacker white hat réputé français), démontre avec Kaspersky, que ce malware est purement destructif.

Expand  

A propos des Shadow Brokers, ils citent Matt Suiche régulièrement (et bizarrement, pas pour l'insulter, comme l'Equation Group).

Voici un portrait et interview de ce spécialiste en cybersécurité français (white hat) pour essayer de comprendre pourquoi (inspiration? admiration ? troll/diversion ?)
https://www.cyberscoop.com/matthieu-suiche-shadow-brokers-comae-technologies/

 

  Citation

à propos du ransomware NotPetya
L'écran de "ransomware" et la ressemblance superficielle avec WannaCry semblent être là comme fausse piste, et pour détourner l'attention des médias.

Expand  

• Nouvelle "mode" initiée par NotPetya.

Un vol de données, suivi d'un ransomware pour tenter d'effacer les traces d'intrusion.
Constaté chez les japonais

https://www.cyberscoop.com/japan-ransomware-mbr-oni-cybereason/

• Nouvelle attaque de ransomware BadRabbit (NotPetya optimisé et débuggé)

  L'attaque était annoncée depuis 2 semaines via les SR ukrainien (contamination de MAJ logicielle)
  Les dommages ont été réduits cette fois.
  Là encore, il change de comportement quand certains antivirus russes sont installés
  (Pour Kaspersky, ça ressemble plutôt à esquiver le moteur antivirus, car il détruit quand même les données.
  Pour Dr Web, les dégâts sont nettement réduits (pas d'encryption) et récupérables par un spécialiste)

  https://www.cyberscoop.com/badrabbit-dr-web-kaspersky-russia-anti-virus/
  Comme toujours l'attribution est incertaine, mais l'auteur a eu accès au source de NotPetya.
  Les ukrainiens blâment les russes de APT28 (comme souvent, et dans la cyberguerre UKR-RUS, ils ont peut être même raison)
  EDIT:Les autres cybersec pointent les connexions à d'autres groupes travaillant pour les russes Telebots (et Sandworm, et BlackEnergy , oui les piratages de réseau électriques)
   

• l'attaque NotPetya a coûté 310M$ à Mercks (et une somme équivalent à AP Maersk)
  https://www.cyberscoop.com/notpetya-ransomware-cost-merck-310-million/

 

Modifié le 3 novembre 2017 par rogue0

[rogue0]

  Le 20/10/2017 à 18:58, rogue0 a dit :

 

---

La proposition de loi sur le contre-hacking par des entreprises privées (joliment nommée ACDC ) est en cours d'examen.
Le gouvernement US s'y oppose en l'état, avec de bons arguments.

Dans la plupart des cas, il n'y a rien à hacker en face (soit un script kiddie, soit à l'inverse un gouvernement étranger)...
Et la compagnie privée risque à chaque fois une bavure, ou de  déclencher une guerre

https://www.cyberscoop.com/doj-examines-controversial-new-hack-back-bill/

 

Expand  

2ème version de la proposition loi sur le contre-hacking (ACDC 2.0, back hack).

Elle clarifie plusieurs choses (interdiction de destruction de données chez l'attaquant, mais les techniques permettant la localisation de l'attaquant sont toutes autorisées)

Analyse d'avocat  (en anglais) sur les progrès et défauts de la loi:

https://www.lawfareblog.com/new-hack-back-legislation-makes-improvements-and-raises-new-questions

[Boule75]

Vos puces Intel font tourner 3 systèmes d'exploitation : celui que vous avez choisi, et deux autres sur lesquels Intel a la main. Et qui trafiquent éventuellement sur votre réseau.

Ces passoires qu'on s'trimbale, quand même...

[g4lly]

  Le 07/11/2017 à 23:17, Boule75 a dit :

Vos puces Intel font tourner 3 systèmes d'exploitation : celui que vous avez choisi, et deux autres sur lesquels Intel a la main. Et qui trafiquent éventuellement sur votre réseau.

Ces passoires qu'on s'trimbale, quand même...

Expand  

Pour le trafic réseau du système sous-UEFI c'est facile a identifier avec un bête sniffer ... c'est pas vraiment le probleme. Le probleme c'est surtout que comme toujours avec les firmware ils ne sont jamais mis a jour et sont souvent de vrai passoire sauf exception comme les firmware de matériel réseau sérieux.

Pour ceux qui comprenne pas pourquoi il y a un OS en plus de l'OS et du BIOS ... c'est pour faire fonctionner les fonctionnalité de télé-administration du matériel. Ca permet au administrateur des parcs informatique de prendre la main globalement sur chaque machine du parc pour des audit, des statistiques, des rapports sur l'état du matériel, des mises à niveau etc. souvent automatisés. Pourquoi la télé-administration fonctionne en sous couche de l'OS ... justement pour ne pas être dépendante d'un OS fonctionnel et bien configuré... puisque justement l’intérêt de la télé-administration c'est de pallier au probleme du hardware mais aussi de l'OS sous jacent.

Le vrai souci c'est la possibilité ou non d'activer et de désactiver a la fois la fonctionnalité ET l'os qui rend le service. Souvent la fonctionnalité se désactive, mais la couche qui la sert reste et les trou de sécurité qu'il y a dedans avec.

[Boule75]

  Le 08/11/2017 à 06:36, g4lly a dit :

Pour le trafic réseau du système sous-UEFI c'est facile a identifier avec un bête sniffer ... c'est pas vraiment le probleme. Le probleme c'est surtout que comme toujours avec les firmware ils ne sont jamais mis a jour et sont souvent de vrai passoire sauf exception comme les firmware de matériel réseau sérieux.

Expand  

Des paquets "intel-firmware" existent sous Debian & co., qui mettent théoriquement à jour ces parties là. Je peine un peu à voir comment ça s'articule avec la mise à jour des BIOS, si c'est complémentaire ou redondant (à priori : complémentaire).

Mais c'est de toute façon livré sous forme binaire et sans possibilité d'audit, du moins d'audit efficace (s'il faut décompiler...). En outre comme toute cette couche tourne sous l'OS et lui est largement inaccessible, l'analyse machine allumée n'est pas satisfaisante.

Dernier point : on peut bien mettre un analyseur de trames en marche pour analyser le trafic réseau lié à ces affaires, mais ça ne garantit en rien qu'on captera les trames significatives.

  il y a 31 minutes, g4lly a dit :

Pour ceux qui comprenne pas pourquoi il y a un OS en plus de l'OS et du BIOS ... c'est pour faire fonctionner les fonctionnalité de télé-administration du matériel. Ca permet au administrateur des parcs informatique de prendre la main globalement sur chaque machine du parc pour des audit, des statistiques, des rapports sur l'état du matériel, des mises à niveau etc. souvent automatisés. Pourquoi la télé-administration fonctionne en sous couche de l'OS ... justement pour ne pas être dépendante d'un OS fonctionnel et bien configuré... puisque justement l’intérêt de la télé-administration c'est de pallier au probleme du hardware mais aussi de l'OS sous jacent.

Expand  

Ca ne sert à rien aux particuliers, donc. En outre, je n'ai jamais vu ces fonctionnalités utilisées en entreprises (sondage avec un échantillon de 1 , sur plusieurs sociétés quand même... )

  il y a 31 minutes, g4lly a dit :

Le vrai souci c'est la possibilité ou non d'activer et de désactiver a la fois la fonctionnalité ET l'os qui rend le service. Souvent la fonctionnalité se désactive, mais la couche qui la sert reste et les trou de sécurité qu'il y a dedans avec.

Expand  

Et les trous sont potentiellement nombreux, faute de mise à jour, faute d'un nombre d'utilisateurs réel significatif, faute de possibilités d'investigation, parce que le dit OS est assez confidentiel (Minix, qui a inspiré Linus Thorvalds pour Linux il y a longtemps) et au vu des fonctionnalités assez importantes apparemment déployées (serveurs web, pré-traitement de flux multimédia, générateur aléatoire, chiffrement...).

[rogue0]

Nouvelle technique pour augmenter le rendement des malware (ingénierie sociale)

http://blog.talosintelligence.com/2017/11/zeus-panda-campaign.html#more

Compromettre des sites web (avec un cheval de Troie anti bancaire), puis optimiser leur placement dans les recherches Google, pour qu'ils soient les premiers lors des recherches sur opérations bancaires.

Simple et efficace. (si on maîtrise le hacking et l'optimisation du classement Google)
La chose que je ne comprend pas, c'est pourquoi Google ne blackliste pas ces sites compromis (qui durent plusieurs jours) ...

 

[rogue0]

  Le 03/11/2017 à 10:53, rogue0 a dit :

Des scoops sont tombés sur Fancy Bear et le hack du DNC, l'analyse prend du temps.
(...)

Pour patienter , quelques brèves de cybersécurité:

• l'attaque NotPetya a coûté 310M$ à Mercks (et une somme équivalent à AP Maersk)
  https://www.cyberscoop.com/notpetya-ransomware-cost-merck-310-million/

 

Expand  

Précisions:

pour le coût du  malware destructeur NotPetya (camouflé en ransomware)

Avec les dommages publiquement connus (sociétés occidentales cotées en bourse), on arrive déjà à une addition de 1 G EUR (sans compter les dégâts cachés, ou en Ukraine)

http://www.lemonde.fr/pixels/article/2017/11/07/le-virus-petya-a-coute-plus-d-un-milliard-d-euros-aux-entreprises_5211421_4408996.html

exemples

J'avais oublié Saint Gobain qui a laissé 250MEUR de chiffre d'affaire, et sans doute 80MEUR de bénéfice.
Les dégâts sont finalement très étendus (arrêt des chaines de vaccins de Gardasil de Mercks)

La liste complète dans l'article, et reprise ici

  Révéler le contenu masqué

Petya a-t-il été le virus le plus coûteux de l’histoire ? Le 27 juin apparaissait en Ukraine une souche inconnue d’un « rançongiciel », qui bloquait l’accès aux ordinateurs qu’il infectait. En quelques heures, il s’est répandu dans des dizaines d’entreprises dans le monde entier. Des ports de conteneurs ont été mis à l’arrêt, des chaînes de production de médicaments se sont immobilisées et des entreprises, comme Saint-Gobain, ont été contraintes pendant des jours de revenir au papier et au stylo. Quatre mois plus tard, les sociétés infectées ont pour la plupart établi un premier bilan financier. Et ce dernier est très lourd : si elles sont diversement touchées, leurs pertes s’élèvent à plus de 1 milliard d’euros (1,073), selon un décompte – partiel et donc inévitablement sous-estimé – réalisé par Le Monde.

Lire :   Les mystères de « Petya », faux rançongiciel mais vrai virus destructeur

Petya a nettement grevé le chiffre d’affaires du fleuron de l’industrie française Saint-Gobain, l’entreprise française la plus durement touchée par ce logiciel destructeur. Cette dernière estime que son infection lui a coûté au premier semestre 220 millions d’euros de chiffre d’affaires et 65 millions d’euros de résultat d’exploitation (soit 4,4 %). Sur l’année complète, Saint-Gobain a estimé que Petya lui coûterait un peu moins de 250 millions de chiffre d’affaires et 80 millions d’euros de résultat.

Trois mois pour un « presque » retour à la normale

Autre grand groupe durement touché par Petya, Fedex. Les activités de sa filiale TNT Express ont été « lourdement affectées » dans les semaines qui ont suivi l’attaque : une quinzaine de jours après le début de l’infection, le service n’était toujours pas revenu à la normale et ses clients pâtissaient « de retards généralisés ».

Un manque à gagner de 258 millions d’euros, [mais] le coût total sera sans doute supérieur

Il a fallu attendre la fin de septembre, trois mois après le début de l’épisode, pour que les systèmes informatiques critiques de la société soient « pratiquement tous » revenus à un fonctionnement normal, sans que cela empêche « les revenus, les volumes traités et les profits de TNT Express » de demeurer « en dessous des niveaux précédant la cyberattaque », reconnaissait le 19 septembre le directeur financier de l’entreprise, Alan B. Graf. A la fin de septembre, l’entreprise était encore « concentrée sur la restauration de certains systèmes-clés pour [ses] clients à temps pour le pic d’activité » de fin d’année. L’attaque a occasionné un manque à gagner de 300 millions de dollars (258 millions d’euros), selon l’entreprise, qui reconnaît également que le coût pour une année pleine sera sans doute supérieur.

Autre entreprise très durement touchée, le grand groupe de transport maritime Maersk. Ce dernier avait dû interrompre le fonctionnement de certains de ses terminaux de marchandise à la suite de l’infection. Mardi 7 novembre, l’entreprise a légèrement revu à la hausse les dégâts, les estimant entre 250 millions et 300 millions de dollars (215 millions et 260 millions d’euros). Si l’attaque n’a pas fait perdre à la société « le contrôle de ses bateaux », Petya a eu des conséquences très concrètes en faisant diminuer le volume de marchandises transporté par la société de 2,5 % au troisième trimestre.

L’entreprise emblématique de l’agroalimentaire américaine Mondelez (LU, Cadbury…) a également été très perturbée par Petya. Le 2 août, elle annonçait que le virus lui avait coûté 2,3 % de ses revenus, soit environ 140 millions de dollars (120 millions d’euros), auxquels s’ajoute un coût de réponse à l’attaque de 7,1 millions de dollars (6 millions d’euros). Il ne s’agit que d’estimations, le groupe prédisant des efforts additionnels au second semestre pour dissiper totalement les conséquences du virus.

Les chaînes de production d’un vaccin interrompues

Dans un premier temps, la société spécialisé dans le médicament Merck avait été incapable d’estimer les dégâts liés à Petya. A la fin du mois de juillet, plus d’un mois après l’épisode, elle était encore « en train de se remettre de la cyberattaque », expliquait lors d’un échange avec des analystes son directeur financier, Robert M. Davis. « L’évaluation des dégâts » étant encore en cours et sans exclure que les conséquences de Petya s’étalent jusqu’en 2018, l’entreprise avait été forcée d’être « conservatrice » en termes de prévisions de résultat. Le 27 octobre, elle a annoncé que l’infection lui avait coûté 135 millions de dollars (116 millions d’euros), notamment parce que Petya a interrompu les chaînes de production du Gardasil 9, un vaccin contre le cancer du col de l’utérus, forçant la société à puiser dans les réserves du gouvernement américain.

« Des effets en termes de coûts (…) mais aussi de mise en place de meilleures protections »

Plus modestement touché, le groupe allemand Beiersdorf (Nivea) a annoncé au milieu de l’été une perte de 35 millions d’euros au deuxième trimestre, notamment en raison du déport de certaines ventes. Mais lors de la présentation de ses résultats pour les neuf premiers mois de l’année, le 26 octobre, le groupe ne s’est pas étendu sur le chiffre exact des montants engagés relatifs à Petya. « La cyberattaque a évidemment eu des effets en termes de coûts, ceux du rétablissement [des systèmes], mais aussi de mise en place de meilleures protections. Ces coûts sont intégrés dans la projection annuelle », a fait savoir dans une présentation aux analystes le directeur financier, Jesper Andersen, refusant de « donner » le montant exact. L’infection par Petya « a eu un impact sur notre performance, mais elle n’a pas eu d’effet fondamental », a assuré à la même occasion le trésorier du groupe, Jens Geissler.

Le britannique Reckitt Benckiser (Durex, Vanish, Calgon…) a lui aussi été touché par Petya. Près de trois semaines après l’attaque, le groupe était encore en train d’évaluer « toutes ses implications ». Certaines usines ont cependant été mises à l’arrêt après la cyberattaque, et il a fallu attendre le 11 juillet, soit deux semaines, pour qu’elles retrouvent une production « proche de la normale ». L’entreprise notait toutefois que les systèmes de livraison et de facturation allaient souffrir d’importants retards jusqu’à la fin du mois d’août. Lors de la présentation de ses résultats trimestriels, le 18 octobre, l’entreprise s’est contentée d’expliquer que ses ventes avaient pâti du « rançongiciel » à hauteur de 2 % au troisième trimestre, ce qui représente, sur la base de son chiffre d’affaires pour la période, un manque à gagner d’environ 65 millions de livres sterling (73 millions d’euros).

Certains n’ont pas encore évalué les pertes

A ce bilan s’ajoutent les entreprises qui n’ont pas encore évalué les pertes. C’est le cas par exemple de Mars. Sollicité par Le Monde, un porte-parole du groupe agroalimentaire américain explique que Petya a touché principalement sa filiale Royal Canin :

« Afin de préserver nos engagements en termes de qualité, nous avons pris la décision de stopper notre production. »

Cette dernière n’a été intégralement restaurée que le 1er septembre, transmet-on de même source :

« Notre attention première s’est portée sur les systèmes de production afin de garantir la sécurité alimentaire et la traçabilité de nos produits. Nous avons par ailleurs implanté des mesures additionnelles de protection afin de prévenir d’autres éventuelles attaques. Le chiffrage financier de l’impact de la cyberattaque est toujours en cours. »

Certaines entreprises ont estimé que les dégâts causés par Petya étaient négligeables ou inexistants. C’est le cas du grand groupe pétrolier russe Rosneft, pourtant infecté, de Home Credit, organisme de crédit sis en République tchèque et très présent en Europe de l’Est et en Russie, et du sidérurgiste russe Evraz.

Plusieurs éléments laissent à penser que les dégâts causés sont encore plus importants

Somme toute, si le bilan des entreprises ayant communiqué à ce sujet s’élève à plus de 1 milliard d’euros, plusieurs éléments laissent à penser que les dégâts causés par Petya sont encore plus importants. D’abord, la plupart des victimes se trouvent en Ukraine et ne sont pas cotées en Bourse, ce qui les dispense d’informer le public des conséquences d’événements tels que Petya. Ensuite, certaines entreprises n’ont pas donné de montant précis des dégâts.

C’est le cas du grand groupe publicitaire britannique WPP. Ce dernier a d’abord reconnu, le 23 août, que certaines de ses activités avaient été « significativement perturbées » par Petya et que tous ses systèmes informatiques n’étaient pas opérationnels, près de deux mois après l’infection initiale. Lors de la présentation de ses résultats du troisième trimestre, le 31 octobre, le groupe n’a pas mentionné de coût, se contentant de lister Petya comme l’un des facteurs contribuant à l’augmentation de sa dette de près de 1 milliard de livres sterling (1,1 milliard d’euros). Le cabinet d’avocats DLA Piper, l’un des plus importants au monde, avait lui aussi été fortement perturbé par Petya, mais il n’a pas communiqué sur d’éventuels dégâts.

La facture très salée de Petya a servi à « éveiller les consciences », selon Alain Bouillé, président du Club des experts de la sécurité de l’information et du numérique (Cesin), une association qui regroupe notamment les responsables de la sécurité informatique de la plupart des grands groupes français. Plus spécifiquement, le fait que les entreprises touchées n’aient vraisemblablement pas été visées directement mais constituent des victimes collatérales d’une action visant l’Ukraine est une nouveauté : « Cela peut arriver aux plus grands et aux mieux armés : “Je ne suis pas visé, j’ai tout bon, j’ai fait toutes les croix dans toutes les cases et je peux quand même être victime d’une attaque réussie”, c’est ça qui doit rentrer dans la tête des dirigeants. »

 

[rogue0]

EDIT : Disclaimer.
Je ne fourni pas de lien.

Wikileaks est une organisation largement considérée comme un "pantin" russe.

Cad publiant à 99% des bribes d'information fréquemment vraies, mais soigneusement sélectionnées pour servir les intérêts russes (ou négatives pour les intérêts NSA/USA/ Occidentaux (par ordre de fréquence)).

A ce titre, je refuse de faire leur pub (pas de lien), et je fournis une analyse critique des points intéressants.

---

Attention, Wikileaks se met à livrer des code source complet des outils de la CIA. 

Avec Vault7, ils s'étaient limité volontairement à dévoiler les documents techniques (toutes les semaines, suffisant pour griller les techniques et outils, pas assez pour aider les créateurs de malware)

Ils ont commencé une autre série de dump Vault8 (hebdomadaire ?), où ils fournissent tout le nécessaire pour recréer les outils (code source des outil + l'environnement de compilation + exemples).
C'est autrement plus dangereux (mais ils annoncent ne pas publier de 0 day ou de trucs "trop" dangereux).

Bon point : le communiqué de presse est cette fois factuel, et à première vue, ne semble pas contenir, de spéculations non prouvées.
Bref, c'est pas Assange qui l'a écrit

 

Ils commencent par un outil peu sexy, et effectivement, pas directement destructeur.
Par contre, il est très intéressant pour des malware d'espionnage (et keylogger, et exfiltration de données ... genre bancaires).

The Hive serait un proxy servant à faciliter l'extraction de donnée des malware d'espionnage CIA (dit "implant" dans leur jargon).
Il permet de camoufler les données à récupérer sous la forme de flux d'applications courantes ...
Dont des flux de télémétrie Kaspersky Antivirus (utile pour espionner en Russie et dans le monde vu la réputation de l'éditeur).

 

  Le 12/10/2017 à 14:00, rogue0 a dit :

ça sent le sapin pour Kaspersky(...)
Je laisse le conditionnel, car on ne sait pas les conditions des tests (si c'était sur des PC gouvernementaux, les russes ont peut-être tout aspiré par principe ...)

https://www.wsj.com/articles/russian-hackers-scanned-networks-world-wide-for-secret-u-s-data-1507743874

Expand  

 

Du coup, je soupçonne que l'outil a sans doute été choisi comme "réponse" aux accusations US contre Kaspersky.
Et RT et Sputnik en font la pub comme tel :

  Révéler le contenu masqué

En résumé, leur argumentation serait:
"Voyez, les US ont les outils pour se faire passer pour Kaspersky.
Donc les accusations US d'espionnage sont un coup monté / false flag".
Ca ne prêchera qu'aux convertis du conspirationisme ...

Chacun garde son opinion, mais du point de vue sécurité nationale, c'est fortement déconseillé d'utiliser des antivirus / firewall contrôlés par des gouvernements "ennemis". (Et encore, avec les MAJ vérolées, ce n'est même pas une garantie à 100%)
Chose que les russes applique avec leurs propres antivirus

En revanche, je ne pense pas que cette release soit destinée comme une distraction pour les déboires de Trump / Moore (cf criailleries 2).
Pour de nombreuses raisons : trop technique, pas assez sexy, timing, temps de préparation nécessaire, etc.

Modifié le 10 novembre 2017 par rogue0
rajout du disclaimer Wikileaks

[collectionneur]

Résumé de la profonde crise de confiance que connaît les employés de la NSA avec les fuites a répétitions et le vol de leurs techniques. L'agence tourne au ralenti et l'on passe au détecteur de mensonge le personnel :

https://mobile.nytimes.com/2017/11/12/us/nsa-shadow-brokers.html

[rogue0]

  Le 13/11/2017 à 00:26, collectionneur a dit :

Résumé de la profonde crise de confiance que connaît les employés de la NSA avec les fuites a répétitions et le vol de leurs techniques. L'agence tourne au ralenti et l'on passe au détecteur de mensonge le personnel :

https://mobile.nytimes.com/2017/11/12/us/nsa-shadow-brokers.html

Expand  

Plusieurs détails importants:

• l'article confirme plusieurs détails importants sur la série de fuites depuis 15 mois:
   
  • la chasse aux "traîtres" / fuites n'a toujours pas permis d'identifier la source Shadow Brokers 
    (les 3 fuiteurs connus n'ont pas de contact connu avec les SR Russes (sauf indirectement, celui qui s'est fait pomper son PC via Kaspersky) )
     
  • Le contenu des fuites couvre un périmètre très large (outils de hacking + doc + détails des ops passées + contenu de piratages passés) : soit il y a encore plusieurs "traîtres" non identifiés, soit il y a eu pénétration systématique (et non détectable) de plusieurs serveurs de la NSA.
     
  • Jake Williams, le hacker US trollé par les Shadow Brokers a confirmé être un ex membre de la NSA, département TAO (hackers : photo en couverture de l'article).
    Et les Shadow Brokers l'ont trollé avec les détails d'opérations auxquels il a participé.
    Et il n'a eu aucun support / contact de la NSA depuis la révélation de ses activités ...
    Il est assez amer.
     
  • EDIT:
    Tous les outils d'attaque compromis par les Shadow Brokers et les fuites Vault7 de Wikileaks doivent être abandonnés et reconstruits en partant de zéro.
    Des années de travail en perspective (alors que la fuite n'est pas identifiée), et pendant ce temps, les USA ont perdu beaucoup de sources de renseignements (sans parler de celles grillées par les gaffes de POTUS ...)
     
  • EDIT2: j'avais loupé ça : Stuxnet : nom de code de l'opération : "Olympic Games" ou "Nitros Zeus"
     
• Chasse aux sorcières, plein d'opérations gelées, moral en berne.
  Du coup, il y a des départs en série vers le secteur privé, où les ex-NSA peuvent gagner nettement plus.
  Et la NSA perd du capital humain.
   
• A rapprocher avec la mystérieuse perte de toutes les sources chinoises de la CIA/FBI pendant plusieurs années : fuite ? traître ?
  Toujours non résolue

Modifié le 13 novembre 2017 par rogue0

[rogue0]

Cybersécurité:

Ciaran Martin, chef du Centre national de cyber sécurité (NCSC) (Mr Cybersécurité UK) confirme une vague d'attaques informatiques russes ciblant les firmes UK et Irlandaises, particulièrement dans le domaine de l'énergie (réseau électrique), Média, et Télécoms.

  Révéler le contenu masqué

https://www.theguardian.com/technology/2017/nov/15/russian-hackers-targeted-uk-media-and-telecoms-firms-confirms-spy-chief

https://www.reuters.com/article/us-britain-cyber/russia-attacked-energy-telecom-and-media-in-britain-government-official-idUSKBN1DF01N

 

 

 

Pas de scoop (ça a déjà été révélé cette année), mais coordonné avec le discours du Premier Ministre May, ça souligne que c'est pris au sérieux.
(il ne parle pas de contre mesure tiens...)

[rogue0]

Ce matin, des news cyber 100% française, pour changer un peu.
(reprises de nextinpact, assez en pointe sur le sujet, et pas trop "extrémiste" dessus) 

 

• La surveillance via "boîte noire" activée pour la France
  J'avais loupé des garde fous (avis du CNCTR, et autorisation du premier ministre, à renouveller tous les 2 mois), même si l'avis du CNCTR est classifié.
  
  https://www.nextinpact.com/news/105612-renseignement-surveillance-par-boite-noire-a-debute.htm

 

  Révéler le contenu masqué

l’occasion d’une conférence organisée par le Grenoble Alpes Data Institute, le président de la Commission nationale de contrôle des techniques du renseignement a indiqué que le dispositif des boites noires était activé depuis début octobre.

« Le contrôle du renseignement : comment concilier surveillance et respect des droits de l’homme ? ». C’est lors de cette conférence à l’intitulé alléchant, que Francis Delon, tête de la CNCTR, a révélé qu'une boite noire était activée  « depuis plus d’un mois ».

C’est peu de le dire, l’article 851-3 du Code de la sécurité intérieure est celui qui a suscité le plus de questionnements, et de critiques, en particulier de flirter avec la surveillance de masse. L’expression malheureuse de « boites noires » avait d’ailleurs alimenté elle-même ces reproches. Elle avait pourtant été utilisée en toute bonne foi par un conseiller du premier ministre lors d’un échange avec la presse à laquelle nous participions, et ce peu avant le dépôt du projet de loi Renseignement.

Un spectre de données très généreux

Inspiré des systèmes embarqués dans les avions, ce conseiller voulait surtout signaler que les traitements du renseignement seraient inaccessibles aux intermédiaires chez qui elles sont installées. Un faux pas marketing qui a marqué le texte au fer rouge.

Il faut dire que le législateur s’est montré extrêmement généreux. Ce mécanisme autorise les services du renseignement à aspirer un volume par avance non défini de données de connexion (les « informations et documents ») auprès de n’importe quel intermédiaire en ligne (hébergeurs, FAI, opérateurs, services en ligne…).

Les métadonnées glanées viennent alors nourrir l’estomac d’algorithmes classés secret-défense avec l’espoir de détecter « des connexions susceptibles de révéler une menace terroriste ». En clair, de l’écrémage à partir d’un océan de big data : on aspire une masse de données personnelles dans le sillage des internautes, pour espérer déceler une menace.   

Si une telle menace est détectée, ce qui ne serait pas encore le cas, la CNCTR doit être saisie toujours pour avis simple par le premier ministre, avant que ne soient relevée l'identité de la ou des personnes concernées et le recueil des données y afférentes. Ces données sont ensuite exploitées sur une période de 60 jours, « sauf en cas d'éléments sérieux confirmant l'existence d'une menace terroriste attachée à une ou plusieurs des personnes concernées  », poursuit l'article L851-3 du CSI.

Le gouvernement a dû revoir sa copie 

De l’aveu de Francis Delon, la CNCTR a été saisie avant l’été par Edouard Philippe, « un "travail de plusieurs mois" qui a nécessité de demander "au gouvernement de revoir sa copie" » relèvent notamment nos confrères de Libération. 

La CNCTR est en effet compétente pour ausculter a priori sur la demande d’autorisation initiale prise par le premier ministre. Elle émet alors un avis (simple) tout en disposant « d’un accès permanent, complet et direct à ces traitements ainsi qu'aux informations et données recueillies », donc a posteriori.

La boite noire est déployée sur une durée de deux mois, donc jusqu'à la fin du mois. Ensuite ? Elle sera renouvelable autant de fois que nécessaire selon le même processus (autorisation du premier ministre, avis simple de la CNCTR, déploiement et contrôle).

La sortie de Delon est à rapprocher de la toute récente loi sur la sécurité intérieure et la lutte contre le terrorisme. Selon la loi Renseignement, les boites noires ne devaient être mises en œuvre jusqu’à fin 2018, le gouvernement ayant en outre l’obligation de remettre un rapport d’évaluation au plus tard le 30 juin 2018, et ce, « pour apprécier l’utilité de cet outil et son caractère proportionné au regard de l’atteinte aux libertés publiques ».

La clause de revoyure repoussée de 2018 à 2020

Cette clause de revoyure a évidemment permis d’adoucir le versant anxiogène de cet aspirateur à métadonnées et donc  facilité son acceptabilité lors du vote. Le 11 septembre 2017, surprise ! Dans le cadre de la toute récente loi sécuritaire d’Emmanuel Macron, l’exécutif a repoussé ces deux dates à 2020. Si quelques jours plus tard, la boite noire allait être activée suite à une demande d’autorisation émise par Édouard Philippe peu avant l’été, pourquoi donc avoir repoussé le terme de 2018 de deux années ?

On notera pour finir qu’une disposition aurait pu théoriquement réduire la voilure de ces traitements automatisés. Toujours dans sa première loi sécuritaire, le gouvernement avait fait adopter un autre de ses amendements pour obliger les personnes soumises à une mesure de surveillance à déclarer aux autorités ses numéros d’abonnement et l’ensemble de ses « identifiants techniques de tout moyen de communication électronique dont elle dispose ou qu’elle utilise ».

Ces éléments auraient pu être du caviar, au lieu et place de l’industrialisation de la surveillance via boites noires. On basculait d’une possible surveillance massive à du renseignement beaucoup plus chirurgical. Sur le terrain des droits et libertés fondamentaux, des fragilités constitutionnelles ont néanmoins conduit les parlementaires à abandonner cette obligation de déclaration, laissant la boite noire seule sur scène. 

 

• L'équivalent international est déjà activé, lui avec très peu de restriction
  
  https://www.nextinpact.com/news/105039-renseignement-des-boites-noires-deja-activees-a-echelle-internationale.htm

 

• Il y a eu dernièrement des attaques informatiques de grande envergure (genre DDoS Mirai d'objet connecté balançant du Tb/seconde d'attaque), ainsi que les attaques sur l'infrastructure de base (genre un hack massif de routeur ou de box internet comme Deutsch Telecom ),
  L'ANSSI propose d'autoriser les entorses à la neutralité du Net, dans ce genre de cas, pour traiter à la source ces attaques massives.
  Et Orange le demande aussi (pour prévenir les clients qu'ils sont infectés/zombies)
  Il faudrait pour ça une loi.
  Avis perso: à ce niveau d'attaque (l'équivalent échange nucléaire), il n'y a pas trop de choix.
  Comme il est irréaliste de blinder rapidement tous les objets connectés et les PC et box, alors il faut que les infrastructures internet puissent
  Même
  https://www.nextinpact.com/news/105385-lanssi-veut-que-operateurs-protegent-internet-cyberattaques.htm
  https://www.nextinpact.com/news/105574-les-plans-dorange-pour-nettoyer-trafic-internet-avec-aide-anssi.htm